Virus lây nhiễm qua thư điện tử Virus lây nhiễm qua thư điện tử Bởi: Khoa CNTT ĐHSP KT Hưng Yên Theo kết từ đợt khảo sát quy mô lớn [29], nguy tiềm ẩn người dùng email bao gồm: • Máy tính bị nhiễm virus sâu – loại mã độc phát tán thông qua file đính kèm nhúng nội dung email • Spam – thư rác • Web beaconing – trình kiểm tra địa email kích hoạt người nhận mở email Cơ chế hoạt động Virus viết ngôn ngữ sử dụng thư điện tử phương tiện lây lan Chúng ta xem xét tổng thể hệ thống sau: Mô hình MAPI 1/5 Virus lây nhiễm qua thư điện tử Ngoài việc triệu gọi trực tiếp hàm API, chương trình virus sử dụng dịch vụ mô hình đối tượng Outlook để lây lan Mô hình đối tượng Outlook Ví dụ virus thư điện tử Phần cung cấp thông tin số loại virus gần (trích dẫn từ [29]) phát tán qua Microsoft Outlook nhúng email HTML nhận Outlook Hầu hết virus lợi dụng Outlook theo số cách thức giống nhau, đưa đại diện loại Ví dụ : Virus BleBla Virus biết đến với tên Romeo & Juliet, Verona TROJ_BLEBLA.A Virus BleBla khai thác số lỗ hổng trình xử lý email HTML Outlook 2/5 Virus lây nhiễm qua thư điện tử cho phép virus tự động kích hoạt phần thân payload.exe gửi kèm người dùng mở email Thực tế sử dụng thành phần Iframe bên thông điệp HTML để thực tải hai file, MYJULIET.CHM MYROMEO.EXE thư mục TEMP Windows Một đoạn mã kịch nhỏ mở file MYJULIET.CHM, sau file kích hoạt file MYROMEO.EXE – đoạn thân thực virus Quá trình xảy nhờ khai thác lỗi Windows Biện pháp phòng chống: Cấu hình để Outlook không chạy đoạn mã kịch email HTML biện pháp cốt lõi chống lại loại virus Thực bước sau để đưa Outlook vào miền giới hạn vô hiệu hóa đoạn mã kịch miền giới hạn đó: Use Tools | Options | Security to set the security zone for Outlook HTML mail to Restricted Sites Click the Zone Settings button, then OK Select Custom, and then click the Settings button On the Security Settings dialog box, choose Disable for all options under these headings: • ActiveX Controls and plugins • Scripting Click OK three times to save the updated security settings Ví dụ : Virus LoveLetter Windows Script Host (WSH) dịch vụ cho phép ta tạo chạy đoạn mã kịch hữu ích (.vbs – tương tự file batch DOS, tốt hơn) Virus LoveLetter, có tên Lovebug, I-Worm.Loveletter, ILOVEYOU, sâu viết VBScript Virus sử dụng thông điệp Outlook để phát tán file VBScript.vbs (Tên đầy đủ file LOVE-LETTER-FOR-YOU.TXT.vbs) Để kích hoạt, yêu cầu người dùng mở file đính kèm Khi file thực thi, vận hành tiến trình nhằm ăn cắp thông tin nhạy cảm (download sử dụng chương trình WINBUGSFIX.exe) gửi tiếp email virus tới nạn nhân có sổ địa máy tính bị nhiễm Biện pháp phòng chống: Để chống lại loại sâu VBScript, cách hiệu không mở file đính kèm Tuy nhiên, vô hiệu hóa Windows Script Host or cấm thực thi tự động file VBS Chúng ta làm theo dẫn để loại bỏ file có phần mở rộng VBS danh sách file nhận biết Windows 2000 3/5 Virus lây nhiễm qua thư điện tử Open “My Computer” Select “Tools/Folder Options” Find “VBScript Script File” from the “File Types” tab Select “Delete” In confirmation dialog, select “Yes” Ví dụ : Stages Virus Virus/sâu Stages tự lây lan giống virus Loveletter, ngoại trừ việc sử dụng loại file không phổ biến, Shell Scrap Object [29] Một scrap file (có phần mở rộng shs shb) tạo thực kéo thả phần tài liệu hình desktop Các đối tượng Scrap file MS Windows OLE đóng gói chứa đựng hầu hết thứ [29] Các file chứa đoạn mã có khả xóa file, thư mục chạy chương trình Biện pháp phòng chống: Vô hiệu hóa đối tượng scrap hai biện pháp sau: • Sửa đổi xóa bỏ hai loại file (.shs shb) hộp thoại File Types • Xóa bỏ đổi tên file shscrap.dll thư mục Windows system Ví dụ : Virus Worm.ExploreZip Theo [29], ExploreZip Trojan horse, trước tiên yêu cầu nạn nhân mở chạy file đính kèm để tự cài đặt virus vào máy tính, thực trình lây nhiễm ngầm mà nạn nhân không hay biết Sau chương trình hoạt động giống sâu Internet Trojan ExploreZip thực việc lây lan người sử dụng qua đường gửi email có đính kèm file zipped_files.exe Mở file zipped_files.exe file kích hoạt chương trình virus Chương trình thực lây lan cách tự động trả lời thư nhận máy bị lây nhiễm Nội dung thư trả lời tương tự email gốc mô tả Biện pháp phòng chống: Không mở file đính kèm cách hiệu phòng chống loại virus Một giải pháp khác đề xuất [29] không chia sẻ file WIN.INI Phòng chống virus thư điện tử 4/5 Virus lây nhiễm qua thư điện tử • • • • • Cài đặt chương trình anti-virus Update liên tục SP, livedate Không mở email lạ Mở thư dạng plain text Cryptographic File bị block by Outlook? Một số loại virus mã độc khác • • • • Phishing Spam Trojan Active content 5/5 ... file WIN.INI Phòng chống virus thư điện tử 4/5 Virus lây nhiễm qua thư điện tử • • • • • Cài đặt chương trình anti -virus Update liên tục SP, livedate Không mở email lạ Mở thư dạng plain text Cryptographic.. .Virus lây nhiễm qua thư điện tử Ngoài việc triệu gọi trực tiếp hàm API, chương trình virus sử dụng dịch vụ mô hình đối tượng Outlook để lây lan Mô hình đối tượng Outlook Ví dụ virus thư điện. .. dụ : Virus BleBla Virus biết đến với tên Romeo & Juliet, Verona TROJ_BLEBLA.A Virus BleBla khai thác số lỗ hổng trình xử lý email HTML Outlook 2/5 Virus lây nhiễm qua thư điện tử cho phép virus