Aparitia virusilor si a programelor antivirus – partea 1

Au trecut aproape 30 ani de cand a aparut primul virus PC. Din acel moment si pana azi, natura amenintarilor virtuale s-a schimbat semnificativ; azi, acestea sunt mai complexe decat au fost vreodata. Scopul tuturor acestor atacuri cibernetice, indiferent de natura lor, este de a fura date si de a face bani in mod ilegal.

Conexiunea la internet face ca atacurile sa se intample rapid; documentele infectate pot fi transmise fie printr-un email, fie prin pachete software sau pe pagini diverse de download. Marimea problemei a crescut si continua sa creasca; de exemplu, laboratoarele Kaspersky au baze de date care contin 575.500 de inregistrari de virusi, in fiecare saptamana adaugandu-se in jur de 3.500.

Asa cum fiecare noua generatie contruieste pe temeliile deja formate, la fel este si in cazul amenintarilor digitale; este un lucru cert faptul ca si solutiile de securitate au evoluat odata cu acestea.

Primii virusi PC

BRAIN, primul virus PC, a aparut in anul 1986. A fost un virus dedicat sectorului boot, care facea modificari prin floppy disk. Ciclul lui de viata era urmatorul: executa si isi incarca codul in memoria dischetei introduse in computer; in cazul in care utilizatorul uita discheta in floppy disk, atunci cand redeschidea calculatorul, sistemul buta automat si discheta, reusind astfel sa preia in sistem si codul virusului. Singurele calculatoare care puteau distribui acest virus au fost cele care erau prevazute cu sistem de operare DOS. Avantajul major al acestui tip de virus a fost mereu faptul ca nu era nevoie de implicarea activa a utilizatorilor pentru a infecta cat mai multe calculatoare. O discheta infectata si uitata in calculator era suficienta.

In anii urmatori, virusii care au urmat au fost creati pentru a infecta si hard diskurile si sistemele BIOS.

Virusii pentru sistemele DOS

Pana in 1995, aproximativ 70% din virusi tinteau sectoarele boot. In aceasta perioada au inceput sa apara virusii care infectau documentele executabile DOS. Acesti virusi modificau dosarul gazda astfel incat sa ruleze si virusul atunci cand era pornit programul. Metodele utilizate pentru infectare au fost diverse; codurile de virusare erau fie incluse in codul executabilului, fie era creat un document companion.

Motivul pentru care majoritatea virusilor erau pe sectoare boot a fost faptul ca de regula, schimburile de informatii se faceau cu ajutorul dischetelor si a dispozitivelor portabile, nicidecum prin programe executabile. Cele mai de succes metode de infectare erau virusii cu actiune indirecta care supravegheau intreg sistemul si infectau orice tip de document pe care utilizatorul alegea sa il deschida. Virusii cu actiune directa infectau un singur document atunci cand acesta era rulat, iar in rest hibernau in sistem pana la redeschiderea acestuia.

Virusii anilor `80

Anii `80 au fost dominati de un numar redus de virusi de succes. De exemplu, Jerusalem a fost distribuit in multe companii, institutii academice si agentii guvernamentale, iar in 13 mai 1988 (zi cunoscuta si sub denumirea de Black Friday) a avut loc prima epidemie cauzata de acesta. Alti virusi care au facut istorie au fost Vienna si Cascade.

Cu timpul, creatorii de virusi au inceput sa insereze pe piata digitala virusii pluripartiti (care atacau atat sectorul boot cat si hard diskul). Cativa asemenea virusi sunt Tequila, Junkie si Natas.

Au inceput sa apara de asemenea virusii de tip worm, cel mai de succes fiind Morris care in noiembrie 1988 a reusit sa infecteze aproximativ 6000 sisteme vulnerabile (cam 10% din numarul total de calculatoare conectate atunci la internet), sisteme si calculatoare utilizate in general de institutiile academice si guvernamentale.

A existat si un numar mic de virusi de tip trojan – denumire inspirata de la calul din Troia facut cadou grecilor. Primii troieni care au aparut catre finalul anilor `80 au aparut mascati sub forma unor programe inocente, care pareau autentice. Un exemplu de virus troian de succes a fost Twelve Tricks care dadea 12 erori ce faceau utilizatorul sa creada ca are probleme cu hardul. Un alt virus troian de succes din aceasta perioada a fost Aids Information Disk care s-a raspandit cu ajutorul a 20000 dischete trimise catre adrese furate din Organizatiile de Sanatate si PC Business World; aceste dischete contineau informatii despre virusul HIV care, odata ce erau accesate, facilitau instalarea unui virus pe hard disk. Dupa 90 de redeschideri ale calculatorului, intregul sistem devenea inaccesibil si se debloca doar dupa plata unei anumite sume catre un cont din Panama.

Cu toate acestea, era virusilor de tip worm si trojan este doar la inceput si multe lucruri se vor mai intampla in decadele urmatoare.

Invizibilitatea si polimorfismul

Aceasta decada a fost de asemenea perioada in care au aparut virusii greu de detectat, care sa se poata distribui cat mai mult fara a fi reperati. Tehnicile de invizibilitate au fost create pentru a ascunde schimbarile efectuate de un virus in sistem (inclusiv eliminarea mesajelor de alerta, dublarea informatiilor fara a creste marimea fisierelor etc). Aceste tehnici au facut ca scanarea memoriei sa devina o necesitate.

O alta tehnica prin care virusii nu puteau fi detectati de programele antivirus a fost polimorfismul. Denumirea vine din greaca si inseamna „mai multe forme”. Ideea din spatele acestei tehnici a fost codarea variabila a virusului, care-si schimba forma pentru a nu fi detectat la scanare. Tehnica a devenit importanta si prezenta la finalul anilor `80, odata cu virusul Tequila; pornind de aici, au aparut si tehnicile de scriere de programe in limbajul sistemului si utlizarea algoritmilor matematici pentru a „vedea prin” cod.

Primele solutii de securitate antivirus

Problema virusilor a debutat incet, acestia aparand unul cate unul. A existat chiar si o perioada de cativa ani in care multi utilizatori de computere credeau ca acesti virusi sunt doar un mit. Primele programe antivirus au fost create pentru a detecta si elimina un anumit tip de virus.

La finalul anilor `80 insa, aparitia virusilor era deja mult mai mare si numarul lor crestea tot mai mult; acesta a fost momentul in care au aparut kiturile antivirus. Aceste programe efectuau o scanare completa a sistemului si cautau un numar mai mare de tipuri de virusi.

La inceput, programele antivirus se livrau doar la cerere. Numarul de virusi crestea incet si rata lor de raspandire era chiar mica daca ar fi sa comparam cu timpurile de azi. Scopul era de a scana sistemul regulat si de a avea posibilitatea de a detecta o amenintare din computer. De multe ori, companiile nici nu instalau vreun program antivirus pe echipamente individuale; de regula, administratorul de retea rula scanari si curatari regulate si verifica de asemenea dischetele care intrau in contact cu computerul.

Updateurile programelor se facea trimestrial, cu ajutorul dischetelor; nu era vazuta drept o necesitate ca lunar sa se faca updateuri, iar cei ce doreau acest lucru plateau o taxa premium.

Pe masura ce atacurile devin tot mai complexe, este nevoie de solutii de securitate IT avansate pentru a avea vizibilitate in retea si a face fata amenintarilor.

Sursa: Securelist

Photo: Nick Youngson, Alpha Stock Images