1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Bài Giảng Tìm Hiểu Về Virus Và Worm

37 4K 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 37
Dung lượng 8,25 MB

Nội dung

Giới thiệu VirusVirus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính kèm bản sao của chính nó vào các code thực thi khác Một số Virus ảnh hưởng đến máy tính

Trang 1

Tìm hiểu về Virus và Worm

Trang 2

Giới thiệu Virus

Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách  đính kèm bản sao của chính nó vào các code thực thi khác

Một số Virus ảnh hưởng đến máy tính ngay sau khi code của nó được thực 

hiện, một số Virus khác nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được  kích hoạt

Trang 3

Số liệu thống kê Virus và Worm 2010

Top 13 quốc gia có máy chủ lưu trữ code độc hại

Trang 4

Phát hiện

Virus được xác định 

là mối đe dọa lây  nhiễm cho các hệ  thống 

Công ty

Phần mềm chống  Virus được phát triển 

để bảo vệ và chống  lại Virus

Loại bỏ

Người dùng cài  đặt bản cập  nhật chống Virus và  loại bỏ các mối đe  dọa từ Virus

Trang 5

Hoạt động của Virus : Giai đoạn lây nhiễm

Trong giai đoạn lây nhiễm, Virus sao chép chính nó và gắn vào một file exe trong hệ thống

Một số Virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực khác  khi người dùng kích hoạt vào chúng, có thể là một ngày, một khoảng thời gian, hoặc một sự kiện đặc biệt nào đó

nhiễm Virus

Trang 6

Một số Virus tạo lỗi tái tạo và thực hiện các hoạt động như xóa tập tin và tăng thời gian của phiên làm việc

Nó làm hỏng các mục tiêu sau khi đã lây lan thành công như âm mưu của người tạo ra nó

File chưa phân mảnh trước khi bị tấn công

File đã bị phân mảnh do sự tấn công của Virus

Hoạt động của Virus : Giai đoạn lây nhiễm

Trang 7

Tại sao người ta lại tạo ra Virus máy tính ?

Gây thiệt hại cho các đối thủ cạnh tranh

Lợi ích tài chính

Dự án nghiên cứu Trò đùa

Phá hoại Khủng bố mạng lưới Phân phát các thông điệp chính trị

Kẻ tấn công

Hệ thống có thể công kích

Trang 8

Dấu hiệu Virus tấn công

Nhãn ổ đĩa 

bị thay đổi

Không thể tải được sự hoạt động của hệ thống

ổ cứng bị truy cập thường xuyên

Cửa sổ trình duyệt “đóng băng”

Hoạt động bất thường

Nếu hệ thống hoạt động theo cách thức chưa từng thấy, bạn có thể nghị ngờ bị Virus tấn công

Dương tính giả

Tuy nhiên không phải tất cả các trục trặc có thể là do Virus tấn công

Trang 9

Máy tính bị nhiễm Virus như thế nào ?

Khi người dùng truy cập file 

và tải về mà không kiểm tra nguồn có an toàn hay không

Trang 10

Phân tích Virus :

W32/Total-A là  một Virus email-nhận thức gửi đến như là 1 file đính kèm gọi là BinLaden_Brasil.exePhần nội dung của email sẽ liên quan đến cuộc xung đột ở Afghanistan

Trang 11

Phân tích Virus :

Các thông báo trống có header MIME được mã hóa để khai thác lỗ hổng trong IE 5.01/5.5 để chạy một tập tin đính kèm tự động khi các email được xem

Nếu tập tin đính kèm được thực thi, nó thả các tập tin thư viện INVICTUS.DLL vào thư mục hệ thống Windows và Virus vào thư mục Windows, bằng cách sử dụng ngẫu nhiên tên 3 kí tự bao gồm phần trên chữ ‘A-O'

Virus cũng có thể tạo một bản sao của chính nó trong thư mục C: \, các file của các bản sao Virus sẽ có thuộc tính ẩn và chỉ đọc

Virus này thêm vào đường dẫn của nó vào dòng "shell =" trong đoạn [Boot] 

của System \<Windows>.ini, chính điều này mà Virus được chạy tự động mỗi khi máy được khởi động

Virus này làm cho ổ đĩa C: chia sẻ được bằng cách thiết lập các khóa khác nhau:

Trang 12

Đặc  biệt,nó thường nhắm 

vào các mục tiêu 

là netstat.exe và Ic.exe

Mỗi khi bạn khởi  động Windows  Explorer, Virus sẽ chạy 

và lây nhiễm file  HH.EXE vàExplorer.exe

Virus này sẽ tìm kiếm các chương trình chống Virus đang hoạt động và cố gắng để chấm dứt 

Trong những dịp hiếm hoi 

mà Virus được chạy, nó sẽ kích hoạt 

1 visual payload

Phân tích Virus :

Văn bản được cố ý che đậy để che giấu nội dung xúc phạm

Trang 13

Phân tích Virus :

Trang 14

Tiến trình Virus bình thường sẽ  chấm dứt sau 5-10 phút, nhưng  cũng có thể được chấm  dứt bằng cách sử dụng Task 

Manager

Biện pháp đối phó: Microsoft đã ban hành một bản vá để bảo vệ lỗ hổng này tại :

Trang 15

Phân tích Virus :

Virus này là một tập đa hình thường trú trong bộ nhớ gắn thêm tập 

tin infectors có khả năng EPO (che khuất Entry Point)

Virus này định vị một mức nhất  định của byte từ 

điểm nhập cảnh của tập tin  gốc và viết decryptor ban đầu  của nó có

Nó gắn thêm code của nó đến  cuối của tập tin và thay đổi điểm  vào địa chỉ của chương trình ban  đầu, do đó nó trỏ nối thêm  chỗ bắt đầu của code Virus

Trang 16

Phân tích Virus :

Virus cố gắng thực hiện những hành động sau đây

Cố gắng để lây nhiễm . Ex * và/hoặc các file scr

Nhúng các lệnh để cho người dùng truy cập php,  asp. htm và file html trong các trang  web trong **, nơi mà Virus đã ở sẵn trước

Trang web độc hại

Ngườ

i dùng  truy cập 

trang w

eb độ

c hại Virus lây nhiễ

m vào 

người dùng m

áy tính Người dùng xuất các 

tập tin bị nhiễm vào  máy chủ web

Ngườ

i dùng bị 

nhiễm  bởi Virus

Trang wed và file 

bị thay đổi bởi  Virus

Người dùng k hác truy 

cập trang

 web

 bị n hiễm

Trang web độc hại

Virus  lây  nhiễm  người  dùng  máy  tính

Chuyển  hướng  đến  trang  web  độc hại

Cản trở hoạt động bảo vệ tập tin được cung cấp bởi Windows

Trang 17

Phân loại Virus

Nó lây nhiễm như thế nào ?

Virus 

System hoặc 

Boot sector

Virus Stealth/ 

Virus Tunneling

Virus encrytion

Virus Metamorphic

Virus polymophic

Virus overwriting File hoặc Virus Cavity

Virus file clusterVirus 

Virus  sparse Infector

Virus Companion/

Camouflage Virus Shell

Virus file extension

Virus 

Multipatite macroVirus  Virus add-on IntrusiveVirus 

Virus Direct Action hoặc virus Transient

Virus  terminate and stay 

resident(STR)

Nó lây nhiễm như thế nào ?

Trang 18

Virus System or Boot sector

Virus boot sector di chuyển MBR đến vị trí khác trên đĩa cứng và sao chép chính nó  vào vị trí ban đầu của MBR

Khi hệ thống khởi động, code Virus được thực thi đầu tiên và sau đó kiểm 

soát được thông qua MBR ban đầu

Trước khi lây nhiễm

Sau khi lây nhiễm

code vi

rút

Trang 19

Virus File and Multipartite

Trang 20

Virus Macro

Virus Macro lây nhiễm các tập tin được tạo ra bởi

Microsoft Word hoặc Excel

Hầu hết các Virus macro được viết bằng cách sử dụng ngôn 

ngữ macro Visual Basic cho

Ứng dụng (VBA)

Virus Macro lây nhiễm các 

mẫu hoặc chuyển đổi các tài liệu bị nhiễm vào các file mẫu, trong 

khi duy trì sự xuất hiệ

n các file tài liệu thông thường

Trang 21

Virus Cluster

Virus cluster thay đổi các mục bảng thư mục để các mục thư mục trỏ đến các code vi rút thay

vì chương trình thực tế

Chỉ một bản sao của Virus trên đĩa lây nhiễm cho tất cả

các chương trình trong hệ thống máy tính

Trang 22

Virus Cavity or File Overwriting

Virus Cavity ghi đè lên 1 phần của file nguồn với 1 hằng số(thường rổng), 

mà không tăng độ dài của file và giữ nguyên chức năng của file

Trang 23

Virus Shell

Code Virus tạo thành một shell xung quanh mục tiêu code của chương trình, làm

cho bản thân chương trình ban đầu và code máy đích là thường xuyên phụ thuộc

vào nó

Hầu hết các Virus boot là Virus Shell

Trước khi lây nhiễm

Chương trình gốc

Sau khi lây nhiễm

Trang 24

Virus File Extension

Virus Extension thay đổi phần mở rộng của file

.TXT an toàn vì nó chỉ ra một tập tin văn bản

Trang 25

Virus Add-on and Intrusive

Virus add-on thêm code của chúng vào code đích mà không làm thay đổi sau này hoặc di dời  code đích để tự chèn thêm code của chúng khi bắt đầu

Chương trình gốc

Code Virus Chương trình gốc

Code Virus

Nhảy Nhảy

Chương trình gốc

Code Virus Chương trình gốc

Virus xâm nhập ghi đè lên 1 phần của code đích hoặc hoàn toàn lên code đối thủ

Trang 26

Viết chương trình Virus đơn giản

Tạo hàng loạt file

Game.bat với dòng

text sau:

Chuyển đổi hang loạt file Game.bat thành file Game com sử dụng công cụ bat2com

Gửi file game.com như 

là file đình kèm email đến các nạn nhân

Khi chạy nó xóa file core trong thư mục WINNT làm cho Windows không 

sử dụng được

Trang 28

Worm máy tính

Worm máy tính là chương trình độc hại có thể  tái tạo thực thi và lây lan thông qua kết nối  mạng 1 cách độc lập mà không tương tác với  con người

Hầu hết worm được tạo chỉ có thể tái tạo và lây  lan thông qua mạng, tiêu thụ tài nguyên máy  tính; tuy nhiên 1 vài worm mang payload tàn  phá hệ thống

Kẻ tấn công sử dụng worm payload để cài đặt  vào cửa sau của máy tính bị nhiễm, sẽ bật chúng  trở thành thây ma và tạo botnet; những botnet  này có thể sử dụng để mang tấn công đến không  gian mạng

Trang 29

Worm khác Virus như thế nào ?

Worm là 1 dạng đặc biệt của Virus có thể tự nó tái  tạo và sử dụng bộ nhớ, nhưng không thể tự nó tấn  công  chương trình khác

Worm lợi dụng file hoặc tính năng vận huyển thông  tin trên hệ thống máy tính và lây lan tự động thông  qua mạng nhưng Virus thì không làm như vậy

Trang 30

Ví dụ về sự lây nhiễm của Worm :

Worm Conficker

Worm Conficker là một worm máy tính có thể lây nhiễm và tự nó lây lan

sang các máy tính khác thông qua mạng một cách tự động, mà không tương

tác con người

File autorun.inf được  đặt trong  thư 

mụcthùng rác

Người dùng bị  khóa bên ngoài  của thư mục

Truy cập với quyền  admin vào ổ đĩa  chia sẽ bị từ chối

Truy cập an toàn-liên  quan trang web bị  chặn

Lưu lượng truy cập được  gửi qua port 445 trên  máy chủ non-Directory  Service(DS)

Triệu chứng

Trang 31

Worm Confiker làm những công việc gì ?

Worm Conficker có thể vô hiệu hóa

các dịch vụ quan trọng trong máy tính

của bạn

Trong hộp thoại autoplay, lựa chọn

Open folder to view files – Publisher

not specified được thêm vào bởi worm

Lựa chọn đánh dấu, Open folder to

view files – using Windows explore là

lựa chọn windows có thể cung cấp và

lựa chọn cho bạn sử dụng

Nếu bạn chọn lựa chọn đầu tiên, sâu sẽ

thực thi và bắt đầu tự lây lan qua các

máy khác

Trang 32

Worm Conficker hoạt động như thế nào ?

Các máy tính được chia sẽ với mật khẩu yếu

Thiết bị di động

Máy tính với chia sẻ được mở Máy tính không cập nhật an ninh mới nhất

Máy tính có chính sách bảo mật riêng, cập nhật an ninh, chống Virus 

và chia sẽ an toàn

Conficker cố gắng kết nối nhiều máy tính thông qua mạng

Trang 34

Phân tích Worm : :

W32/Netsky-A có thể tới email với những đặc điểm sau:

Khi một file được giải nén và mở thì Virus có thể hiện thị dòng tin nhắn 

“The file could not be opend “

W32/Netsky-A sao chép chính nó vào trong thư mục Windows như services.exe

Để tự động chạy mỗi khi Windows khởi động 

W32/Netsky-A tạo 

1 registry

Trang 35

Tạo Worm :

Trang 36

Chạy chương trình chống phần mềm gián điệp và phần mềm quảng cáo 1 lần trong tuần

Chặn tất cả các file có phần 

mở rộng dài hơn phần mở rộng của file

Thận trọng với những file được gửi thông qua dòng tin nhắn tức thời

Trang 37

Virus và Worm Biện pháp đối phó

Cài đặt phần mềm anti-Virus để có thể phát hiện và loại bỏ sự xâm nhiễm 

Tạo chính sách chống Virus an toàn cho máy tính và phân phối nó đến đội ngũ  nhân viên

Chú ý đến hướng dẫn trong khi tải về tập tin hoặc chương trình từ internet

Cập nhật phần mềm anti-Virus định kì 1 tháng, vì thế nó có thể xác định và làm  sạch các lỗi mới

Tránh mở các tập tin đình kèm từ người gửi nặc danh như là tập tin đính kèm  của Virus lây lan thông qua email

Khả năng Virus lây nhiễm có thể làm hỏng dữ liệu do đó thường xuyên duy trì  back up dữ liệu

Lên lịch trình thường xuyên quét tất cả ổ đĩa sau khi cài đặt phần mềm Anti-Virus Không truy cập ổ đĩa hoặc chương trình mà không kiểm tra phiên bản hiện tại  của chương trình Anti-Virus

Ngày đăng: 17/10/2015, 13:12

TỪ KHÓA LIÊN QUAN

w