Virus máy tính trong giai Đoạn hiện nay và cách phòng chống

Lịch sử virus máy tính  Năm 1983, Ken Thompson đã đưa ra một ý tưởng về virus máy tính dựa trên tròchơi “Core War” và trong năm đó, tiến sỹ Frederik Cohen đã chứng minh được sự tồn tại

ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC SÀI GÒN

NGUYỄN MINH KIÊN

Virus máy tính trong giai đoạn hiện nay và cách phòng chống

ĐỀ CƯƠNG ĐỒ ÁN CHUYÊN NGÀNH

NGÀNH: CÔNG NGHỆ THÔNG TIN

Thành phố Hồ Chí Minh, năm 2023

ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC SÀI GÒN

Nguyễn Minh Kiên

Virus máy tính trong giai đoạn hiện nay và cách phòng chống

Lời cam đoan

Tôi tên là Nguyễn Minh Kiên hiện đang là sinh viên tại Đại học Sài Gòn khoa côngnghệ thông tin Tôi xin cam đoan rằng những kết quả nghiên cứu được trình bày trong

đồ án chuyên ngành là công trình riêng của tác giả dưới sự hướng dẫn của tiến sĩ thầyPhan Tấn Quốc

Tôi xin cam đoan kết quả đạt được trong bài tiểu luận là sản phẩm của riêng cá nhântôi và không có sự sao chép lại của người khác Trong toàn bộ nội dung của bài tiểuluận, những điều được trình bày hoặc là của cá nhân hoặc là được tổng hợp từ nhiềunguồn tài liệu Những kết quả nghiên cứu của các tác giả khác và số liệu được sử dụngtrong tiểu luận đều có trích dẫn đầy đủ

Sinh viên thực hiện

MỤC LỤ

C

Danh mục các ký hiệu và chữ viết tắt 4

MỞ ĐẦU 4

1 Lý do chọn đề tài 4

2 Lịch sử virus máy tính 4

3 Mục đích nghiên cứu 4

4 Nhiệm vụ nghiên cứu 5

5 Đối tượng và phạm vi nghiên cứu 5

6 Phương pháp nghiên cứu 5

7 Những đóng góp của đề tài 5

8 Dự kiến nội dung của tiểu luận 5

10 Kết luận và khuyến nghị 6

Chương 1: Virus máy tính là gì 7

1.1 Khái niệm virus máy tính 7

1.2 Ảnh hưởng của virus máy tính đối với người dùng 7

1.3 Các khái niệm có liên quan đến virus máy tính 10

1.4 Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm 14

Chương 2 Các loại virus máy tính, cách thức tấn công 16

2.1 Các loại virus máy tính thường gặp 16

2.2 Những cái tên virus nguy hiểm 18

2.3 Phương thức tấn công của virrus máy tính hiện nay và cách phòng chống 20

CHƯƠNG 3 DẤU HIỆU MÁY TÍNH NHIỄM VIRUS VÀ CÁCH PHÒNG CHỐNG 29

3.1 Dấu hiệu máy tính nhiễm virus 29

3.2 Các phương pháp phòng chống mã độc phổ biến 33

3.3 Một số phần mềm diệt virus 36

TÀI LIỆU THAM KHẢO 44

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

FAT: File Allocation Table

EPROM: erasable programmable read-only memory

USB: Universal Serial Bus

CPU: Central Processing Unit

RAM: Random Access Memory

MỞ ĐẦU

1 Lý do chọn đề tài

Thế giới đang ngày càng thay đổi và phát triển không ngừng nhờ những sự tiến bộ của khoa học công nghệ, những thiết bị điện tử dần trở thành một phần trong cuộc sống con người Mọi hoạt động, thông tin cá nhân đều được lưu trữ trên máy tính

Vì vậy nếu không may máy tính bị nhiễm virus thì mọi dữ liệu đều sẽ bị ảnh hưởng

Là sinh viên của ngành công nghệ thông tin, em nhận thấy tìm hiểu về virus và cách phòng chống virus cho máy tính là cần thiết Vì vậy em xin chọn chủ đề:” Virus máy tính trong giai đoạn hiện nay và cách phòng chống” làm đề tài nghiên cứu

2 Lịch sử virus máy tính

 Năm 1983, Ken Thompson đã đưa ra một ý tưởng về virus máy tính dựa trên tròchơi “Core War” và trong năm đó, tiến sỹ Frederik Cohen đã chứng minh được

sự tồn tại của virus máy tính;

 Năm 1986, virus brain có thể coi là virus đầu tiên trên thế giới âm thầm đổ bộ

từ Pakistan vào nước Mỹ;

 Năm 1987, lehigh virus xuất hiện tại trường đại học lehigh

 Năm 1988, Robert Morris đưa virus vào mạng máy tính quan trọng nhât nước

Mỹ và từ đây người ta mới nhận thức được tính nguy hại cảu virus máy tính

 Năm 1989, xuất hiện AIDS Trojan lấy cắp thông tin trên máy tính của ngườidùng và gửi đến nơi mà chủ của chúng muốn chuyển tới, hoặc là phá hủy dữliệu trên máy tính

 Năm 1991, virus đầu tiên được gọi là virus đa hình

 Năm 1995, Concept virus xuất hiện và tấn công vào các hệ soạn thảo văn bảncủa Microsoft(Word, Exel, Powerpont, )

 Năm 1996, Boza virus xuất hiện và lây trên Windows 95

 Năm 1999, virus Melisa đã phá hủy dữ liệu của hàng triệu máy tính trên thếgiới, gây thiệt hại gần 1 tỷ USD vào ngày 26/4

 Năm 2000, virus LoveLetter đã phá hoại 2,5 – 3 triệu máy tính và gây thiệt hạilên tới 8,7 tỉ USD

 Năm 2001,Codered cùng Nimda tấn công các máy tính chạy hệ điều hànhWindows NT 4.0, Windows 2000

 Năm 2003, Sobig.F tạo ra nhiều thư rác trên máy và gửi tiếp không bị phát hiện

3 Mục đích nghiên cứu

 Tìm hiểu về khái niệm của virus máy tính và sự nguy hiểm đối với ngườidùng

 Phân tích, đánh giá sự lây lan của virus máy tính.

 Đưa ra những thông tin về những loại virus hiện nay

4 Nhiệm vụ nghiên cứu

 Tìm hiểu phương thức hoạt động của máy tính từ đó hiểu được phươn thức tấncông của virus

 Đề xuất những biện pháp để ngăn chặn và phòng ngừa virus máy tính

5 Đối tượng và phạm vi nghiên cứu

1 Đối tượng nghiên cứu

Virus máy tính và cách phòng chống

2 Phạm vi nghiên cứu

Bài luận đề xuất các giải pháp phòng ngừa virus máy tính trong giai đoạn hiện nay

6 Phương pháp nghiên cứu

- Phương pháp thu thập dữ liệu

bị nhiễm virus máy tính và tìm những phương pháp giúp loại bỏ những virusmáy tính trong tương lai

8 Dự kiến nội dung của tiểu luận

Chương 1: Virus máy tính.

1.1 Khái niệm virus máy tính

1.2 Ảnh hưởng của virus máy tính đối với người dùng

Chương 2: Loại virus máy tính, cách thức tấn công.

2.1 Các loại virus máy tính thường gặp

2.2 Những cái tên virus nguy hiểm

2.3 Phương thức tấn công của virus máy tính

Chương 3: Cách phòng chống virus máy tính.

3.1 Dấu hiệu máy tính nhiễm virus

3.2 Cách hạn chế các virus, mã độc

3.3 Một số phần mềm diệt virus nay

10 Kết luận và khuyến nghị

 Tóm tắt những kết quả của đồ án chuyên ngành

Nhờ vào việc tìm hiểu đề tài virus máy tính, em có thể hiểu rõ hơn về vấn đề ảnh hưởng của virus đối với máy tính và người dùng, tạo tiền đề để giúp phát triển những phần mềm giúp ngăn chặn virus, và cảnh giác hơn với những nguy

cơ bị thâm nhập virus máy tính, qua đó góp phần giảm ảnh hưởng đến những tác động tiêu cực mà virus mang lại

 Định hướng phát triển đề tài

Với những hành vi ngày càng tinh vi, người dùng khó có thể phân biệt và phảnứng kịp thời trước những virus máy tính hiện nay cũng như những hậu quả màvirus máy tính để lại Không chỉ từ những cảnh giác của người dùng, những nhà phát triển phần mềm virus máy tính hiện nay cũng cần liên tục đổi mới và cập nhật những virus mới giúp người dùng ngăn chặn kịp thời

CHƯƠNG 1: VIRUS MÁY TÍNH LÀ GÌ

1.1 Khái niệm virus máy tính

Virus máy tính hay còn thường được mọi người gọi là vi rút là những đoạn mã

chương trình được thiết kế với mục đích nhằm xâm nhập vào máy tính người dùng

từ đó lấy cắp các thông tin các nhân, xóa dữ liệu hay thậm chí là gửi email nặc danh

và có thể tự nhân bản và sao chép chính nó vào các chương trình khác

Nó là thông tin được biểu thị dưới dạng mã độc hoặc các đoạn chương trìnhđược thiết kế đặc biệt Virus sẽ xâm nhập vào hệ thống máy tính để đánh cắp thôngtin, xóa dữ liệu…

Trong khoa học máy tính viễn thông, virus máy tính hay virus tin học (thườngđược người sử dụng gọi tắt là virus) là những đoạn mã chương trình được thiết kế

để thực hiện tối thiểu là 2 việc:

 Tự xen vào hoạt động hiện hành của máy tính một cách hợp lệ, để thựchiện tự nhân bản và những công việc theo chủ ý của lập trình viên Sau khikết thúc thực thi mã virus thì điều khiển được trả cho trình đang thực thi

mà máy không bị "treo", trừ trường hợp virus cố ý treo máy

 Tự sao chép chính nó, tức tự nhân bản, một cách hợp lệ lây nhiễm vàonhững tập tin (file) hay các vùng xác định (boot, FAT sector) ở các thiết

bị lưu trữ như đĩa cứng, đĩa mềm, thiết bị nhớ flash (phổ biến là USB) và

cả EPROM chính của máy

Tốc độ lan truyền virus rất nhanh và con người khó kiểm soát được Hiện nay

hệ điều hành Windows với số lượng người dùng đông đảo nên hiển nhiênđứng đầu trong danh sách hệ điều hành bị nhiễm virus nhiều nhất

1.2 Ảnh hưởng của virus máy tính đối với người dùng

1.2.1 Làm chậm tốc độ máy tính

Bất kỳ một ứng dụng, phần mềm nào mỗi khi hoạt động trên máy tính, laptop đều

sẽ chiếm dụng một phần năng lực xử lý của CPU hay cả hệ thống Virus cũng hoạtđộng dựa trên cơ chế đó, thậm chí từ một con virus ban đầu, nó có thể nhân bản lênnhiều lần, xâm nhập vào hệ thống, chiếm dụng tài nguyên và còn có thể là tê liệt hệthống máy tính Những thiết bị máy tính, laptop bị nhiễm virus đa phần đều sẽ hoạtđộng chậm đi so với tốc độ ban đầu Có nhiều loại virus có thể khiển tốc đô Š load củamáy tính châ Šm hơn

 Sử dụng tài nguyên hệ thống: Một số virus được thiết kế để sử dụng một lượnglớn tài nguyên hệ thống như CPU và RAM Khi virus hoạt động, nó có thểchiếm dụng các tài nguyên này, làm cho máy tính hoạt động chậm hơn

 Thực hiện các quy trình nền: Virus thường chạy trong chế độ nền (background)của hệ thống, thường không hiển thị trên màn hình chính Điều này có thể làm

cho CPU của máy tính phải xử lý thêm các quy trình không mong muốn, dẫnđến giảm tốc độ hoạt động chung.

 Tạo ra nhiều quy trình không cần thiết: Một số virus có thể tạo ra nhiều quytrình hoặc tiến trình không cần thiết trong hệ thống Điều này gây ra tình trạngquá tải cho hệ thống, làm giảm khả năng xử lý của máy tính

 Xóa hoặc sửa đổi tệp hệ thống quan trọng: Một số virus thay đổi hoặc xóa cáctệp tin hệ thống quan trọng Điều này có thể làm cho máy tính không thể hoạtđộng một cách bình thường và dẫn đến sự cố hệ thống

 Lây nhiễm các tệp và ứng dụng: Virus có thể lây nhiễm vào các tệp tin và ứngdụng khác trên máy tính, làm cho chúng trở nên không thể hoạt động hoặc gặplỗi

1.2.2 Tác động đến các ứng dụng

Tác hại của virus khi tác động vào các ứng dụng trên máy tính là rất đa dạng

và có thể gây ra nhiều vấn đề nghiêm trọng Dưới đây là những tác hại củavirus máy tính tới ứng dụng bạn có thể gă Šp phải

 Làm hỏng ứng dụng: Một số virus có thể gây ra sự hỏng hóc hoặc lỗi trong cácứng dụng trên máy tính Điều này làm cho các ứng dụng không thể hoạt độngđúng cách hoặc thậm chí làm cho chúng không thể sử dụng

 Thay đổi cài đặt ứng dụng: Các virus có thể thay đổi các cài đặt của các ứngdụng mà bạn không biết Điều này có thể làm cho ứng dụng hoạt động khôngđúng cách và gây ra khó khăn trong việc sử dụng chúng

 Lấy cắp thông tin từ ứng dụng: Một số loại virus được thiết kế để lấy cắp thôngtin từ các ứng dụng, như tài khoản và mật khẩu đăng nhập Điều này có thể dẫnđến việc truy cập trái phép vào tài khoản của bạn

 Tạo ra các bản sao giả mạo: Virus có thể tạo ra các bản sao giả mạo của cácứng dụng, thường với mục đích lừa dối người dùng Điều này có thể dẫn đếnviệc cài đặt và sử dụng các phiên bản ứng dụng không an toàn

 Phát tán qua ứng dụng: Một số virus sử dụng ứng dụng làm phương tiện để lâynhiễm sang máy tính khác trong mạng hoặc qua các tệp tải xuống

 Tăng tải ứng dụng: Virus có thể thực hiện các hoạt động không mong muốntrong các ứng dụng, làm cho chúng sử dụng tài nguyên máy tính nhiều hơn vàgây ra sự chậm trễ

 Gây lỗi hệ thống: Các virus có thể gây ra lỗi hệ thống nghiêm trọng khi tácđộng vào các ứng dụng, đôi khi dẫn đến việc treo máy hoặc màn hình xanh(Blue Screen of Death).

Ngoài ra, Virus còn có thể thay đổi quyền truy cập vào ứng dụng hoặc thậm chí làmcho ứng dụng không thể mở hoặc chạy Một số loại virus còn tạo lên nhiều cửa sổquảng cáo pop – up gây khó chịu cho người dùng

1.2.3 Ảnh hưởng dữ liệu cá nhân

Máy tính là vật dụng lưu trữ nhiều thông tin, có thể là thông tin cá nhân của người

sử dụng, nếu là máy tính của doanh nghiệp thì còn có thể chứa những dữ liệu phục vụcông việc, bí mật kinh doanh Do đó, một trong những tác hại của virus máy tínhđược cảnh báo nhất đó là tình trạng ăn” dữ liệu Có thể hiểu là tình trạng virus sẽ tấn“

công và xóa đi hoặc vô hiệu hóa các tệp tin, dữ liệu trong máy Điều này có ảnhhưởng rất lớn đến công việc và học tập của người dùng

 Mất dữ liệu: Một số loại virus gây ra sự hủy hoại hoặc mã hóa dữ liệu trên máytính của bạn Điều này có thể dẫn đến việc mất dữ liệu quan trọng mà bạnkhông thể khôi phục Một ví dụ phổ biến là các loại ransomware, chúng mãhóa dữ liệu và yêu cầu bạn phải trả tiền để có chìa khóa giải mã

 Lấy cắp thông tin cá nhân: Một số loại virus được thiết kế để lấy cắp thông tin

cá nhân như tài khoản ngân hàng, mật khẩu, thông tin thẻ tín dụng, và dữ liệunhạy cảm khác Thông tin này có thể được sử dụng để gian lận, lạm dụng hoặcbán trên thị trường đen

 Thay đổi hoặc xóa tệp cá nhân: Virus có thể thay đổi hoặc xóa các tệp cá nhâncủa bạn, bao gồm hình ảnh, tài liệu văn bản, video, và dữ liệu khác Điều này

có thể gây ra mất mát dữ liệu quý báu và tài liệu làm việc

 Lây nhiễm các tệp cá nhân: Một số virus lây nhiễm vào các tệp cá nhân củabạn và tạo ra các bản sao giả mạo Điều này làm cho dữ liệu cá nhân trở nênkhông đáng tin cậy và có thể dẫn đến việc sử dụng tệp tin sai lầm

 Phát tán thông tin cá nhân: Virus có thể lấy cắp thông tin cá nhân của bạn vàphát tán nó trực tuyến hoặc qua các kênh khác, gây ra sự tổn thất đáng kể choquyền riêng tư và danh tiếng của bạn

Ngoài ra người dùng máy tính còn có thể bị những chiêu trò của người cài virusnhằm chiếm đoạt tài sản

1.2.4 Máy tính bị treo không thể khởi động

Với khả năng vô hiệu hóa hoặc khóa máy tính, người dùng có thể phải trả mộtkhoản phí lớn để máy có thể sử dụng được trở lại Một số virus khác thì được thiết lập

để tấn công vào các file hệ thống làm cho máy không hoạt động bình thường được,thậm chí có thể bị treo Khi máy tính bị nhiễm virus và không thể khởi động, thường.

cần phải thực hiện các biện pháp khắc phục Điều này có thể bao gồm sử dụng các đĩakhởi động cứu hộ, quét và loại bỏ virus, khôi phục tệp hệ thống bị hỏng, hoặc thậmchí cài đặt lại hệ điều hành nếu cần Biến thể của virus máy tính

1.2.5 Tạo ra các biến thể khác của virrus

1 hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng.Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiệncủa phần mềm diệt virus hoặc làm thay đổi hành động của nó Một số loại virus cóthể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêudiệt chúng Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng củacác phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã củachúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán

1.2.6 Virus có khả năng vô hiệu hóa phần mềm diệt virus

 Một số virus có khả năng vô hiệu hoá hoặc can thiệp vào hệ điều hành làm tê liệtcác phần mềm diệt virus Sau hành động này chúng mới tiến hành lây nhiễm vàtiếp tục phát tán Một số khác lây nhiễm chính vào phần mềm diệt virus (tuy khókhăn hơn) hoặc ngăn cản sự cập nhật của các phần mềm diệt virus Kể cả cài lại hệđiều hành máy tính và cài diệt sau đó nhưng đã quá trễ

 Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế hoạt độngcủa các phần mềm diệt virus và được lây nhiễm hoặc phát tác trước khi hệthống khởi động các phần mềm này Chúng cũng có thể sửa đổi file host của hệđiều hành Windows để người sử dụng không thể truy cập vào các website và phầnmềm diệt virus không thể liên lạc với server của mình để cập nhật

 Về mức độ phá hoại, virus siêu đa hình nguy hiểm hơn so với các virus khác.Chúng gây ra các sự cố nghiêm trọng cho hệ thống, có thể dẫn đến phá hủy dữliệu, làm giảm mức độ an ninh của hệ thống

 Bằng cách gửi email hoặc lợi dụng các công cụ tìm kiếm, hacker lừa người sửdụng truy cập vào website quét virus trực tuyến giả mạo, có giao diện giống hệt

Khi đó, người sử dụng sẽ nhận được hàng loạt các thông báo máy tính bị nhiễmvirus và được “khuyến cáo” bấm vào một nút để diệt virus Nếu làm theo “khuyếncáo” giả mạo này là người dùng đã tải về máy tính một phần mềm diệt virus giả

1.3 Các khái niệm có liên quan đến virus máy tính

 Là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyềnqua hệ thống mạng (thường là qua hệ thống thư điện tử) Điểm cần lưu ý ởđây, ngoài gây tác hại cho máy bị nhiễm, nhiệm vụ chính của worm là phácác mạng (network) thông tin chia sẻ, làm giảm khả năng hoạt động hayngay cả hủy hoại các mạng này Nhiều nhà phân tích cho rằng worm khácvới virus, họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây wormđược cho là một loại virus đặc biệt.

 Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988 Nó có thểlàm hỏng bất kì hệ điều hành UNIX nào trên Internet Tuy vậy, có lẽ wormtồn tại lâu nhất là virus happy99, hay các thế hệ sau đó của nó có tên

là Trojan Các worm này sẽ thay đổi nội dung tệp wsok32.dllcủa Windows và tự gửi bản sao của chính chúng đi đến các địa chỉ cho mỗilần gửi điện thư hay message

1.3.3 Trojan Horse

Đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không

tự nhân bản ra Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền

Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan Horse rồi xóa nó đi làxong Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng 1 hệthống Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình củamình để sao lưu thật nhiều con trước khi phát tán lên mạng Đây cũng là loại viruscực kỳ nguy hiểm Nó có thể hủy ổ cứng, hủy dữ liệu

1.3.4 Phần mềm gián điệp (spyware)

Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không đểlại "di chứng" Thường một số chương trình diệt virus có kèm trìnhdiệt spyware nhưng diệt khá kém đối với các đợt "dịch"

1.3.5 Phần mềm quảng cáo (adware)

Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trênmạng Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịtmàn hình, cưỡng chế người sử dụng

 Nhóm của Sites ở Sun Belt cùng với đội phản ứng nhanh của công ty bảomật iDefense Labs đã tìm ra 1 botnet chạy trên nền web có tên làMetaphisher Thay cho cách sử dụng dòng lệnh, tin tặc có thể sử dụng giaodiện đồ họa, các biểu tượng có thể thay đổi theo ý thích, chỉ việc dịch contrỏ, nhấn chuột và tấn công.

 Theo iDefense Labs, các bot do Metaphisher điều khiển đã lây nhiễm hơn 1triệu PC trên toàn cầu Thậm chí trình điều khiển còn mã hóa liên lạc giữa

nó và bot "đàn em" và chuyển đi mọi thông tin về các PC bị nhiễm chongười chủ bot như vị trí địa lý, các bản vá bảo mật của Windows và nhữngtrình duyệt đang chạy trên mỗi PC

 Những công cụ tạo bot và điều khiển dễ dùng trên góp phần làm tăng vọt số

PC bị nhiễm bot được phát hiện trong thời gian gần đây Thí dụ, JeansonJames Ancheta, 21 tuổi, người Mỹ ở bang California, bị tuyên án 57 tháng

tù vì đã vận hành 1 doanh nghiệp "đen" thu lợi bất chính dựa vào các botnetđiều khiển 400.000 "thành viên" và 3 tay điều khiển bot bị bắt mùa thu nămtrước ở Hà Lan chính là trung tâm "đầu não" điều khiển hơn 1,5 triệu PC!

 Mặc dù đã có luật để bắt những tội phạm kiểu này, nhưng do dễ dàng cóđược những công cụ phá hoại nên luôn có thêm người mới gia nhập hàngngũ tin tặc vì tiền hay vì tò mò

1.3.7 Keylogger

Là phần mềm ghi lại chuỗi phím gõ của người dùng Nó có thể hữu ích cho việctìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năngsuất làm việc của nhân viên văn phòng Các phần mềm kiểu này rất hữu dụng chongành luật pháp và tình báo - ví dụ, cung cấp 1 phương tiện để lấy mật khẩu hoặccác khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh Tuy nhiên, các phầnmềm Keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sửdụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa

1.3.9 Rootkit

 Là 1 bộ công cụ phần mềm dành cho việc che giấu các tiến trình đang chạy,các file hoặc dữ liệu hệ thống Rootkit có nguồn gốc từ các ứng dụng tương đốihiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởicác phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường truy nhập 1 hệthống trong khi tránh bị phát hiện Người ta đã biết đến các rootkit dành cho

nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số phiên bảncủa Microsoft Windows Các rootkit thường sửa đổi một số phần của hệ điềuhành hoặc tự cài đặt chúng thành các driver hay các module trong nhân hệ điềuhành (kernel module).

 Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất hiệnvào tháng 11 năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứngdụng của Sony Phần mềm của Sony giấu bất kỳ file hay tiến trình bắt đầu với

"$sys$", những kẻ viết phần mềm độc hại đã đổi tên file để lợi dụng đặc điểm này

 Vào tháng 3, nhà sản xuất phần mềm chống virus ở Tây Ban Nha là PandaSoftware cho biết họ đang tìm biến thể của sâu Bagle cực kỳ độc hại có trang bịkhả năng của rootkit Trầm trọng hơn, tương tự như các "nhà sản xuất" chươngtrình botnet, những kẻ tạo phần mềm rootkit còn bán hoặc phát tán miễn phícác công cụ, giúp những tay viết phần mềm độc hại dễ dàng bổ sung chức năngrootkit cho các virus cũ như Bagle hay tạo loại mới

 1 dự án do Microsoft và các nhà nghiên cứu của đại học Michigan thực hiện đã

mở đường cho nghiên cứu rootkit, tạo ra 1 phương thức mới gần như "đặt" hệ điềuhành chạy trên phần mềm có tên SubVirt (tên của dự án nghiên cứu) Hệ điềuhành vẫn làm việc bình thường, nhưng "máy ảo" điều khiển mọi thứ hệ điều hànhnhìn thấy và có thể dễ dàng giấu chính nó

 May mắn là kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làmchậm hệ thống và làm thay đổi những file nhất định Hiện giờ, loại siêu rootkit nàychỉ mới ở dạng ý tưởng, cần nhiều thời gian trước khi tin tặc có thể thực hiệnphương thức tấn công này

Là loại phần mềm sử dụng 1 hệ thống mật mã để mã hóa dữ liệu thuộc về 1 cánhân và đòi tiền chuộc thì mới khôi phục lại

Backdoor, nghĩa là "cửa hậu" hay lối vào phía sau Trong 1 hệ thống máy tính,

"cửa hậu" là 1 phương pháp vượt qua thủ tục chứng thực người dùng thông thườnghoặc để giữ đường truy nhập từ xa tới 1 máy tính, trong khi cố gắng không bị pháthiện bởi việc giám sát thông thường Cửa hậu có thể có hình thức 1 chươngtrình được cài đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit đượccài đặt khi 1 đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên

1 máy tính chạy Windows), hoặc có thể là 1 sửa đổi đối với 1 chương trình hợp pháp

- đó là khi nó đi kèm với Trojan

1.4 Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm

Ngoài tệp ta thường thấy như exe Người dùng còn có thể bắt gặp những đuôi tệp

có khả năng bị nhiễm virus:

 bat: Microsoft Batch File (Tệp xử lý theo lô nhiều câu lệnh)

 chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)

 cmd: Command file for Windows NT (Tệp thực thi của Windows NT)

 com: Command file (program) (Tệp thực thi)

 cpl: Control Panel extension (Tệp của Control Panel)

 doc: Microsoft Word (Tệp của chương trình Microsoft Word)

 hlp: Help file (Tệp nội dung trợ giúp người dùng)

 hta: HTML Application (Ứng dụng HTML)

 js: JavaScript File (Tệp JavaScript)

 jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)

 lnk: Shortcut File (Tệp đường dẫn)

 msi: Microsoft Installer File (Tệp cài đặt)

 pif: Program Information File (Tệp thông tin chương trình)

 reg: Registry File (Tệp can thiệp và chỉnh sửa Registry)

 scr: Screen Saver (Portable Executable File)

 sct: Windows Script Component

 shb: Document Shortcut File

 shs: Shell Scrap Object

 vb: Visual Basic File

 vbe: Visual Basic Encoded Script File

 vbs: Visual Basic File (Tệp được lập trình bởi Visual Basic)

 wsc: Windows Script Component

 wsf: Windows Script File

 wsh: Windows Script Host File

 {*}: Class ID (CLSID) File Extensions

1.5 Tóm tắt nội dung chương 1

Ngày nay, với sự phát triển của internet và mạng lưới thông tin toàncầu thì mạng máy tính ngày càng khẳng định vai trò của nó Bên cạnh rất nhiều tiện ích từ mạng internet đem lại thì không thể phủ nhận rằng nó cũng là một trong những nguyên nhân lan truyền virus máy tính với tốc độ cao Trong những năm gần đây, xuất hiện

báo động đỏ về virus máy tính tại Việt Nam ngày càng tăng lên gây ảnh hưởng đến người dùng và nhiều doanh nghiệp.

Máy tính bị nhiễm Virus đồng nghĩa với thiệt hại cả về thời gian và tiền bạc Nó là mối đe dọa nghiêm trọng đối với máy tính của người dùng

Vì vậy, bằng cách tìm hiểu về virus máy tính, lịch sử và cách phòng chống virus máy tính là điều nên làm

CHƯƠNG 2 CÁC LOẠI VIRUS MÁY TÍNH, CÁCH THỨC

TẤN CÔNG2.1 Các loại virus máy tính thường gặp

Có 9 loại virus chính với khả năng gây thiệt hại khác nhau:

2.1.1 Virus Boot

Đây là loại virus có thể xâm nhập đến đĩa mềm là vị trí khởi động chính của hệ thốngmáy tính khiến máy bị chết và không thể sử dụng được Virus Boot tấn công ổ đĩa thông quathiết bị USB khi được cắm trực tiếp và khởi động máy tính

Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi độngcủa bạn sẽ được thực thi Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows,Linux hay Unix ) Sau khi nạp xong hệ điều hành, bạn mới có thể bắt đầu sử dụng máy.Đoạn mã nói trên thường được để ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi

là Boot sector

Virus Boot là tên gọi dành cho những virus lây vào Boot sector Các Virus Boot sẽđược thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạplên

2.1.2 Virus web scripting

Đối với một số trình duyệt phiên bản cũ không có tính năng bảo mật hiện đại dễ gây

ra trình trạng bị tấn công

Loại virus này thường xuất hiện tại các chương trình được sử dụng để hiển thị mộttrong web bất kỳ mà người dùng sử dụng Tất cả mọi vị trí hiển thị như: hình ảnh, video, bốcục của trang web xấu đều sẽ chứa virus này nếu như bạn vô tình vào phải

2.1.3 Virus Browser Hijacker

Loại virus này tấn công vào các cài đặt và đánh cắp quyền sử dụng trìnhduyệt, URL và các tìm kiếm nhằm đánh cắp dữ liệu hoặc lợi dụng kiếm tiền

Cách nhận biết virus Hijacker đó là sẽ gặp phải hiện tượng xuất hiện nhiều dạngtrang web khác nhau khi thực hiện một thao tác tìm kiếm bất kỳ trên trình duyệt của mình.Dạng Virus này được xem như là thường gặp phải vì nó thường ẩn trong những file dữ liệuđược người dùng tải xuống dưới dạng miễn phí

2.1.4 Virus resident

Virus resident tấn công chủ yếu vào bộ nhớ máy tính nhằm phá huỷ các tệp trong thưmục Chúng có thể hoạt động bất cứ khi nào, tức là nếu hệ điều hành khởi động thì virusresident cũng sẽ hoạt động

Virus này lây nhiễm sang các tệp khác trên máy tính của bạn Virus này còn có thểcan thiệp vào hệ điều hành của máy tính khiến phát sinh các lỗi khi bạn khởi chạy chươngtrình hoặc tệp

2.1.5 Virus tấn công trực tiếp

Virus Trojan là một loại mã hoặc phần mềm độc hại nhưng được ẩn dưới lớp vỏ củacác phần mềm hợp pháp Một Trojan được thiết kế để làm hỏng, phá hoại, đánh cắp hoặcnói chung gây ra một số hành động gây hại khác trên dữ liệu hoặc mạng của bạn.

Không giống như virus, Trojan không tự sao chép bằng cách lây nhiễm các tệp hoặcmáy tính khác Trojan tồn tại bằng cách không chú ý và có thể ngồi im lặng trong máy tínhcủa bạn, thu thập thông tin hoặc thiết lập các lỗ hổng trong bảo mật của bạn hoặc có thểchiếm lấy máy tính của bạn

Loại virus này sẽ hoạt động khi tệp hoạt động và nếu tệp không được sử dụng thìvirus cũng sẽ ngừng hoạt động

2.1.6 Virus polymorphic

Virus đa hình (Polymorphic code, Polymorphic virus): Khác với các loại virus thôngthường luôn giữ nguyên mã lệnh trong tất cả các lần lây nhiễm (đơn hình - chỉ có duy nhấtmột hình), virus đa hình là virus có khả năng tự động biến đổi mã lệnh để tạo ra các dạng

mã độc khác nhau (đa hình - nhiều hình) trong mỗi lần lây nhiễm Chính vì vậy, virus đahình có khả năng lẩn trốn một cách tinh vi trước sự truy quét của các phần mềm diệt virus.Đây là loại virus khó phát hiện và xử lý nhất

Virus đa hình thường thực hiện biến đổi mã lệnh một cách ngẫu nhiên hoặc theo mộtthuật toán dựa trên thời gian hay đối tượng lây nhiễm Có nhiều loại virus đa hình khácnhau, nhưng phổ biến nhất là đa hình mã lây nhiễm và đa hình mã phá hoại

2.1.7 Virus file Infector

Những kẻ tấn công sử dụng virus này để thực thi các mã độc hại vào chương trìnhtrong hệ điều hành máy chủ Sau đó khi hệ thống khởi động hoặc bắt đầu chương trình thìvirus cũng sẽ được kích hoạt theo

Một khi máy tính người dùng đã bị lây nhiễm, nó sẽ tìm kiếm các tập tin exe có trên

hệ thống để phát tán, sau đó là tất cả các thư mục có trong ổ đĩa sẽ bị lây nhiễm và tự tạo ramột dạng tập tin exe khiến người dùng nghĩ đó chỉ là một thư mục bình thường

Loại virus này có khả năng đánh cắp thông tin hệ thống của người dùng, chẳng hạnnhư ID đăng nhập, số seri ổ đĩa, mật khẩu máy tính và cả các thông tin lưu trữ FTP (FileTransfer Protocol) từ chương trình Filezilla FTP client Các thông tin bị đánh cắp sẽ đượclưu lại trong một tập tin DLL và được chuyển về các máy chủ điều khiển từ xa của tin tặc

2.1.8 Virus mulA

Thông thường hầu hết các loại virus máy tính chỉ thực hiện quá trình lây lan củamình theo vài phương thức nhất định nhưng đối với dòng virus đa phần thì lại khác hoàntoàn, vì chúng có thể thực hiện lây lan trên nhiều cách thức khác nhau và rất khó xử lý khigặp phải

Virus này lựa chọn tấn công trên các thiết bị mạng hoặc hệ thống bằng cáchsao chép hoặc đưa mã độc hại vào các tài nguyên quan trọng

2.1.9 Virus macro

virus macro là một loại virus được viết bằng ngôn ngữ macro: ngôn ngữ lập trìnhđược nhúng bên trong một ứng dụng phần mềm (ví dụ: bộ xử lý văn bản và ứng dụng bảng

tính) Một số ứng dụng, chẳng hạn như Microsoft Office, Excel, PowerPoint cho phép cácchương trình macro được nhúng vào tài liệu để macro được chạy tự động khi tài liệu được

mở và điều này cung cấp một cơ chế riêng biệt, từ đó máy tính độc hại có thể lây lan Đây làmột lý do có thể nguy hiểm khi mở tệp đính kèm bất ngờ trong e-mail Nhiều chương trìnhchống vi-rút có thể phát hiện vi-rút macro; tuy nhiên, hành vi của virus macro vẫn có thểkhó phát hiện

Vì virus macro lây nhiễm các loại phần mềm cụ thể thay vì hệ điều hành, chúng cóthể ảnh hưởng đến bất kỳ thiết bị nào có phần mềm tương thích như Windows, macOS vàthậm chí cả Linux

2.2 Những cái tên virus nguy hiểm

2.2.1 Melissa

Vào năm 1999, David L.Smith tạo ra một loại virus dựa trên Microsoft Word vàđược lan truyền thông qua đường email Mỗi khi có người nhận email, virus Melissa sẽngụy trang thành file Word và được đặt tên là “Đây là file Word bạn cần, đừng cho ai khácxem nhé!” Sau khi bạn click vào file Word đó, virus sẽ tự động tạo thêm 50 con nữa rồi gửiemail cho 50 người khác Virus Melissa buộc nhiều công ty và chính phủ Mỹ ngừng dùngemail do “nghẽn” mạng Mặc dù không gây ra thiệt hại lớn nhưng đây là virus đầu tiên đượcnhiều người biết đến

2.2.2 ILOVEYOU

Một năm sau khi Melissa xuất hiện, virus ILOVEYOU bắt đầu lan rộng từ Philippin.Sau khi tải file có tên LETTER-FOR-YOU.TXT.vbs được đính kèm bên trong email thìvirus sẽ xâm nhập vào máy Nó sẽ tự nhân bản và tạm thời ẩn nấp, thêm hoặc thay đổi nhiềuloại file bên trong máy rồi tiếp tục tự động gửi email đến thêm nhiều người nữa Cuối cùng,

nó tự tải một chương trình có tên WIN-BUGSFIX.EXE chuyên đánh cắp mật khẩu emailcủa bạn rồi gửi về cho hacker Theo ước tính thì virus ILOVEYOU đã gây thiệt hơn 10 tỷUSD

2.2.3 Klez

cách virus “quậy phá” sẽ khác nhau Cũng giống như các loại virus trên, Klez cũng tựnhân bản số lượng lớn và gửi đi qua đường email Những phiên bản “cao cấp” hơn có thểkhiến máy tính ngưng hoạt động, vô hiệu hóa các phần mềm diệt virus hoặc đóng giả làmphần mềm diệt virus luôn các bạn a Ngoài ra, virus Klez còn có thể giả mạo người tênngười gửi email, giúp phát tán virus dễ dàng hơn và khó truy tìm nguồn phát tán virus

2.2.4 Code Red và Code Red II

Cũng trong năm 2001, hai loại sâu (worm) Code Red và Code Red II lây lan nhanhchóng nhờ khai thác các lỗ hổng bên trong hệ điều hành Windows 2000 và Windows NT.Red Core khiến mọi máy tính bị nhiễm truy cập vào trang web của Nhà Trắng khine61 web

bị sập Còn Red Core II thì giúp hacker có thể truy cập vào máy sử dụng Windows 2000,đánh cắp mọi tài liệu, thông tin cá nhân quan trọng và còn có thể điều khiển máy tính từ xa.Các máy tính sử dụng Windows NT bị lây Red Code hon nhưng không bị nặng như các máyWindows 2000 Cuối cùng, Microsoft đã phát hành các bản vá khiến hai “con sâu” nàykhông tiếp tục lây lan nữa nhưng người bị dính vẫn phải tự mình tìm và diệt chúng

2.2.6 SQL Slammer (Sapphire)

Vào cuối năm 2003, virus SQL Slammer hay còn gọi là Sapphire tiếp tục tấn côngcác máy chủ trên toàn thế giới Rất nhiều máy chủ đã bị bị đánh sập, trong đó có hệ thốngATM của ngân hàng Bank of America, hệ thống 911 của thành phố Seattle, Mỹ và hãnghàng không Continental Airlines phải hủy nhiều chuyến bay vì hành khách không thểcheck-in Chỉ sau 15 phút, Slammer đã đánh sập hơn một nửa máy chủ quan trọng “gánhvác” toàn bộ internet Tổng thiệt hai do Slammer gây ra ước tính hơn 1 tỷ USD và khiến cảthế giới bất ngờ vì sự cố diễn ra quá nhanh

2.2.7 MyDoom

Đầu năm 2004, virus MyDoom hay Novarg xuất hiện và lây lan qua đường email.Lần này, nó tấn công các máy tính cá nhân và một cửa hậu (backdoor) giúp hacker có thể dễdàng xâm nhập và điều khiển máy tính MyDoom có thêm một vài biến thể khác, còn virusgốc thì có thể kích hoạt 2 lần nếu chúng đã nhiễm vào máy Lần đầu tiên virus được kíchhoạt vào ngày 1/2/2004 để tạo ra một cuộc tấn công từ chối dịch vụ (DoS) Lần kích hoạtthứ hai vào ngày 12/2/2004 sẽ khiến virus ngừng “sinh sôi” Tuy vậy, các máy nhiễm virusvẫn có thể bị hacker xâm nhập vì cửa hậu vẫn còn bên trong máy Đến cuối năm 2004,MyDoom tiếp tục tấn công DoS các trang công cụ tìm kiếm như Google, Yahoo, … Kết quả

là tốc độ tải cũng như thời gian tìm kiếm của các trang web này chậm hẳn đi, thậm chí làsập web

2.2.8 Sasser và Netsky

Cả hai con virus này do một thanh niên 17 tuổi người Đức có tên Sven Jaschan tạo

ra Sasser không lây qua đường email như đa phần các con virus khác Nó tìm thêm nạnnhân bằng cách quét ngẫu nhiên địa chỉ IP và lừa người khác tải virus Nếu “lỡ dại” tải virus

về máy, virus sẽ chỉnh sửa hệ điều hành sao cho khó tắt máy bằng cách nhấn shutdown màphải rút dây nguồn Còn Skynet thì lây qua đường email bằng một tập tin đính kèm Sau khi

đã lây lan đủ rộng, nó sẽ tạo ra nhiều cuộc tấn công DoS đánh sập các trang web Skynet lâylan nhiều đến nỗi có thời điểm nó chiếm 25% số virus có trên internet.2 Leap-A (Oompa-A)

Nếu tin rằng các máy tính và hệ điều hành do Apple tạo ra không bị dính virus thìbạn sai rồi Nguyên nhân chủ yếu khiến hacker không tạo virus tấn công là vì số lượng máy

của Apple quá ít so với các hệ máy khác nên sẽ không lấy được nhiều thông tin Đến năm

2006, một loại virus lây qua ứng dụng iChat của dòng Mac xuất hiện Sau khi đã lây nhiễmthành công, nó sse4 tiếp tục gửi những tài khoản iChat khác một tin nhắn chứa một bức ảnh

vô hại định dạng JPEG Mặc dù không gây ra thiệt hại đáng kể nhưng con virus này cũng đãchứng minh rằng các dòng máy của Apple không phải là “bất khả xâm phạm”

2.2.9 Storm Worm

Vào năm 2006, Storm Worm bắt đầu lây lan thông qua các email có tiêu đề “230người chết vì bão tấn công Châu Âu” Sau này, các hacker tạo thêm nhiều nội dung khácnhau như “thảm họa chết người ở Trung Quốc” hay “chiến tranh thế giới thế II sắp nổ ra” đểlừa người nhận email vào xem Trong những email đó sẽ đính kèm các đường link tải videohoặc bài báo, nếu người nhận email tò mò mở link ra xem thì sẽ tải virus về máy Sau khi bịnhiễm virus, các hacker có thể điều khiển máy từ xa, tạo ra botnet và tiếp tục gửi email rác

đi khắp nơi Đến tháng 7/2007, một số cơ quan an ninh mạng công bố phát hiện hơn 200triệu email chứa đường link tải virus Dù lan truyền rất nhanh nhưng may mắn là StormWorm dễ bị các phần mềm diệt virus phát hiện và tiêu diệt

2.3 Phương thức tấn công của virrus máy tính hiện nay và cách phòng chống

Để hiểu được phương thức tấn công của virus trước tiên chúng ta phải hiểu đượcphương thức hoạt động của máy tính Máy tính được thiết kế hoạt động bằng các lệnh ở

dạng mã máy là các dãy số nhị phân và được lập trình dẫn tới những công việc được xác

định lặp đi lặp lại nhiều lần để tổ chức thành module riêng gọi là "trình con" trong ngônngữ lập trình gọi là routine, khi thực hiện tác vụ cho routine thì trình đang chạy thực hiệnlệnh đến routine đó để thực thi một tác vụ nhất định nào đó mà người dùng yêu cầu.Các hình thức tấn công mạng phổ biến nhất hiện nay:

 Worm (phần mềm độc hại lây lan với tốc độ nhanh)

Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ hổngbảo mật Hoặc lừa người dùng Click vào một đường Link hoặc Email (Phishing) đểcài phần mềm độc hại tự động vào máy tính Một khi được cài đặt thành công,Malware sẽ gây ra những hậu quả nghiêm trọng:

Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng (Ransomware).Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng

Đánh cắp dữ liệu (Spyware)

Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt động.

Hình 2.1 Malware là hình thứ tấn công mạng rất phổ biến hiện nay

an toàn thông tin cho người dùng

Cẩn thận với các Link hoặc File lạ: Đây là phương thức lừa đảo khá phổ biến củaHacker Chúng sẽ gửi Email hoặc nhắn tin qua Facebook, đính kèm Link Download và nóirằng đó là File quan trọng hoặc chứa nội dung hấp dẫn Khi tải về, các File này thường nằm

ở dạng docx, xlxs, pptx hay pdf, nhưng thực chất là File exe (chương trình có thể chạyđược) Ngay lúc người dùng Click mở File, mã độc sẽ lập tức bắt đầu hoạt động

2.3.2 Tấn công mạng với phương thức Phishing