Tìm hiểu mô hình virus, worm mới được phát triển, các đặc tính, cách thức phòng chống
Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống BÁO CÁO MÔN HỌC AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Đề tài: Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống Nhóm 9: I Các loại mã độc Khái niệm: mã độc hại(Malware hay Malicious code) định nghĩa chương trình cài cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật,tính toàn vẹn tính sẵn sàng hệ thống Phân loại mã độc hại a Virus b Worm c Trojan horse d Melicious mobile code e Tracking Cookie f Phần mềm gián điệp g Atacker Tool h Phishing i Virus hoax Các đặc tính - Tính lây lan: tính chất quan trọng tất loại virus Khả lây lan thể sức mạnh virus Đây điểm phân biệt virus với số chương trình “xấu” khác có khả phá hoại liệu máy tính không tự lây lan - Tính ẩn: tính chất làm cho virus tránh phát chương trình anti-virus tăng tốc độ lây nhiễm, đảm bảo tồn nó.Virus giảm tối đa kích thước cách tối ưu hoá mã lệnh sử dụng số giải thuật tự nén giải nén Tuy nhiên, điều có nghĩa virus phải giảm độ phức tạp nó, dễ dàng cho lập trình viên phân tích mã lệnh Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống - Tính phá hoại: tính chất số loại virus đơn giản chúng viết để “thư giản” kiểm nghiệm khả lây lan mà Tuy nhiên, nhiều loại virus có khả phá hoại cao Virus a Khái niệm: Virus: đoạn chương trình phần mềm ngắn gắn vào chương trình thông thường Cách lây nhiễm: Virus tự đính kèm vào chương trình Mỗi lần chương trình chạy, Virus kích hoạt có hội phá hoại sinh sôi cách đính kèm vào chương trình khác b Phân loại - Boot virus Virus Boot (B-Virus) Vì môi trường lây nhiễm chúng Boot Record đĩa mềm Master Boot Record Boot Record đĩa cứng, vùng chứa đoạn mã dùng để khởi động máy tính Virus loại kích hoạt máy tính khởi động từ đĩa từ bị nhiễm chúng Khi đánh thức dậy chúng tiến hành thường trú nhớ, lặng lẽ chờ hội lây lan sang đĩa khác thông qua trình truy nhập đĩa • Phương pháp lây lan Sau trình POST (Power On Self Test – Tự kiểm tra khởi động) sector đĩa khởi động đọc vào nhớ địa 0:07C00h, tác vụ kiểm tra xem có phải phần Boot hợp lệ không cách kiểm tra mã nhận dạng 0AA55h cuối sector Tuy nhiên việc kiểm tra không tránh khỏi sơ hở thay đoạn mã Boot chương trình khác với ý đồ xấu Và cách lây lan B-Virus Virus thực việc thay Boot sector mới, nhiên virus thực hết công việc cho Boot sector (MasterBoot sector) cũ sector có chứa thông tin đĩa Chính lý mà đa số B-Virus không bỏ Boot sector cũ mà virus giữ Boot sector cũ vào vùng đĩa sau tiến hành xong tác vụ cài đặt mình, đọc trao quyền Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống điều khiển cho đoạn mã sector (tuy nhiên có số virus thực đè mã lên đoạn mã Boot sector cũ chừa thông tin đĩa mà không cất sector đi) Mọi việc lại Boot sector cũ tiếp tục thi hành bình thường Dựa vào cách giải việc cất giấu Boot sector cũ B-Virus phân thành hai loại SB-Virus DBVirus Phân loại Boot Virus Việc cất giữ Boot sector B-Virus giải theo hai hướng: Hướng thứ virus cất Boot sector cũ vào vị trí xác định đĩa chấp nhận rủi ro bị sector ghi đè, dù chỗ cất dấu có khả bị ghi đè thấp Hướng giải đơn giản chương trình thường không lớn Chỉ dùng sector thay Boot sector cũ loại gọi SB-Virus (Single Boot Virus) Hướng thứ hai virus cất Boot sector vào vị trí an toàn đĩa tránh mát xảy Vì kích thước vùng an toàn định bất kỳ, nên virus thường chiếm nhiều sector chia làm hai phần: phần Boot sector phần vùng an toàn Vì đặc điểm vậy, loại virus gọi DB-Virus (Double Boot sector) SB-Virus Do tính chấp nhận mát liệu nên chương trình ngắn gọn chiếm sector Thông thường SB-Virus chọn nơi mà khả ghi đè lên để cất Boot sector cũ.Đối với đĩa mềm, nơi thường chọn là: - Những sector cuối Root Directory người dùng khai thác hết số entry thư mục gốc - Những sector cuối đĩa phân phối liên cung cho tập tin đó, DOS bắt đầu tìm liên cung trống từ đầu vùng liệu vào entry FAT.Đối với đĩa cứng đơn giản hầu hết đĩa track chứa Master Boot record sector, lại sector khác track bỏ trống không dùng đến Do đó, SB-Virus hầu hết DBVirus chọn sector trống track làm nơi ẩn náu DB-Virus • Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống • - Đối với đa số virus kích thước 512 byte (thông thường kích thước sector 512 bytes) rộng rãi Do họ giải cách thay Boot sector cũ Boot sector giả Boot sector giả làm nhiệm vụ tải tiếp phần mã virus lại đĩa vào nhớ trao quyền điều khiển Sau cài đặt xong phần tải Boot sector thật vào nhớ Phần mã virus lại nằm nơi : - Đối với đĩa mềm: qua mặt DOS cách dùng liên cung trống Những entry tương ứng với liên cung FAT bị đánh dấu hỏng DOS không sử dụng đến Phương pháp thứ hai ưu điểm vượt khỏi tầm kiểm soát DOS cách tạo thêm track track cuối mà DOS quản lý (điều áp dùng với đĩa mềm) Tuy nhiên phương pháp có nhược điểm có số loại ổ đĩa mềm khả quản lý, track thêm gây lỗi virus tiến hành lây lan Do phương pháp thứ virus sử dụng nhiều - Đối với đĩa cứng: mã virus cất giữ sector sau Master Boot record sector cuối Partition sau giảm kích thước Partition giải tương tự đĩa mềm (sử dụng liên cung trống đánh dấu liên cung bảng FAT hỏng DOS không sử dụng nữa) Nói chung cấu trúc chương trình SB-Virus hay DB-Virus Cấu trúc chương trình B-Virus Do đặc điểm trao quyền điều khiển lần khởi động máy, virus phải tìm cách để tồn kích hoạt lại cần thiết, nghĩa giống chương trình “pop up” TSR Terminate and Stay Resident –Kết thúc thường trú) Do vậy, chương trình virus chia làm hai phần:phần khởi tạo phần thân Phần khởi tạo Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống • Đầu tiên virus tiến hành thường trú cách tự chép vào vùng nhớ cao Sau để đảm bảo tính “pop up” chiếm ngắt 13h Ngoài ra, để phục vụ cho công tác phá hoại, gây nhiễu…virus chiếm ngắt 8, 9….Sau khởi tạo xong, Boot sector cũ trả lại vị trí trao quyền điều khiển Phần thân Là phần quan trọng virus, chứa đoạn mã mà phần lớn thay cho ngắt mà chiếm Có thể chia phần thành bốn phần + Phần lây lan: phần thân virus, thay cho ngắt 13h, có tác dụng lây lan cách tự chép vào đĩa chưa bị nhiễm + Phần gây nhiễu ngụy trang: chất virus khảo sát cách tường tận việc phát diệt virus không vấn đề phức tạp Việc gây nhiễu tạo nhiều khó khăn cho người chống virus việc tìm, diệt virus phục hồi liệu Việc ngụy trang làm cho virus bề bình thường để người diệt virus sử dụng máy tính không phát chúng + Phần phá hoại: không thiết phải có Tuy nhiên đa số virus có phần này, hiền gây trục chặc nhỏ, trêu chọc người dùng…còn ác phá hủy liệu máy tính Virus phá hoại cách ngẫu nhiên định thời.Đối với loại virus định thời, virus kiểm tra giá trị (có thể virus xác định ngày, giờ, tháng, năm, số lần lây, số máy chạy…) Khi giá trị vượt qua ngưỡng cho phép tiến hành phá hoại + Phần liệu: để cất giữ thông tin trung gian, biến nội dùng riêng cho virus Boot sector cũ - VIRUS FILE Virus File(F-Virus)Thường lây nhiễm file khả thi EXE, COM, DLL, BIN, SYS Loại virus hoạt động file khả thi bị nhiễm virus thi hành chúng tìm cách lây nhiễm tiến hành thường trú nhớ chờ hội lây nhiễm sang file khả thi khác Phương pháp lây lan Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống Virus file truyền thống nói chung tiến hành lây lan file thi hành (thường file com file exe) Khi tiến hành lây lan F-Virus truyền thống phải tuân theo nguyên tắc: quyền điều khiển phải nằm tay virus trước virus trả lại cho file bị nhiễm (tuy nhiên có số virus lại nắm quyền điều khiển sau số lệnh file bị nhiễm) Tất liệu file phải bảo toàn sau quyền điều khiển thuộc file.Cho đến F-Virus có số phương pháp lây lan sau: Chèn đầu Thông thường, phương pháp áp dụng file dạng COM nghĩa chương trình PSP:100h Lợi dụng điểm này, virus chèn đoạn mã vào đầu file bị lây đẩy toàn file xuống phía sau Ưu điểm: mã virus dễ viết có dạng file COM Mặt khác, gây khó khăn cho người diệt vấn đề khôi phục file phải đọc toàn file bị nhiễm vào nhớ tiến hành ghi lại Nhược điểm: trước trả quyền điều khiển lại cho file phải đảm bảo đầu vào PSP:100h, phải chuyển toàn chương trình lên địa Nối đuôi Phương pháp thấy hầu hết loại F-Virus phạm vi lây lan rộng phương pháp Theo tên phương pháp mã virus gắn vào sau file bị lây Và mã virus không nằm đầu vào chương trình định vị lại file bị lây cách thay đổi số liệu file cho đầu vào vào mã Ưu điểm: lây lan loại file khả thi, thường file COM, EXE, BIN, OVL… mặt khác, thay đổi liệu file bị lây không đáng kể việc đoạt quyền điều khiển không khó khăn Nhược điểm: dễ dàng cho người diệt việc khôi phục liệu khó định vị mã virus lây nhiễm vào file kích thước file bị lây Đè vùng trống Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống • • Phương pháp nhằm khắc phục nhược điểm làm tăng kích thước file bị lây nhiễm (một sơ hở mà từ virus dễ bị phát hiện) hai phương pháp Theo phương pháp virus tìm vùng trống file ghi đè mã vào Ưu điểm: gây khó khăn việc phát diệt virus Nhược điểm: khó khăn việc viết mã virus khả lây lan hẹp file có đủ vùng trống cho virus ghi đè Phân loại F-Virus TF Virus (Transient File Virus) : Virus loại không thường trú, không chiếm ngắt, file bị lây nhiễm thi hành chiếm quyền điều khiển tranh thủ tìm cách lây lan sang file khác nhiều tốt RF Virus (Residen File Virus) : Virus loại thường trú nhiều kỹ thuật khác nhau, chặn ngắt mà trọng tâm ngắt 21h, ngắt thi hành ứng với chức định file tiến hành lây lan Cấu trúc chương trình F-Virus TF-Virus : Bao gồm bốn phần: lây lan, gây nhiễu, phá hoại liệu Phần lây lan: phần virus, có tác dụng lây lan cách tự chép gắn vào file khác mà tìm thấy có quyền điều khiển Do loại không thường trú nên tìm cách lây lan nhiều file tốt nắm quyền điều khiển Phần gây nhiễu: công việc làm cho mã virus trở nên phức tạp khó hiểu tạo nhiều khó khăn cho nhà chống virus việc tìm, diệt virus phục hồi liệu Phần phá hoại: tương tự B – Virus Phần liệu: để cất giữ thông tin trung gian, biến nội dùng riêng cho virus liệu file bị lây, liệu khôi phục cho file trước trao lại quyền điều khiển cho file RF-Virus : Vì thường trú chặn ngắt B-Virus loại bao gồm hai phần chính: phần khởi tạo phần thân Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống - Phần khởi tạo: virus tiến hành thường trú cách tự chép vào nhớ dùng chức thường trú DOS Sau để đảm bảo tính “pop up” chiếm ngắt 21h Ngoài ra, để phục vụ cho việc phá hoại, gây nhiễu, virus chiếm ngắt 8,9,13h …Sau khởi tạo xong, trả lại liệu cũ quyền điều khiển cho file bị lây nhiễm Phần thân: phần có cấu trúc tương tự TF-Virus, có bốn phần: lây lan, gây nhiễu, phá hoại phần liệu Nhưng loại virus thường trú nên phần lây lan thực file yêu cầu sử dụng ngắt 21h (đã bị virus chiếm) Phần gây nhiễu ngụy trang phức tạp tinh vi TF-Virus giám sát hệ thống thường trú VIRUS MACRO Virus Marco Loại khác với loại virus F-Virus truyền thống chỗ đối tượng lây nhiễm chúng chương trình khả thi mà file văn bản, bảng tính…của phần mềm ứng dụng có trang bị ngôn ngữ marco phức tạp tạo Microsoft Excel nằm phần mềm Office hãng Microsoft Khi tập tin văn (hoặc tập tin Excel) xử lý MicrosoftWord (hoặc Microsoft Excel), Marco Virus kích hoạt, tìm cách lây lan sang file Word, Excel khác Định nghĩa Về chất virus macro macro (được viết ngôn ngữ WordBasic, ExcelBasic, Visual Baisic…) có khả kích hoạt tiến hành lây lan người dùng xử lý file có tồn chúng Đối tượng lây nhiễm virus marco file template ngầm định nạp Word Excel khởi động (đối với Word file NORMAL.DOT) từ chúng tiếp tục lây lan sang file khác lần làm việc sau Thông thường, virus marco thi hành người dùng ý chạy chúng Mặt khác virus marco thi hành cách tự động virus marco có tên trùng với tên marco tự động trùng tên với lệnh chuẩn Word Excel Đây phương pháp virus marco tự động kích hoạt Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống lây lan điều kiện định.Một số ví dụ Word lệnh chuẩn như: FileClose, FileOpen, FileSave, FileSaveAs….và năm marco Các marco tự động thi hành công việc tương ứng thực hiện.Tên Tự động thi hành lệnh AutoClose Đóng file soạn thảo AutoStart Khởi động Word AutoExit Kết thúc Word AutoNew Tạo file văn AutoOpen Mở file văn Như vậy, để lây lan, virus marco phải có marco thi hành tự động Trong marco có đoạn mã để tiến hành lây lan cách tự chép toàn mã virus sang file khác Ngoài ra, virus marco có thêm phần phá hoại, gây nhiễm ngụy trang… Virus Macro W97M/Antivi.a Những đặc trưng virus Virus macro lây nhiễm file văn MicrosoftWord97 Virus loại bỏ macrotrong file người dùng thực truyền nhiễm Virus chứa thông báo viết tiếng Bồ Đào Nha Virus sửa đổi tùy chọn người dùng cảnh báo tiếng Bồ Đào Nha bên macro MicrosoftWord97 Virus móc nối mennu tùy chọn để chạy mã nó.Virus tồn macro có tên “ Hunter “ (người săn) Khi tài liệu mở tài liệu chứa đựng macro người dùng virus đề nghị loại bỏ chúng thông báo sử dụng tiếng Bồ Đào Nha : Hunter “Voce Posui o macro [Macro name] em seu arquivo” “Macros dese tipo conter virus…” “Deseja remover o Macro É aconselhavel…” [YES] [NO] Nếu người dùng chọn YES Macro người dùng bị loại bỏ Nếu người dùng chọn NO virus đưa yêu cầu: Hunter “Tem Certeza???” “Alguns Virus podem danificar este computador!!!” “Clique „Sim‟ para remover o [Macro name] e „Não‟ para manter o Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống - Macro” Nếu người dùng chọn YES Macro người dùng bị loại bỏ Nếu người dùng chọn NO hoạt động xảy Ngoài Virus chứa đựng chức vô hiệu hóa tổ hợp phím“ALT+F8” “ALT+F11” Worm a Khái niệm Worm: đoạn chương trình phần mềm ngắn lợi dụng mạng máy tính lỗ hổng bảo mật để tự nhân Cách lây nhiễm:Để tạo sao, Worm dò tìm máy tính khác mạng để phát lỗ hổng bảo mật tiến hành công Nó tự chép lên máy tính qua lỗ hổng bảo mật lại tiếp tục nhân từ máy Worm lợi dụng tính truyền file hay thông tin hệ thống để di chuyển không cần có tác động người Tính phá hoại: Worm có khả nhân di chuyển mạng nên tiêu tốn nhớ (hay băng thông mạng), làm cho máy chủ Web,máy chủ mạng, máy tính đơn không hoạt động Worm bước tiến đáng kể virus Worm kết hợp phá hoại virus, bí mật Trojan việc lây lan nhanh chóng qua đường mạng Internet b Phân loại: Network Service Worm: lan truyền cách lợi dụng bảo mât hổng bảo mât mạng,của hệ điều hành ứng dụng Mass Mailling Worm : dạng công qua dịch vụ mail,nó tự động đóng gói để công lây nhiễm không bám vào vật chủ mail.Khi sâu lây nhiễm vào hệ thống,nó thường cố gắng tìm kiếm số địa gửi tới địa thu được.Việic gửi đồng thời thường gây tải cho mạng cho máy chủ mail c Lịch sử phát triện Worm - Sâu Morris Sâu Morris sâu máy tính phát tán qua Internet Sâu Morris thả lên mạng vào ngày tháng 11 năm 1988 từ học viện MIT Robert Tappan Morris - sinh viên đại học Cornell- phát tán đoãn mã gồm 99 dòng lên mạng để tìm câu trả lời câu hỏi”Internet lớn nào?” Mặc dù mục đích tác giả không Page 10 Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống xấu, đoạn code lại tồn số lỗi mà không ngờ tới Các lỗi gây tải cho máy tính nhận truy vấn từ đoạn mã Kết 6000 máy dùng hệ điều hành UNIX khắp nước Mỹ bị đánh sập Cách lây nhiễm: Con sâu xác định xem có xâm nhập máy tính hay không cách hỏi xem có chạy hay chưa Nhưng làm điều việc xóa bỏ lại dễ dàng, phải chạy tiến trình trả lời "có" hỏi xem có chưa, sâu tránh - Sâu Kakworm Kakworm (KAV) sâu Nó xây dựng với mục đích xâm nhập vào chỗ dễ bị tổn thương bảo vệ trình duyệt Internet Explorer hay chương trình Outlook Express,những trình duyệt Microsoft thư tín điện tử chưa bị ảnh hưởng Cách lây nhiễm:KAV gắn vào chữ ký HTML tới tin nhắn Người dùng không nhìn thấy dạng văn hiển thị hình (KAV viết JavaScript) Người dùng không cần kích hoạt vào file đính kèm thực hoạt động để kích hoạt KAV Chỉ cần người dùng xem thư sâu KAV xâm nhập vào hệ thống.Được kích hoạt lần, KAV lưu file KAK.HTA vào thư mục khởi động Windows Lần sau máy tính khởi động, KAK.HTA chạy tạo KAK.HTA thư mục Windows.Trong tháng có lần sau năm chiều sâu KAK hiển thị thông báo “Kagou - Anti - Krosoft nói hôm nay” sau tắt máy tính.KAK xây dựng dựa vào Bubbleboy, sâu lan truyền mà không cần người dùng phải mở file đính kèm Sâu Love Letter Năm 2000, nhiều nhận e-mail có nội dung sau’’ILOVEYOU” Email đính kèm file có tên LOVELETTER-FOR-YOU.TXT.vbs, file kích hoạt sâu máy tính có khả lây lan khủng khiếp qua chế tiếp cận địa email Outlook contact nạn nhân Nhiều người nhận nghĩ email vô hại mở file, file liệu máy Page 11 Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống tính họ bị sâu phá hoại cách ghi đè liệu vô nghĩa lên Hoạt động sâu Love Letter: Nó kiểm tra file WinFAT.32.exe thư mục tải xuống từ Interner Explorer Nếu không tìm thấy sâu thay đổi trang khởi động Internet Explorer đăng ký tới số website nơi file WINBUGSFI.exe tải xuống tập hợp để chạy máy tính cho lần tiếp theo.Con sâu chép vào hai chỗ nơi thi hành khởi động lại máy tính khác.Nó cố gắng gửi cho địa danh sách địa Outlook Con sâu tìm kiếm tất file có phần mở rộng VBS, VBE, JS, JSE, CSS, WSH, SCT HTA Nếu tìm thấy, chúng ghi đè lên với virus phần mở rộng đổi tên thành VBS File đồ họa với phần mở rộng JPG JPEG ghi đè lên với virus phần mở rộng VBS thêm vào tên Những file đa phương tiện với phần mở rộng MP2 MP3 chép tới file tên phần mở rộng VBS thêm vào.Con sâu tìm kiếm chương trình client MIRC tìm thấy, thả file HTML thiết kế để gửi sâu qua MIRC Sâu Nimda Mùa thu năm 2001, sâu máy tính Nimda nhanh chóng lây lan cho nhiều máy sử dụng Windows qua email Nimda lây lan cách tìm địa email chứa file html lưu tạm thư mục web cache người sử dụng Hậu gây thật nặng nề: tất file có liên quan đến website máy nạn nhân bị chèn đoạn Javascript phục vụ cho việc "nhân giống" Nimda, liệu nạn nhân bị chia sẻ mà họ không hay biết, kèm theo Nimda tạo tài khoản “khách” ảo có quyền tương đương tài khoản Admin Sâu Nimda sử dụng số phương pháp sau để lan truyền: - Từ khách hàng đến khách hàng qua thư tín điện tử lây nhiễm file.EXE - Từ khách hàng đến khách hàng qua mạng chia sẻ cục - Từ người phục vụ mạng đến khách hàng qua trình duyệt website Page 12 Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống II - Từ khách hàng đến người phục vụ mạng qua tích cực quét khai thác tính dễ bị tổn thương “Microsoft IIS 4.0/5.0 directory travarsal” - Từ khách hàng đến người phục vụ mạng qua quét cửa sau để lại sâu “Code Red II” “sadmind/IIS” • Lây nhiễm file: Nimda hành động giống file lây nhiễm chuẩn Nó tìm kiếm file EXE thêm vào file tài nguyên Khi file EXE người sử dụng tải xuống ảnh hưởng lại tăng khả lan rộng Đồng thời, file lây nhiễm máy tính mạng cục bộ, file chia sẻ làm lan rộng ảnh hưởng sâu Nimda Khi file lây nhiễm thực lây nhiễm qua file khác Nimda thực xóa file sau kết thúc luôn làm điều Để thực điều tạo WININI.INI với lệnh để xóa file lần Windows khởi động sau đó.Nimda tìm kiếm file lây nhiễm Những file EXE gây lây lan cách tìm kiếm khóa tất khóa khác [SOFTWARE \ Microsoft\Windows\currentVersion\App Paths] [SOFTWARE \ Microsoft\Windows\currentVersion\Explorer \Shell Thư mục] Đặc biệt, file WINZIP32.EXE không bị lây lan Cách thức phòng chống Sử dụng phần mềm diệt virus Trong nước (Việt Nam): Bkav, CMC Của nước ngoài: Avira, Kaspersky, AVG, ESET Và phát hành Microsoft: Microsoft Security Essentials Sử dung tường lửa Khi sử dụng tường lửa, thông tin vào máy tính kiểm soát cách vô thức có chủ ý Nếu phần mềm độc hại cài vào máy tính có hành động kết nối Internet tường lửa cảnh báo giúp người sử dụng loại bỏ vô hiệu hoá chúng Tường lửa giúp ngăn chặn kết nối đến không mong muốn để giảm nguy bị kiểm soát máy tính ý Page 13 Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống muốn cài đặt vào chương trình độc hại hay virus máy tính Sử dụng tường lửa phần cứng người sử dụng kết nối với mạng Internet thông qua modem có chức Sử dụng tường lửa phần cứng tuyệt đối an toàn chúng thường ngăn chặn kết nối đến trái phép, kết hợp sử dụng tường lửa phần mềm Sử dụng tường lửa phần mềm: Ngay hệ điều hành họ Windows ngày tích hợp sẵn tính tường lửa phần mềm, nhiên thông thường phần mềm hãng thứ ba làm việc tốt tích hợp nhiều công cụ so với tường lửa phần mềm sẵn có Windows Ví dụ phần mềm ZoneAlarm Security Suite hãng ZoneLab công cụ bảo vệ hữu hiệu trước virus, phần mềm độc hại, chống spam, tường lửa Cập nhật sửa lỗi hệ điều hành Hệ điều hành Windows luôn bị phát lỗi bảo mật thông dụng nó, tin tặc lợi dụng lỗi bảo mật để chiếm quyền điều khiển phát tán virus phần mềm độc hại Người sử dụng cần cập nhật vá lỗi Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất phần mềm hãng Microsoft) Windows Update (chỉ cập nhật riêng cho Windows) Vận dụng kinh nghiệm sử dụng máy tính Cho dù sử dụng tất phần mềm phương thức máy tính có khả bị lây nhiễm virus phần mềm độc hại mẫu virus chưa cập nhật kịp thời phần mềm diệt virus Một số kinh nghiệm tham khảo sau: Phát hoạt động khác thường máy tính: hoạt động chậm chạp máy tính, nhận thấy kết nối khác thường thông qua tường lửa Mọi hoạt động khác thường phần cứng gây cần nghi ngờ xuất virus Page 14 Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống Kiểm soát ứng dụng hoạt động: thông qua Task Manager phần mềm hãng thứ ba (chẳng hạn: ProcessViewer) để biết phiên làm việc bình thường hệ thống thường nạp ứng dụng nào, chúng chiếm lượng nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động có điều bất thường hệ thống (dù chưa có biểu nhiễm virus) có nghi ngờ có hành động phòng ngừa hợp lý Loại bỏ số tính hệ điều hành tạo điều kiện cho lây nhiễm virus: Theo mặc định Windows thường cho phép tính autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm đưa đĩa CD đĩa USB vào hệ thống Chính tính số loại virus lợi dụng để lây nhiễm vừa cắm ổ USB đưa đĩa CD phần mềm vào hệ thống (bằng cách tạo file autorun.ini ổ USB để tự chạy virus cắm ổ USB vào máy tính) Sử dụng thêm trang web cho phép phát virus trực tuyến Bảo vệ liệu máy tính: - Sao lưu liệu theo chu kỳ biện pháp đắn để bảo vệ liệu Bạn thường xuyên lưu liệu theo chu kỳ đến nơi an toàn như: thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi đĩa quang ) - Tạo liệu phục hồi cho toàn hệ thống không dừng lại tiện ích sẵn có hệ điều hành (ví dụ System Restore Windows Me, XP ), tạo lưu hệ thống phần mềm ghost, phần mềm tạo ảnh ổ đĩa phân vùng khác Page 15 [...].. .Tìm hiểu mô hình virus, worm mới được phát triển, các đặc tính, cách thức phòng chống xấu, nhưng trong các đoạn code của anh ta lại tồn tại một số lỗi mà anh ta không ngờ tới Các lỗi đó gây quá tải cho máy tính nhận được truy vấn từ những đoạn mã này Kết quả là 6000 máy dùng hệ điều hành UNIX trên khắp nước Mỹ bị đánh sập Cách lây nhiễm: Con sâu xác định xem có xâm nhập một máy tính mới hay... có khả năng lây lan khủng khiếp qua cơ chế tiếp cận các địa chỉ email trong Outlook contact của nạn nhân Nhiều người nhận nghĩ rằng email đó là vô hại đã mở file, ngay lập tức các file dữ liệu trên máy Page 11 Tìm hiểu mô hình virus, worm mới được phát triển, các đặc tính, cách thức phòng chống tính của họ bị con sâu này phá hoại bằng cách ghi đè các dữ liệu vô nghĩa lên Hoạt động của sâu Love Letter:... như hoạt động chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự xuất hiện của virus Page 14 Tìm hiểu mô hình virus, worm mới được phát triển, các đặc tính, cách thức phòng chống Kiểm soát các ứng dụng đang hoạt động: thông qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng... tường lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng Tường lửa giúp ngăn chặn các kết nối đến không mong muốn để giảm nguy cơ bị kiểm soát máy tính ngoài ý Page 13 Tìm hiểu mô hình virus, worm mới được phát triển, các đặc tính, cách thức phòng chống 3 4 muốn hoặc cài đặt vào các chương trình độc hại hay virus máy tính Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối... khách hàng qua trình duyệt của những website Page 12 Tìm hiểu mô hình virus, worm mới được phát triển, các đặc tính, cách thức phòng chống II - Từ khách hàng đến người phục vụ mạng qua sự tích cực quét và sự khai thác tính dễ bị tổn thương của “Microsoft IIS 4.0/5.0 directory travarsal” - Từ khách hàng đến người phục vụ mạng qua sự quét những cửa sau được để lại bởi con sâu “Code Red II” và “sadmind/IIS”... MIRC và nếu tìm thấy, sẽ thả một bản sao và file HTML được thiết kế để gửi con sâu qua MIRC Sâu Nimda Mùa thu năm 2001, sâu máy tính Nimda đã nhanh chóng lây lan cho rất nhiều máy sử dụng Windows qua email Nimda lây lan bằng cách tìm các địa chỉ email chứa ở các file html được lưu tạm trong thư mục web cache của người sử dụng Hậu quả do nó gây ra thật nặng nề: tất cả các file có liên quan đến các website... WINZIP32.EXE thì không bị lây lan Cách thức phòng chống 1 Sử dụng phần mềm diệt virus Trong nước (Việt Nam): Bkav, CMC Của nước ngoài: Avira, Kaspersky, AVG, ESET Và phát hành bởi Microsoft: Microsoft Security Essentials 2 Sử dung tường lửa Khi sử dụng tường lửa, các thông tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý Nếu một phần mềm độc hại đã được cài vào máy tính có hành động... bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại, chống spam, và tường lửa Cập nhật các bản sửa lỗi của hệ điều hành Hệ điều hành Windows luôn luôn bị phát hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát tán virus và các phần mềm độc hại Người sử dụng luôn cần cập nhật các bản vá lỗi của Windows thông qua trang... làm được điều này Để thực hiện điều đó nó tạo ra WININI.INI với những lệnh để xóa file trong lần Windows khởi động sau đó.Nimda tìm kiếm file lây nhiễm Những file EXE gây lây lan bằng cách tìm kiếm các khóa và tất cả khóa khác [SOFTWARE \ Microsoft\Windows\currentVersion\App Paths] [SOFTWARE \ Microsoft\Windows\currentVersion\Explorer \Shell Thư mục] Đặc biệt, file WINZIP32.EXE thì không bị lây lan Cách. .. động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (bằng cách tạo các file autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính) Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến 5 Bảo vệ dữ liệu máy tính: - Sao lưu dữ ... hành chúng tìm cách lây nhiễm tiến hành thường trú nhớ chờ hội lây nhiễm sang file khả thi khác Phương pháp lây lan Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống Virus... phần:phần khởi tạo phần thân Phần khởi tạo Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống • Đầu tiên virus tiến hành thường trú cách tự chép vào vùng nhớ cao Sau để đảm... Page Tìm hiểu mô hình virus, worm phát triển, đặc tính, cách thức phòng chống • - Đối với đa số virus kích thước 512 byte (thông thường kích thước sector 512 bytes) rộng rãi Do họ giải cách thay