Trường CĐ CNTT Hữu Nghị Việt Hàn Khoa Khoa Học Máy Tính Tìm hiểu về Virus và Worm Mô-đun GVHD : Lê Tự Thanh Nhóm 19 : Đặng Ngọc Thông Võ Minh Thành Giới thiệu Virus Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách  đính kèm bản sao của chính nó vào các code thực thi khác Một số Virus ảnh hưởng đến máy tính ngay sau khi code của nó được thực  hiện, một số Virus khác nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được  kích hoạt Nhóm 19-CCMM03A Số liệu thống kê Virus và Worm 2010 Top 13 quốc gia có máy chủ lưu trữ code độc hại Nhóm 19-CCMM03A Vòng đời của Virus Thiết kế Phát triển code Virus bằng cách sử dụng các ngôn ngữ lập trình hoặc bộ dụng cụ xây dựng Nhân rộng Virus sao chép vào hệ thống trong một khoảng thời gian và sau đó chính nó sẽ lây lan Loại bỏ Người dùng cài  đặt bản cập  nhật chống Virus và  loại bỏ các mối đe  dọa từ Virus Kích hoạt Nó được kích hoạt bởi người dùng khi thực hiện một số hành động như chạy một chương trình bị nhiễm Công ty Phần mềm chống  Virus được phát triển  để bảo vệ và chống  lại Virus Phát hiện Virus được xác định  là mối đe dọa lây  nhiễm cho các hệ  thống  Nhóm 19-CCMM03A Hoạt động của Virus : Giai đoạn lây nhiễm Trong giai đoạn lây nhiễm, Virus sao chép chính nó và gắn vào một file exe trong hệ thống Một số Virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực  khác  khi người dùng kích hoạt vào chúng, có thể là một ngày, một khoảng thời gian, hoặc một sự  kiện đặc biệt nào đó Trước khi nhiễm File sạch Sau khi nhiễm File đã  nhiễm Virus Nhóm 19-CCMM03A Hoạt động của Virus : Giai đoạn lây nhiễm Một số Virus có những sự kiện thực thi để kích hoạt và làm hỏng hệ thống Một số Virus tạo lỗi tái tạo và thực hiện các hoạt động như xóa tập tin và tăng thời gian của phiên  làm việc Nó làm hỏng các mục tiêu sau khi đã lây lan thành công như âm mưu của người tạo ra nó File chưa phân mảnh trước khi bị tấn công File đã bị phân mảnh do sự tấn công của Virus Nhóm 19-CCMM03A Tại sao người ta lại tạo ra Virus máy tính ? Gây thiệt hại cho các đối thủ cạnh tranh Lợi ích tài chính Kẻ tấn công Dự án nghiên cứu Trò đùa Phá hoại Khủng bố mạng lưới Phân phát các thông điệp chính trị Hệ thống có thể công kích Nhóm 19-CCMM03A Dấu hiệu Virus tấn công Bộ xử lí tốn  nhiều thời  gian và tài  nguyên Không có  tiếng bíp  máy tính Nhãn ổ đĩa  bị thay đổi Máy tính bị  chậm khi  chương trình  bắt đầu chạy Máy tính  thường  xuyên bị  đóng băng  hoặc gặp  phải lỗi Không thể  tải được sự  hoạt động  của hệ  thống Sự cảnh báo  của chương  trình chống  Virus File và thư  mục bị mất ổ cứng bị  truy cập  thường  xuyên Cửa sổ trình  duyệt “đóng  băng” Hoạt động bất thường Nếu hệ thống hoạt động theo  cách thức chưa từng thấy, bạn có thể nghị ngờ bị Virus tấn công Dương tính giả Tuy nhiên không phải tất cả  các trục trặc có thể là do Virus  tấn công Nhóm 19-CCMM03A Máy tính bị nhiễm Virus như thế nào ? Không chạy ứng dụng  anti-Virus cập nhật mới  nhất Không cập nhật và không  cài các phiên bản bổ sung  mới  Khi người dùng truy cập file  và tải về mà không kiểm tra  nguồn có an toàn hay không Cài đặt các phần mềm bí  mật Mở các e-mail có file  đính kèm bị nhiễm Nhóm 19-CCMM03A Phân tích Virus : W32/Total-A là  một Virus email-nhận thức gửi đến như là 1 file đính kèm gọi là BinLaden_Brasil.exe Phần nội dung của email sẽ liên quan đến cuộc xung đột ở Afghanistan Nhóm 19-CCMM03A Phân tích Virus : Các thông báo trống có header MIME được mã hóa để khai thác lỗ hổng  trong IE 5.01/5.5 để chạy một tập tin đính kèm tự động khi các email được  xem Nếu tập tin đính kèm được thực thi, nó thả các tập tin thư viện INVICTUS.DLL vào  thư mục hệ thống Windows và Virus vào thư mục Windows, bằng cách sử dụng  ngẫu nhiên tên 3 kí tự bao gồm phần trên chữ ‘A-O' Virus cũng có thể tạo một bản sao của chính nó trong thư mục C: \, các file của  các bản sao Virus sẽ có thuộc tính ẩn và chỉ đọc Virus này thêm vào đường dẫn của nó vào dòng "shell =" trong đoạn [Boot]  của System \.ini, chính điều này mà Virus được chạy tự động mỗi  khi máy được khởi động Virus này làm cho ổ đĩa C: chia sẻ được bằng cách thiết lập các khóa khác nhau: Nhóm 19-CCMM03A Phân tích Virus : Đặc  biệt,nó thường nhắm  vào các mục tiêu  là netstat.exe và Ic.exe Mỗi khi bạn khởi  động Windows  Explorer, Virus sẽ chạy  và lây nhiễm file  HH.EXE vàExplorer.exe Virus này sẽ tìm  kiếm các chương  trình chống Virus đang  hoạt động và cố  gắng để chấm dứt  chúng Hộp tin nhắn có tiêu  đề 'Worm/IWorm/W32.BinLade n' và chứa bên  dưới văn bản Khẩu hiệu đầy màu  sắc khác  nhau sẽ được hiển  thị trên màn hình  desktop, cùng với  hộp tin nhắn Trong những  dịp hiếm hoi  mà Virus được  chạy, nó sẽ kích hoạt  1 visual payload Văn bản được cố ý che đậy để che giấu nội dung xúc phạm Nhóm 19-CCMM03A Phân tích Virus : Nhóm 19-CCMM03A Phân tích Virus : Virus sẽ cố gắng để tải về  thông tin về người sử  dụng khác từ trang  ICQ từ xa bằng cách tìm  kiếm "trang trắng" cho một  danh sách các từ khóa bao  gồm: "lịch sử", "bạn  bè", “chuyến bay" Virus sau đó sẽ gửi tới địa chỉ email mà nó tìm thấy trong các trang được tìm thấy Tiến trình Virus bình thường sẽ  chấm dứt sau 5-10 phút, nhưng  cũng có thể được chấm  dứt bằng cách sử dụng Task  Manager Biện pháp đối phó: Microsoft đã ban hành một bản vá để bảo vệ lỗ hổng này tại : Nhóm 19-CCMM03A Phân tích Virus : Virus này là một tập đa hình thường trú trong bộ nhớ gắn thêm tập  tin infectors có khả năng EPO (che khuất Entry Point) Virus này định vị một mức nhất  định của byte từ  điểm nhập cảnh của tập tin  gốc và viết decryptor ban đầu  của nó có Virus này viết code ban đầu của  nó vào một khoảng trống (không  gian trống rỗng) trong kết  thúc của phần code tập tin ban  đầu và chuyển địa chỉ vào code Phương thức lây nhiễm Nó gắn thêm code của nó đến  cuối của tập tin và thay đổi điểm  vào địa chỉ của chương trình ban  đầu, do đó nó trỏ nối thêm  chỗ bắt đầu của code Virus Nhóm 19-CCMM03A Phân tích Virus : Trang web độc hại Trang web độc hại Ng ườ tra i dùn n g  we g truy b đ   ộc  cập  hại Viru ngư s lây  ời d nhiễ ùng m v  má ào  y tí nh Trang wed và file  bị thay đổi bởi  Virus Người dùng xuất các  tập tin bị nhiễm vào  máy chủ web Virus cố gắng thực hiện những hành động sau đây Cố gắng để lây nhiễm . Ex * và/hoặc các file scr Cản trở hoạt động bảo vệ tập tin được cung cấp bởi Windows Nhúng các lệnh để cho người dùng truy cập php,  asp. htm và file html trong các trang  web trong **, nơi mà Virus đã ở sẵn trước Chuyển  hướng  đến  trang  Ng nh ười d web  iễm ùn độc hại  bở g b i V ị  i ru s N cậ gườ p t i d ran ùn g w g kh eb ác   bị tru  nh y  iễm Virus  lây  nhiễm  người  dùng  máy  tính 21 Nhóm 19-CCMM03A Phân loại Virus Virus  System hoặc  Boot sector Virus file Virus  Multipatite Virus  Stealth/  Virus  Tunneling Virus  cluster Virus  macro Nó lây nhiễm như thế nào ? Virus  encrytion Virus  polymophic Virus  Metamorphic Virus  overwriting  File hoặc  Virus Cavity Virus   sparse  Infector Virus  Companion/ Camouflage Virus Shell Virus file  extension Virus  Intrusive Virus Direct  Action hoặc  virus  Transient Virus   terminate and  stay  resident(STR) Virus add-on Nó lây nhiễm như thế nào ? 25 Nhóm 19-CCMM03A Virus System or Boot sector Virus boot sector di chuyển MBR đến vị trí khác trên đĩa cứng và sao chép chính nó  vào vị trí ban đầu của MBR Khi hệ thống khởi động, code Virus được thực thi đầu tiên và sau đó kiểm  soát được thông qua MBR ban đầu Trước khi lây nhiễm Sau khi lây nhiễm code vi rút 26 Nhóm 19-CCMM03A Virus File and Multipartite Virus file Virus file lây nhiễm các file được  thực thi hoặc diễn giải trong hệ  thống như EXE,  COM. SYS, OVL, OBI, PRG, MNU và  file BAT Virus File có thể là hành  động trực tiếp (không thường  trú)hoặc thường trú trong bộ nhớ Vi rút multipartite Virus multipartite  tấn  công cả hai là boot sector  và các file hoặc chương  trình thực thi cùng một lúc 27 Nhóm 19-CCMM03A Virus Macro Macro lây nhiễm kích hoạt tài liệu Kẻ tấn công Người dùng Hầu hết các Virus  macro được  viết bằng cách sử  Virus Macro lây nhiễm các tập dụng ngôn  ngữ macro Visual  tin được tạo ra bởi Basic cho Microsoft Word Ứng dụng (VBA) hoặc Excel Virus Macro lây  nhiễm các  mẫu hoặc chuyển đổi  các tài liệu bị nhiễm  vào các file mẫu,  trong  khi duy trì sự xuất hiệ n các file  tài liệu thông thường 28 Nhóm 19-CCMM03A Virus Cluster Virus cluster thay đổi các mục bảng thư mục để các mục thư mục trỏ đến các code vi rút thay vì chương trình thực tế Chỉ một bản sao của Virus trên đĩa lây nhiễm cho tất cả các chương trình trong hệ thống máy tính Nó sẽ khởi động chính nó đầu  tiên khi bất kỳ chương  trình trên hệ thống được bắt đầu  và sau đó kiểm soát thông  qua chương trình thực tế 29 Nhóm 19-CCMM03A Virus Cavity or File Overwriting Virus Cavity ghi đè lên 1 phần của file nguồn với 1 hằng số(thường rổng),  mà không tăng độ dài của file và giữ nguyên chức năng của file File bị nhiễm File gốc 34 Nhóm 19-CCMM03A Virus Shell Code Virus tạo thành một shell xung quanh mục tiêu code của chương trình, làm cho bản thân chương trình ban đầu và code máy đích là thường xuyên phụ thuộc vào nó Hầu hết các Virus boot là Virus Shell Trước khi lây nhiễm Chương trình gốc Sau khi lây nhiễm code viirut Chương trình gốc 37 Nhóm 19-CCMM03A Virus File Extension Virus Extension thay đổi phần mở rộng của file .TXT an toàn vì nó chỉ ra một tập tin văn bản thuần túy Với phần mở rộng bị tắt, nếu ai đó gửi cho bạn  file có tên BAD.TXT.VBS, bạn sẽ chỉ nhìn  thấy BAD.TXT Nếu bạn không biết rằng các phần mở rộng  được tắt, bạn có thể nghĩ rằng đây là một file  văn bản và mở nó Đây là một Virus thực thi Visual Basic Script và có thể làm thiệt hại nghiêm trọng Biện pháp đối phó là để tắt "phần mở rộng  tập tin ẩn" trong Windows 38 Nhóm 19-CCMM03A Virus Add-on and Intrusive Virus add-on thêm code của chúng vào code đích mà không làm thay đổi sau này hoặc di dời  code đích để tự chèn thêm code của chúng khi bắt đầu Chương trình gốc Code Virus Chương trình gốc Code Virus Nhảy Nhảy Virus xâm nhập ghi đè lên 1 phần của code đích hoặc hoàn toàn lên code đối thủ Chương trình gốc Code Virus Chương trình gốc 39 Nhóm 19-CCMM03A Viết chương trình Virus đơn giản Gửi file game.com như  là file đình kèm email  đến các nạn nhân Tạo hàng loạt file Game.bat với dòng text sau: Chuyển đổi hang loạt file Game.bat thành file Game .com sử dụng công cụ bat2com Khi chạy nó xóa file core  trong thư mục WINNT  làm cho Windows không  sử dụng được 41 Nhóm 19-CCMM03A 44 Nhóm 19-CCMM03A Worm máy tính Worm máy tính là chương trình độc hại có thể  tái tạo thực thi và lây lan thông qua kết nối  mạng 1 cách độc lập mà không tương tác với  con người Hầu hết worm được tạo chỉ có thể tái tạo và lây  lan thông qua mạng, tiêu thụ tài nguyên máy  tính; tuy nhiên 1 vài worm mang payload tàn  phá hệ thống Kẻ tấn công sử dụng worm payload để cài đặt  vào cửa sau của máy tính bị nhiễm, sẽ bật chúng  trở thành thây ma và tạo botnet; những botnet  này có thể sử dụng để mang tấn công đến không  gian mạng 46 Nhóm 19-CCMM03A Worm khác Virus như thế nào ? Worm là 1 dạng đặc biệt của Virus có thể tự nó tái  tạo và sử dụng bộ nhớ, nhưng không thể tự nó tấn  công  chương trình khác Worm lợi dụng file hoặc tính năng vận huyển thông  tin trên hệ thống máy tính và lây lan tự động thông  qua mạng nhưng Virus thì không làm như vậy 47 Nhóm 19-CCMM03A Ví dụ về sự lây nhiễm của Worm : Worm Conficker Worm Conficker là một worm máy tính có thể lây nhiễm và tự nó lây lan sang các máy tính khác thông qua mạng một cách tự động, mà không tương tác con người File autorun.inf được  đặt trong  thư  mụcthùng rác Người dùng bị  khóa bên ngoài  của thư mục Truy cập an toàn-liên  quan trang web bị  chặn Triệu chứng Truy cập với quyền  admin vào ổ đĩa  chia sẽ bị từ chối Lưu lượng truy cập được  gửi qua port 445 trên  máy chủ non-Directory  Service(DS) 48 Nhóm 19-CCMM03A Worm Confiker làm những công việc gì ? Worm Conficker có thể vô hiệu hóa các dịch vụ quan trọng trong máy tính của bạn Trong hộp thoại autoplay, lựa chọn Open folder to view files – Publisher not specified được thêm vào bởi worm Lựa chọn đánh dấu, Open folder to view files – using Windows explore là lựa chọn windows có thể cung cấp và lựa chọn cho bạn sử dụng Nếu bạn chọn lựa chọn đầu tiên, sâu sẽ thực thi và bắt đầu tự lây lan qua các máy khác 49 Nhóm 19-CCMM03A Worm Conficker hoạt động như thế nào ? Máy tính có chính sách bảo mật  riêng, cập nhật an ninh, chống Virus  và chia sẽ an toàn Các máy tính được chia sẽ  với mật khẩu yếu Thiết bị di động Conficker cố gắng kết nối nhiều  máy tính thông qua mạng Máy tính với chia sẻ được mở Máy tính không cập nhật  an ninh mới nhất 50 Nhóm 19-CCMM03A Phân tích Worm : : W32/Netsky là một worm lây lan sử dụng email và và chia sẻ qua mạng Windows Nó tìm tất cả ánh xạ ổ đĩa của file có phần mở rộng để tìm thấy địa chỉ email: Worm cũng sẽ  cố gắng sao  chép chính nó  vào trong thư  mục root của ổ  đĩa C: đến Z: sử  dụng các tên  file sau ; 51 Nhóm 19-CCMM03A Phân tích Worm : : W32/Netsky-A có thể tới email với những đặc điểm sau: Khi một file được  giải nén và mở thì  Virus có thể hiện  thị dòng tin nhắn  “The file could  not be opend “ W32/Netsky-A sao  chép chính nó vào  trong thư mục  Windows như  services.exe Để tự động chạy  mỗi khi Windows  khởi động  W32/Netsky-A tạo  1 registry 52 Nhóm 19-CCMM03A Tạo Worm : 54 Nhóm 19-CCMM03A Virus và Worm Biện pháp đối phó Chạy clean up ổ đĩa, quét registry  và chạy chống phân mảnh 1 lần  trong tuần Đảm bảo file thực thi được gửi  đến tổ chức là được phê duyệt Không boot máy tính với ổ đĩa  bootable đã bị nhiễm Bật tường lửa nếu OS sử  dụng Windows XP Chạy chương trình chống  phần mềm gián điệp và  phần mềm quảng cáo 1 lần  trong tuần Chặn tất cả các file có phần  mở rộng dài hơn phần mở  rộng của file Hiểu biết về mối đoe dọa  Virus mới nhất Kiểm tra CD và DVD có bị  nhiễm hay không Đảm bảo cửa sổ pop-up blocker  được bật và sử dụng tường lửa  internet Thận trọng với những file được  gửi thông qua dòng tin nhắn tức  thời 72 Nhóm 19-CCMM03A Virus và Worm Biện pháp đối phó Cài đặt phần mềm anti-Virus để có thể phát hiện và loại bỏ sự xâm nhiễm  Tạo chính sách chống Virus an toàn cho máy tính và phân phối nó đến đội ngũ  nhân viên Chú ý đến hướng dẫn trong khi tải về tập tin hoặc chương trình từ internet Cập nhật phần mềm anti-Virus định kì 1 tháng, vì thế nó có thể xác định và làm  sạch các lỗi mới Tránh mở các tập tin đình kèm từ người gửi nặc danh như là tập tin đính kèm  của Virus lây lan thông qua email Khả năng Virus lây nhiễm có thể làm hỏng dữ liệu do đó thường xuyên duy trì  back up dữ liệu Lên lịch trình thường xuyên quét tất cả ổ đĩa sau khi cài đặt phần mềm Anti-Virus Không truy cập ổ đĩa hoặc chương trình mà không kiểm tra phiên bản hiện tại  của chương trình Anti-Virus 73 Nhóm 19-CCMM03A [...]... Phân loại Virus Virus  System hoặc  Boot sector Virus file Virus Multipatite Virus Stealth/  Virus Tunneling Virus cluster Virus macro Nó lây nhiễm như thế nào ? Virus encrytion Virus polymophic Virus Metamorphic Virus overwriting  File hoặc  Virus Cavity Virus   sparse  Infector Virus Companion/ Camouflage Virus Shell Virus file  extension Virus Intrusive Virus Direct  Action hoặc  virus ... động Windows  Explorer, Virus sẽ chạy  và lây nhiễm file  HH.EXE vàExplorer.exe Virus này sẽ tìm kiếm các chương  trình chống Virus đang  hoạt động và cố  gắng để chấm dứt  chúng Hộp tin nhắn có tiêu  đề  'Worm/ IWorm/W32.BinLade n' và chứa bên  dưới văn bản Khẩu hiệu đầy màu  sắc khác  nhau sẽ được hiển  thị trên màn hình  desktop, cùng với  hộp tin nhắn Trong những  dịp hiếm hoi  mà Virus được  chạy, nó sẽ kích hoạt ... Văn bản được cố ý che đậy để che giấu nội dung xúc phạm Nhóm 19-CCMM03A Phân tích Virus : Nhóm 19-CCMM03A Phân tích Virus : Virus sẽ cố gắng để tải về thông tin về người sử  dụng khác từ trang  ICQ từ xa bằng cách tìm kiếm "trang trắng" cho một  danh sách các từ khóa bao  gồm: "lịch sử", "bạn  bè", “chuyến bay" Virus sau đó sẽ gửi tới địa chỉ email mà nó tìm thấy trong các trang được tìm thấy Tiến trình Virus bình thường sẽ  chấm dứt sau 5-10 phút, nhưng ... các bản sao Virus sẽ có thuộc tính ẩn và chỉ đọc Virus này thêm vào đường dẫn của nó vào dòng "shell =" trong đoạn [Boot]  của System \.ini, chính điều này mà Virus được chạy tự động mỗi  khi máy được khởi động Virus này làm cho ổ đĩa C: chia sẻ được bằng cách thiết lập các khóa khác nhau: Nhóm 19-CCMM03A Phân tích Virus : Đặc  biệt,nó thường nhắm  vào các mục tiêu  là netstat.exe và Ic.exe... Worm : : W32/Netsky là một worm lây lan sử dụng email và và chia sẻ qua mạng Windows Nó tìm tất cả ánh xạ ổ đĩa của file có phần mở rộng để tìm thấy địa chỉ email: Worm cũng sẽ  cố gắng sao  chép chính nó  vào trong thư  mục root của ổ  đĩa C: đến Z: sử  dụng các tên  file sau ; 51 Nhóm 19-CCMM03A Phân tích Worm : : W32/Netsky-A có thể tới email với những đặc điểm sau: Khi một file được  giải nén và mở thì ... trở thành thây ma và tạo botnet; những botnet  này có thể sử dụng để mang tấn công đến không  gian mạng 46 Nhóm 19-CCMM03A Worm khác Virus như thế nào ? Worm là 1 dạng đặc biệt của Virus có thể tự nó tái  tạo và sử dụng bộ nhớ, nhưng không thể tự nó tấn  công  chương trình khác Worm lợi dụng file hoặc tính năng vận huyển thông  tin trên hệ thống máy tính và lây lan tự động thông  qua mạng nhưng Virus thì không làm như vậy... 19-CCMM03A 44 Nhóm 19-CCMM03A Worm máy tính Worm máy tính là chương trình độc hại có thể  tái tạo thực thi và lây lan thông qua kết nối  mạng 1 cách độc lập mà không tương tác với  con người Hầu hết worm được tạo chỉ có thể tái tạo và lây  lan thông qua mạng, tiêu thụ tài nguyên máy  tính; tuy nhiên 1 vài worm mang payload tàn  phá hệ thống Kẻ tấn công sử dụng worm payload để cài đặt  vào cửa sau của máy tính bị nhiễm, sẽ bật chúng ... Overwriting Virus Cavity ghi đè lên 1 phần của file nguồn với 1 hằng số(thường rổng),  mà không tăng độ dài của file và giữ nguyên chức năng của file File bị nhiễm File gốc 34 Nhóm 19-CCMM03A Virus Shell Code Virus tạo thành một shell xung quanh mục tiêu code của chương trình, làm cho bản thân chương trình ban đầu và code máy đích là thường xuyên phụ thuộc vào nó Hầu hết các Virus boot là Virus Shell... 19-CCMM03A Virus Add-on and Intrusive Virus add-on thêm code của chúng vào code đích mà không làm thay đổi sau này hoặc di dời  code đích để tự chèn thêm code của chúng khi bắt đầu Chương trình gốc Code Virus Chương trình gốc Code Virus Nhảy Nhảy Virus xâm nhập ghi đè lên 1 phần của code đích hoặc hoàn toàn lên code đối thủ Chương trình gốc Code Virus Chương trình gốc 39 Nhóm 19-CCMM03A Viết chương trình Virus. .. cuối của tập tin và thay đổi điểm  vào địa chỉ của chương trình ban  đầu, do đó nó trỏ nối thêm  chỗ bắt đầu của code Virus Nhóm 19-CCMM03A Phân tích Virus : Trang web độc hại Trang web độc hại Ng ườ tra i dùn n g  we g truy b đ   ộc  cập  hại Viru ngư s lây  ời d nhiễ ùng m v  má ào  y tí nh Trang wed và file  bị thay đổi bởi  Virus Người dùng xuất các  tập tin bị nhiễm vào  máy chủ web Virus cố gắng ... hiện, một số Virus khác nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được  kích hoạt Nhóm 19- CCMM03A Số liệu thống kê Virus Worm 2010 Top 13 quốc gia có máy chủ lưu trữ code độc hại Nhóm 19- CCMM03A Vòng đời Virus Thiết kế Phát triển code... 1 visual payload Văn bản được cố ý che đậy để che giấu nội dung xúc phạm Nhóm 19- CCMM03A Phân tích Virus : Nhóm 19- CCMM03A Phân tích Virus : Virus sẽ cố gắng để tải về  thông tin về người sử ... Khi chạy nó xóa file core  trong thư mục WINNT  làm cho Windows không  sử dụng được 41 Nhóm 19- CCMM03A 44 Nhóm 19- CCMM03A Worm máy tính Worm máy tính là chương trình độc hại có thể  tái tạo thực thi và lây lan thông qua kết nối