Virus máy tính là các chương trình phần mềm độc hại được viết bởi các kẻtấn công để có quyền truy cập trái phép vào một hệ thống mục tiêu.. Dưới đây là một số loại virus máy tính phổ biế
Trang 1Giảng viên hướng dẫn: Phan Phú Cường
Sinh viên thực hiện: Trịnh Xuân Vinh Quy
Vương Trung QuyềnTrần Xuân Toản
Đà Nẵng, ngày 23, tháng 12, năm 2022
Trang 2Lời mở đầu
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và
sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú Cácdịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội.Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rấtnhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tínhtin cậy của nó
Sự ra đời của công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánhcắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn côngbằng mã độc từ vi rút và sâu máy tính trên mạng Internet Nếu không có An ninhMạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sựngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định
và thậm chí là các hành động phạm pháp
Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạphơn Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quảntrị mạng là hết sức quan trọng và cần thiết Xuất phát từ những thực tế đó, em đãtìm hiểu về đề tài “Tìm hiểu về Trojan and Backdoor cách sử dụng njrat” Với sựhướng dẫn tận tình của thầy Phan Phú Cường – Khoa tin học và em đã hoàn thànhbản báo cáo này Tuy đã cố gắng hết sức tìm hiểu, phân tích nhưng chắc rằngkhông tránh khỏi những thiếu sót Em rất mong nhận được sự thông cảm và góp ýcủa quý thầy cô
Em xin chân thành cảm ơn!
Trang 3Chương 1: Khái niệm về Virus và worm
1 1 Giới thiệu về virus
Virus là nỗi ám ảnh của công nghệ tính toán hiện đại Virus máy tính có khảnăng tạo ra hỗn loạn đối với cả máy tính cá nhân và doanh nghiệp Tuổi thọ củamột virus phụ thuộc vào khả năng sao chép của nó Do đó, các kẻ tấn công thiết
kế mỗi đoạn mã virus sao cho virus có khả năng nhân bản chính nó n lần
1.2 Khái niệm về virus
Một virus máy tính là một chương trình tự nhân bản tạo ra mã của mìnhbằng cách gắn bản sao của nó vào mã thực thi khác và hoạt động mà không cần
sự biết đến hoặc sự đồng ý của người dùng Giống như một virus sinh học, virusmáy tính là lây nhiễm và có thể làm nhiễm bẩn các tệp tin khác; tuy nhiên, viruschỉ có thể lây nhiễm máy tính bên ngoài với sự hỗ trợ của người sử dụng máytính
1.3Các đặt điểm của virus
Hiệu suất của máy tính bị ảnh hưởng bởi nhiễm virus Sự nhiễm bệnh này
có thể dẫn đến mất dữ liệu, sự cố hệ thống và hỏng hóc tệp tin Một số đặc điểmcủa virus như sau:
Lây nhiễm vào các chương trình khác
Trang 4Người tấn công tạo ra virus với những mục đích không tốt Các tội phạmtạo ra virus để phá hủy dữ liệu của một công ty, như một hành động phá hoại,hoặc để hủy hoại các sản phẩm của một công ty; tuy nhiên, trong một số trườnghợp, virus có thể hỗ trợ hệ thống.
Một kẻ tấn công tạo ra virus với những mục đích sau đây:
- Gây tổn thương cho đối thủ cạnh tranh
- Đạt được lợi ích tài chính
- Phá hoại tài sản trí tuệ
- Chơi trò đùa
- Tiến hành nghiên cứu
- Tham gia vào hành động khủng bố trực tuyến
- Phân phối thông điệp chính trị
- Gây tổn thương cho mạng hoặc máy tính
- Đạt được quyền truy cập từ xa vào máy tính của nạn nhân
1.5Dấu hiệu nhiễm virus
Dấu hiệu của cuộc tấn công virus xuất phát từ các hoạt động không bìnhthường Những hoạt động này phản ánh tính chất của một virus bằng cách làmgián đoạn quá trình hoặc chương trình thông thường Tuy nhiên, không phải tất
cả các lỗi được tạo ra đều góp phần vào việc tấn công hệ thống; chúng có thể chỉ
là các thông báo sai Ví dụ, nếu hệ thống chạy chậm hơn bình thường, người ta cóthể giả định rằng một virus đã xâm nhiễm hệ thống; tuy nhiên, nguyên nhân thực
tế có thể là do quá tải chương trình
Một số dấu hiệu của việc nhiễm virus máy tính như sau:
- Các quy trình yêu cầu nhiều tài nguyên và thời gian, dẫn đến hiệu suất suygiảm
- Máy tính kêu bíp mà không có hiển thị
- Nhãn ổ đĩa thay đổi và hệ điều hành không tải
- Cảnh báo diệt virus liên tục
- Máy tính thường xuyên bị đóng băng hoặc gặp lỗi như BSOD
- Các tệp và thư mục bị mất
- Hoạt động đáng ngờ của ổ đĩa cứng
- Cửa sổ trình duyệt "đóng băng"
- Thiếu không gian lưu trữ
- Quảng cáo không mong muốn và cửa sổ pop-up
1.6Một số tấn công virus
Trang 5Virus máy tính là các chương trình phần mềm độc hại được viết bởi các kẻtấn công để có quyền truy cập trái phép vào một hệ thống mục tiêu Do đó, chúng
đe dọa tính bảo mật cũng như hiệu suất của hệ thống Để virus có thể làm hỏngmột hệ thống, chúng phải trước hết liên kết mã của mình với mã thực thi.Các loại virus được phân loại dựa trên cách chúng hoạt động và mục tiêucủa chúng Dưới đây là một số loại virus máy tính phổ biến gây ảnh hưởng tiêucực đến tính bảo mật của các hệ thống:
Virus Sector Hệ Thống hoặc Boot
Virus Biến Đổi Dạng
Virus Ghi Đè Tệp Tin hoặc Cavity
Virus Xâm Lược
Virus Hành Động Trực Tiếp hoặc Tạm Thời
Virus Kết Thúc và Ở Lại (TSR)
1.7Computer worm
Worm máy tính là các chương trình độc hại độc lập tự nhân bản, thực thi vàlan truyền qua các kết nối mạng mà không cần sự can thiệp của con người Hầuhết những kẻ xâm nhập thiết kế worm để tự nhân bản và lan truyền qua mạng, do
đó tiêu thụ tài nguyên máy tính khả dụng và gây quá tải cho máy chủ mạng, máychủ web và các hệ thống máy tính cá nhân, đồng thời làm cho chúng không thể
Trang 6đáp ứng Tuy nhiên, một số worm cũng mang theo một phần mang mục đích làmhỏng hệ thống máy chủ.
Worm là một loại con của virus Worm không yêu cầu một máy chủ để nhânbản; tuy nhiên, trong một số trường hợp, máy chủ của worm cũng bị nhiễm bệnh.Ban đầu, các chuyên gia hack chuyên nghiệp xem xét worm như là một vấn đề của
hệ thống trung tâm Sau này, với sự xuất hiện của Internet, họ chủ yếu tập trung
và nhắm mục tiêu vào hệ điều hành Windows bằng cách sử dụng các worm thôngqua email, IRC và các chức năng mạng khác
Người tấn công sử dụng các phần mềm độc hại của worm để cài đặt cổngsau trên các máy tính bị nhiễm, biến chúng thành zombie và tạo ra một botnet.Người tấn công sử dụng những botnet này để khởi đầu các cuộc tấn công mạng.Một số worm máy tính mới nhất bao gồm:
Nó có thể xóa hoặc sửa đổi nội
dung của các tệp tin hoặc thay đổi
vị trí của các tệp tin trong hệ thống
Thường, một worm không sửa đổi bất kỳ chương trình lưu trữ nào; nó chỉ khai thác CPU và bộ nhớ
Nó sửa đổi cách một hệ thống máy
tính hoạt động mà không có sự hiểu
biết hoặc sự đồng ý của người sử
dụng
Nó tiêu thụ băng thông mạng, bộ nhớ hệ thống, v.v., quá tải máy chủ và hệ thống máy tính
Một virus không thể lan truyền đến
các máy tính khác trừ khi một tệp
tin nhiễm bệnh được nhân bản và
Một worm có thể tự nhân bản và lan truyền bằng cách sử dụng IRC, Outlook hoặc các chương trình gửi thư áp dụng
Trang 7gửi đến các máy tính khác khác sau khi được cài đặt trong hệ thống.Một virus lan truyền với một tốc độ
đồng đều, như được lập trình
Một worm lan truyền nhanh hơn so với một virus
Vi rút khó khăn khi loại bỏ từ các
Cài đặt phần mềm diệt virus
Trang bị tường lửa (firewall) cho máy tính
Luôn cập nhật bản vá lỗi của hệ điều hành
Tránh các file, phần mềm lạ
Chương 2: Khái niệm Trojan
2.1 Giới thiệu về trojan.
- "Từ 'Trojan' có thể đề cập đến nhiều khái niệm, nhưng một liên kết phổbiến là với Cuộc chiến Trojan trong thần thoại Hy Lạp Đó là cuộc xung đột huyềnthoại giữa thành phố Troy và người Hy Lạp, nổi tiếng được mô tả trong các tácphẩm thi epik của Homer, Iliad và Odyssey Khía cạnh nổi tiếng nhất là câu chuyện
về Ngựa gỗ Trojan - một con ngựa gỗ được người Hy Lạp sử dụng để xâm nhậpvào Troy và chiến thắng cuộc chiến, minh họa cho khái niệm về sự lừa dối hoặcngụy trang
- Trong lĩnh vực máy tính, "Trojan" hoặc "ngựa gỗ Trojan" là một loại phầnmềm độc hại giả mạo thành tập tin hoặc phần mềm hợp pháp để lừa người dùngtải xuống và cài đặt Khi đã cài đặt, nó có thể thực hiện các hành động độc hại
Trang 8khác nhau mà không cần sự chấp nhận của người dùng, như đánh cắp dữ liệu,truy cập trái phép vào hệ thống hoặc gây thiệt hại
- Thuật ngữ "Trojan" thường ngụ ý về kh ía cạnh lừa dối hoặc ẩn giấu, nơimột điều gì đó có vẻ vô hại hoặc có lợi nhưng ẩn chứa ý định hoặc hành động gâyhại."
2.2 Khái niệm về Trojan
- "Trojan" trong ngữ cảnh của máy tính và an ninh mạng là một loại phầnmềm độc hại, thường được gọi là phần mềm độc hại Nó được đặt theo tên Ngựa
gỗ Trojan trong thần thoại Hy Lạp vì giống như con ngựa gỗ lừa dối được sử dụng
để xâm nhập vào Troy, phần mềm độc hại này giả mạo thành một thứ gì đó vô hạihoặc hữu ích để lừa người dùng cài đặt lên thiết bị của họ
- Trojan khác biệt với virus hoặc sâu máy tính ở chỗ chúng không tự saochép Thay vào đó, chúng dựa vào kỹ thuật xã hội để thuyết phục người dùngthực thi chúng Chúng có thể giả mạo thành phần mềm hợp pháp, trò chơi hoặctệp tin, thường đến qua email, tải xuống hoặc thông qua các liên kết gian lận
2.3 Mục đích hacker sử dụng Trojan.
Các hacker sử dụng Trojan như một công cụ cho nhiều mục đích gây hạikhác nhau Dưới đây là một số cách thông thường mà hacker tận dụng Trojan:
Đánh cắp dữ liệu: Trojan có thể được thiết kế để đánh cắp thông tin nhạy
cảm như mật khẩu, chi tiết thẻ tín dụng, các tệp tin cá nhân hoặc bất kỳ dữ liệuquý giá nào được lưu trữ trên thiết bị bị nhiễm Thông tin bị đánh cắp này có thểđược tận dụng để thu lợi tài chính hoặc trộm danh tính
Truy cập từ xa: Một số Trojan tạo một lối vào sau, cho phép hacker truy cập
từ xa vào hệ thống bị nhiễm Việc truy cập này cho phép họ kiểm soát thiết bị,thực hiện lệnh hoặc cài đặt phần mềm độc hại bổ sung
Giám sát và theo dõi: Trojan có thể hoạt động như phần mềm gián điệp,
lặng lẽ giám sát hoạt động của người dùng, ghi lại phím bấm, ghi lại thói quenduyệt web hoặc chụp màn hình, cung cấp thông tin nhạy cảm cho hacker
Tấn công từ chối dịch vụ (DDoS): Hacker có thể sử dụng Trojan để tạo ra
một mạng lưới các máy tính bị nhiễm (botnet) và tiến hành các cuộc tấn côngDDoS, làm tràn kín máy chủ hoặc mạng đích bằng lưu lượng truy cập áp đảo, gây
ra sự cố về dịch vụ
Trang 9Triển khai Ransomware: Trojan có thể chuyển phát ransomware, mã hóa
các tệp trên thiết bị của nạn nhân và yêu cầu tiền chuộc để giải mã Chiến thuậtnày nhằm vào việc lừa tiền từ người dùng hoặc tổ chức
Cài đặt Phần mềm độc hại bổ sung: Trojan thường phục vụ như điểm vào
cho phần mềm độc hại khác Một khi đã xâm nhập vào hệ thống, chúng có thể tảixuống và cài đặt phần mềm độc hại hủy diệt khác mà không có sự nhận biết củangười dùng
Tấn công Phishing: Trojan có thể hỗ trợ trong các chiến dịch phishing bằng
cách chụp lại thông tin đăng nhập hoặc chuyển hướng người dùng đến các trangweb giả mạo có vẻ hợp lệ, nhằm đánh cắp thông tin nhạy cảm
Gian lận Tài chính: Trojan nhắm vào các hệ thống ngân hàng trực tuyến có
thể chặn và điều chỉnh giao dịch tài chính, chuyển hướng tiền hoặc thay đổi chitiết thanh toán để lợi ích của hacker
2.4 Dấu hiệu nhận biết khi bị nhiễm trojan
Có một số dấu hiệu hoặc biểu hiện cho thấy hệ thống của bạn có thể bị tấncông bởi Trojan Dưới đây là một số dấu hiệu phổ biến mà bạn có thể chú ý:
Hành vi lạ lùng: Hành vi bất thường hoặc không mong đợi từ máy tính hoặc
thiết bị của bạn có thể là dấu hiệu của Trojan Điều này có thể bao gồm sự sụp đổđột ngột, đóng băng, hoặc hiệu suất chậm mà không có lý do rõ ràng
Truy cập không ủy quyền: Nếu bạn nhận thấy có truy cập không ủy quyền
vào các tệp tin, thư mục hoặc hệ thống của bạn, có thể là dấu hiệu của một Trojan
cố gắng kiểm soát hoặc truy cập thông tin nhạy cảm
Cửa sổ pop-up hoặc quảng cáo không giải thích: Trojan có thể gây ra việc
xuất hiện nhiều cửa sổ pop-up không mong muốn, quảng cáo hoặc chuyển hướngtrình duyệt của bạn đến các trang web không quen thuộc hoặc độc hại
Thay đổi cài đặt: Bất kỳ thay đổi không giải thích nào trong cài đặt hệ
thống, như sự thay đổi nền desktop, thay đổi cài đặt trình duyệt, hoặc thanh côngcụ/mở rộng mới, có thể là tín hiệu cảnh báo
Hoạt động mạng cao: Trojan thường liên lạc với các máy chủ bên ngoài,
dẫn đến tăng hoạt động mạng Bạn có thể theo dõi việc sử dụng mạng của mình
và nếu bạn nhận thấy tăng đột ngột trong việc truyền dữ liệu, có thể là dấu hiệucủa vi rút tiềm ẩn
Cảnh báo từ phần mềm diệt virus hoặc tắt phần mềm bảo mật: Nếu
chương trình diệt virus của bạn đột ngột tắt hoặc hiển thị cảnh báo về việc pháthiện một mối đe dọa, có thể do Trojan cố gắng vô hiệu hóa biện pháp an ninh
Trang 10Thiếu hoặc thay đổi tệp tin: Trojan có thể xóa, mã hóa hoặc sửa đổi tệp tin
trên hệ thống của bạn Nếu bạn nhận thấy thiếu tệp, phần mở rộng tệp khôngmong muốn hoặc thay đổi kích thước tệp, có thể là dấu hiệu của một cuộc tấncông
Các quy trình hệ thống không giải thích: Kiểm tra trình quản lý nhiệm vụ
hoặc quản lý hệ thống của bạn để xem có bất kỳ quy trình nào đáng ngờ đangchạy ẩn trong nền không Trojan thường chạy âm thầm ở nền mà không có sựnhận biết của người dùng
Hoạt động Email hoặc Mạng xã hội không giải thích: Nếu bạn bè hoặc liên
hệ của bạn thông báo nhận được email, tin nhắn hoặc liên kết lạ từ tài khoản củabạn mà bạn không gửi, có thể là dấu hiệu rằng tài khoản của bạn đã bị chiếmđoạt
2.5 Một số port phổ biến về Trojan.
Các trojan thường sử dụng nhiều cổng kết nối để thiết lập giao tiếp và hỗtrợ các hoạt động gây hại của chúng Một số cổng phổ biến liên quan đến trojanbao gồm:
Cổng TCP 21 (FTP): Giao thức Truyền tệp FTP (FTP) thường bị khai thác bởi
trojan để truyền tệp tin, vì nó được sử dụng để trao đổi dữ liệu qua mạng
Cổng TCP 23 (Telnet): Telnet, một giao thức cũ được sử dụng để truy cập
terminal từ xa, có thể bị khai thác bởi trojan để truy cập hệ thống mà không được
ủy quyền
Cổng TCP 25 (SMTP): Các cổng giao thức Truyền tin thư đơn giản (SMTP) có
thể được sử dụng bởi trojan để gửi email rác hoặc lây lan phần mềm độc hại quatệp tin đính kèm email
Cổng TCP 80 (HTTP): Trojan có thể sử dụng cổng HTTP để giao tiếp với máy
chủ từ xa, tải xuống các tải trọng độc hại bổ sung hoặc hoạt động như máy chủđiều khiển và điều chỉnh (C&C)
Cổng TCP 443 (HTTPS): HTTPS, phiên bản an toàn của HTTP, có thể được sử
dụng bởi trojan để thiết lập giao tiếp mã hóa, làm cho việc phát hiện hoạt độngcủa chúng khó khăn hơn
Cổng TCP 110 (POP3): Cổng giao thức Thư điện tử POP3 (POP3) có thể bị
trojan sử dụng để truy cập và lấy email từ máy chủ
Cổng TCP 135 (RPC): Các cổng Gọi thủ tục từ xa (RPC) thường bị khai thác
bởi trojan để thực thi mã từ xa
Trang 11Cổng TCP 139 (NetBIOS): Các cổng NetBIOS được sử dụng để chia sẻ tệp tin
và máy in trong môi trường Windows, và trojan có thể khai thác chúng để truycập không được ủy quyền
Cổng TCP 445 (SMB): Các cổng Server Message Block (SMB) được sử dụng
để chia sẻ tệp tin, dịch vụ máy in và giao tiếp khác, thường bị trojan tận dụng đểkhai thác lỗ hổng
Cổng UDP 53 (DNS): Các cổng Hệ thống Tên Miền (DNS) có thể bị trojan
khai thác để làm giả DNS hoặc chuyển hướng người dùng đến các trang web độchại
2.6 Một số tấn công bằng trojan
2.6.1 Remote Access Trojan
Remote Access Trojans (RATs): cung cấp cho kẻ tấn công toàn quyền kiểmsoát hệ thống của nạn nhân, từ đó cho phép họ truy cập từ xa vào các tệp tin,cuộc trò chuyện riêng, dữ liệu kế toán, v.v RAT hoạt động như một máy chủ vàlắng nghe trên một cổng không nên được phép dành cho những kẻ tấn công trênInternet Do đó, nếu người sử dụng đằng sau một tường lửa trên mạng, khả năngkết nối với Trojan của kẻ tấn công từ xa là ít có khả năng Nhưng những kẻ tấncông ở trong cùng một mạng và đằng sau tường lửa có thể dễ dàng truy cập vàoTrojans
2.6.2 Backdoor Trojans
Một cổng sau (backdoor) là một chương trình có khả năng vượt qua các cơchế xác thực hệ thống như IDS và tường lửa mà không bị phát hiện Trong cáccuộc tấn công này, hacker sử dụng cổng sau để truy cập máy tính hoặc mạng củanạn nhân mà không báo hiệu cho người dùng Điều quan trọng là cài đặt cổng sauđược thực hiện mà không cần sự nhận biết của người dùng, cho phép kẻ tấn côngthực hiện các hoạt động mà không bị phát hiện, như làm hỏng tệp tin, cài đặtphần mềm độc hại và khởi động lại máy Cổng sau thường được sử dụng liên tục
để truy cập vào máy mục tiêu và thường được dùng để tạo thành botnet hoặcmạng zombie cho các hoạt động tội phạm Điểm khác biệt chính giữa RAT(Remote Access Trojan) và cổng sau là RAT có giao diện người dùng, trong khicổng sau không có giao diện người dùng
Loại bỏ một cửa sau Trojan liên quan đến một số bước:
Trang 12Ngắt Kết Nối Mạng: Ngay lập tức ngắt kết nối thiết bị bị nhiễm từ internet
hoặc bất kỳ mạng cục bộ nào để ngăn chặn việc truyền thông tiếp tục với các kẻtấn công tiềm năng
Sử Dụng Phần Mềm Diệt Virus: Chạy quét toàn bộ hệ thống bằng phần
mềm diệt virus hoặc phần mềm chống malware đáng tin cậy Đảm bảo rằng nó đãđược cập nhật để phát hiện và loại bỏ cửa sau Trojan Làm theo hướng dẫn củaphần mềm để quét và loại bỏ các mối đe dọa
Kiểm Tra Các Tiến Trình Hệ Thống: Kiểm tra các tiến trình đang chạy và kết
thúc bất kỳ tiến trình nghi ngờ hoặc không quen thuộc nào liên quan đến cửa sauTrojan
Xác Định Các Tệp Tin và Nhập Mục Registry Nghi Ngờ: Kiểm tra thủ công
để tìm các tệp hoặc nhập mục registry liên quan đến cửa sau Trojan Hãy cẩntrọng và xóa hoặc cách ly các tệp tin này, đảm bảo chúng không phải là các tệp tinquan trọng của hệ thống
Sử Dụng Khôi Phục Hệ Thống hoặc Bản Sao Lưu: Nếu có sẵn, sử dụng các
điểm khôi phục hệ thống hoặc bản sao lưu đã tạo trước khi nhiễm để khôi phục
hệ thống về trạng thái sạch
Thiết Lập Lại Cài Đặt Hệ Thống: Thiết lập lại cài đặt hệ thống về cấu hình
mặc định để loại bỏ bất kỳ sửa đổi nào được thực hiện bởi cửa sau Trojan
Cập Nhật Biện Pháp Bảo Mật: Đảm bảo tất cả các phần mềm bảo mật, bao
gồm diệt virus, tường lửa và cập nhật hệ thống đều được cập nhật để ngăn chặncác nhiễm bệnh trong tương lai
Tìm Sự Giúp Đỡ Chuyên Nghiệp: Nếu không chắc chắn hoặc lo lắng về mức
độ nghiêm trọng của việc nhiễm cửa sau, hãy tìm sự giúp đỡ từ các chuyên gia anninh mạng hoặc hỗ trợ kỹ thuật chuyên nghiệp để làm sạch hệ thống một cáchtoàn diện
Theo Dõi Hoạt Động Hệ Thống: Sau khi loại bỏ, theo dõi hệ thống để phát
hiện bất kỳ hoạt động bất thường nào hoặc dấu hiệu của việc tái nhiễm, đảm bảorằng cửa sau Trojan đã được loại bỏ một cách hiệu quả
2.6.3 Botnet Trojan
Botnet Trojan là một loại Trojan được sử dụng chủ yếu trong các cuộc tấncông an ninh thông tin lớn Kẻ tấn công, hay còn được gọi là "người chăn nuôibot," sử dụng Trojan này để lây nhiễm một số lượng lớn máy tính trên diện rộng,tạo thành một mạng bot có thể kiểm soát thông qua một trung tâm kiểm soát vàđiều khiển (C&C) Những kẻ tấn công thường lừa dối người dùng máy tính bình
Trang 13thường để tải về và thực thi Trojan botnet thông qua các chiêu lừa đảo, hack SEO,chuyển hướng URL, và nhiều phương thức khác.
Khi máy tính của người dùng bị nhiễm, Trojan botnet kết nối lại với kẻ tấncông thông qua kênh IRC và đợi lệnh tiếp theo Một số Trojan botnet có khả năng
tự lan ra các hệ thống khác trong mạng Chúng giúp kẻ tấn công thực hiện nhiềuloại cuộc tấn công, bao gồm tấn công DoS, gửi thư rác, gian lận click, và đánh cắpthông tin nhạy cảm như số seri ứng dụng, ID đăng nhập, và số thẻ tín dụng Điềunày tạo ra một môi trường mạng không an toàn và có thể gây thiệt hại nặng nềcho các hệ thống và người dùng
Loại bỏ một botnet Trojan liên quan đến một số bước:
Ngắt Kết Nối Mạng: Ngay lập tức ngắt kết nối thiết bị bị nhiễm từ internet
hoặc mạng cục bộ để ngăn chặn việc truyền thông tiếp tục với máy chủ điều khiểncủa botnet
Sử Dụng Phần Mềm Diệt Virus: Chạy quét toàn bộ hệ thống bằng phần
mềm diệt virus hoặc phần mềm chống malware đáng tin cậy Đảm bảo rằng nó đãđược cập nhật đến phiên bản mới nhất để phát hiện và loại bỏ botnet Trojan Làmtheo hướng dẫn của phần mềm để quét và loại bỏ các mối đe dọa
Kiểm Tra Các Tiến Trình Hệ Thống: Xem xét các tiến trình đang chạy và kết
thúc bất kỳ tiến trình nghi ngờ hoặc không quen thuộc nào liên quan đến botnetTrojan
Xác Định và Xóa Các Tệp Tin Độc Hại: Tìm kiếm và xóa bất kỳ tệp hoặc thư
mục nào liên quan đến botnet Trojan Hãy cực kỳ cẩn trọng để tránh xóa các tệp
hệ thống quan trọng
Sử Dụng Khôi Phục Hệ Thống hoặc Bản Sao Lưu: Nếu có sẵn, khôi phục hệ
thống từ một bản sao lưu sạch trước khi bị nhiễm Bước này giúp loại bỏ botnetbằng cách trả hệ thống về trạng thái sạch đã biết
Thiết Lập Lại Cài Đặt Hệ Thống: Thiết lập lại cài đặt hệ thống về cấu hình
mặc định để loại bỏ bất kỳ sửa đổi nào được thực hiện bởi botnet Trojan
Cập Nhật Biện Pháp Bảo Mật: Đảm bảo tất cả các phần mềm bảo mật, bao
gồm diệt virus, tường lửa và cập nhật hệ thống đều được cập nhật để ngăn chặncác nhiễm bệnh trong tương lai
Tìm Sự Giúp Đỡ Chuyên Nghiệp: Nếu không chắc chắn hoặc lo lắng về mức
độ nghiêm trọng của việc nhiễm botnet Trojan, hãy tìm sự trợ giúp từ các chuyêngia an ninh mạng hoặc hỗ trợ kỹ thuật chuyên biệt để làm sạch hệ thống một cáchtoàn diện
Trang 14Theo Dõi Hoạt Động Hệ Thống: Sau khi loại bỏ, theo dõi hệ thống để phát
hiện bất kỳ hoạt động bất thường nào hoặc dấu hiệu của việc tái nhiễm, đảm bảorằng botnet Trojan đã được loại bỏ một cách hiệu quả
Botnet Trojan đe dọa đáng kể do khả năng kiểm soát nhiều thiết bị và tiến
hành các hoạt động độc hại khác nhau cùng một lúc Việc loại bỏ chúng đòi hỏi sự
tỉ mỉ và cẩn trọng để đảm bảo loại bỏ hoàn toàn Việc tìm sự trợ giúp từ chuyêngia có thể là tốt hơn cho các nhiễm bệnh phức tạp hơn hoặc lo ngại về việc mất
dữ liệu có thể xảy ra
2.6.4 Rootkit Trojan
"Rootkit" là một từ ghép của "root" và "kit," trong đó "root" là một thuậtngữ của UNIX/Linux tương đương với "administrator" trong Windows "Kit" chỉnhững chương trình cho phép người sử dụng đạt được quyền truy cập cấproot/administrator vào máy tính bằng cách thực thi các chương trình trong bộ kit.Rootkits là những cổng sau mạnh mẽ nhắm đặc biệt vào root hoặc hệ điều hành.Khác với cổng sau, rootkits không thể được phát hiện bằng cách theo dõi dịch vụ,danh sách công việc hệ thống hoặc registry Rootkits cung cấp quyền kiểm soátđầy đủ của hệ điều hành nạn nhân cho kẻ tấn công Rootkits không thể tự lantruyền
Việc loại bỏ một rootkit Trojan có thể khó khăn do khả năng ẩn mình sâubên trong hệ thống Dưới đây là các bước có thể giúp:
Sử Dụng Công Cụ Loại Bỏ Rootkit Chuyên Biệt: Sử dụng các công cụ phát
hiện và loại bỏ rootkit được thiết kế đặc biệt để phát hiện các phần mềm độc hạinằm sâu bên trong Các chương trình như GMER, Kaspersky TDSSKiller, hoặcMalwarebytes Anti-Rootkit có thể hữu ích
Ngắt Kết Nối Internet: Ngắt kết nối thiết bị bị nhiễm khỏi internet hoặc
mạng để ngăn chặn rootkit Trojan giao tiếp với máy chủ điều khiển hoặc nguy cơlây lan sang các thiết bị khác
Khởi Động vào Chế Độ An Toàn: Khởi động hệ thống bị nhiễm vào Chế Độ
An Toàn để giới hạn các tiến trình hoạt động của rootkit và thực hiện quét màkhông bị ảnh hưởng bởi các ứng dụng khởi động
Chạy Quét Sâu Hệ Thống: Sử dụng phần mềm diệt virus hoặc chống
malware đáng tin cậy có khả năng phát hiện rootkit để quét toàn bộ hệ thống.Đảm bảo cơ sở dữ liệu của phần mềm đã được cập nhật đến phiên bản mới nhất
Kiểm Tra và Xóa Thủ Công: Kiểm tra thủ công các tệp hệ thống, mục nhập
registry và các tiến trình để tìm các yếu tố nghi ngờ hoặc không được ủy quyền
Trang 15Hãy cẩn thận khi xóa các tệp một cách thủ công để tránh xóa nhầm các thànhphần quan trọng của hệ thống
Khôi Phục Hệ Thống hoặc Cài Đặt Lại: Xem xét sử dụng điểm khôi phục hệ
thống hoặc cài đặt lại hệ điều hành từ bản sao lưu sạch được tạo trước khi bịnhiễm Bước này có thể đưa hệ thống về trạng thái sạch đã biết
Tìm Sự Giúp Đỡ Chuyên Gia: Rootkit Trojan có thể dai dẳng và khó loại bỏ
hoàn toàn Nếu không chắc chắn về quá trình loại bỏ hoặc lo lắng về việc mất dữliệu có thể xảy ra, hãy tìm sự giúp đỡ từ các chuyên gia an ninh mạng hoặc hỗ trợ
kỹ thuật chuyên nghiệp
Loại bỏ rootkit Trojan đòi hỏi kỹ thuật đặc biệt, kiểm tra thủ công cẩn thận
và đôi khi cần sự trợ giúp từ các chuyên gia vì tính phức tạp và việc ẩn mình sâutrong hệ thống của chúng Luôn ưu tiên cẩn trọng để tránh gây thiệt hại vô tìnhcho hệ thống trong quá trình loại bỏ
2.6.5 E-banking Trojan
Trojan E-banking là những loại Trojan cực kỳ nguy hiểm và đã xuất hiện nhưmột mối đe dọa đáng kể đối với ngân hàng trực tuyến Chúng chặn thông tin tàikhoản của nạn nhân trước khi hệ thống có thể mã hóa và gửi nó đến trung tâmđiều khiển của kẻ tấn công Việc cài đặt các Trojan này diễn ra trên máy tính củanạn nhân khi họ nhấp vào một tệp đính kèm email độc hại hoặc một quảng cáođộc hại Kẻ tấn công lập trình các Trojan này để đánh cắp số tiền tối thiểu và tối
đa, để họ không rút hết tiền trong tài khoản, do đó tránh sự nghi ngờ NhữngTrojan này cũng tạo ra ảnh chụp màn hình của sao kê tài khoản ngân hàng, để nạnnhân nghĩ rằng không có biến động gì trong số dư ngân hàng của mình và khôngnhận thức được sự gian lận này trừ khi kiểm tra số dư từ hệ thống khác hoặc máyATM Những Trojan này cũng có thể đánh cắp
Dưới đây là một số đặc điểm và biện pháp phòng chống với một e-bankingTrojan:
Đặc điểm:
Tấn Công Được Nhắm Đến: E-banking Trojans tập trung đặc biệt vào
việc chặn thông tin nhạy cảm liên quan đến hoạt động ngân hàng trựctuyến
Kỹ Thuật Ẩn Mình: Chúng thường sử dụng các kỹ thuật tinh vi để tránh
bị phát hiện bởi phần mềm bảo mật và hệ thống theo dõi
Ghi Nhớ Phím Và Chụp Màn Hình: E-banking Trojans có thể sử dụng ghi
nhớ phím để ghi lại các phím được nhấn hoặc có khả năng chụp màn
Trang 16hình để ghi lại các tương tác của người dùng trong các phiên giao dịchngân hàng trực tuyến
the-Browser (MitB): Một số Trojan hoạt động như một
Man-in-the-Browser, chặn và sửa đổi thông tin giao tiếp giữa người dùng vàtrang web ngân hàng, thường mà không cần sự nhận thức của ngườidùng
Biện pháp phòng chống:
Sử Dụng Phần Mềm Bảo Mật Cập Nhật: Sử dụng phần mềm diệt virus
và chống malware đáng tin cậy, đảm bảo rằng nó đã được cập nhật lênphiên bản mới nhất với các tính năng cụ thể để phát hiện và loại bỏbanking Trojan
Quét Định Kỳ và Theo Dõi: Thực hiện quét định kỳ cho thiết bị của bạn
và theo dõi các giao dịch ngân hàng để phát hiện bất kỳ hoạt động nghingờ hoặc không được ủy quyền nào
Tránh Nhấp vào Liên Kết Hoặc Tập Tin Đính Kèm Không Rõ Nguồn Gốc:
Hạn chế nhấp vào các liên kết hoặc mở các tập tin đính kèm từ nguồnkhông rõ hoặc không tin cậy, vì chúng thường là cửa vào cho Trojan
Sử Dụng Xác Thực Hai Yếu Tố (2FA): Kích hoạt xác thực hai yếu tố ở
mọi nơi có thể để tăng thêm một lớp bảo mật cho tài khoản ngân hàngtrực tuyến của bạn
Luôn Cập Nhật: Bảo đảm rằng hệ điều hành, trình duyệt và tất cả các
phần mềm liên quan đến bảo mật đều được cập nhật để vá lỗ hổng màTrojan có thể tận dụng
Bảo Vệ Mạng và Kết Nối Wi-Fi: Tránh sử dụng mạng Wi-Fi công cộng
cho các giao dịch trực tuyến nhạy cảm và đảm bảo mạng tại nhà đượcbảo vệ bằng mật khẩu mạnh
Thay Đổi Mật Khẩu Định Kỳ: Thay đổi mật khẩu ngân hàng trực tuyến
định kỳ để ngăn chặn việc truy cập không ủy quyền
Tự Cập Nhật Kiến Thức: Cập nhật thông tin về các kỹ thuật lừa đảo
thông thường và các phương pháp được sử dụng bởi e-banking Trojans
để bảo vệ bản thân khỏi các tấn công này
E-banking Trojans được thiết kế để lợi dụng các lỗ hổng trong hệ thốngngân hàng trực tuyến và hành vi của người dùng Triển khai các biện phápbảo mật mạnh mẽ, luôn cảnh giác và cẩn thận khi thực hiện các giao dịchtài chính trực tuyến là những bước quan trọng để bảo vệ chống lại nhữngmối đe dọa như vậy
2.6.5 point-of-sale trojans
Trang 17Các point-of-sale (POS) trojans là loại phần mềm độc hại được thiết kế đểtấn công vào hệ thống thanh toán điểm bán hàng Những trojan này nhằm vàoviệc đánh cắp thông tin thanh toán từ các máy POS, thường bao gồm thông tinthẻ tín dụng hoặc thẻ ghi nợ của khách hàng
Đây là một số đặc điểm và biện pháp phòng chống với POS trojans:
Đặc Điểm:
Gian Lận Thanh Toán: Chúng nhằm vào việc lấy cắp thông tin thanh toán từ
các giao dịch được thực hiện thông qua máy POS
Thao Tác Mật Pháp: POS trojans thường sử dụng các kỹ thuật tinh vi để
tránh được phát hiện và loại bỏ bởi các phần mềm bảo mật
Gửi Dữ Liệu Đã Đánh Cắp: Thông tin thanh toán bị đánh cắp thường được
gửi về máy chủ điều khiển của kẻ tấn công thông qua kết nối internet
Biện Pháp Phòng chống:
Bảo Vệ Hệ Thống POS: Đảm bảo rằng tất cả các hệ thống POS được bảo vệ
chặt chẽ bằng các giải pháp bảo mật, bao gồm cập nhật phần mềm,firewall, và phần mềm diệt virus
Mã Hóa Dữ Liệu Thanh Toán: Sử dụng các phương pháp mã hóa để bảo vệ
thông tin thanh toán khi nó di chuyển qua mạng hoặc lưu trữ trong hệthống
Kiểm Tra Quét Thường Xuyên: Thực hiện kiểm tra và quét định kỳ để phát
hiện và loại bỏ trojans hoặc bất kỳ phần mềm độc hại nào khác trên cácthiết bị POS
Giám Sát Giao Dịch: Theo dõi các giao dịch thanh toán để phát hiện sớm
các hoạt động không bình thường hoặc giao dịch đáng ngờ
Xác Thực Hai Yếu Tố (2FA): Kích hoạt xác thực hai yếu tố để bảo vệ quyền
truy cập và giao dịch thanh toán trên hệ thống POS
Đào Tạo Nhân Viên: Đào tạo nhân viên về các nguy cơ an ninh mạng và
cách nhận biết các tấn công từ trojans hoặc các phần mềm độc hại khác POS trojans đặt ra mối đe dọa lớn đối với việc thanh toán điểm bán hàng.Việc triển khai các biện pháp bảo mật mạnh mẽ và sự nhận thức của nguy cơ từngười sử dụng là quan trọng để ngăn chặn các cuộc tấn công này và bảo vệ thôngtin thanh toán của khách hàng
2.6.6 Defacement Trojans
Defacement Trojan là phần mềm độc hại, khi lây nhiễm vào hệ thống, cókhả năng phá hủy hoặc thay đổi toàn bộ nội dung của một cơ sở dữ liệu Tuynhiên, chúng trở nên nguy hiểm hơn khi kẻ tấn công nhắm vào các trang web, vì