TỔNG QUAN VỀ VIRUS MÁY TÍNH GIỚI THIỆU1 Trong khoa học máy tính, virus máy tính thường được người sử dụng gọi tắt là virus là những chương trình hay đoạn mã được thiết kế để thâm nhập
Trang 1BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM
KHOA CÔNG NGHỆ
BÀI TIỂU LUẬN BẢO VỆ MÁY TÍNH
Đề tài: Hiện nay xuất hiện nhiều virus máy tính.Bằng
kiến thức đã biết về Virus, hãy nghiên cứu một
Virus cụ thể (Các phần: Tổng quan về virus và
hệ thống Khảo sát Virus (tên cụ thể) Thiết kế
chương trình chống Virus.).
GV hướng dẫn: Nguyễn Xuân Lô
SV thực hiện: Nhóm 3
Trang 2NỘI DUNG
I TỔNG QUAN VỀ VIRUS MÁY TÍNH
1 Giới thiệu
2 Phân loại
3 Các khái niệm về các loại virus máy tính
4 Các hình thức lây nhiễm của virus máy tính
5 Cách phòng chống virus và tác hại của nó
II KHẢO SÁT VỀ VIRUS W32.CONFIGKER.WORM
1 Giới thiệu về virus configker
Trang 3TỔNG QUAN VỀ VIRUS MÁY TÍNH
GIỚI THIỆU(1)
Trong khoa học máy tính, virus máy tính (thường được
người sử dụng gọi tắt là virus) là những chương trình hay đoạn
mã được thiết kế để thâm nhập bất hợp pháp vào máy
tính.Virus có thể tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính, ).
Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên
thường virus có các hành động như: cho một chương trình
không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng, hoặc gây ra những trò đùa khó chịu.
Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của
nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy
cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng)
mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus.
Trang 4GIỚI THIỆU(2)
Chiếm trên 90% số virus đã được phát hiện là nhằm vào
hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế
giới Do tính thông dụng của Windows nên các tin tặc
thường tập trung hướng vào chúng nhiều hơn là các hệ
điều hành khác
Nhưng cũng có quan điểm cho rằng Windows có tính bảo mật không tốt bằng các hệ điều hành khác (như Linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành
khác cũng thông dụng như Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì lượng virus xuất hiện có lẽ cũng tương đương nhau
Trang 5khởi động, và chúng được gọi là "Boot sector".
• Virus Boot là tên gọi dành cho những virus lây vào Boot sector Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên
Trang 6PHÂN LOẠI (2)
Virus File
• Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ điều hành Windows, như các file có đuôi mở rộng com, exe, bat, pif, sys
• Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn để lây vào Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?" Câu trả lời nằm ở lịch sử phát triển của virus máy tính Như bạn đã biết qua phần trên, mãi tới năm 1995 virus Macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những
virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File.
Trang 7PHÂN LOẠI (3)
Virus Macro
• Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính (Microsoft Excel) hay các file trình diễn
(Microsoft Power Point) trong bộ Microsoft Office Macro
là tên gọi chung của những đoạn mã được thiết kế để bổ sung tính năng cho các file của Office
• Chúng ta có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được
công lặp đi lặp lại những thao tác giống nhau Có thể
hiểu việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó
bằng một yêu cầu duy nhất
Trang 8CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (1)
1.Trojan Horse
Thuật ngữ này dựa vào một điển tích, đó là cuộc chiến
giữa người Hy Lạp và người thành Tơ-roa Thành Tơ-roa
là một thành trì kiên cố, quân Hy Lạp không sao có thể đột nhập vào được Người Hy Lạp đã nghĩ ra một kế, giả vờ rút lui, sau đó để lại thành Tơ-roa một con ngựa gỗ khổng
lồ Sau khi ngựa được đưa vào trong thành, đêm xuống, những quân lính từ trong bụng ngựa xông ra và đánh
chiếm thành từ bên trong
Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây lan Đầu tiên, kẻ viết ra Trojan bằng cách nào
đó lừa đối phương sử dụng chương trình của mình hoặc ghép Trojan đi kèm với các virus (đặc biệt là các virus dạng Worm)để xâm nhập, cài đặt lên máy nạn nhân
Trang 9CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (2)
Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu
để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra
tay xoá dữ liệu nếu được lập trình trước
2 Phần mềm quảng cáo bất hợp pháp - Adware và phần
mềm gián điệp - Spyware:
Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc
định (search page)… hay liên tục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web
Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình “ghé thăm” những trang web có nội dung không lành
mạnh, các trang web bẻ khóa phần mềm… hoặc chúng đi
theo các phần mềm miễn phí không đáng tin cậy hay các
phần mềm bẻ khóa (crack, keygen)
Trang 10CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (3)
3.Botnet
• Là những máy tính bị bắt cóc và điều khiển bởi người khác thông qua Trojan, virus Hậu quả của nó để lại không nhỏ: mất tài khoản Nếu liên kết với một hệ thống máy tính lớn, nó có thể tống tiền cả một doanh nghiệp
4.Keylogger
• Là phần mềm ghi lại chuỗi phím gõ của người dùng Nó có
thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ
thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh
Trang 11CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
• Là một hoạt động phạm tội dùng các kỹ thuật lừa đảo
Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm,
chẳng hạn như mật khẩu và thông tin về thẻ tín dụng,
bằng cách giả là một người hoặc một doanh nghiệp
đáng tin cậy trong một giao dịch điện tử Phishing
thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại
Trang 12CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (5)
6.Rootkit
• Là một bộ công cụ phần mềm dành cho việc che dấu
các tiến trình đang chạy, các file hoặc dữ liệu hệ thống Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập
hệ thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện
• Người ta đã biết đến các rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số
phiên bản của Microsoft Windows Các rootkit thường sửa đổi một số phần của hệ điều hành hoặc tự cài đặt chúng thành các driver hay các môdule trong nhân hệ
điều hành (kernel module).
Trang 13CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
8.Cửa hậu (Backdoor)
• Trong một hệ thống máy tính, cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc
để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường
Cửa hậu có thể có hình thức một chương trình được cài đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit
được cài đặt khi một đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một máy tính chạy Windows), hoặc có thể là một sửa đổi đối với một chương trình hợp
pháp - đó là khi nó đi kèm với Trojan
Trang 14CÁC HÌNH THỨC LÂY NHIỄM CỦA VIRUS
MÁY TÍNH
1 Virus lây nhiễm theo cách cổ điển
2 Virus lây nhiễm qua thư điện tử
2.1 Lây nhiễm vào các file đính kèm theo thư điện
Trang 15CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI
CỦA NÓ(1)
1 Sử dụng phần mềm diệt virus
• Bảo vệ bằng cách trang bị thêm một phần mềm diệt
virus có khả năng nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được các virus mới
• Trên thị trường hiện có rất nhiều phần mềm diệt virus
• Trong nước (Việt Nam): Bkav, CMC
• Của nước ngoài: Avira, Kaspersky, AVG, ESET
• Và phát hành bởi Microsoft: Microsoft Security
Essentials
Trang 16internet (ISP) mà mỗi máy tính cá nhân cũng cần phải
sử dụng tường lửa để bảo vệ trước virus và các phần
mềm độc hại Khi sử dụng tường lửa, các thông tin vào
và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý Nếu một phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng Tường lửa giúp ngăn chặn các kết nối đến không mong muốn để giảm nguy cơ bị kiểm soát
máy tính ngoài ý muốn hoặc cài đặt vào các chương
trình độc hại hay virus máy tính
Trang 17CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI
CỦA NÓ(3)
• Sử dụng tường lửa bằng phần cứng
• Sử dụng tường lửa bằng phần mềm
3 Cập nhật các bản sửa lỗi của hệ điều hành
• Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát tán virus và các phần mềm độc hại Người sử dụng
luôn cần cập nhật các bản vá lỗi của Windows thông qua
trang web Microsoft Update (cho việc nâng cấp tất cả các phần mềm của hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho Windows) Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) của
Windows Tính năng này chỉ hỗ trợ đối với các bản Windows
mà Microsoft nhận thấy rằng chúng hợp pháp.
Trang 18CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI
CỦA NÓ(3)
• Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có khả năng bị lây nhiễm virus
và các phần mềm độc hại bởi mẫu virus mới chưa được cập nhật kịp thời đối với phần mềm diệt virus Người sử dụng máy tính cần sử dụng triệt để các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh nghiệm
khác để bảo vệ cho hệ điều hành và dữ liệu của mình Một số kinh nghiệm tham khảo như sau:
o Phát hiện sự hoạt động khác thường của máy tính
o Bảo vệ dữ liệu máy tính
o Sao lưu dữ liệu theo chu kỳ
o Tạo các dữ liệu phục hồi cho toàn hệ thống
Trang 19KHẢO SÁT VỀ VIRUS W32.CONFIGKER.WORM
GIỚI THIỆU(1)Conficker, còn được biết đến với tên Downup,Downadup
và Kido, là một loại sâu máy tính nhắm đến hệ điều
hành Microsoft Windows, được phát hiện lần đầu tiên vào tháng 10 năm 2008 Biến thể đầu tiên của sâu này lan
truyền qua Internet nhờ khai thác một lỗ hổng trong chồng mạng của Windows 2000, Windows XP, Window
Vista, Windows Server 2003, Windows Server
2008, Windows 7 Beta, và Windows Server 2008 R2 Beta vừa được khám phá vào tháng trước Loại sâu này gây
khó khăn một cách đáng ngạc nhiên cho các nhà điều hành mạng và cơ quan thực thi luật pháp vì nó sử dụng phối hợp nhiều loại kỹ thuật phần mềm độc hại (malware) tiên tiến với nhau
Trang 20GIỚI THIỆU(2)
• Win32/Conficker lây nhiễm vào các máy tính khác qua mạng bằng cách khai thác một lỗ hổng trong dịch vụ
Windows Server (svchost.exe).Nếu khai thác thành công
lỗ hổng này, nó có thể cho phép thực thi mã từ xa khi
chia sẻ tập tin được kích hoạt Tùy thuộc vào các biến thể cụ thể, nó cũng có thể lây lan qua ổ đĩa di động và bằng cách khai thác các mật khẩu yếu Nó vô hiệu hóa một số dịch vụ hệ thống quan trọng và sản phẩm bảo
mật và tải về tập tin tùy ý
• Trung tâm an ninh mạng Bách Khoa BKIS tại Việt Nam
đã thông báo rằng họ tìm thấy bằng chứng rằng
Conficker có nguồn gốc từ Trung Quốc
Trang 21GIỚI THIỆU(2)
Theo một thống kê, tại Việt
Nam có khoảng 73.000 máy
tính bị nhiễm Conficker C,
đứng thứ 5 trên thế giới
Còn OpenDNS, một công ty
cung cấp tên miền, cho rằng
các khách hàng của họ tại Việt
Nam bị ảnh hưởng nặng nề
nhất (với 13,3% tổng số máy
lây nhiễm do hãng này theo
dõi trên khách hàng), tiếp đến
là Brasil, Philippines và Indone
sia.
Trang 22TÁC ĐỘNG(1)
• Conficker được cho là loại sâu máy tính lây nhiễm nhiều nhất kể từ con SQL Slammer năm 2003 Đầu tiên sâu này lan nhanh giữa các máy tính để bàn chạy hệ điều hành Windows chưa cài đặt bản vá của Microsoft cho lỗ hổng bảo mật MS08-067
• Đến tháng 1 năm 2009, con số máy tính bị nhiễm ước tính khoảng từ 9 triệu máy cho đến 15 triệu máy Hãng phần mềm diệt virus Panda Security báo cáo rằng trong
2 triệu máy tính được phần mềm ActiveScan phân tích,
có khỏang 115.000 (6%) máy bị nhiễm Conficker
Trang 23TÁC ĐỘNG(2)
• Intramar, một mạng máy tính của Hải quân Pháp, đã bị nhiễm Conficker vào ngày 15 tháng 1 năm 2009 Mạng này sau đó đã được cách ly, khiến cho các máy bay ở vài căn cứ không lực không thể cất cánh vì không tải về được kế hoạch bay
• Bộ Quốc phòng Anh báo cáo rằng một số hệ thống lớn
và máy tính của họ đã bị lây nhiễm Sâu này đã lây qua
các văn phòng điều hành, máy tính NavyStar/N* đặt trên
một số tàu chiến của Hải quân Hoàng gia và tàu ngầm Hải quân Hoàng gia, và các bệnh viện trong thành
phố Sheffield cũng báo cáo có hơn 800 máy tính bị
nhiễm
Trang 24TÁC ĐỘNG(3)
• Ngày 2 tháng 2 năm 2009, Bundeswehr, lực lượng vũ trang Cộng hòa Liên bang Đức, đã báo cáo có khoảng một trăm máy tính của họ bị nhiễm
• Một bản ghi nhớ do Giám đốc Công nghệ thông tin
của Nghị viện Anh đưa ra ngày 24 tháng 3 năm 2009
thông báo rằng những người dùng trong Hạ viện đã bị nhiễm sâu Bản ghi nhớ, sau này bị rò rỉ, đã gọi kêu gọi người dùng tránh kết nối bất kỳ thiết bị chưa được kiểm tra nào vào mạng
Trang 25• Các web site liên quan đến phần mềm diệt virus hay
dịch vụ cập nhật của hệ Windows(Windows Update) đều không truy cập được[
Trang 26TRIỆU CHỨNG(2)
• Các dịch vụ sau bị vô hiệu hóa hoặc không
chạy:Windows Security Center Service, Windows
Parameters "TcpNumConnections" ="0x00FFFFFE"
Trang 27TRIỆU CHỨNG(2)
• Người sử dụng có thể không thể để kết nối với các trang web hoặc dịch vụ trực tuyến có chứa các chuỗi kí tự
sau: virus, spyware, malware, rootkit, defender,
Microsoft, Symantec, Norton, mcafee, trendmicro,
Sophos, panda, etrust, networkassociates,
computerassociates, f-secure, Kaspersky, jotti, f-prot,
nod32, eset, grisoft, drweb, centralcommand, ahnlab,
avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman,
pctools, prevx, rising, securecomputing, sunbelt,
emsisoft, arcabit, cpsecure, spamhaus, castlecops,
threatexpert, wilderssecurity, windowsupdate
Trang 28HOẠT ĐỘNG(1)
Lây nhiễm ban đầu
• Các biến thể A, B, C và E khai thác lỗ hổng trong Dịch
vụ Server của các máy tính chạy Windows, trong đó một máy tính nguồn đã bị nhiễm sẽ gửi yêu cầu được che
chắn kỹ thông qua gọi thủ tục từ xa để gây ra tràn bộ
đệm và thực thi mã dòng lệnh (shellcode) trên máy tính đích Trên máy tính nguồn, sâu này chạy một HTTP
server trên một cổng nằm trong khoảng 1024 đến
10000; mã dòng lệnh đích sẽ kết nối ngược lại với HTTP server này để tải một bản sao của sâu dưới dạng DLL, rồi sau đó đính nó vào svchost.exe Các biến thể B trở
về sau có thể đính nó vào một tiến
trình services.exe hoặc Windows Explorer