NCT FIT HNUE 1 VIRUS MÁY TÍNH CÁCH LÂY NHIỄM VÀ PHÒNG CHỐNG 1 Các hình thức lây nhiễm của virus máy tính (1) Virus lây nhiễm theo cách cổ điển Cách cổ điển nhất của sự lây nhiễm và bành trướng không g[.]
NCT.FIT.HNUE VIRUS MÁY TÍNH: CÁCH LÂY NHIỄM VÀ PHỊNG CHỐNG Các hình thức lây nhiễm virus máy tính (1) Virus lây nhiễm theo cách cổ điển Cách cổ điển lây nhiễm bành trướng không gian nhớ loai virus máy tính thơng qua thiết bị lưu trữ di động: Trước đĩa mềm đĩa CD chứa chương trình thường phương tiện bị lợi dụng nhiều để phát tán Ngày đĩa mềm sử dụng phương thức lây nhiễm chuyển qua ổ USB, đĩa cứng di động thiết bị giải trí kỹ thuật số (2) Virus lây nhiễm qua thư điện tử Khi mà thư điện tử sử dụng rộng rãi giới virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho cách lây nhiễm truyền thống Khi lây nhiễm vào máy nạn nhân, virus tự tìm danh sách địa thư điện tử sẵn có máy tự động gửi hàng loạt (mass mail) cho địa tìm thấy Đây cách lây nhiễm điển hình sâu máy tính Nếu chủ nhân máy nhận thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến địa gửi Chính số lượng phát tán tăng theo cấp số nhân khiến cho thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, làm tê liệt nhiều quan toàn giới thời gian ngắn Khi mà phần mềm quản lý thư điện tử kết hợp với phần mềm diệt virus khắc phục hành động tự gửi nhân hàng loạt để phát tán đến địa khác danh bạ máy nạn nhân chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus nguồn địa sưu tập trước Phương thực lây nhiễm qua thư điển tử bao gồm: Lây nhiễm vào file đính kèm theo thư điện tử (attached mail) Khi ngưịi dùng khơng bị nhiễm virus file đính kèm bị nhiễm virus kích hoạt (do đặc diểm virus thường "trá hình" tiêu đề hấp dẫn sex, thể thao hay quảng cáo bán phần mềm với giá vô rẻ) Lây nhiễm mở liên kết thư điện tử Các liên kết thư điện tử dẫn đến trang web cài sẵn virus, cách thường khai thác lỗ hổng trình duyệt hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi đoạn mã, máy tính bị bị lây nhiễm virus Lây nhiễm mở để xem thư điện tử: Cách vô nguy hiểm chưa cần kích hoạt file mở liên kết, máy tính bị lây nhiễm virus Cách thường khai thác lỗi hệ điều hành NCT.FIT.HNUE (3) Virus lây nhiễm qua mạng Internet Theo phát triển rộng rãi Internet giới mà hình thức lây nhiễm virus qua Internet trở thành phương thức virus ngày Có hình thức lây nhiễm virus phần mềm độc hại thông qua Internet sau: Lây nhiễm thông qua file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, thay hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB ) cách tải từ Internet, trao đổi, thông qua phần mềm Lây nhiễm truy cập trang web cài đặt virus (theo cách vơ tình cố ý): Các trang web có chứa mã hiểm độc gây lây nhiễm virus phần mềm độc hại vào máy tính người sử dụng truy cập vào trang web Lây nhiễm virus chiếm quyền điều khiển máy tính thơng qua lỗi bảo mật hệ điều hành, ứng dụng sẵn có hệ điều hành phần mềm hãng thứ ba: Điều khó tin số người sử dụng, nhiên tin tặc lợi dụng lỗi bảo mật hệ điều hành, phần mềm sẵn có hệ điều hành (ví dụ Winidow Media Player) lỗi bảo mật phần mềm hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus chiếm quyền kiểm soát máy tính nạn nhân mở file liên kết với phần mềm Cách phòng chống virus ngăn chặn tác hại Có câu nói vui rằng: Để khơng bị lây nhiễm virus ngắt kết nối máy tính khỏi mạng, khơng sử dụng ổ đĩa mềm, không sử dụng ổ đĩa USB, không chép tệp vào máy tính Nhưng nghiêm túc câu nói vui lại đúng, hàng giới gia tăng với số lượng lớn Không thể khẳng định chắn ta bảo vệ an tồn 100% cho máy tính trước hiểm họa virus phần mềm hiểm độc, hạn chế khả tối đa có biện pháp bảo vệ liệu (1) Sử dụng phần mềm diệt virus Bảo vệ cách trang bị thêm phần mềm diệt virus có khả nhận biết nhiều loại virus máy tính liên tục cập nhật liệu để phần mềm ln nhận biết virus Phần mềm diệt virus phần mềm có tính phát hiện, loại bỏ virus máy tính, khắc phục (một phần hồn tồn) hậu virus gây có khả nâng cấp để nhận biết loại virus tương lai Để đạt mục tiêu tối thiểu mở rộng tính năng, phần mềm diệt virus thường hoạt động nguyên lí sau: - Kiểm tra (quét) tập tin để phát virus biết sở liệu nhận dạng virus chúng NCT.FIT.HNUE - Phát xem phần mềm có hành vi có giống hành vi virus phần mềm độc hại hay không Các kỹ thuật phát hiện, diệt virus phần mềm diệt virus So sánh với mẫu virus biết trước: Toàn phần mềm diệt virus sử dụng kỹ thuật để quét virus Kỹ thuật so sánh với mẫu mô tả đơn giản sau: Các tệp cần kiểm tra virus phân tích so sánh với mẫu virus biết trước, phát đoạn mã virus tệp bị lây nhiễm virus phần mềm thực biện pháp loại bỏ virus khỏi tệp bị lây nhiễm Tất nhiên việc mô tả đơn giản, hành động cụ thể phần mềm phức tạp nhiều để quét nhanh nhất, loại bỏ nhầm lẫn việc sửa chữa tệp không làm hư hỏng tệp Kỹ thuật so sánh mẫu virus khiến cho phần mềm liên tục phải cập nhật sở liệu để có khả nhận biết loại virus biến thể Có hai dạng cập nhật sở liệu: Cập nhật hình thức tải tệp từ Internet: Hình thức tải lần tệp cập nhật để cập nhật cho nhiều máy khác nhau, nhiên kích thước tệp tải lớn, đa số tệp sở liệu phần mềm diệt virus thông dụng nhiều người sử dụng có kích thước tệp từ 16 Mb trở lên Cập nhật trực tiếp tính tự động cập nhật phần mềm diệt virus: Cách phù hợp với người sử dụng cá nhân: Phần mềm tải sở liệu loại virus nên lần cập nhật cần tải xuống dung lượng thấp (thường vài trăm Kb/lần cập nhật) Như ta biết virus với chế lây nhiễm vào tệp: Chúng gắn đoạn mã thân vào phần tệp để kích hoạt thực thi tệp Kỹ thuật so sánh mẫu phát đoạn mã virus giống dấu hiệu nhận biết sở liệu phần mềm diệt virus, phần mềm tiến hành loại bỏ đoạn mã Q trình xảy vấn đề: Để đảm bảo phần cập nhật có dung lượng khơng q lớn, sở liệu lược giản, sửa chữa tệp bị lây nhiễm xóa đoạn mã đặc trưng, quan trọng nên phần mềm khác (với chế so sánh đặc điểm khác) phát tệp bị nhiễm virus Việc xóa đoạn mã coi virus dẫn đến phần mềm vơ tình xóa đoạn mã nhận dạng tệp hồn tồn khơng bị lây nhiễm virus: Đây tượng nhận nhầm tránh khỏi người viết phần mềm lường hết tệp phần mềm thến giới, nhiên cần hạn chế đến mức tối thiểu phải sửa đổi phát nhầm lẫn NCT.FIT.HNUE Nhiều tệp gắn "chữ ký điện tử" nhằm xác nhận tệp có nguồn gốc, đảm bảo an tồn, sau bị lây nhiễm virus diệt phần mềm diệt virus, tệp khơng cịn chữ ký, cần thay tệp tệp nguyên cài đặt lại phần mềm Việc sửa chữa tệp bị nhiễm virus cịn gây lên hư hỏng tệp nên phần mềm diệt virus thường lưu lại tệp trước sửa chữa (vẫn nguyên tình trạng bị nhiễm virus) dạng nén lại mã hóa để khơng thể lây nhiễm ngược trở lại Ở có hai trường hợp: Nếu phần mềm diệt virus cập nhật thuật toán (nâng cấp engine) nên phục hồi để diệt lại; Nếu hệ điều hành phần mềm khác bị nhiễm nhiều thể loại virus mà diệt hệ thống khơng ổn định nên cài đặt lại hệ điều hành (hoặc phần mềm) để có tệp nguyên Nhận dạng hành vi đáng ngờ: Nhận dạng hành vi đáng ngờ chức "thông minh" mà phần mềm diệt virus có Hiểu cách đơn giản phần mềm diệt virus theo dõi hoạt động bất thường hệ thống để phát virus chưa biết đến (trong liệu nó) phần mềm độc hại để từ đưa cảnh báo người sử dụng, cô lập virus để sẵn sàng gửi mẫu đến hãng bảo mật phân tích cập nhật vào nâng cấp sở liệu Chức phần mềm diệt virus thường cho phép lựa chọn kích hoạt không, mức độ hoạt động (sử dụng mức độ hoạt động tích cực, hoạt động trung bình mức đề cử, hay hoạt động mức độ thấp - mặc định thiết lập thường kích hoạt sẵn mức độ đề cử) đa số chúng chiếm tài nguyên làm chậm hệ thống máy tính khơng đủ mạnh Kiểm sốt liên tục: Phần mềm diệt virus máy tính thường thực kiểm soát liên tục theo thời gian thực để bảo vệ hệ thống Hình thức kiểm sốt liên tục quét virus tệp mà hệ thống truy cập đến, tệp từ bắt đầu copy vào hệ thống thơng qua hình thức nhận biết so sánh mẫu theo dõi hành động đáng ngờ Kết hợp phương thức: Nếu đơn sử dụng kỹ thuật so sánh mẫu phần mềm diệt virus thất bại chúng giải hậu tệp bị nhiễm chưa tìm đến nguyên nhân dẫn đến tệp bị nhiễm Khi sử dụng số phần mềm chưa đủ mạnh ta nhận thấy trường hợp: Phần mềm diệt hoàn toàn virus máy, sau phiên khởi động hệ điều hành, phần mềm lại phát virus virus Đây khơng phải phần mềm nhận dạng không diệt được, mà virus lại lây nhiễm trở lại, phần mềm khơng thể giám sát q trình khởi động hệ điều hành từ bios trao quyền điều khiển Chính vậy, phần mềm cần phải kết hợp phương thức để kiểm soát ngăn chặn hành vi virus Virus đặt dịng lệnh registry để lây nhiễm virus từ tệp nén vơ hiệu hóa phần mềm diệt virus; Cũng virus thiết lập tải sử dụng trình duyệt để kết nối vào mạng Internet Do phần mềm diệt virus cần phải kết hợp phương thức để ngăn chặn virus Chính yếu tố làm lên khác biệt phần NCT.FIT.HNUE mềm diệt virus nay, không lẫn với vơ vàn phần mềm diệt virus khác mà sinh viên viết phần mềm diệt virus chịu khó sưu tầm mẫu virus mạng Internet Các dạng phần mềm diệt virus Thơng dụng : Hiện có nhiều phần mềm diệt virus, liệt kê số phần mềm diệt virus thông dụng nhiều người giới sử dụng đánh giá bảo vệ hữu hiệu: - Kaspersky Anti-Virus: Phần mềm phát triển vài năm gần đây, lịch sử đại gia khác vươn lên đứng danh sách phần mềm diệt virus loại tốt, thuộc hãng Kaspersky Phần mềm không miễn phí, nhiên có phần cho phép qt virus trực tuyến - McAfee: Phần mềm diệt virus phần mềm độc hại Của hãng McAfee, phát triển lâu có uy tín Đây phần mềm thương mại - Norton AntiVirus: Phần mềm diệt virus phần mềm độc hại hãng Symantec, phát triển từ lâu, đánh giá tốt Đây phần mềm thương mại - Symantec Antivirus: Một phần mềm diệt virus khác hãng Symantec, đánh giá "nhẹ", chiếm tài nguyên so với Norton Antivirus Phần mềm thường thích hợp với mạng nội (các máy trạm cài client) với quản lý máy chủ (được cài server) Phần mềm có phiên miễn phí Diệt trực tuyến: Một số hãng cho phép quét virus diệt virus người dùng kết nối với Internet Địa số trang web quét virus trực tuyến như: Kaspersky.com, Virustotal.com, Bitdefender.com Miễn phí : Hiện có nhiều phầm mềm diệt virus miễn phí hiệu hồn tồn khơng kèm theo quảng cáo, có phần mềm sau: avast! Antivirus, AVG Anti-Virus free edition (2) Sử dụng tường lửa Tường lửa (Firewall) q xa vời dành cho nhà cung cấp dịch vụ internet (ISP) mà máy tính cá nhân cần phải sử dụng tường lửa để bảo vệ trước virus phần mềm độc hại Khi sử dụng tường lửa, thông tin vào máy tính kiểm sốt cách vơ thức có chủ ý Nếu phần mềm độc hại cài vào máy tính có hành động kết nối Internet tường lửa cảnh báo giúp người sử dụng loại bỏ vơ hiệu hố chúng Tường lửa giúp ngăn chặn kết nối đến không mong muốn để giảm nguy bị kiểm sốt máy tính ngồi ý muốn cài đặt vào chương trình độc hại hay virus máy tính Sử dụng tường lửa phần cứng người sử dụng kết nối với mạng Internet thông qua modem có chức Thơng thường chế độ mặc định nhà sản xuất chức "tường lửa" bị tắt, người sử dụng truy cập vào modem phép hiệu lực (bật) Sử dụng NCT.FIT.HNUE tường lửa phần cứng tuyệt đối an toàn chúng thường ngăn chặn kết nối đến trái phép, kết hợp sử dụng tường lửa phần mềm Sử dụng tường lửa phần mềm: Ngay hệ điều hành họ Windows ngày tích hợp sẵn tính tường lửa phần mềm, nhiên thông thường phần mềm hãng thứ ba làm việc tốt tích hợp nhiều cơng cụ so với tường lửa phần mềm sẵn có Windows Ví dụ phần mềm ZoneAlarm Security Suite hãng ZoneLab công cụ bảo vệ hữu hiệu trước virus, phần mềm độc hại, chống spam, tường lửa (3) Cập nhật sửa lỗi hệ điều hành Hệ điều hành Windows (chiếm đa số) luôn bị phát lỗi bảo mật thơng dụng nó, tin tặc lợi dụng lỗi bảo mật để chiếm quyền điều khiển phát tán virus phần mềm độc hại Người sử dụng cần cập nhật vá lỗi Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất phần mềm hãng Microsoft) Windows Update (chỉ cập nhật riêng cho Windows) Cách tốt đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) Windows Tính hỗ trợ Windows mà Microsoft nhận thấy chúng hợp pháp (4) Vận dụng kinh nghiệm sử dụng máy tính Cho dù sử dụng tất phần mềm phương thức máy tính có khả bị lây nhiễm virus phần mềm độc hại mẫu virus chưa cập nhật kịp thời phần mềm diệt virus Người sử dụng máy tính cần sử dụng triệt để chức năng, ứng dụng sẵn có hệ điều hành kinh nghiệm khác để bảo vệ cho hệ điều hành liệu Một số kinh nghiệm tham khảo sau: - Phát hoạt động khác thường máy tính: Đa phần người sử dụng máy tính khơng có thói quen cài đặt, gỡ bỏ phần mềm thường xuyên làm hệ điều hành thay đổi - có nghĩa sử dụng ổn định - nhận biết thay đổi khác thường máy tính Ví dụ đơn giản: Nhận thấy hoạt động chậm chạp máy tính, nhận thấy kết nối ngồi khác thường thơng qua tường lửa hệ điều hành hãng thứ ba (thông qua thông báo hỏi cho phép truy cập hoạt động khác tường lửa) Mọi hoạt động khác thường khơng phải phần cứng gây cần nghi ngờ xuất virus Ngay có nghi ngờ, cần kiểm tra cách cập nhật liệu cho phần mềm diệt virus thử sử dụng phần mềm diệt virus khác để quét tồn hệ thống - Kiểm sốt ứng dụng hoạt động: Kiểm soát hoạt động phần mềm hệ thống thông qua Task Manager phần mềm hãng thứ ba (chẳng hạn: ProcessViewer) để biết phiên làm việc bình thường hệ thống thường nạp ứng dụng nào, chúng chiếm lượng nhớ bao nhiêu, chiếm CPU bao nhiêu, tên tệp hoạt động có điều bất thường hệ thống (dù chưa có biểu nhiễm virus) có nghi ngờ có NCT.FIT.HNUE hành động phòng ngừa hợp lý Tuy nhiên cách đòi hỏi am hiểu định người sử dụng - Loại bỏ số tính hệ điều hành tạo điều kiện cho lây nhiễm virus: Theo mặc định Windows thường cho phép tính autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm đưa đĩa CD đĩa USB vào hệ thống Chính tính số loại virus lợi dụng để lây nhiễm vừa cắm ổ USB đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền nhanh thời gian gần thông qua ổ USB cách tạo tệp autorun.ini ổ USB để tự chạy virus cắm ổ USB vào máy tính) Cần loại bỏ tính phần mềm hãng thứ ba TWEAKUI sửa đổi Registry - Sử dụng thêm trang web cho phép phát virus trực tuyến: Xem thêm phần "Phần mềm diệt virus trực tuyến" phần mềm diệt virus (5) Bảo vệ liệu máy tính Nếu khơng chắn 100% khơng bị lây nhiễm virus máy tính phần mềm hiểm độc khác ta nên tự bảo vệ toàn vẹn liệu trước liệu bị hư hỏng virus (hoặc nguy tiềm tàng khác hư hỏng thiết bị lưu trữ liệu máy tính) Có thể ý tưởng sau: Sao lưu liệu theo chu kỳ biện pháp đắn để bảo vệ liệu Ta thường xuyên lưu liệu theo chu kỳ đến nơi an toàn như: thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi đĩa quang ), hình thức thực theo chu kỳ hàng tuần khác tuỳ theo mức độ cập nhật, thay đổi liệu Tạo liệu phục hồi cho tồn hệ thống khơng dừng lại tiện ích sẵn có hệ điều hành (ví dụ System Restore Windows XP) mà cần đến phần mềm hãng thứ ba, ví dụ tạo lưu hệ thống phần mềm ghost, phần mềm tạo ảnh ổ đĩa phân vùng khác Thực chất hành động không chắn liệu lưu không bị lây nhiễm virus, có virus phiên cập nhật phần mềm diệt virus tương lai loại bỏ chúng ... mềm diệt virus thường hoạt động nguyên lí sau: - Kiểm tra (quét) tập tin để phát virus biết sở liệu nhận dạng virus chúng NCT.FIT.HNUE - Phát xem phần mềm có hành vi có giống hành vi virus phần... diệt virus phần mềm diệt virus So sánh với mẫu virus biết trước: Toàn phần mềm diệt virus sử dụng kỹ thuật để quét virus Kỹ thuật so sánh với mẫu mơ tả đơn giản sau: Các tệp cần kiểm tra virus. .. vi virus Virus đặt dòng lệnh registry để lây nhiễm virus từ tệp nén vơ hiệu hóa phần mềm diệt virus; Cũng virus thiết lập tải sử dụng trình duyệt để kết nối vào mạng Internet Do phần mềm diệt virus