Báo cáo bài tập lớn tìm hiểu virus trojan house

Báo cáo bài tập lớn tìm hiểu virus trojan house

Trường Cao Đẳng Bách Khoa Hưng Yên Khoa: Công Nghệ Thông Tin Và Truyền Thông

_*** _

BÁO CÁO BÀI TẬP LỚN VIRUS MÁY TÍNH

Đề Tài : Tìm hiểu virus Trojan house

Giáo viên hướng dẫn : Đăng Đức Dũng

Sinh Viên Thực Hiện :BÙI THỊ LỤA

Lớp CĐ5 – K6

HƯNG YÊN – 10/2013

MỤC LỤC

MỤC LỤC 2

Mở Đầu!!!! 3

Chương 1: Tổng quan virus máy tính 4

1.Giới thiệu về virus máy tính: 4

1.1Virus máy tính và các tính chất 4

1.1.1Khái niệm 4

1.1.2Các tính chất 5

1.2 Lịch sử phát triển của virus 6

1.2.1 Tên của virus máy tính 8

1.2.2 Trojan 10

1.2.2.1 Định nghĩa Trojan 10

1.2.3.2 Phương pháp lây nhiễm Trojan 11

1.2.3 Sự nguy hiểm của Trojan 12

1.2.4 Phân loại Trojan 13

1.2.4.1/ Trojan dùng để truy cập tư xa: 13

1.2.4.2/ Móc nối bàn phím key logger 14

1.2.4.3 Trojan gửi mật khẩu: 14

1.2.4.4 Trojan phá hủy: 15

1.2.4.5 FTP Trojan 15

1.2.5 Mục đích của Trojan 16

1.2.6 Phương thức hoạt động của Trojan 17

1.2.7 Cổng của một số loại Trojan thông dụng 18

2 KỸ THUẬT NHẬN DẠNG VIRUS 19

2.1 Nhận dạng chính xác mẫu (Signature based delection) 19

2.1.1 Nhận dạng theo mã đại diện 20

2.1.2 Lấy đại diện theo toàn file 20

2.1.3Lấy đại diện theo một phần thông tin quan trọng 21

2.1.4 Scan theo string 21

2.1.5 Xét theo offset tĩnh hoàn toàn 21

2.1.6 Xét theo vị trí offset tương đối 22

2.1.7 Nhận dạng hành vi đáng ngờ 23

2.1.8 Kiểm soát liên tục 23

2.1.9 Kết hợp các phương thức 24

2.2 PHƯƠNG PHÁP PHÁT HIỆN VIRUS 25

2.2.1 Quét (scanner) 25

2.2.2 Checksum (kiểm tra tổng) 25

2.2.3 Guard (canh phòng) 26

CHƯƠNG 3 PHÒNG CHỐNG VIRUS 27

1 DÒ TÌM TRONG BỘ NHỚ 27

1.1 Đối với B-Virus: 27

1.2/ Đối với RF-Virus: 28

2 DIỆT VIRUS VÀ KHÔI PHỤC DỮ LIỆU 28

2.1 DIỆT Virus Trojan 29

2.2 KHÔI PHỤC DỮ LIỆU 29

CHƯƠNG 4:TỔNG KẾT 31

Mở Đầu!!!!

Virus tin học hiện nay đang là nỗi băn khoăn lo lắng của những ngườilàm công tác tin học, là nỗi lo sợ của những người sử dụng khi máy tínhcủa mình bị nhiễm virus Khi máy tính của mình bị nhiễm virus, họ chỉbiết trông chờ vào các phần mềm diệt virus hiện có trên thị trường, trongtrường hợp các phần mềm này không phát hiện hoặc không tiêu diệtđược, họ bị lâm phải tình huống rất khó khăn, không biết phải làm nhưthế nào Vì lý do đó, có một cách nhìn nhận cơ bản về hệ thống, cơ chế

và các nguyên tắc hoạt động của virus tin học là cần thiết Trên cơ sở đó,

có một cách nhìn đúng đắn về virus tin học trong việc phòng chống,kiểm tra, chữa trị cũng như cách phân tích, nghiên cứu một virus mớixuất hiện Ứng với mỗi hệ điều hành đều có những loại virus hoạt độngriêng trên nó như ứng với hệ điều hành DOS ta có virus DOS, ứng với hệđiều hành Windows ta có virus Windows Và sự phát triển của tin họcgắn liền với nó là sự phát triển của virus tin học mỗi khi có một phầnmềm, một chương trình, một hệ điều hành mới xuất hiện thì virus mớicũng xuất hiện theo và kéo theo đó là chương trình diệt virus Vì vậyviệc nghiên cứu, nhận dạng và phát hiện virus để từ đó có biện phápthích hợp để ngăn chặn và phòng trừ virus đạt kết quả cao nhất

Chương 1: Tổng quan virus máy tính

Để phát hiện và diệt được virus tin học thì trước hết phải hiểu rõ đượcbản chất của chúng Về nguyên tắc chung, công việc diệt virus thì đaphần là làm ngược lại những gì mà virus đã làm Vì vậy, chương này tậpchung nghiên cứu vào nội dung liên quan đến cơ chế hoạt động của virus

để làm rõ bản chất virus của tin học Từ đó xây dựng chương trình tìm vàdiệt virus

1.Giới thiệu về virus máy tính:

và tiến hành các thao tác lỗi,

vô nghĩa, đôi khi là thao tác

phá hoại Khi 1 virus nhiễm

vaò đĩa nó tự lây lan bằng

các gắn vào các chương

trình khác trong hệ thống

Giống như virus ở người tác hại của virus máy tính có thể chưa phát hiệntrong thời gian vài ngày hay vài tuần Trong thời gian đó ( có thê ghi )đưa vào hệ thống máy tính đề mang theo 1 bản sao ẩn của virus đó – cácđĩa này đều bị nhiễm virus.Khi virus phát tác chúng gây ra nhiều hậuquả: Từ những thong báo bậy bạ đến những tác động làm lệch lạc khảnăng thực hiện của phần mềm hệ thống, hoặc xóa sạch mọi thông tin trênđĩa cứng

 Tính ẩn: tính chất này àm cho virus tránh được sự phát hiện củachương trình anti- virus và tăng tốc lây nhiễm, đảm bảo sự tồn tạicủa nó Virus có thể giảm tối đa kích thước của mình bằng cáchtối ưu hóa mã lệnh của nó hoặc sử dụng 1 số giải thuật tự nén vàgiải nén Tuy nhiên điều này cũng có nghĩa là virus phải giảm tốc

độ phứ tạp của nó dễ dàng cho các trình lập viên phân tích mãlệnh

 Tính phá hoại : tính chất này có thể không có ở 1 loại virus vì đơngiản chúng chỉ được viết ra để “ thư giãn” hoặc kiểm nhiệm khảnăng lây lan mà thôi Tuy nhiên nhiều loại virus có khả năng pháhoại rất cao

1.2 Lịch sử phát triển của virus

Có thể nói lịch sử của Viruses máy tính gắn liền với lịch sử của sự phát

Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giảnchỉ là một thú đùa vui ác ý Nhưng chỉ có điều những cái đầu thông minhnày khiến những người dùng máy tính bực mình khi gặp phải, còn cácchuyên gia antivirus đau đầu suy nghĩ cách khắc phục Những người viếtviruses luôn luôn nghĩ ra những ý tưởng mới còn những người diệtviruses thì luôn phải ngăn chặn Và cuộc đấu trí này gần như không baogiờchấmdứt

Lý thuyết về nguyên lý hoạt động của Virus máy tính được John vonNeumann đưa ra đời từ rất sớm, trong bài báo với nhan đề "Lý thuyết và

cơ cấu của các phân tử tự hành phức tạp" (Theory and Organization ofComplicated Automata) - Bài báo được công bố tháng 12/1949 Trongbài viết này John von Neumann đã nêu ra lý thuyết về sự tự nhân lênnhiều lần của một chương trình máy tính Nhưng các đồng nghiệp củaông lại dè bỉu về ý tưởng này nhưng điều này cũng dễ hiểu vì nhữngchiếc máy tính điện tử (Electronic computer) đầu tiên được phát triểnnhiềunămsauđó

Vào năm 1989 virus

AIDS Trojan

Xuất hiện AIDS Trojan

hay còn gọi là con ngựa

thành Tơ Roa, chúng không phải la virus máy tính nhưng luôn đi cùngvirus máy tính Những con virus này khi dã gắn vào máy tính thì nó sẽlấy cắp một số thông tin trên đó và gửi đến một địa chỉ mà chủ của chúngựa này muốn vận chuyển đến hoặc đơn gản là phá hủy giữ liệu trênmáy tính đó

Virus này nổi tiếng vì có khả năng khống chế giữ liệu giống như con tin

Nó được gửi đi dưới dạng một chương trình thông tin về bệnh suy giảm

hệ miễn dịch Khi được kích hoạt, AIDS sẽ mã hoá ổ cứng của nạn nhân

và yêu cầu người sử dụng phải nộp tiền nếu muốn được giải mã

Vào năm 1990 Thị trường trao đổi virus đầu tiên (VX) được tung lênmạng từ Bulgaria Tại đây, các tin tặc có thể buôn bán mã và giao lưu ýtưởng Cùng năm này, cuốn "Sách đen về virus máy tính" (The Blackbook of Computer Viruses) của tác giả Mark Ludwig được xuất bản

1.2.1 Tên của virus máy tính.

Tên của virus nói chung thường được đặt bởi nhà ngiên cứu đầu tiên gặpvirus đó Vấn đề là nhiều nhà nghiên cứu có thể cùng gặp những virusmới giống nhau cách đặt tên của mỗi người thì lại khác nhau

viêc các công ty phàn mềm cạnh tranh nhau để được là đơn vị đầu tiênđăt tên cho một loại virus mới hiện nay thường gặp vơi rất nhiều danhtính

bất đồng về tên và cách đặt tên những loại virus đã tạo ra những điềukhó hiểu trong lĩnh vực này từ đó dẫn đén những khó khăn trong biênpháp đối phó và góp phần cho virus phát tán Đây cũng là chủ đề đưa rathảo luận tại hội nghị toàn cầu về chông virus Tổ chức tại Toronto –Canada cuối tháng 9 / 2003.

Kiểu đặt tên mang tính kĩ thaautj thì quan trọng dối với ccs chuyên giavirus , họ có thể biết được con virus đó thuộc loại nào phiên bản thứ mấythong qua tên gọi của virus Những điều đó lại không quá quan trọng đốivới hầu hết nhwnwngx người sử dụng máy tính, những người thường có

xu hướng nhớ tên virus như I love you, malisa ( nhớ tên theo sự kiệnthay vì VBS

Tóm lại, bất đồng trong việc dặt tên cho virus ủ những nhà nghiên cứuhay công ti phần mềm an ninh mạng tạo ra cho virus cùng nhiều laoij tênkhác nhau Điều đó tạo ra sự lẫn lộn cho nhiều người nhưng đối với phầnmềm diệt virus chỉ xem xét những đặc điểm và dâu hiệu nhận biết củavirus mà không quan tâm đến tên của loại virus đó

Virus Trojan: Thuật ngữ này đưa vào 1 một điển tích cổ, đó là1 cuộcchiến giữa người Hy lạp và người thành tơ roa Thành Tơ roa làthành trì kiên cố, quân hy lạp không sao có thể đột nhập vào được người

ta đã ngĩ ra 1 kế giả vờ giảng hòa, sau đó tặng thằng Tơ roa 1 con ngựa

gỗ khổng lồ SAu khi ngựa được đưa vào trong thành, đêm xuống nhữngngười từ trong bụng ngựa xông ra và đánh chiếm thành từ bên trong

Phương pháp trên cũng chính là cách mà Trojan máy tính áp dụng Đầutiên hacker bằng cách nào đó làm cho nạn nhân sư dụng chương trìnhcủa mình khi chương trình này chạy về bề ngoài cũng giống như nhữngchương trình bình thường Tuy nhiên song song với chương trình đó,một phần của Trojan sẽ bí mạt cài lên máy tính của nạn nhân đến 1 thời

điểm định trước nào đó chương trình này sẽ thực hiện việc xóa dữ liệuhay guiwr những thong điệp mà hacker muốn lấy đến 1 địa chỉ đã địnhtrước ở trên mạng.

Khác với virus, Trojan là 1 đoạn mã mà chương trình không có tính chấtlây lan Nó chỉ có thể cài đặt khi kích hoạt và lấy nhiễm trên máy tínhkhác khi có người cố ý gửi đi , còn virus thì tự động tìm kiếm nạn nhân

để lây lan

Thông thường các phần mềm có chứa Trojan được phân phối như là cácphần mềm tiện ich, phần mềm mới hấp dẫn nhằm dễ thu hút ngườ sửdụng Bên cạnh các Trojan ăn cắp thong tin truyền thống, một số kháiniệm mới được dung đẻ đặt tên cho các Trojan mang tính chất riêng biệt:

Back door: là loại Trojan sau khi đã cài đặt vào máy nạn nhân sẽ tự mở

ra 1 cổng dịch vụ cho phép kẻ tấn công( hacker) có thể kết nối từ xa tớimáy nạn nhân, từ đó sẽ nhận lệnh và thực hiện lệnh mà kẻ tấn công đưa

ra

Phần mềm quang cáo bất hợp pháp –ADWARE và phần mềm gián điệpSpyware: gây khó chịu cho người dùng khi chúng cố tình thây đổi trangweb mặc định ( home page),các trang tìm kiếm mặc định….hay liên tục

tự động hiện ra các trang web quảng cáo khi ta đang duyệt web chúngthường bị xâm nhập vào máy của ta khi ta vô tình “ ghé thăm” nhữngtrang web có nội dung không lành mạnh, các trang web bẻ khóa phầnmềm… hoặc đi theo các phần mềm miễn phí đáng tin cậy, các phần mềm

bẻ khóa( crack, keygen)

1.2.2 Trojan

1.2.2.1 Định nghĩa Trojan

Nhiều người nghĩ rằng khi họ có 1 chương trình quét virus tốt và có cậpnhật mới nhất thì họ sẽ an toàn, máy họ sẽ không bị nhiễm Trojan haykhông ai có thể truy cập máy tính của mình, điều này hoàn toàn sai Mụcđích của người viết chương trình chống virus là phát hiện ra con virusmới, không phải là Trojan Nhưng khi Trojan lây nhiễm đến nhiều người

sử dụng thì những chuyên viên chống lại virus phát hiện được và đưavào trong danh sách những virus cần diệt

Hơn nữa, các chương trình quét virus này không phải là tương lửa, nó sẽkhông phát hiện ra Trojan và bảo vệ ta trong khi ta đang lên mạng.Nhiều người không dùng không biết Trojan là gì và họ tải xuống nhữngfile mà không rõ nguồn gốc

1.2.3.2 Phương pháp lây nhiễm Trojan

Theo só liệu thống kê của trung tâm BKIS 90% số người được hỏi có tảixuống hay sao chép file từ đâu đó không thì trả lời là không, nhưng thực

tế họ đã thực hiện trước đó vài ngày

Trojan có thể bị lây nhiễm từ rất nhiều con đường khác nhau:

 Trojan lây nhiễm từ ICQ

 Trojan lây nhiễm từ file đính kèm trong mail

 Trojan truy cập trực tiếp

a) Trojan lây nhiễm từ ICQ

Nhiều ngườ ngĩ rằng Trojan không thể lây lan trong khi họ đang nóichuyện trên ICQ nhưng họ không ngĩ là người đang nói chuyện cóthể gửi cho họ 1 con Trojan

ICQ cho phép gửi 1 file.exe nhưng nó đã được sửa sao cho nhìn như

có ve file hình ảnh, âm thanh…VD: co 1 con Trojan được kẹp chung

vứ file hình ảnh và người gửi đã thay đổi biểu tượng của file.exethành biểu tượng file.bmp, người nhận sẽ chạy con Trojan đó màkhông hề ngi ngờ vì khi chạy file.exe đó nó vẫn thực hiện lên hìnhảnh như 1 file ảnh Kết quả là trên máy người nhận đã có 1 conTrojan Đó là lí do hầu hết người dùng nói rằng họ không chạy bất kìfile lạ nào trong khi họ đang chạy nó

Một cách ngăn ngừa tốt nhất là luôn kiểm tra file trước khi chạy

b)Trojan lây nhiễm từ fle đính kèm trong mail

Đa số Trojan được lây lan băng mail Các hacker hay chủ nhân củaTrojan thường đính kèm file Trojan vào trong một bức thư điện tử vàgửi đi Khi người dùng kích hoạt vào file đính kèm hay cả khi xem hưthì con Trojan đã có thể được kích hoạt xâm nhập vào hệ thong vàthực hiện chức năng đó

c)Trojan truy nhập trực tiếp

Một máy tính ngay cả khi được trang bị tốt nhất với những biện phápbảo vệ, chương trình diệt virus tốt nhất thì cũng không thể làm gìtrước sự truy cập trực tiếp của người cố tình đưa Trojan vào máy tính.

1.2.3 Sự nguy hiểm của Trojan

Đa số mọi người cho răng Trojan không có gì là nguy hiểm, vì máytính của họ vẫn lm việc bình thường và tất cả dữ liệu vẫn còn, nếu đó

là một con virus thì dữ liệu đã có có thể mất sạch hay hoạt độngkhông bình thường

Khi máy tính bị nhiễm Trojan, tất cả dữ liệu trên máy tính có thể bịnguy hiểm, thường thì chủ nhân của Trojan này không xóa tất cả file,

mà họ sẽ sao chép về khai thác tài liệu bí mật của công ty, tài khoảnintenet, tài khoản cá nhân và khi không có gì khác có thể thực hiệnxóa dữ liệu Đôi khi hacker còn dùng Trojan để cài virus phá hoạinhư CIH chẳng hạn

1.2.4 Phân loại Trojan

Có nhiều loại Trojan nhưng chủ yếu được chia thành các dạng:

1.2.4.1/ Trojan dùng để truy cập tư xa:

Đây có lẽ là trojan công khai sử dụng nhiều nhất , chỉ vì họ cung cấpcho những kẻ tấn công sức mạnh để làm những việc hơn trên máytính của nạn nhân hơn là nạn nhân của chính nó, trong khi đứng ởphía trước của máy Hầu hết các trojan thường là một sự kết hợp của

các biến thể khác, bạn sẽ đọc dưới đây Ý tưởng của các trojan là đểcho những kẻ tấn công một việc truy cập vào máy tính của ai đó, và

do đó truy cập vào các tập tin, trò chuyện riêng tư , dữ liệu kế toán,vv

Hiện nay, Trojan này được sử dụng nhiều Chức năng chính củaTrojan này là mở 1 cổng trên máy tính nạn nhân để hacker có thểquay lại truy cập vào máy nạn nhân

Trojan này rất dễ sử dụng, chỉ cần nạn nhân bị lây nhiễm Trojan vàchủ nhân của nó có địa chỉ IP của nạn nhân thì họ có thể truy cập toànquyền trên máy nạn nhân

Tùy loại Trojan mà chức năng của nó khác nhau( key logger,download, upload file, thực hiện lệnh)

Một só trojan nổi tiếng như netbus, bach orifice…

1.2.4.2/ Móc nối bàn phím key logger

Những trojan rất simple.The chỉ có một điều họ làm là để đăng nhậpcác tổ hợp phím của nạn nhân và sau đó để tìm kiếm kẻ tấn công chomật khẩu hoặc dữ liệu nhạy cảm khác trong các tập tin đăng nhập Hầu hết họ đến với hai chức năng như ghi âm online và offline Tấtnhiên họ có thể được cấu hình để gửi các tập tin đăng nhập vào mộtđịa chỉ e- mail cụ thể trên cơ sở hàng ngày VD: kuang keylogger, hooker,kuang2…

1.2.4.3 Trojan gửi mật khẩu:

Mục đích của các trojan là rip tất cả các mật khẩu được lưu trữ và tìm kiếm các mật khẩu khác bạn nhập sau đó gửi chúng đến một địa chỉ mail

người dùng nhập tên đăng nhập + mật khẩu đang được gửi trở lại địa chỉ

e -mail của kẻ tấn công , mà trong nhiều trường hợp được đặt tại một số trang web dựa trên cung cấp dịch vụ e -mail miễn phí Hầu hết trong số

họ không khởi động lại khi Windows được nạp , như ý tưởng là để thu thập càng nhiều thông tin về máy tính của nạn nhân như mật khẩu , các bản ghi mIRC , ICQ cuộc đàm thoại và mail cho họ , nhưng nó phụ thuộc vào nhu cầu của những kẻ tấn công và tình hình cụ thể

1.2.4.4 Trojan phá hủy:

Chức năng duy nhất của các trojan là để tiêu diệt và xóa các tập tin Điều này làm cho họ rất đơn giản và dễ sử dụng Họ có thể tự độngxóa tất cả các tập tin hệ thống cốt lõi của bạn (ví dụ : Dll, ini hoặccác tập tin exe , có thể những người khác ) trên máy tính của bạn Trojan được kích hoạt bởi các kẻ tấn công hoặc đôi khi hoạt độngnhư một quả bom logic và bắt đầu vào một ngày cụ thể và vào giờ cụ thể.

1.2.5 Mục đích của Trojan

Nhiều người ngĩ rằng hacker dùng Trojan chỉ để phá hoại máy của

họ, điều đó hoàn toàn sai lầm Trojan là một công cụ rất hữu hiệungười sử dụng nó tìm được rất nhiều trên máy nạn nhân

 Thông tin về credit card thông tin về khác hang

 Tìm kiếm thông tin về account và dữ liệu bí mật

 Danh sách địa chỉ email, địa chỉ nhà riêng

 Account Passwords hay tất cae những thông tin cơ vệ công ty