You are on page 1of 10

www.tubefun4.

com

Programele tip „Cal troian” Un "cal troian" poate fi definit ca un program de calculator cu o funcţie utilă, reală sau doar aparenţă, care conţine funcţii suplimentare ascunse, prin care exploatează în mod clandestin, în detrimentul securităţii, autorizările legitime ale proceselor invocate. Programul "cal troian", care poate fi purtătorul multor acţiuni nocive, este metoda de bază utilizată pentru inserarea instrucţiunilor specifice altor metode de atac, cum ar fi bombele logice, atacurile prin tehnica paşilor mici şi viruşii. Programele "cal troian" pot fi folosite pentru executarea indirectă a funcţiilor pe care un utilizator neautorizat nu poate să le execute direct. De exemplu, utilizatorul unui sistem de operare multi-utilizator care doreşte să obţină acces la fişierele altui utilizator, poate utiliza un program "cal troian" pentru a ocoli mecanismele de securitate ale fişierelor utilizatorului respectiv. Atunci când este rulat, programul "cal troian" schimbă permisiunile invocate de fişierele utilizatorului astfel încât fişierele pot fi citite de orice utilizator. Autorul programului "cal troian" poate determina utilizatorii să ruleze acest program, plasându-l într-un director comun şi numindu-l astfel încât utilizatorii să creadă că este un program utilitar folositor. După ce un utilizator rulează programul, autorul poate accesa fişierele utilizatorului respectiv, Daca nu sunt foarte atenţi, utilizatorii afectaţi pot să nu observe o lunga perioada de timp schimbările. Un "cal troian" care este foarte dificil de detectat, poate fi, de exemplu, un compilator de pe un sistem de operare multi-utilizator, care a fost modificat pentru a introduce cod adiţional în anumite programe care sunt compilate, cum ar fi programul de identificare şi autentificare în sistem. Acest cod creează o trapă în programul de conectare care permite autorului "Calului troian" să se autentifice pe sistemul de operare folosind o anumita parolă. De fiecare data când programul de

un utilizator poate continua să-l răspândească. utilizatorii sunt "păcăliţi" să copieze programele "cal troian" în propriile directoare. Dacă un program "cal troian" îndeplineşte o funcţie utilă şi nu produce imediat sau în mod evident daune. compilatorul va insera în program codul trapei. Sunt stocate în biblioteci de software care pot fi accesate de mulţi utilizatori. . dându-l altor prieteni sau colegi. apoi utilizatori neavizaţi le copiază şi le rulează. Compilatorul care copiază codul ascuns într-un program de autentificare poate fi un "cal troian" care a fost instalat în mod deliberat de către un utilizator autorizat . în esenţă. astfel încât "Calul troian" nu va putea fi descoperit niciodată prin citirea codului sursă a programului de autentificare. Programele "cal troian" sunt introduse în sistemul de operare prin doua moduri: iniţial sunt publicate.autentificare este recompilat. cum ar fi serverele reţelelor PC. directoarele cu acces public din medii multi-utilizator sau colecţii on-line de programe. aşadar.

acest program devenind el însuşi un virus de calculator sau un "cal troian". care apare la activare. Un exemplu elocvent care ilustrează cum lucrează un virus poate fi următorul: un program interesant. Viruşii de calculator. dăunător. astfel încât să-i permită virusului să se poată ataşa singur la alte programe. dar infectat. viruşii de calculator sunt programe care îşi copiază codul ascuns în alte programe. încât utilizatorul . Un virus este compus din trei părţi: a) codul de autoreplicare. prin aceasta infectându-le. la un program virus de calculator codul ascuns este adăugat de un alt program. incluzând sistemele de operare. ca şi "caii troieni". Aceasta se petrece atât de rapid. trebuie să se folosească acel suport pentru a încărca programul în memorie. care căuta apariţia unui eveniment ce va declanşa efectul colateral. care se inserează singur la începutul sau la sfârşitul programului. c) mecanismul de activare. Un sistem de operare poate fi complet invadat. programul de pe suportul magnetic îşi va copia propriul cod ascuns în programul găsit pe hard disc. deoarece viruşii de calculator se răspândesc astfel în progresie geometrica. În timp ce într-un program "cal troian" codul ascuns este plasat deliberat de autorul programului. Atunci când programul este activat. el caută imediat un alt program pe hard disc. Imediat ce un program a fost găsit pe hard disc. Aşadar. necesitând rularea programului gazdă pentru a-l activa. b) evenimentul nedorit. Pentru ca programul să poată funcţiona. sunt programe ce conţin cod ascuns care îndeplineşte unele funcţii nedorite. este stocat pe un suport magnetic. dar care nu poate rula independent. Odată infectat.Viruşii de calculator Generalităţi Un virus de calculator poate fi definit ca un fragment de cod care se ataşează singur la alte programe. un program poate să continue să infecteze alte programe.

De asemenea. virusul îşi . Atunci când evenimentul se produce. la rândul sau. amestecarea sau ştergerea tuturor fişierelor de pe disc. e) este posibil să creeze un fanion care să indice că programul a fost infectat. să efectueze şi alte funcţii care să ajute la camuflarea faptului că fişierul a fost infectat. 21. cum ar fi scoaterea din uz a sistemului. c) inserează instrucţiunile ascunse undeva în program. dimensiunea devenind semnificativă şi deci observabilă. astfel încât dimensiunea programului să rămână aceeaşi. Mecanismul de replicare efectuează următoarele funcţii: a) caută alte programe pentru a le infecta. când PC-ul foloseşte programul infectat. devenind astfel mai mari. Un virus de calculator prezintă trei caracteristici: un mecanism de replicare. deoarece fără el programele pot fi infectate în mod repetat. Mecanismul de replicare poate. astfel încât codul ascuns va fi executat ori de câte ori este invocat programul respectiv. va căuta alte programe pe care să le infecteze.poate să nu observe scurta întârziere până la lansarea în execuţie a programului de pe acel suport. d) modifică secvenţa de execuţie a instrucţiunilor programului. de asemenea. Mecanismul de activare verifică şi aşteaptă realizarea unui anumit eveniment. sau chiar distrugerea fizica a discului însuşi. el poate să efectueze un anumit număr (uneori foarte mare) de acţiuni distrugătoare. b) atunci când găseşte un program. un mecanism de activare şi un obiectiv. cum ar fi resetarea datei privind modificarea fişierului program la valoarea sa precedentă şi stocarea codului ascuns în interiorul programului. prin verificarea unui fanion (fIag). 22. este posibil să determine dacă programul a mai fost infectat anterior. Mai târziu. acesta. Fanionul poate fi necesar.

prin efectuarea copiilor de siguranţă (sau de rezervă) sau făcându-l disponibil şi altor utilizatori. La fel ca şi programele "cal troian". altul decât lansarea iniţiala în execuţie a programului infectat. Atunci când un utilizator descarcă programul şi apoi îl execută. începând cu unele care afişează pe ecran mesaje deranjante dar inofensive. adeseori aceştia având şi un mecanism de bombă cu efect întârziat. se spune că acesta conţine "o bomba logica". Obiectivul este. se spune că acesta conţine "o bomba cu efect întârziat". acesta infectează alte programe din SIC. În general. Exemplele cunoscute de viruşi de calculator au o mare varietate de obiective. Dacă mecanismul de activare verifică o anumită dată sau oră înaintea îndeplinirii obiectivului sau. cum ar fi executarea de un anumit număr prestabilit a unui program infectat. viruşii de calculator pot fi introduşi în sistemul de operare în mod deliberat şi de către utilizatori neatenţi. . virusul de calculator se poate activa singur într-un anumit moment. obiectivul conţine acele acţiuni pe care autorul le-a proiectat în virusul de calculator. până la acelea care şterg sau modifica fişierele sau determina o funcţionare anormala a componentelor hardware ale SIC. Alte exemple privind modul cum sunt introduşi viruşii de calculator includ situaţiile în care utilizatori instalează în mod deliberat viruşi de calculator. de obicei. Ulterior. neavizaţi. de regula când utilizatorul nu este logat sau după ce utilizatorul nu mai face parte din grupul de utilizatori. un program "cal troian". al cărui scop este acela de a infecta alte programe. poate fi inclus într-o colecţie de software care permite utilizatorilor să încarce sau să descarce programe. sau poate să nu existe un alt mecanism de activare. Dacă virusul de calculator se ascunde bine. Pot exista orice fel de variante. un eveniment nedorit. Dacă verifică efectuarea unei anumite acţiuni. De exemplu.îndeplineşte obiectivul. posibil distructiv. utilizatorul poate continua să-l răspândească prin copierea programului infectat pe alte discuri.

Aceştia exploatează abilitatea aplicaţiei de a executa automat programul macro la declanşarea unei acţiuni. spre deosebire de viruşii de calculator sau "caii troieni" convenţionali. de exemplu. daunele se pot multiplica în progresie geometrica. foloseşte aplicaţia care creează documentele ca agent de transport şi execuţie a codului virusului macro. este posibil ameninţată de acesta. Orice aplicaţie. Odată ce această acţiune s-a petrecut cu documentul ce găzduieşte virusul macro de documente. virusul se răspândeşte (sau este executata o forma de cod "cal troian"). încât să necesite refacerea completa a întregului software de sistem şi a tuturor informaţiilor. deschiderea sau închiderea unui document. care suporta macro-uri automate. Un virus macro de documente. Deoarece viruşii se pot răspândi foarte repede la alte programe. Rezumat Viruşii de calculator şi ameninţările asociate reprezintă o problema serioasă de securitate care capătă o amploare tot mai mare în sistemul de operare.Viruşii macro de documente Viruşii macro de documente sunt scrişi în limbajul macro al unei aplicaţii. . la care codul se află în executabil. Daunele pot varia considerabil şi pot fi atât de mari.

sistemul de operare trebuie să salveze copiile programelor şi informaţiile în starea lor curentă la momentul întreruperii. data şi ora calculatorului. să poată fi relansat. Majoritatea sistemelor de operare funcţionează asincron datorită sarcinilor pe care le execută. De exemplu. autorul acţiunii să nu fie prezent.Bombele logice O bomba logică este un program de calculator care declanşează acţiuni neautorizate atunci când PC ajunge într-o anumită stare. pentru o aplicaţie a cărei execuţie durează o perioadă lungă de timp. corespunzătoare diverselor programe de calculator care sunt rulate. Planificarea momentului în care se va declanşa acţiunea poate fi făcuta astfel încât. întro anumita zi a anului. să salveze mai mulţi . în acel moment. De exemplu. pot apărea simultan mai multe solicitări de listare la imprimantă. O bomba logică poate fi programată să declanşeze o acţiune ce are la bază fie o condiţie specificată. în aşa fel încât să nu se piardă informaţii. bomba cu efect întârziat va executa acţiunea prevăzuta de autor. astfel încât acesta să permită încălcarea separării executării unei sarcini faţă de alta. fie o informaţie întâlnită sau introdusă. Instrucţiunile acelui program pot testa anul. la o anumita ora. mai târziu. astfel încât. pe măsura eliberării resurselor. reluarea derulării acesteia din punctul în care a fost întreruptă este un fapt obişnuit. din care. în funcţie de prioritate (dacă este stabilită o astfel de schemă). Această situaţie permite operatorului calculatorului să facă o comutare manuală prin care să oprească programul într-un anumit punct intermediar. Sistemul de operare trebuie. Pentru a evita pierderile. Sistemul de operare stochează aceste solicitări şi. Metodele foarte sofisticate pot dezorienta sistemul de operare. Atacurile asincrone Tehnicile de atac asincron exploatează funcţionarea asincronă a unui sistem de operare. execută solicitările în ordinea sosirii sau conform unei scheme de alocare peste rând. de asemenea.

sau la un nivel privilegiat în calculator. pentru repornirea programului din punctul de întrerupere. Aceste persoane pot schimba parametrii sistemului. la alte programe sau la sistemul de operare. la informaţiile şi parametrii salvaţi. astfel încât. la repornire. acordând astfel programului acces neautorizat la informaţii. programul să funcţioneze la un nivel mai mare de prioritate de securitate. . Programatorii sau operatorii calculatoarelor pot fi capabili să dobândească acces la acea copie făcută de sistemul de operare.parametri de sistem care descriu modul şi nivelul de securitate al programului la momentul opririi.

Odată ce este activ într-un PC. c) logarea în sistemul de la distanţă. prin care un "vierme" se poate autentifica pe un PC îndepărtat şi apoi poate utiliza comenzi pentru a se replica de pe un sistem de operare pe altul. un "vierme" de reţea se poate răspândi pe mai multe PC-uri într-un timp relativ scurt. "Viermii" de reţea prezintă aceleaşi caracteristici ca viruşii de calculator. În funcţie de dimensiunea reţelei. Programele "vierme" de reţea utilizează conexiunile reţelei pentru a se răspândi de pe un calculator pe altul. Noua copie a "viermelui" de reţea este apoi rulata pe PC la distanţă. poate implanta programe "cal troian" sau poate efectua numeroase activităţi perturbatoare sau distructive. având un mecanism de replicare. Pentru a se replica. b) lansarea în execuţie de la distanţă. în acest fel "viermii" de reţea atacând sistem de operare interconectate. prin examinarea tabelelor de adrese sau a altor locaţii de păstrare a adreselor pentru PC la distanţă. efectuează următoarele funcţii: a) caută alte PC pentru a le infecta. posibil un mecanism de activare şi un obiectiv. prin care un "vierme" poate trimite o copie a sa altor PC. prin care un "vierme" poate rula o copie a sa pe un alt PC. . de unde poate continua să se răspândească în aceeaşi manieră pe mai multe PC-uri. în general.Viermii de reţea Un "vierme" poate fi definit ca un program care poate rula singur şi poate propaga pe alte maşini o versiune complet funcţională a sa. astfel daunele provocate fiind proporţionale cu numărul de PC-uri infectate. "viermii" utilizează un anumit serviciu de reţea. de exemplu: a) poşta electronică. "viermele" de reţea se poate manifesta ca un virus de calculator. Mecanismul de replicare.

c) îşi creează o replică pe un PC îndepărtat şi provoacă rularea exemplarului copiat. o bombă logică sau o combinaţie a acestora. . Obiectivul său este acela care a fost implementat de către autor. Un "vierme" de reţea care are un obiectiv distructiv / maliţios poate efectua o gamă largă de funcţii distructive. "viermii" de reţea îşi pot deghiza prezenţa autodenumindu-se ca proces de sistem sau utilizând un nume oarecare. "Viermii" de reţea mai pot încerca să determine dacă un PC a fost anterior infectat. Mecanismul de activare poate folosi o bombă cu efect întârziat. înainte de a se replica pe acel PC. cum ar fi efectuarea unor operaţii de întreţinere a PC. sau implantarea programelor "cal troian" sau a viruşilor de calculator. prin logarea ca utilizator autorizat sau utilizând facilităţile poştei electronice sau posibilitatea de lansare în execuţie de la distanţă. sau pentru folosirea în comun a resurselor tuturor calculatoarelor unui PC pentru efectuarea unui volum mare de calcule care nu pot fi efectuate pe un singur calculator. care să nu fie observat de operatorul sistemului. cum ar fi ştergerea fişierelor de pe fiecare calculator afectat.b) stabileşte o conexiune cu un PC aflat la distanţă. De asemenea. Unii "viermi" de reţea au fost proiectaţi având un scop util. pe un calculator multi-tasking.