Giới thiệu VirusVirus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính kèm bản sao của chính nó vào các code thực thi khác Một số Virus ảnh hưởng đến máy tính
Trang 1Tìm hiểu về Virus và Worm
Trang 2Giới thiệu Virus
Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính kèm bản sao của chính nó vào các code thực thi khác
Một số Virus ảnh hưởng đến máy tính ngay sau khi code của nó được thực
hiện, một số Virus khác nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được kích hoạt
Trang 3Số liệu thống kê Virus và Worm 2010
Top 13 quốc gia có máy chủ lưu trữ code độc hại
Trang 4Phát hiện
Virus được xác định
là mối đe dọa lây nhiễm cho các hệ thống
Công ty
Phần mềm chống Virus được phát triển
để bảo vệ và chống lại Virus
Loại bỏ
Người dùng cài đặt bản cập nhật chống Virus và loại bỏ các mối đe dọa từ Virus
Trang 5Hoạt động của Virus : Giai đoạn lây nhiễm
Trong giai đoạn lây nhiễm, Virus sao chép chính nó và gắn vào một file exe trong hệ thống
Một số Virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực khác khi người dùng kích hoạt vào chúng, có thể là một ngày, một khoảng thời gian, hoặc một sự kiện đặc biệt nào đó
nhiễm Virus
Trang 6Một số Virus tạo lỗi tái tạo và thực hiện các hoạt động như xóa tập tin và tăng thời gian của phiên làm việc
Nó làm hỏng các mục tiêu sau khi đã lây lan thành công như âm mưu của người tạo ra nó
File chưa phân mảnh trước khi bị tấn công
File đã bị phân mảnh do sự tấn công của Virus
Hoạt động của Virus : Giai đoạn lây nhiễm
Trang 7Tại sao người ta lại tạo ra Virus máy tính ?
Gây thiệt hại cho các đối thủ cạnh tranh
Lợi ích tài chính
Dự án nghiên cứu Trò đùa
Phá hoại Khủng bố mạng lưới Phân phát các thông điệp chính trị
Kẻ tấn công
Hệ thống có thể công kích
Trang 8Dấu hiệu Virus tấn công
Nhãn ổ đĩa
bị thay đổi
Không thể tải được sự hoạt động của hệ thống
ổ cứng bị truy cập thường xuyên
Cửa sổ trình duyệt “đóng băng”
Hoạt động bất thường
Nếu hệ thống hoạt động theo cách thức chưa từng thấy, bạn có thể nghị ngờ bị Virus tấn công
Dương tính giả
Tuy nhiên không phải tất cả các trục trặc có thể là do Virus tấn công
Trang 9Máy tính bị nhiễm Virus như thế nào ?
Khi người dùng truy cập file
và tải về mà không kiểm tra nguồn có an toàn hay không
Trang 10Phân tích Virus :
W32/Total-A là một Virus email-nhận thức gửi đến như là 1 file đính kèm gọi là BinLaden_Brasil.exePhần nội dung của email sẽ liên quan đến cuộc xung đột ở Afghanistan
Trang 11Phân tích Virus :
Các thông báo trống có header MIME được mã hóa để khai thác lỗ hổng trong IE 5.01/5.5 để chạy một tập tin đính kèm tự động khi các email được xem
Nếu tập tin đính kèm được thực thi, nó thả các tập tin thư viện INVICTUS.DLL vào thư mục hệ thống Windows và Virus vào thư mục Windows, bằng cách sử dụng ngẫu nhiên tên 3 kí tự bao gồm phần trên chữ ‘A-O'
Virus cũng có thể tạo một bản sao của chính nó trong thư mục C: \, các file của các bản sao Virus sẽ có thuộc tính ẩn và chỉ đọc
Virus này thêm vào đường dẫn của nó vào dòng "shell =" trong đoạn [Boot]
của System \<Windows>.ini, chính điều này mà Virus được chạy tự động mỗi khi máy được khởi động
Virus này làm cho ổ đĩa C: chia sẻ được bằng cách thiết lập các khóa khác nhau:
Trang 12Đặc biệt,nó thường nhắm
vào các mục tiêu
là netstat.exe và Ic.exe
Mỗi khi bạn khởi động Windows Explorer, Virus sẽ chạy
và lây nhiễm file HH.EXE vàExplorer.exe
Virus này sẽ tìm kiếm các chương trình chống Virus đang hoạt động và cố gắng để chấm dứt
Trong những dịp hiếm hoi
mà Virus được chạy, nó sẽ kích hoạt
1 visual payload
Phân tích Virus :
Văn bản được cố ý che đậy để che giấu nội dung xúc phạm
Trang 13Phân tích Virus :
Trang 14Tiến trình Virus bình thường sẽ chấm dứt sau 5-10 phút, nhưng cũng có thể được chấm dứt bằng cách sử dụng Task
Manager
Biện pháp đối phó: Microsoft đã ban hành một bản vá để bảo vệ lỗ hổng này tại :
Trang 15Phân tích Virus :
Virus này là một tập đa hình thường trú trong bộ nhớ gắn thêm tập
tin infectors có khả năng EPO (che khuất Entry Point)
Virus này định vị một mức nhất định của byte từ
điểm nhập cảnh của tập tin gốc và viết decryptor ban đầu của nó có
Nó gắn thêm code của nó đến cuối của tập tin và thay đổi điểm vào địa chỉ của chương trình ban đầu, do đó nó trỏ nối thêm chỗ bắt đầu của code Virus
Trang 16Phân tích Virus :
Virus cố gắng thực hiện những hành động sau đây
Cố gắng để lây nhiễm . Ex * và/hoặc các file scr
Nhúng các lệnh để cho người dùng truy cập php, asp. htm và file html trong các trang web trong **, nơi mà Virus đã ở sẵn trước
Trang web độc hại
Ngườ
i dùng truy cập
trang w
eb độ
c hại Virus lây nhiễ
m vào
người dùng m
áy tính Người dùng xuất các
tập tin bị nhiễm vào máy chủ web
Ngườ
i dùng bị
nhiễm bởi Virus
Trang wed và file
bị thay đổi bởi Virus
Người dùng k hác truy
cập trang
web
bị n hiễm
Trang web độc hại
Virus lây nhiễm người dùng máy tính
Chuyển hướng đến trang web độc hại
Cản trở hoạt động bảo vệ tập tin được cung cấp bởi Windows
Trang 17Phân loại Virus
Nó lây nhiễm như thế nào ?
Virus
System hoặc
Boot sector
Virus Stealth/
Virus Tunneling
Virus encrytion
Virus Metamorphic
Virus polymophic
Virus overwriting File hoặc Virus Cavity
Virus file clusterVirus
Virus sparse Infector
Virus Companion/
Camouflage Virus Shell
Virus file extension
Virus
Multipatite macroVirus Virus add-on IntrusiveVirus
Virus Direct Action hoặc virus Transient
Virus terminate and stay
resident(STR)
Nó lây nhiễm như thế nào ?
Trang 18Virus System or Boot sector
Virus boot sector di chuyển MBR đến vị trí khác trên đĩa cứng và sao chép chính nó vào vị trí ban đầu của MBR
Khi hệ thống khởi động, code Virus được thực thi đầu tiên và sau đó kiểm
soát được thông qua MBR ban đầu
Trước khi lây nhiễm
Sau khi lây nhiễm
code vi
rút
Trang 19Virus File and Multipartite
Trang 20Virus Macro
Virus Macro lây nhiễm các tập tin được tạo ra bởi
Microsoft Word hoặc Excel
Hầu hết các Virus macro được viết bằng cách sử dụng ngôn
ngữ macro Visual Basic cho
Ứng dụng (VBA)
Virus Macro lây nhiễm các
mẫu hoặc chuyển đổi các tài liệu bị nhiễm vào các file mẫu, trong
khi duy trì sự xuất hiệ
n các file tài liệu thông thường
Trang 21Virus Cluster
Virus cluster thay đổi các mục bảng thư mục để các mục thư mục trỏ đến các code vi rút thay
vì chương trình thực tế
Chỉ một bản sao của Virus trên đĩa lây nhiễm cho tất cả
các chương trình trong hệ thống máy tính
Trang 22Virus Cavity or File Overwriting
Virus Cavity ghi đè lên 1 phần của file nguồn với 1 hằng số(thường rổng),
mà không tăng độ dài của file và giữ nguyên chức năng của file
Trang 23Virus Shell
Code Virus tạo thành một shell xung quanh mục tiêu code của chương trình, làm
cho bản thân chương trình ban đầu và code máy đích là thường xuyên phụ thuộc
vào nó
Hầu hết các Virus boot là Virus Shell
Trước khi lây nhiễm
Chương trình gốc
Sau khi lây nhiễm
Trang 24Virus File Extension
Virus Extension thay đổi phần mở rộng của file
.TXT an toàn vì nó chỉ ra một tập tin văn bản
Trang 25Virus Add-on and Intrusive
Virus add-on thêm code của chúng vào code đích mà không làm thay đổi sau này hoặc di dời code đích để tự chèn thêm code của chúng khi bắt đầu
Chương trình gốc
Code Virus Chương trình gốc
Code Virus
Nhảy Nhảy
Chương trình gốc
Code Virus Chương trình gốc
Virus xâm nhập ghi đè lên 1 phần của code đích hoặc hoàn toàn lên code đối thủ
Trang 26Viết chương trình Virus đơn giản
Tạo hàng loạt file
Game.bat với dòng
text sau:
Chuyển đổi hang loạt file Game.bat thành file Game com sử dụng công cụ bat2com
Gửi file game.com như
là file đình kèm email đến các nạn nhân
Khi chạy nó xóa file core trong thư mục WINNT làm cho Windows không
sử dụng được
Trang 28Worm máy tính
Worm máy tính là chương trình độc hại có thể tái tạo thực thi và lây lan thông qua kết nối mạng 1 cách độc lập mà không tương tác với con người
Hầu hết worm được tạo chỉ có thể tái tạo và lây lan thông qua mạng, tiêu thụ tài nguyên máy tính; tuy nhiên 1 vài worm mang payload tàn phá hệ thống
Kẻ tấn công sử dụng worm payload để cài đặt vào cửa sau của máy tính bị nhiễm, sẽ bật chúng trở thành thây ma và tạo botnet; những botnet này có thể sử dụng để mang tấn công đến không gian mạng
Trang 29Worm khác Virus như thế nào ?
Worm là 1 dạng đặc biệt của Virus có thể tự nó tái tạo và sử dụng bộ nhớ, nhưng không thể tự nó tấn công chương trình khác
Worm lợi dụng file hoặc tính năng vận huyển thông tin trên hệ thống máy tính và lây lan tự động thông qua mạng nhưng Virus thì không làm như vậy
Trang 30Ví dụ về sự lây nhiễm của Worm :
Worm Conficker
Worm Conficker là một worm máy tính có thể lây nhiễm và tự nó lây lan
sang các máy tính khác thông qua mạng một cách tự động, mà không tương
tác con người
File autorun.inf được đặt trong thư
mụcthùng rác
Người dùng bị khóa bên ngoài của thư mục
Truy cập với quyền admin vào ổ đĩa chia sẽ bị từ chối
Truy cập an toàn-liên quan trang web bị chặn
Lưu lượng truy cập được gửi qua port 445 trên máy chủ non-Directory Service(DS)
Triệu chứng
Trang 31Worm Confiker làm những công việc gì ?
Worm Conficker có thể vô hiệu hóa
các dịch vụ quan trọng trong máy tính
của bạn
Trong hộp thoại autoplay, lựa chọn
Open folder to view files – Publisher
not specified được thêm vào bởi worm
Lựa chọn đánh dấu, Open folder to
view files – using Windows explore là
lựa chọn windows có thể cung cấp và
lựa chọn cho bạn sử dụng
Nếu bạn chọn lựa chọn đầu tiên, sâu sẽ
thực thi và bắt đầu tự lây lan qua các
máy khác
Trang 32Worm Conficker hoạt động như thế nào ?
Các máy tính được chia sẽ với mật khẩu yếu
Thiết bị di động
Máy tính với chia sẻ được mở Máy tính không cập nhật an ninh mới nhất
Máy tính có chính sách bảo mật riêng, cập nhật an ninh, chống Virus
và chia sẽ an toàn
Conficker cố gắng kết nối nhiều máy tính thông qua mạng
Trang 34Phân tích Worm : :
W32/Netsky-A có thể tới email với những đặc điểm sau:
Khi một file được giải nén và mở thì Virus có thể hiện thị dòng tin nhắn
“The file could not be opend “
W32/Netsky-A sao chép chính nó vào trong thư mục Windows như services.exe
Để tự động chạy mỗi khi Windows khởi động
W32/Netsky-A tạo
1 registry
Trang 35Tạo Worm :
Trang 36Chạy chương trình chống phần mềm gián điệp và phần mềm quảng cáo 1 lần trong tuần
Chặn tất cả các file có phần
mở rộng dài hơn phần mở rộng của file
Thận trọng với những file được gửi thông qua dòng tin nhắn tức thời
Trang 37Virus và Worm Biện pháp đối phó
Cài đặt phần mềm anti-Virus để có thể phát hiện và loại bỏ sự xâm nhiễm
Tạo chính sách chống Virus an toàn cho máy tính và phân phối nó đến đội ngũ nhân viên
Chú ý đến hướng dẫn trong khi tải về tập tin hoặc chương trình từ internet
Cập nhật phần mềm anti-Virus định kì 1 tháng, vì thế nó có thể xác định và làm sạch các lỗi mới
Tránh mở các tập tin đình kèm từ người gửi nặc danh như là tập tin đính kèm của Virus lây lan thông qua email
Khả năng Virus lây nhiễm có thể làm hỏng dữ liệu do đó thường xuyên duy trì back up dữ liệu
Lên lịch trình thường xuyên quét tất cả ổ đĩa sau khi cài đặt phần mềm Anti-Virus Không truy cập ổ đĩa hoặc chương trình mà không kiểm tra phiên bản hiện tại của chương trình Anti-Virus