VIRUSI DE CALCULATOR. NOTIUNI SI PRINCIPII DE ACTIUNE

1. Notiuni introductive

Prin virusi de calculator numim o serie de secvente de simboluri in memorie, intelegand prin memorie registri, disc, banda magnetica sau memorie centrala. Ceea ce particularizeaza insa aceste secvente de simboluri, oferindu-le "caracteristica virala", este faptul ca interpretarea lor de catre calculator conduce la aparitia in sistem, la un moment ulterior, a unor elemente ale aceluiasi set viral.

In general, virusii formeaza seturi virale "singulare", mai precis secvente de instructiuni in cadrul unei anumite masini, capabile sa se reproduca oriunde in masina, dar exista si alte posibilitati. Exista virusi care provin din seturi virale multiple, evoluand printr-un numar finit de stari diferite. Aceasta face mult mai dificila problema detectarii si inlaturarii virusilor.

Desi exista numeroase categorii diferite de virusi, se poate propune o definitie generala. Un virus este un program proiectat intentionat sa se asocieze unui alt program de calculator astfel incat, atunci cand ruleaza programul original, programul de virusare ruleaza de asemenea, iar virusul se reproduce atasandu-se altor programe. Virusul se asociaza programului original atasandu-se acelui program sau reproducandu-l, iar reproducerea are deseori forma unei versiuni modificate a programului de virusare. Programul infectat poate fi de tip macro si poate fi un sector de initializare al discului, primul program incarcat de pe un disc care poate fi initializat.

Virusii nu apar accidental, fiind creati si dezvoltati de programatori bine pregatiti, care cauta apoi modalitati de a-i introduce in calculatoare, fara a trezi suspiciuni. Finalitatea acestui intreg esafodaj distructiv are probabil si un substrat economic. Pentru cei mai multi dintre autorii de virusi, crearea si dezvoltarea virusilor reprezinta o provocare: cu cat sunt mai bune programele antivirus, cu atat mai mult se vor stradui sa le invinga.

Intr-o forma acceptata de marea majoritate a oamenilor, definitia unui virus ar fi: "un virus este un program care poate "infecta" alte programe, modificandu-le astfel incat sa includa o versiune a sa posibil evoluata".

Desi au o reputatie proasta, multi virusi nu sunt daunatori. Desigur, unii distrug fisiere sau produc alte pagube, dar cei mai multi nu produc decat suparari minore si pot fi chiar invizibili pentru cei mai multi utilizatori. Pentru a fi considerat virus, un program trebuie doar sa aiba capacitatea de a se reproduce.

Frederick B. Cohen, in cartea sa "A Short Course on Computer Viruses" prezinta o schema a unui sistem de tip "timesharing" (in care resursele sunt utilizate in comun de catre utilizatori, la momente de timp diferite) cu 3 utilizatori U1, U2 si U3, avand trei programe P1, P2 si P3 la momentele de timp t1, t2 si t3. Daca la momentul t1 programul P1 este infectat cu un virus V si la momentul t2 utilizatorul U2 executa programul P1 atunci, deoarece U2 autorizeaza P1 sa lucreze pentru el si deoarece U2 are autoritatea de a modifica programul P2, virusul din P1 este la randul lui autorizat sa modifice P2, infectand programul P2. Similar, daca la momentul t3 utilizatorul U3 executa programul P2, programul P3 va deveni contaminat.

	P1 (U1) V				P2 (U2)				P3 (U3)

Infectarea initiala a programului P₁ al utilizatorului U₁. O aplicatie infectata cu un virus obisnuit este incarcat in memorie. Chiar si dupa terminarea aplicatiei virusul ramane in memorie.

	P1 (U1) V				P2 (U2) V				P3 (U3)

Programul P₂ este contaminat la lansarea lui P₁ de catre P₂. Virusul infecteaza una sau mai multe alte aplicatii.

Unii virusi folosesc timpii morti pentru a cauta aplicatii, iar altii infecteaza aplicatii in timp ce acestea sunt incarcate in memorie.

	P1 (U1) V				P2 Referat: Contabilitatea tertilor Referat: Structurarea elementelor de activ si pasiv dupa criterii financiare (U2) V				P3 (U3) V

Contaminarea programului P₃. Aceste aplicatii infectate de virusi pot fi transmise mai apoi prin intermediul unor suporti amovibili, al unei retele sau al Internetului.

In acest mod virusul se raspandeste de la un program la altul si de la un utilizator la altul.

Nu se poate vorbi totusi de virusi complet inofensivi. Virusii consuma spatiu pe disc, memorie si resursele microprocesorului, afectand viteza si performantele calculatorului. Mai mult, programele antivirus care anihileaza virusii consuma, de asemenea, memorie si resursele microprocesorului, multi utilizatori plangandu-se ca incetinesc considerabil programele de calculator. Prin urmare, virusii afecteaza chiar si indirect.

Virusii fac parte acum din lumea calculatoarelor. Industria calculatoarelor a ajuns sa-i accepte ca fiind inevitabili tocmai raspandirii fara precedent a acestora. De aceea, un calculator nou cumparat este foarte posibil sa fie dotat deja cu un pachet antivirus.

Desi sunt programe simple, virusii sunt inconjurati de o publicitate exagerata si de informatii eronate. Virusii sunt, pur si simplu, programe create pentru a se reduplica si a atasa aceste copii altor programe (considerate infectate de virus). Aceste programe infectate pot fi fisiere care contin coduri executabile (de obicei fisiere  .COM si .EXE) sau sectoare de initializare. Calculatorul poate fi infectat de un virus doar daca executati un program infectat sau prin initializare de la o discheta care contine un sector de initializare infectat.

Conectarea la o retea (precum CompuServe sau Internet), la un sistem de buletine informative (BBS) sau la o retea locala nu inseamna ca sistemul dumneavoastra este infectat. Singurul fel in care un virus poate intra in sistemul dumneavoastra este sa executati un program obtinut din retea la calculatorul dumneavoastra. Incarcarea unui program nu inseamna infectare; trebuie sa si executati programul incarcat infectat pentru ca si calculatorul dumneavoastra sa fie infectat. Citirea mejaselor primite prin posta electronica nu inseamna infectarea calculatorului. (Trebuie, insa, sa luati aminte ca documentele/sabloanele MS Word si alte fisiere Ms Office pot contine programe care sunt activate dupa ce le deschideti.)

Definirea notiunii de virusi de calculatoare efectuata anterior poate parea "linistitoare", in sensul ca utilizatorului unui calculator ii ramane totusi o ultima solutie: formatarea hard discului. Evolutia prezenta a virusilor este resimtita nemijlocit prin efectul acestora asupra partii soft. Consider ca este posibila crearea unor virusi care sa influenteze foarte puternic unele componente ale calculatorului. Un astfel de virus poate actiona asupra hard discului, obligand capul de citire/scriere sa faca un numar foarte mare de curse intre prima si ultima pista a unei fete a discului, intr-un timp foarte scurt. Aceasta conduce la deteriorarea mediului de stocare.

Exista comenzi software de tip "Parcare a capului" (head parking) pentru aducerea si blocarea capului de citire/scriere intr-o zona de aterizare (pe care nu sunt stocate date) pana la oprirea rotatiei discului, evitandu-se in acest fel deteriorarea mediului de stocare. Un virus se poate manifesta prin eludarea comenzii de parcare a capului de citire/scriere. Aceasta inseamna ca, prin mijlocirea unui element soft, un virus poate influenta o componenta a calculatorului.

2. Virusi si programe asemanatoare virusilor

Exista tipuri de programe care pot fi incadrate partial in definitia de mai sus. Caracteristica lor comuna consta in faptul ca aceste programe actioneaza fara cunostinta utilizatorului si efectueaza anumite actiuni pe care sunt proiectati intentional sa le faca. Sunt incluse programe de tip worm (vierme), cal troian si "dropper". Toate aceste programe, inclusiv virusii, fac parte din categoria de programe create special pentru a produce daune calculatoarelor.

Un program tip worm (vierme) este un program care se reproduce, fara a infecta insa celelalte programe. Se copiaza pe si de pe dischete sau de-a lungul legaturilor de retea, folosind uneori reteaua pentru a rula. Un tip de program tip worm - program tip worm gazda - foloseste reteaua doar pentru a se copia pe alte calculatoare; un alt tip - viermele de retea - se raspandeste in retea si foloseste legaturile de retea pentru a rula. Pot exista "viermi" si in calculatoarele nelegate la o retea, caz in care acestia se pot copia in diferite locatii de pe hard disc.

Programul de tip cal troian functioneaza dupa acelasi principiu ca si calul din legenda. Acesta este ascuns intr-un program aparent inofensiv. Atunci cand programul ruleaza, calul troian lanseaza actiuni pe care utilizatorul nu dorea sa le efectueze. Programele de tip cal troian nu se reproduc.

Dropper-ele sunt programe proiectate sa evite detectarea antivirus, fiind de obicei criptate astfel incat programele antivirus nu le observa. Rolul acestor programe este de a transporta si instala virusi. Asteapta un anumit eveniment, moment in care se lanseaza si infecteaza sistemul cu virusi. Dropperele functioneaza dupa principiul "bombelor". Bombele sunt incorporate de obicei ca o modalitate de declansare. Bombele sunt programate sa se declanseze la aparitia unui anumit evenimet. Unele bombe se declanseaza la un anumit moment folosind un mecanism cu ceas. De exemplu, o "bomba" poate fi programata sa stearga toate fisierele de un anumit tip de pe hard disc la o anumita data sau se poate declansa la atingerea unui anumit numar de lansari sau apelari ale unui program, stergand fisierele sablon ale programului. Din acest punct de vedere, "bombele" sunt doar programe de planificare.

Virusii pot fi considerati ca fiind cazuri speciale ce implica unul sau mai multe dintre aceste programe de defectare.Virusii pot fi raspanditi prin droppere (desi nu in mod necesar) si folosesc principiul de reproducere al "viermilor". In ceea ce priveste programele tip cal troian, virusii actioneaza ca acestea din doua puncte de vedere. Mai intai, efectueaza actiuni nedorite de utilizator; in al doilea rand, atasandu-se de un program existent, transforma acest program intr-unul de tip cal troian: se ascund in acesta, se lanseaza o data cu el si efectueaza actiuni nedorite.

3. Tipuri de virusi

Desi se experimenteaza noi modalitati de infectare a calculatoarelor, iar virusii poarta diferite denumiri, in prezent exista putine tipuri de virusi. Neil Randall, in lucrarea "Viruses and Viruslike Programs", ii categoriseste in: virusi de sector de initializare, virusi de infectare a fisierelor si macro-virusi.

Virusii de sector de initializare sau de infectare sunt rezidenti in anumite zone ale hard discului calculatorului, respectiv acele zone citite si executate de calculator in momentul initializarii. Virusii adevarati de sector de initializare infecteaza doar sectorul de initializare DOS, dar exista si un subtip care infecteaza inregistrarea principala de initializare. Ambele zone de mai sus ale hard discului sunt citite in timpul procesului de initializare, timp in care virusul este incarcat in memorie. Virusii pot infecta sectoarele de initializare ale discurilor flexibile, dar un disc flexibil cu o initializare protejata la scriere si fara virusi a fost intotdeauna o modalitate sigura de pornire a sistemului. Aceasta cu conditia ca discul flexibil sa nu fie infectat la randul lui.

Virusii de infectare a fisierelor sunt virusi care se autoataseaza fisierelor executabile, reprezentand tipul cel mai obisnuit si cel mai discutat. Un asemenea virus asteapta de obicei in memorie ca utilizatorul sa ruleze un alt program, folosind un asemenea eveniment pentru declansarea infectarii acelui program. Astfel, acesti virusi se autoreproduc prin utilizarea activa a computerului. Exista diferite tipuri de virusi de infectare a fisierelor, dar principiul de actionare este similar.

Macro-virusii, fiind un tip relativ nou, se bazeaza pe faptul ca majoritatea programelor sunt dotate cu limbaje de programare incorporate. Limbajele sunt proiectate sa-i ajute pe utilizatori sa automatizeze sarcinile prin crearea de mici programe numite macro. De exemplu, programele din Microsoft Office sunt dotate cu un asemenea limbaj incorporat, ceea ce asigura propriile programe macro incorporate. Un macro virus este, pur si simplu, un program macro pentru aceste programe, intr-adevar acest tip de virus devenind cunoscut pentru infectarea programului Microsoft Word. Atunci cand un document sau un sablon care contine un macro virus este deschis, virusul ruleaza si afecteaza aplicatia. In plus, este programat sa se autocopieze in alte documente, astfel incat o utilizare permanenta a programului duce la raspandirea continua a virusului.

Un al patrulea tip de virus, denumit multipartit, combina infectarea fisierelor si infectarea sectorului de initializare.

R. Burger si F.Cohen au propus si alte clasificari ale virusilor.

Exista virusi de tip distrugatori de date, de modificare a datelor, de stergere aleatoare, de blocare a unei retele, de inlaturare a parolelor pe canale ascunse.

S-a vorbit de virusul "distruge date". Un virus de tip "distrugator de date" este un virus in prezenta caruia fiecare program contaminat modifica saptamanal un bit dintr-un fisier de date ales la intamplare.

In locul unui virus de distrugere aleatoare a datelor, se putea crea un altul mult mai sofisticat. De exemplu, un virus care modifica unele cifre a unui numar reprezentand un cod postal. Un virus care comuta cifrele de dupa si din fata virgulei ar duce la obtinerea de rezultate eronate in marea majoritate a calculelor aritmetice. Schimbarea virgulei in punct si a punctului in virgula in interiorul unui document ar produce mai intai alterarea informatiei si apoi corectarea ei (dupa o transformare a virgulelor in puncte urmand o alta transformare a lor inapoi in virgule, alternand astfel versiunile corecte cu cele incorecte).

Virusul de "stergere aleatoare" este un virus care, odata raspandit in fisier, incepe sa caute - pentru a le sterge- acele fisiere care nu au mai fost utilizate o anumita perioada. S-ar parea ca daca nu s-a folosit un fisier o perioada determinata (de ordinul saptamanilor sau lunilor), nici in perioada imediat urmatoare infectarii nu va fi folosit de utilizator. Cum in prezent multi utilizatori ai calculatoarelor cu sistem de operare Windows '9x au pastrat instalat si sistemul de operare MsDos, pot avea surpriza ca, in urma infectarii cu un asemenea virus, sa se confrunte cu o serie de erori neasteptate. Aceste stergeri aleatoare pot conduce usor pana si la afectarea programelor de instalare a imprimantei, placii de sunet, cititorului de CD si altor componente. Presupunand ca nu s-a observat la timp ca fisierul lipseste, ar putea trece mult timp pana cand i se va simti lipsa, iar refacerea lui ar putea crea mari dificultati. Utilizatorul poate crede ca l-a sters din greseala.

Virusul de "distrugere a productiei" este un virus cu destinatie clara, de influentare a activitatii unei companii concurente. In acest scenariu, se lanseaza un virus care se raspandeste in interiorul companiei competitorilor, identificand sistemul liniei lor de productie si producand diferite prejudicii. Urmarea directa este evidenta. Sansele de depistare a cauzei sunt destul de mici.

Un virus de modificare a codului de protectie se respandeste intr-un mediu schimband "starea de protectie" a calculatorului, acordand drept de acces la citire in locurile in care nu exista si retragandu-l acolo unde exista, facand programele executabile accesibile la citire si la scriere si asa mai departe.

Un virus de "blocare a unei retele" (un tip de virus des intalnit) este un virus care se inmulteste foarte repede, astfel ca poate bloca o intreaga retea de calculatoare.

Virusul "canal ascuns" este utilizat la sustragerea de secrete din cele mai bune sisteme de securitate ale calculatoarelor. Un sistem de securitate a calculatoarelor este proiectat sa protejeze secretul. Un astfel de sistem de securitate functioneaza pe nivele de siguranta si acces, impunand anumite nivele superioare de acces la citire, respectiv nivele inferioare de acces la scriere pentru un utilizator neautorizat. Astfel utilizatorul nu poate avea acces la informatii secrete. Virusul "canal ascuns" reprezinta modalitatea de sustragere a unor asemenea secrete. Un canal ascuns este un canal de transmitere a informatiei creat in imediata vecinatate a sistemului, nefiind destinat in mod normal acestui scop.

Virusi inteligenti

Conceptul de macro-virusi functioneaza datorita faptului ca limbajul de programare permite accesul la memorie si la hard disc. De fapt, la fel functioneaza si alte tehnologii recente, inclusiv comenzile ActiveX si aplicatiile applet Java. Intr-adevar, acestea sunt proiectate sa protejeze hard discul de programele de virusare (Java mai bine decat ActiveX), dar aceste programe se pot instala pe calculator pur si simplu atunci cand este vizitata o pagina Web. Este evident ca, datorita extinderii retelelor si al posibilitatii modernizarii sistemelor de operare prin Internet, creste riscul infectarii cu virusi si aparitiei de alte disfunctiuni.

Virusii ascunsi (stealth) induc in eroare programele antivirus. Acesti virusi retin informatiile despre fisierele infectate, apoi asteapta in memorie si intercepteaza programele antivirus care cauta fisierele modificate.

Virusii polimorfi se automodifica atunci cand se autoreproduc, astfel incat programele antivirus care cauta anumite modele nu vor gasi toate formele virusilor; virusii nedescoperiti pot continua sa se autoreproduca.

Virusi folositori

Virusii de intretinere, clasa de sine statatoare, par a fi una din cele mai utile forme de virusi existente la ora actuala. Si iata pe scurt de ce: sistemele de calcul sunt imperfecte, aceste imperfectiuni facand adesea loc unor efecte secundare reziduale cum ar fi fisiere temporare nesterse, programe care nu-si incheie niciodata procesul de executie si biti ai starii de protectie incorect stabiliti. Pe masura ce tot mai multe dintre aceste efecte apar de-a lungul timpului, sistemul devine din ce in ce mai putin utilizabil, pentru ca in cele din urma sa fie necesara interventia umana pentru rezolvarea acestor probleme, iar prcesul de lucru sa poata continua in mod eficient.

O alta aplicatie a virusilor folositori este in domeniul bazelor de date distribuite. In acest caz, in locul modificarii informatiei, avem de-a face cu refacerea ei de la o sursa multipla. De aceasta data vom presupune un mediu de calcul mai avansat decat cel furnizat de sistemul de operare DOS. Pentru exemplul nostru, sa zicem ca exista un "apel de procedura de la distanta" (RPC - Remote Procedure Call), capacitate care permite programelor sa lanseze in executie alte programe pe masini invecinate dintr-o retea locala. Utilizand aceasta apacitate, se pot crea masini ascunse capabile sa invoce cu rapiditate virusii nostri.

Tot ce se poate realiza cu un program neviral se poate realiza si cu un virus de calculator. Din acest motiv, o eventuala restrangere a domeniului de aplicabilitate ar putea aparea din considerente practice si nicidecum teoretice. Experienta noastra este limitata. Stim totusi cam ce tipuri de probleme se potrivesc cel mai bine calculului viral.

Comunicatia intre doua sisteme distincte este mai costisitoare decat calculul intern. Cu cat distanta dintre aceste sisteme este mai mare, cu atat mai mari vor fi "cheltuielile" de comunicatie. Iata de ce implementarile de tip viral vor fi preferate in cazurile in care comunicarea este mai putin importanta decat calculul. In acelasi mod se pune problema si in cazul controlului centralizat al unui calcul aflat in desfasurare. Se va prefera, din nou, solutia virala atunci cand nu se utilizeaza controlul centralizat.

De exemplu, virusii ar fi o solutie ideala pentru anumite probleme de "cautare arborescenta" unde fiecare ramura este independenta, functioneaza pe o perioada scurta de timp si doar rareori sunt intoarse rezultate finale.

Virusi in medii de calcul specifice

Intr-un sistem de tip PC-DOS un virus poate fi "plantat" pe un fisier "EXE" sau "COM" (executabile in forma binara), intr-un program, o foaie de calcul, inregistrarea de incarcare (sectorul de boot), memoria sistemului, un driver de dispozitiv, memoria video, memoria de ceas intern, memoria CMOS sau chiar in zone neutilizate ale unui disc fix. Iintr-un mediu de tip DOS nu exista protectie, astfel ca orice informatie accesibila poate fi contaminata. Daca este implicata o discheta sau o retea, virusii se pot raspandi prin intermediul acestor medii mutandu-se astfel de la un sistem la altul.

Mediul Macintosh are o interfata cu utilizatorul foarte diferita de cea a sistemului DOS, insa nu difera prea mult de acesta din punct de vedere al tehnicilor de protectie. Prezinta o protectie minima, care poate fi "strapunsa" cu usurinta. Exista insa cateva particularitati legate de faptul ca unele fisiere de date au programe care sunt interpretate de fiecare data cand sunt citite sau scrise. Virusii in aceste segmente de cod se pot depista foarte greu.

Si intr-un sistem UNIX, un virus poate fi introdus cu usurinta. Cand un fisier contaminat este interpretat, acesta poate infecta alte fisiere accesibile. Virusii isi pot gasi locul de asemenea in procese, contaminand informatia accesibila procesului respectiv. Raspandirea de la un utilizator la altul poate avea loc ori de cate ori un utilizator foloseste informatia unui alt utilizator.

Virusi in retele locale (LAN)

Cele mai obisnuite tipuri de retele locale utilizate in prezent sunt alcatuite din unul sau mai multe file servere si un set de masini gazda care utilizeaza fisierele de pe file server ca si cand ar fi fisiere locale. Cel mai frecvent mod prin care virusii se raspandesc in retelele locale este acela in care o infectie de pe gazda contamineaza un fisier de pe file server. Cand un utilizator de pe o alta gazda utilizeaza fisierul de pe file server, infectia se va intinde la un fisier de pe cea de a doua gazda. Utilizatorii de pe alte gazde, avand acces la fisierul de pe file server, pot imprastia infectia pe gazdele lor si fiecare dintre aceste gazde infecteaza alte fisiere de pe file server, procesul propagandu-se in continuare.

Exact ca in sistemele de tip "timesharing", nu sunt necesare privilegii speciale pentru contaminarea fisierelor transmisibile si a diversilor utilizatori ai acestora si nici modificari in sistemul de operare.

Cand un utilizator cu privilegiul de a modifica mai multe fisiere utilizeaza gazde contaminate, infectia se intinde cu rapiditate.

Particularitatea virusilor

Dupa Cohen, exista trei diferente majore intre virusi si orice alt tip de atac anterior lor: generalitatea, extinderea si persistenta.

Generalitatea

Prima diferenta majora este generalitatea. Iata cum arata un atac premergator virusilor. Aparitia unei erori in sistemul de operare motiveaza utilizatorul sa apleze o anume facilitate a sistemului, intr-un anume mod, acordandu-i-se astfel acces la o zona de memorie altfel inaccesibila lui.

In cazul virusilor, situatia este insa foarte generala. Virusii se raspandesc fara a viola nici o politica de protectie, purtand codul atacului exact la punctul dorit. Se pot imagina ca pe o arma - un sistem de lansare de uz general - ce poate avea orice focos. Deci un virus este o modalitate foarte generala de a raspandi un atac in interiorul unui sistem de calcul sau al unei retele.

Raza de actiune

Cea de-a doua diferenta majora dintre virusi si atacurile ce i-au precedat este raza lor de actiune. Am fost obisnuiti sa credem ca, daca cineva patrunde in contul cuiva, ar putea citi si scrie ceea ce ar putea citi si scrie posesorul contului, si atat. Plecand de la aceasta premisa, riscul unei patrunderi, mai departe, intr-un alt cont, este minim.

Persistenta

Cea de-a treia diferenta majora dintre virusi si tot ceea ce i-a precedat este persistenta. Virusii persista chiar si pe copiile de siguranta. La salvarea pe o copie externa a unui program contaminat se salveaza si virusul. Astfel, la utilizarea copiei de siguranta pentru reconstituirea programului, se reconstituie si virusul. Pe langa acestea, virusul poate rezista schimbarilor generatiilor programelor soft. Pentru virusii folositori, persistenta poate constitui un avantaj pentru calculatoare, deoarece acesti virusi pot fi proiectati astfel incat sa distribuie in mod sigur informatie chiar si intr-un mediu nesigur.

4. Mijloace de protectie impotriva virusilor

Inexistenta unui panaceu universal impotriva virusilor a atras, de buna seama, o serie intreaga de mijloace de protectie. Nascute de cele mai multe ori si din spirit practic, pur comercial, apar neincetat noi programe antivirus, fiecare furnizor sustinandu-si produsul propriu.

Din noianul de programe antivirus, unele s-au impus si pe piata romaneasca. Sunt de mentionat produse recunoscute: Norton AntiVirus, FProt, TBAV. Exista, de asemenea, programe antivirus produse de firmele specializate romanesti. RAV, AVX sunt doua dintre cele mai cunoscute.

Programe antivirus se pot incarca de pe Internet sau se pot procura la preturi relativ mici (in general mai mici de 50 $).

Se remarca tendinta de imbunatatire continua a acestor programe, nu numai prin marirea listei de virusi cognoscibili, ci si prin optiunile de monitorizare a sistemului. Un astfel de program este Integrity Master.

Integrity Master este un program performant (cu un limbaj de asamblare de 100%) care ofera protectie impotriva virusilor, asigura securitatea calculatoarelor si modifica sistemul de inregistrare a datelor. Programul detecteaza pagubele produse de perturbarile de hard, de erorile de program si chiar de sabotarile datelor utilizatorului. La aparitia unui virus se identifica si pagubele produse de acesta. Sistemul de protejare a integritatii datelor oferit de Integrity Master asigura functionarea corecta a calculatorului.

Programele antivirus performante verifica amanuntit toate fisierele, sectoarele de initializare si chiar circuitele CMOS. Programul contine un scanner de virusi care detecteaza virusul (asa-numita "semnatura" a virusului) si moduri de operare a unor programe de tip virus.

Exista o serie de metode de protectie, a caror eficienta rezida din insasi utilitatea lor.

Se recomanda in primul rand limitarea tranzitivitatii, pentru a impiedica raspandirea unui virus dincolo de o anumita distanta de sursa sa. O alta metoda este utilizarea limitata a resurselor comune, prin interzicerea accesului la scriere, respectiv la citire, pe anumite nivele. O alta tehnica de protectie este limitarea functionala, prin interdictia accesului utilizatorilor la functii de interes general. Bazele de date moderne insa permit totdeauna acest acces al utilizatorilor.

Optiunile de monitorizare a sistemului constau de obicei in regasirea spatiilor libere de pe disc pierdute, controlul conguratiei circuitelor CMOS, estimarea pagubei produse de o eroare de program, numele fisierelor distruse, dezinstalarea fara afectarea sistemului a unor programe sub Windows. De asemenea unele verifica daca fisierele au fost refacute corect in salvarea de siguranta si daca programul utilitar al discului poate repara sau nu un fisier.

Marea majoritate a programelor antivirus sunt compatibile cu DOS, Windows 3.1, Windows 95/98, Windows NT, OS/2 si toate tipurile de retele. De asemenea, ofera un meniu cu utilizare facila, avand un sistem Help contextual, iar unele si un program complet de invatare.