Nghiên cứu, tìm hiểu các loại virus máy tính và phương pháp phòng chống

Nghiên cứu, tìm hiểu các loại virus máy tính và phương pháp phòng chống

MỤC LỤC

DANH MỤC HÌNH VẼ 4

LỜI NÓI ĐẦU 5

CHƯƠNG I: TỔNG QUAN VỀ VIRUS MÁY TÍNH 6

1.1 Khái quát về Virus 6

1.1.1 Lịch sử Virus máy tính 6

1.1.2 Khái niệm về Virus máy tính 14

1.2.3 Nguyên nhân tạo virus? 15

1.2.4 Một số dấu hiệu bị nhiễm Virus máy tính 17

1.2.5 Cách thức lây lan của Virus 18

1.2.7 Một số đuôi mở rộng có khả năng bị Virus máy tính 21

1.2 Phân loại Virus máy tính 22

1.2.1.Boot Virus (B-Virus) 22

1.2.2 File Virus 25

1.2.3 Virus Macro 25

1.2.4 Một số mã độc hại khác 26

1.2.4.1 Worms 27

1.2.4.2 Trojan Horse 29

1.2.4.3 Moblecode 31

1.2.4.4 Tracking Cookies 31

1.2.4.5 Attacker Tools 32

1.2.4.5.1 Backdoor 32

1.2.4.5.2 Zoombie (có thể đôi lúc gọi là bot) 32

1.2.4.5.4 Keylogger 33

1.2.4.5.5 Rootkits 33

1.2.4.6 Virus Hoax 36

CHƯƠNG II: MỘT SỐ KỸ THUẬT CỦA VIRUS MÁY TÍNH 38

2.1 Kỹ thuật của B- Virus 38

2.1.1 Kỹ thuật kiểm tra tính duy nhất: 38

2.1.2 Kỹ thuật lưu trú 39

2.1.3 Kỹ thuật lây lan 39

2.1.4 Kỹ thuật ngụy trang và gây nhiễu 40

2.1.5 Kỹ thuật phá hoại 41

2.2 Kỹ thuật của F- Virus 41

2.2.1 Kỹ thuật lây lan 41

2.2.2 Kỹ thuật đảm bảo tính tồn tại duy nhất 43

2.2.3 Kỹ thuật thường trú 44

2.2.4 Kỹ thuật ngụy trang và lây nhiễm 45

2.3 Một số kỹ thuật Virus và mã độc trên mạng 46

2.3.1 Lây nhiễm trên mạng cục bộ (LAN) 46

2.3.2 Internet 46

CHƯƠNG III: PHÒNG CHỐNG VÀ DIỆT VIRUS 47

3.1 Hậu quả của Virus 47

3.2 Phòng chống Virus 48

3.3 Phòng chống Malware 49

3.4 Xu hướng phát triển của các chương trình phòng chống Virus 50

3.5 Các phần mềm phòng chống và diệt virus 51

3.5.1 Các phần mềm ở Việt Nam 51

3.5.2 Một số phần mềm của nước ngoài 55

3.5.3 Quét Online 61

KẾT LUẬN 63

TÀI LIỆU THAM KHẢO 64

DANH MỤC HÌNH VẼ

Hình 1 1: Sự tăng đột biến của các mã độc hại 27

Hình 1 2: Sự lây lan của Worm: Win 32 Conficker 29

Hình 1 3: Ví dụ về một Trojan 30

Hình 1 4: Ví dụ về mô hình hoạt động của botnet 33

Hình 1 5: Mô hình hoạt động của WinAPI - phát hiện rootkit 35

Hình 1 6: Mô hình hoạt động của Phishing 36

Hình 4 1: Hình ảnh CMC Internet Security đang tìm và diệt 54

Hình 4 2: Avast Free Antivirus 55

Hình 4 3: AVG Antivirus Free 56

Hình 4 4: Bitdefender Free 57

Hình 4 5: Microsoft Security Essentials 57

Hình 4 6: Rising Antivirus 58

Hình 4 7:PC Tools AntiVirus Free Edition 59

Hình 4 8: Spyware Doctor with AntiVirus 59

Hình 4 9: A-squared Free 4.5 60

Hình 4 10: Comodo Firewall and Antivirus 61

LỜI NÓI ĐẦU

Virus máy tính hiện nay đang là lỗi băn khoăn lo lắng của những người làm công tác tin học, cũng là nỗi lo của những người dùng khi máy tính của mình bị nhiễm Virus

Xuất phát từ thực tế trên, tôi đã chọn đề tài: “ Nghiên cứu, tìm hiểu các loạiVirus máy tính và phương pháp phòng chống” làm đề tài tốt nghiệp

Nội dung của đề tài được trình bày 4 chương:

Chương I: Tổng quan về Virus máy tính

Chương II: Một số kỹ thuật của Virus máy tính

Chương III: Phòng chống và diệt Virus máy tính

Trong quá trình làm đồ án này, tôi đã nhận được nhiều sự giúp đỡ của cácThầy cô giáo, người dùng bè đồng nghiệp và gia đình Tôi xin cảm ơn sự giúp đỡnhiệt tình của Thầy: Đinh Tiến Thành - Thạc sỹ Khoa Mật Mã - Là Thầy giáotrực tiếp hướng dẫn đề tài tốt nghiệp của tôi, cảm ơn các anh chị trong công ty

CP an ninh an toàn thông tin đã tạo điều kiện giúp đỡ tôi hoàn thành đồ án này.Tôi cũng xin cảm ơn các người dùng bè đồng nghiệp, người thân trong gia đình

đã tạo điều kiện, động viên tôi trong quá trình làm đồ án

Vì điều kiện thời gian không nhiều, kinh nghiệm còn hạn chế, không tránhkhỏi thiếu sót Tôi mong nhận được các ý kiến đóng góp của các Thầy cô giáo vàcác người dùng để các chương trình sau này được tốt hơn

CHƯƠNG I: TỔNG QUAN VỀ VIRUS MÁY TÍNH

1.1 Khái quát về Virus

1.1.1 Lịch sử Virus máy tính

Có thể nói virus máy tính có một quá trình phát triển khá dài, và nó luônsong hành cùng “người dùng đồng hành” của nó là những chiếc "máy tính", (tuynhiên người dùng máy tính của nó chẳng thích thú gì) Khi mà Công nghệ phầnmềm cũng như phần cứng phát triển thì virus cũng phát triển theo Hệ điều hànhthay đổi thì virus máy tính cũng thay đổi để có thể ăn bám, ký sinh trên hệ điềuhành mới Tất nhiên là virus không tự sinh ra

Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản chỉ

là một thú đùa vui (nhiều khi ác ý) Nhưng chỉ có điều những cái đầu thông minhnày khiến chúng ta phải đau đầu đối phó và cuộc chiến này không bao giờ chấmdứt, nó đã, đang và sẽ luôn luôn tiếp diễn

Có nhiều tài liệu khác nhau nói về xuất xứ của virus máy tính, điều nàycũng dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra nổi một

"xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay Điều đó cũng

có nghĩa là không mấy người quan tâm tới chúng Chỉ khi chúng gây ra nhữnghậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu Tuyvậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ítnhiều liên quan tới những sự kiện sau:

1983 - Để lộ nguyên lý của trò chơi "Core War

Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả

về "Core War" và cung cấp cho độc giả những thông tin hướng dẫn về trò chơinày Kể từ đó virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữanhững người viết ra virus và những người diệt virus

1986 - Brain virus

Có thể được coi là virus máy tính đầu tiên trên thế giới Tháng 1 năm 1986,Brain âm thầm đổ bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là TrườngĐại học Delaware Một nơi khác trên thế giới cũng đã mô tả sự xuất hiện củavirus, đó là Đại học Hebrew - Israel.

1987 - Lehigh virus xuất hiện

Lại một lần nữa liên quan tới một trường Đại học Lehigh chính là tên củavirus xuất hiện năm 1987 tại trường Đại học này Trong thời gian này cũng có 1

số virus khác xuất hiện, đặc biệt Worm virus (virus loại sâu), cơn ác mộng vớicác hệ thống máy chủ cũng xuất hiện Cái tên Jerusalem chắc sẽ làm cho công tyIBM nhớ mãi với tốc độ lây lan đáng nể: 500.000 nhân bản trong 1 giờ

1988 - Virus lây trên mạng

Ngày 2 tháng 11 năm 1988, Robert Morris đưa virus vào mạng máy tínhquan trọng nhất của Mỹ, gây thiệt hại lớn Từ đó trở đi người ta mới bắt đầunhận thức được tính nguy hại của virus máy tính

1989 - AIDS Trojan

Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa", chúng không phải

là virus máy tính, nhưng luôn đi cùng với khái niệm virus "Những chú ngựathành Tơ-roa" này khi đã gắn vào máy tính của người dùng thì nó sẽ lấy cắp một

số thông tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này muốn

nó vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính của ngườidùng

1991 - Tequila virus

Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánhdấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thốngmáy tính

Đây thực sự là loại virus gây đau đầu cho những người diệt virus và quả thậtkhông dễ dàng gì để diệt chúng Chúng có khả năng tự thay hình đổi dạng saumỗi lần lây nhiễm, làm cho việc phát hiện ra chúng quả thật là khó

tự hào rằng khi virus này xuất hiện, trên thế giới chưa có loại "kháng sinh" nàothì tại Việt Nam đã đưa ra được giải pháp rất đơn giản để loại trừ loại virus này

và đó cũng là thời điểm Bkav bắt đầu được mọi người sử dụng rộng rãi trên toànQuốc

Những năm sau đó, những virus theo nguyên lý của Concept được gọichung là Virus macro, chúng tấn công vào các hệ soạn thảo văn bản củaMicrosoft (Word, Exel, Powerpoint

1996 - Boza virus

Khi hãng Microsoft chuyển sang hệ điều hành Windows95 và họ “rêu rao”rằng virus không thể công phá thành trì của họ được, thì ngay năm 1996 xuấthiện virus lây trên hệ điều hành Windows95 (có lẽ không nên thách thức những

kẻ xấu, điều đó chỉ thêm kích động chúng )

1999 - Melissa, Bubbleboy virus

Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới SâuMelissa không những kết hợp các tính năng của sâu Internet và virus marco, mà

nó còn biết khai thác một công cụ mà chúng ta thường sử dụng hàng ngày làMicrosoft Outlook Express để chống lại chính chúng ta Khi máy tính của chúng

ta bị nhiễm Mellisa, nó sẽ tự phân phát mình đi mà chính chúng ta không hề haybiết Và chúng ta cũng sẽ rất bất ngờ khi bị mang tiếng là kẻ phát tán virus.Chỉ từ ngày thứ Sáu tới ngày thứ Hai tuần sau, virus này đã kịp lây nhiễm

250 ngàn máy tính trên thế giới thông qua Internet, trong đó có Việt Nam, gâythiệt hại hàng trăm triệu USD Một lần nữa cuộc chiến lại sang một bước ngoặtmới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phươngtiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếngđồng hồ

Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tínhtrên toàn cầu, ngoài Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữliệu của hàng triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày

26 tháng 4

2000 - DDoS, Love Letter virus

Có thể coi là một trong những vụ việcvirus phá hoại lớn nhất từ trước đến thờiđiểm đó, Love Letter có xuất xứ từPhilippines do một sinh viên nước này tạo ra,chỉ trong vòng có 6 tiếng đồng hồ đã kịp đivòng qua 20 nước trong đó có Việt Nam, lâynhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷUSD

Năm 2000 cũng là năm ghi nhớ cuộc "Tấn công Từ chối dịch vụ phân tán" DDoS (Distributed Denial of Service ) qui mô lớn do virus gây ra đầu tiên trênthế giới, nạn nhân của đợt tấn công này là Yahoo!, Amazon.com Tấn công

-"Từ chối dịch vụ" -DoS là cách tấn công gây "ngập lụt" bằng cách từ một máygửi liên tiếp các yêu cầu vượt mức bình thường tới một dịch vụ trên máy chủ,làm ngưng trệ, tê liệt khả năng phục vụ của dịch vụ hay máy chủ đó Nhữngvirus loại này phát tán đi khắp nơi và nằm vùng ở những nơi nó lây nhiễm.Chúng sẽ đồng loạt tấn công theo kiểu DoS vào các hệ thống máy chủ khi ngườiđiều hành nó phất cờ, hoặc đến thời điểm được định trước.

2001 – Winux Windows/Linux Virus, Nimda, Code Red virus

Winux Windows/Linux Virus đánh dấu những virus có thể lây được trêncác hệ điều hành Linux chứ không chỉ Windows Chúng ngụy trang dưới dạngfile MP3 cho download

Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiềucon đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạmsang máy trạm ), làm cho việc phòng chống vô cùng khó khăn, cho đến tận cuốinăm 2002, ở Việt Nam vẫn còn những cơ quan với mạng máy tính có hàng trămmáy tính bị virus Nimda quấy nhiễu Chúng cũng chỉ ra một xu hướng mới củacác loại virus máy tính là "tất cả trong một", trong một virus bao gồm nhiềuvirus, nhiều nguyên lý khác nhau

2002 - Sự ra đời của hàng loạt loại virus mới

Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời Virus này lâynhững file SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một loạicông cụ giúp làm cho các trang Web thêm phong phú) Tháng 3 đánh dấu sự rađời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft Consâu Net này có tên SharpA và được viết bởi một người phụ nữ!

Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL.Tháng 6, có vài loại virus mới ra đời: Perrun lây qua Image JPEG (Có lẽ ngườidùng nên cảnh giác với mọi thứ) Scalper tấn công các FreeBSD/Apache Webserver

Người sử dụng máy tính trên thế giới bắt đầu phải cảnh giác với một mộtloại chương trình độc hại mới mang mục đích quảng cáo bất hợp pháp - Adware

và thu thập thông tin cá nhân trái phép - Spyware (phần mềm gián điệp) Lần đầutiên các chương trình Spyware, Adware xuất hiện như là các chương trình độclập, không phải đi kèm theo các phần mềm miễn phí như trước đó Chúng bí mậtxâm nhập vào máy của người dùng khi họ vô tình “ghé thăm” những trang web

có nội dung không lành mạnh, các trang web bẻ khóa phần mềm…Và vớinguyên lý như vậy, ngày nay các phần mềm Adware và Spyware đã thực sự trởthành những "bệnh dịch" hoành hành trên mạng Internet

Virus cũng bắt đầu được sử dụng như một công cụ để phát tán thư quảngcáo (spam) nhanh nhất Các virus họ Sobig nổi lên như những cỗ máy phát tánmột lượng thư quảng cáo khổng lồ trên khắp thế giới Cũng trong năm này, thế

hệ những virus mới như Lovgate, Fizzer đã bắt đầu sử dụng những mạng chia sẻfile ngang hàng peer to peer như KaZaa để phát tán virus qua các thư mục chia

sẻ trên mạng

2004 - Cuộc chạy đua giữa Skynet và Beagle

Cuộc chạy đua giữa hai họ virus cùng có nguồn gốc từ Đức và lây nhiễmnhiều nhất trong năm này bắt đầu bằng việc các biến thể mới của virus Skynet

khi lây nhiễm vào một máy tính sẽ tìm cách loại bỏ các virus họ Beagle ra khỏimáy đó và ngược lại Mỗi biến thể của Skynet xuất hiện trên thế giới thì gần nhưngay lập tức sẽ lại có một biến thể của Beagle được viết ra để chống lại nó vàngược lại Cuộc chạy đua này kéo dài liên tục trong mấy tháng đã làm cho sốlượng virus mới xuất hiện trong năm 2004 tăng lên một cách nhanh chóng.

Năm 2004 cũng là năm xuất hiện virus khai thác lỗ hổng của dịch vụLSASS (Local Security Authority Subsystem Service) trên hệ điều hànhWindow 2K, Window XP để lây lan giữa các máy tính - virus Sasser Cũnggiống như virus Blaster, virus Sasser nhanh chóng gây nên một tình trạng hỗnloạn trên mạng khi làm Shutdown tự động hàng loạt máy tính mà nó lây nhiễm

2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting

Các dịch vụ chatting trực tuyến như Yahoo!, MSN bắt đầu được virus lợidụng như một công cụ để phát tán virus trên mạng.Theo thống kê thì trong vòng

6 tháng đầu năm, đã có tới 7 virus lây lan qua các dịch vụ chatting xuất hiện ởViệt Nam Trong thời gian tới những virus tấn công thông qua các dịch vụchatting sẽ còn tiếp tục xuất hiện nhiều hơn nữa khi số người sử dụng dịch vụnày ngày càng tăng

2006 – Người dùng trong nước quen dần với sự hiện diện của virus

Mối lo ngại từ năm trước đã trở thành sự thật Năm 2006, những ngườidùng dịch vụ chatting Yahoo! Messenger ở Việt Nam đã có lúc rơi vào tình cảnhngập lụt tin nhắn chứa link độc của Virus Kể từ khi mã nguồn virus Gaixinhđược công bố, “phong trào” viết virus lây qua Yahoo! Messenger đã thực sự “nởrộ” trong nước Người dùng với ý thức cảnh giác không cao cũng gián tiếp tiếptay cho đại dịch này

Năm 2006 cũng có thể coi là thời kỳ hoàng kim của virus lây lan qua “conđường giao lưu dữ liệu” quen thuộc của chúng ta: USB Trong hầy hết các thống

kê của Bkav về tinh hình lây lan của virus, các virus có cơ chế lây lan qua USBluôn chiếm vị trí cao nhất Phải công nhận đây là một cơ chế lây lan đơn giản

nhưng rất hiệu quả vì dường như rất khỏ bỏ thói quen mở USB ngay khi chúngđược cho vào máy (và thế là máy tính của chúng ta đã bị nhiễm virus).

Đến đây chúng ta đã nhìn nhận được phần nào lịch sử phát triển của virusmáy tính Chúng cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấpđến cao Đấy cũng chính là lí do mà chúng ta cũng luôn phải đau đầu để bắt kịpđược tiến trình của chúng Dường như tất cả mọi thứ đều có thể bị nhiễm virus,chúng không tha bất cứ cái gì và chúng sẽ thâm nhập vào tất cả những gì có thể.Chúng ta hãy tự tạo cho mình phương thức phòng chống hữu hiệu

Với khả năng của các hacker, virus ngày ngay có thể xâm nhập bằng cách

bẻ gãy các rào an toàn của hệ điều hành hay chui vào các lỗ hổng của các phầnmềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nốikết mạng hay qua thư điện tử Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽcàng khó hơn nhiều Chính Microsoft, hãng chế tạo các phần mềm phổ biến,cũng là một nạn nhân Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiềucác phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành cácthế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn côngcủa virus Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thìmong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồmmọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức,nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp(spyware) Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứkhông nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp củaWindows hiện giờ Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổiphương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình

1.1.2 Khái niệm về Virus máy tính

Trong khoa học máy tính,Virus máy tính( thường được người sử dụng gọitắt là virus) là những chương trình hay một loại mã độc hại(Maliciuos code)

có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình, hoặcmáy tính.

Như vậy, theo cách định nghĩa này Virus tin học thường là chương trình,

mã độc hại ngắn, tinh vi và luôn luôn bám vào một vật chủ(các file, chươngtrình, máy tính) để lây lan Các chương trình diệt Virus dựa vào đặc tính này đểthực thi việc quét và diệt virus Điều này cũng giải thích tại sao dôi khi cácphần mềm diệt virus tại PC đưa ra thông báo”phát hiện ra virus nhưng khôngdiệt được” khi thấy có dấu hiệu hoạt động của Virus trên PC, bởi vì “vật” mangvirus đang nằm ở máy khác nên không thể thực thi việc xóa đoạn mã độc hại đó

Đối tượng tấn công của chúng là các đĩa cứng và cá thiết bị lư trữ dữliệu…, làm cho các file kiểu COM, EXE chạy sai hoặc không chạy; hủy dữliệu các file khác trên đĩa

Do cách thực hoạt động của chúng giống như virus sinh học nên người tađặt chúng với cái tên “Virus”

Dựa vào các phương tiện giao tiếp trên máy tính như đĩa , thiết bị lưu trữmạng, nhất là Internet chúng lan truyền và có mặt khắp nơi trên thế giới và với

số lượng đông không kể xiết Có thể nói rằng nơi nào có máy tính, nơi đó cómáy tính, thì nơi đó có virus tin học, tầm hoạt động của Virus tin học là phổ biến

1.2.3 Nguyên nhân tạo virus?

Nguyên nhân mà các hacker viết virus có nhiều và không phải lúc nào cũngđơn giản như nhiều người nghĩ Đó có thể vì tiền, vì sĩ diện, khoe khoang, hay

đơn giản là để… lòe gái Mấy con virus “nội” trong thời gian qua như “gaixinh”chẳng hạn thì động lực chủ yếu nghiêng về những nguyên nhân sau

Nếu là mấy năm trước thì các nguyên nhân viết virus không có nhiều, đaphần không phải vì tiền Thời gian qua đi khiến cho các nguyên nhân này cũng

đa dạng hơn rất nhiều Những kẻ viết virus và các loại mã độc hại đã không còn

“vô hại” nữa, chúng thực sự nguy hiểm và gây thiệt hại lớn cho người dùng vàdoanh nghiệp

Đi tìm nguyên nhân

Ai đó đã nói rằng lý do mà hacker viết virus cũng đa dạng, muôn hìnhmuôn trạng như chính bản chất của những người này Đó có thể là bực tức vềvấn đề gì đó, hay vì viết virus cho vui, hay vì bản chất “lãng mạn”, thích khoekhoang Ở mức độ “nghiêm túc” hơn thì nguyên nhân có thể vì tiền, chính trị,gián điệp, thi thố tài năng, hoặc để loại trừ đối thủ

- Vì tiền

Đây là một trong những lý do phổ biến nhất hiện nay để hacker viết virus.Tiền bao giờ cũng là động lực và là đích ngắm của phần lớn hacker, nếu khôngnói là gần như tất cả (tất nhiên đó là những hacker “mũ đen”) Những con virusđược viết theo mục đích này thường chứa trong mình cơ chế thu thập dữ liệu,thường là dữ liệu nhạy cảm trên máy tính nạn nhân Đó có thể là thông tin riêng

tư (dùng để bán) hoặc số thẻ tín dụng, tài khoản ngân hàng, nói chung là tất cảthông liên quan có thể kiếm ra tiền Những máy tính bị nhiễm loại virus này sẽ bịđiều khiển từ xa và có thể tạo thành những mạng máy tính ma (botnet) để phục

vụ âm mưu đen tối của tin tặc

- Nhiễm phim ảnh

Thuở bé xem nhiều phim ảnh viễn tưởng về tội phạm máy tính khiến chonhững người viết virus thuộc thể loại này khá hài hước một cách tội nghiệp.Những người này muốn khoe khoang bản thân, chứng tỏ mình là hacker máy

tính rồi tự huyễn hoặc bằng cảm giác ngưỡng mộ của những người xung quanh.Chính vì thích khoe khoang mà những người này rất dễ bị phát hiện và bị cảnhsát bắt.

- Gián điệp

Cách thức hoạt động của loại hình virus này chủ yếu tích hợp sẵn vào phầnmềm rồi bán cho doanh nghiệp, các tổ chức, cơ quan nhà nước, và chính phủ.Virus, sâu máy tính, Trojan và các phần mềm cửa sau (backdoor) thường được

sử dụng cho mục đích gián điệp trong thời đại công nghệ hiện nay Ngoài phầnmềm backdoor, người ta còn hoài nghi về những loại backdoor phần cứng cực kỳnguy hiểm và rất khó phát hiện khác

- Thanh toán lẫn nhau

Cũng như thế giới thực, thế giới ngầm của hacker cũng được phân chiathành các địa phận riêng biệt “Nước sông không phạm nước giếng” – đó lànguyên tắc của thế giới ảo này, nhưng đôi khi cũng xảy ra những vụ “thanhtoán” lẫn nhau, và vũ khí được sử dụng là các con virus vô cùng độc hại, làm têliệt hệ thống máy tính của đối phương

1.2.4 Một số dấu hiệu bị nhiễm Virus máy tính

Máy tự nhiên chạy chậm, treo (chuột đứng im, bàn phím không làm việc: ấnphím Num lock, đèn Num lock không thay đổi trạng thái) hoặc khởi động lại

hoặc tự nhiên xuất hiện màn hình xanh (không tính đến lỗi phần cứng hay xungđột phần mềm).

- Mạng chậm, kết nối mạng (có dây hoặc không dây) đều khó khăn, nếu kếtnối được thì cũng chập chờn (lúc được lúc mất)

- Máy trùng IP (máy báo IP conflict với biểu tượng dấu chấm than cạnhbiểu tượng 2 màn hình máy tính)

- Máy tính không thể nhìn thấy hoặc vào máy khác trong mạng Lan dù đãshare dữ liệu

- Máy tự nhiên thay đổi giao diện về kiểu an toàn (safe mode), tự nhiên ẩncác biểu tượng trên system tray (biểu tượng cạnh đồng hồ hệ thống) dodriver video card bị nhiễm virus

- Máy không hiện được file và folder ẩn; một số công cụ hệ thống nhưwindows task manager; msconfig; gpedit.msc; regedit; cmd bị khóa không

mở được

- Cắm USB vào nhưng chỉ có biểu tượng USB trên system tray mà khôngxuất hiện ổ USB trong My computer Kích đúp vào ổ USB không mở folderhoặc file ra luôn, mà lại mở ra trong một cửa sổ mới Khi thoát USB khôngthoát an toàn được dù đã ấn F5 (refresh)

- Khi máy tính cài driver máy in, bị nhiễm virus sẽ làm cho máy tính khácdùng máy in qua mạng Lan in bị chậm hoặc không thể in được (lệnh in bịlỗi) dù file in có dung lượng nhỏ (vài chục đến vài trăm KB) Nếu gỡ driver

cũ hoặc cài lại driver mới đều không được

- Không nghe được âm thanh từ tai nghe, loa dù đã cài driver sound card

- Khi mở file MS Word máy cứ báo lỗi thiếu file và bắt phải cho đĩa MSOffice vào để sửa

- Không thể gõ tiếng Việt trong Y!M

- Trình duyệt xuất hiện bảng báo lỗi rồi đóng lại hoặc tự động đóng lại(không xuất hiện bảng báo lỗi).

- Máy không vào được safe mode (xuất hiện màn hình xanh hoặc khởi độnglại, khi ấn phím F8 để vào safe mode

- Máy laptop báo hết pin và không thể bật lên lại sau khi tắt máy, nếu khôngtháo pin ra rồi lắp lại, mặc dù pin vẫn đủ dùng

1.2.5 Cách thức lây lan của Virus

Virus máy tính có thể lây vào máy tính của người dùng qua email, qua cácfile người dùng tải về từ Internet hay copy từ usb và các máy tính khác về Virusmáy tính cũng có thể lợi dụng các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt,lây nhiễm lên máy tính của người dùng một cách âm thầm

Email là con đường lây lan virus chủ yếu và phổ biến nhất hiện nay Từ mộtmáy tính, virus thu thập các địa chỉ email trong máy và gửi email giả mạo có nộidung hấp dẫn kèm theo file virus để lừa người nhận mở các file này Các emailvirus gửi đều có nội dung khá ‘hấp dẫn’ Một số virus còn trích dẫn nội dung của

1 email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo,điều đó giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừahơn Với cách hoàn toàn tương tự như vậy trên những máy nạn nhân khác, virus

có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân

Tại Việt Nam , ổ đĩa usb là con đường lây lan phổ biến thứ hai của virus,chỉ sau email Khi người dùng cắm ổ đĩa usb của mình vào một máy tính để copy

dữ liệu, chắc người dùng không ngờ rằng có một vài chú virus đang ẩn mìnhtrong chiếc máy tính đó, chờ trực để tự nhân bản vào usb của người dùng Ngườidùng mang ổ đĩa usb về, cắm vào máy tính của mình, mở ổ đĩa để chuyển cácfile vừa copy được vào máy, và một lần nữa người dùng không biết rằng viruscũng chỉ đợi có thế để lây nhiễm vào máy tính của người dùng

Máy tính người dùng cũng có thể bị nhiễm virus khi chúng chạy mộtchương trình tải từ Internet về hay copy từ một máy tính bị nhiễm virus khác Lý

do là các chương trình này có thể đã bị lây bởi một virus hoặc bản thân là mộtvirus giả dạng nên khi người dùng chạy nó cũng là lúc người dùng đã tự mở cửacho virus lây vào máy của mình Quá trình lây lan của virus có thể diễn ra mộtcách "âm thầm" (chúng không nhận ra điều đó vì sau khi thực hiện xong côngviệc lây lan, chương trình bị lây nhiễm vẫn chạy bình thường) hay có thể diễn ramột cách "công khai" (virus hiện thông báo trêu đùa ) nhưng kết quả cuối cùng

là máy tính của chúng ta đã bị nhiễm virus và cần đến các chương trình diệt virus

để trừ khử chúng

Nếu người dùng vào các trang web lạ, các trang web này có thể chứa mãlệnh ActiveX hay JAVA applets, VBScript là những đoạn mã cài đặt Adware,Spyware, Trojan hay thậm chí là cả virus lên máy của người dùng Vì vậy trongmọi tình huống người dùng nên cẩn thận, không vào những địa chỉ web lạ

Tuy nhiên virus cũng được phát triển theo một trình tự lịch sử tiến hoá từthấp đến cao Những virus hiện nay có thể lây vào máy tính của chúng ta màchúng ta không hề hay biết, ngay cả khi họ không mở file đính kèm trong cácemail lạ, không vào web lạ hay chạy bất cứ file chương trình khả nghi nào Đơngiản là vì đó là những virus khai thác các lỗi tiềm ẩn của một phần mềm đangchạy trên máy tính của họ (ví dụ: lỗi tràn bộ đệm…) để xâm nhập từ xa, cài đặt

và lây nhiễm Các phần mềm (kể cả hệ điều hành) luôn chứa đựng những lỗitiềm tàng mà không phải lúc nào cũng có thể dễ dàng phát hiện ra Các lỗi nàykhi được phát hiện có thể gây ra những sự cố không lớn, nhưng cũng có thể lànhững lỗi rất nghiêm trọng và không lâu sau đó thường sẽ có hàng loạt virus mới

ra đời khai thác lỗi này để lây lan

Một tình huống hay gặp đối với các virus lây lan dựa trên tin nhắn tức thời(VD : tin nhắn Yahoo Messenger, ICQ, Windows Messenger…) là virus gửi tinnhắn tới tất cả các thành viên trong danh sách người dùng bè của nạn nhân, tinnhắn này có nội dung rất ‘hấp dẫn’ và được gửi kèm với liên kết dẫn đến mộttrang web Trang web này nhìn bề ngoài rất bình thường, nhưng thực chất bêntrong nó đã được dựng lên một cách có chú ý để khai thác các lỗ hổng của trình

duyệt Internet (VD : Internet Explorer) Khi người dùng click vào liên kết đểxem nội dung trang web với một trình duyệt chưa được vá lỗi, virus sẽ âm thầmlây nhiễm vào máy mà người dùng không hề hay biết.

Đến đây chúng ta có thể sẽ tự hỏi: "Làm thế nào để tôi có thể yên tâm rằngmáy tính của tôi không bị nhiễm virus?"

Lời khuyên dành cho người dùng là:

- “Phải ngăn chặn virus trên chính những con đường lây lan của chúng.”Người dùng hãy cận thận với những file gửi kèm trong email, không nên

mở các file đính kèm nếu có nghi ngờ về nguồn gốc hay nội dung email, ví dụnhư cô người dùng thân của người dùng thường ngày chẳng bao giờ nói tiếngAnh, sao tự nhiên hôm nay lại viết email có file đính kèm cho người dùng bằngtiếng Anh thế này! Người dùng cũng không nên chạy các chương trình không rõnguồn gốc khi tải từ Internet hoặc copy từ máy khác về Chúng ta cần thườngxuyên cập nhật các bản sửa lỗi cho các phần mềm chạy trên máy tính của mình,

và điều quan trọng nhất là cập nhật thường xuyên chương trình diệt virus mớinhất

1.2.7 Một số đuôi mở rộng có khả năng bị Virus máy tính

Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiềukhả năng bị virus tấn công

.bat: Microsoft Batch File (Tệp xử lí theo lô)

.chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML).cmd: Command file for Windows NT (Tệp thực thi của Windows NT).com: Command file (program) (Tệp thực thi)

.cpl: Control Panel extension (Tệp của Control Panel)

.doc: Microsoft Word (Tệp của chương trình Microsoft Word)

.exe: Executable File (Tệp thực thi)

.hlp: Help file (Tệp nội dung trợ giúp người dùng)

.hta: HTML Application (Ứng dụng HTML)

.js: JavaScript File (Tệp JavaScript)

.jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript).lnk: Shortcut File (Tệp đường dẫn)

.msi: Microsoft Installer File (Tệp cài đặt)

.pif: Program Information File (Tệp thông tin chương trình).reg: Registry File

.scr: Screen Saver (Portable Executable File)

.sct: Windows Script Component

.shb: Document Shortcut File

.shs: Shell Scrap Object

.vb: Visual Basic File

.vbe: Visual Basic Encoded Script File

.vbs: Visual Basic File

.wsc: Windows Script Component

.wsf: Windows Script File

.wsh: Windows Script Host File

1.2 Phân loại Virus máy tính

1.2.1.Boot Virus (B-Virus)

Khi máy tính của người dùng khởi động, một đoạn chương trình nhỏ trong ổđĩa khởi động của họ sẽ được thực thi Đoạn chương trình này có nhiệm vụ nạp

hệ điều hành (Windows, Linux hay Unix ) Sau khi nạp xong hệ điều hành họmới có thể bắt đầu sử dụng máy Đoạn mã nói trên thường được để ở vùng trêncùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector" Những virus lâyvào Boot sector thì hệ điều hành thông báo lỗi trong quá trình khởi động hoặckhông có khẳ năng khởi động thì được gọi là virus Boot

Các loại Boot Virus phổ biến là Form, Michenlangelo và Stoned

Khi người dùng khởi động máy tính bằng floppy disk bị nhiễm virus,Windows sẽ không thể phát hiện ra virus đó, điều này cũng tương tự với nhiều

hệ điều hành Một số virus chẳng hạn như FORMS virus, có thể tiêm nhiễm vàoboot sector của ổ đĩa cứng của họ Vậy làm thế nào để biết được máy tính củangười dùng bị nhiễm boot sector virus và cách bảo vệ nó như thế nào Trong đềtài này em sẽ giới thiệu một số phương pháp bảo vệ boot sector cho các ổ đĩacứng để tránh virus

Có một nhận thức sai rằng nếu partition của ổ đĩa là NTFS thì các thông tintrong partition được an toàn NTFS, cũng giống như các hệ thống file khác,chẳng hạn như File Allocation Table (FAT) và High Performance File System(HPFS), đều không thể được nhận diện cho tới khi Windows khởi động dịch vụ

hệ thống file Boot sector hoàn toàn tách biệt với hệ thống file và được nhận diệnbằng BIOS hệ thống khi khởi động máy tính

Để bảo vệ hệ thống của người dùng nhằm chống lại các kiểu tiêm nhiễmvirus trong Windows và có thể khôi phục boot sector của ổ đĩa cứng, sử dụngmột trong các phương pháp dưới đây

- Remove đĩa mềm trong ổ A sau khi tắt Windows

- Cấu hình BIOS hệ thống để vô hiệu hóa việc khởi động từ đĩa mềm hoặcthay đổi thứ tự khởi động để khởi động bắt đầu từ ổ đĩa cứng.

- Cấu hình BIOS hệ thống để cho phép bảo vệ mật khẩu hệ thống

- Để khắc phục vấn đề boot sector, khởi động máy tính với đĩa hệ thốngMS-DOS và chạy lệnh dưới đây:

fdisk /mbr

- Chạy tiện ích Repair để thẩm định và khôi phục các file khởi động

Lệnh fdisk /mbr chỉ làm việc trên các ổ đĩa cứng trong các giới hạn và phạm

vi của DOS Nếu chúng ta truy cập vào các thiết bị vượt ra ngoài phạm vi quản

lý của DOS (1024 cylinder), người dùng sẽ không thể chạy fdisk /mbr và sẽ nhậnđược thông báo lỗi 1762

Nếu có virus nào đó đã tiêm nhiễm vào Master Boot Record (MBR), ngườidùng không thể chạy Emergency Repair Disk cho tới khi virus đó được xóa bỏhoàn toàn Trong trường hợp này tuy hầu hết các chương trình virus đều có cáchạn chế giống như DOS vì vậy người dùng không thể quét lần nữa ổ đĩa cứng;tuy nhiên DOS 6.22 Msav.exe vẫn có thể xóa MBR và RAM của máy tính

Áp dụng với các hệ điều hành:

Microsoft Windows 2000 Server

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Professional Edition

Microsoft Windows 2000 Datacenter Server

Microsoft Windows XP Home Edition

Microsoft Windows XP Professional

Microsoft Windows NT Advanced Server 3.1

Microsoft Windows NT Server 3.5

Microsoft Windows NT Server 3.51

Microsoft Windows NT Server 4.0 Standard Edition

Microsoft Windows NT Workstation 3.1

Microsoft Windows NT Workstation 3.5

Microsoft Windows NT Workstation 3.51

Microsoft Windows NT Workstation 4.0 Developer Edition

Nhược điểm lớn nhất của B-virus là khả năng kích hoạt không cao (vìkhông phải máy tính nào cũng khởi động từ đĩa mềm) Để chống B-virus, cácnhà sản xuất ROM-BIOS đã có một động thái hết sức kịp thời: cung cấp tùychọn vô hiệu khả năng khởi động máy tính từ đĩa mềm Một số nhà sản xuất chipcòn tích hợp thủ tục nhận dạng các hành vi tựa B-virus vào ROM-BIOS

Trước tình hình này, các hacker ra sức chống đỡ bằng cách mở rộng đốitượng lây sang các tập tin thi hành COM và EXE của hệ điều hành, khai sinh loạivirus mới: virus file (F-virus) Mặc dù phải lệ thuộc vào hệ điều hành, nhưng F-virus đã giải quyết được các nhược điểm cơ bản của B-virus Sử dụng tập lệnhcủa hệ điều hành, F-virus không những vô hiệu các chương trình nhận dạng hành

vi tựa virus trong ROM mà còn nâng cao khả năng tạo nhiều bản sao ký sinh trêncác đối tượng khác trên hệ thống Người Việt Nam thập niên 1990 vẫn còn nhớnhững đợt tấn công ấn tượng của virus Friday 13th, Datalock, Little Girl, WhiteRose trên hệ điều hành MS-DOS vốn có cấu trúc đơn giản với nhiều lổ hổngbảo mật nghiêm trọng

1.2.2 File Virus

Là những virus lây vào những file chương trình và phổ biến nhất là trên hệđiều hành Window như file com, exe, bat, pif, sys Khi người dùng chạy mộtfile chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tụctìm các file chương trình khác trong hệ thống của người dùng để lây vào Có lẽkhi đọc phần tiếp theo người dùng sẽ tự hỏi "virus Macro cũng lây vào file, tạisao lại không gọi là virus File?" Câu trả lời nằm ở lịch sử phát triển của virusmáy tính Như chúng ta đã biết qua phần trên, mãi tới năm 1995 virus macro mới

xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó(những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng

là virus File

Khi máy tính của người dùng bị nhiễm virus lây file, tốt nhất là chúng tanên diệt virus trong chế độ Safe Mode của hệ điều hành vì ở chế độ này, hệ điềuhành (Windows ) chỉ nạp những dịch vụ tối thiểu nhất nên có thể hạn chế đượckhả năng thường trú, lây lan của virus

Virus Multipartite là kết hợp các đặc tính của Boot virus và File Virus,thường lây nhiễm ở các file chương trình và thành phần khởi động Ví dụ như:Flip và Invader

1.2.3 Virus Macro

Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính(Microsoft Excel) và cả file trình diễn (Microsoft Power Point) trong bộMicrosoft Office Macro là những đoạn mã giúp cho các file của Office tăngthêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy,

và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sửdụng giảm bớt được công thao tác Có thể hiểu nôm na việc dùng Macro giốngnhư việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đóvới chỉ một lệnh duy nhất

Khi người dùng thường xuyên chia sẻ tài liệu từ các ứng dụng với Macro thìkhi một mẫu “lây nhiễm”, mọi tài liệu được tạo ra hoặc mở cùng mẫu cũng bị

“nhiễm bệnh”

1.2.4 Một số mã độc hại khác

Malware hay Maliciuos code được gọi là mã độc hại.Mã độc hại được địnhnghĩa là một chương trình (program) được chèn một cách bí mật vào hệ thốngvới mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệthống

Sự gia tăng đột biến của các mã độc hại trong 2 năm gần đây là dấu hiệurất đáng lo ngại cho các tổ chức, người sử dụng máy tính Chỉ tính trong 2 năm

2008 và 2009, người ta đã phát hiện ra hơn 30 triệu chương trình loại này đượcphát tán (theo số liệu của Kaspersky)

Hình 1 1: Sự tăng đột biến của các mã độc hại 1.2.4.1 Worms

Là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệthống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm khôngcần phải có “file chủ” để mang nó khi nhiễm vào hệ thống Như vậy, có thể thấyrằng chỉ dùng các chương trình quét file sẽ không diệt được worm trong hệ thống

vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng Mục

tiêu của worm bao gồm cả làm lãng phí nguồn lực băng thông của mạng và pháhoại hệ thống như xoá file, tạo backdoor, thả keylogger, Tấn công của worm

có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của conngười (như khởi động máy, copy file hay đóng/mở file)

Mới đây, các nhà nghiên cứu bảo mật cho biết sâu máy tính Conficker,mối đe dọa số một của mạng Internet toàn cầu hiện nay, vừa được nâng cấp lênphiên bản mới với sự công phá mạnh gấp nhiều lần

Conficker lợi dụng một lỗ hổng trong hệ điều hành Windows của Microsoft,

đã lây nhiễm vào 12 triệu chiếc PC tính cho tới thời điểm này Conficker là mối

đe dọa lớn nhất đối với mạng Internet toàn cầu trong nhiều năm trở lại đây Trong vài tháng qua, Conficker đã tạo được mạng “botnet” (mạng máy tính

do tin tặc điều khiển) cực lớn, được sử dụng để gửi thư rác (spam) và tấn côngcác website khác Theo định kỳ, kẻ tạo ra Conficker sẽ tiến hành nâng cấp virusnày để bổ sung thêm tính năng cho loại sâu này để tấn công nhiều máy tính hơn.Conficker được nâng cấp qua hai cơ chế: website và mạng ngang hàng (Peer toPeer)

Qua theo dõi, các chuyên gia của hai hãng bảo mật Websense vàTrendMicro cho biết Conficker vừa được nâng cấp bằng một tệp tin nhị phân đượctruyền qua mạng ngang hàng Sau khi nâng cấp, Conficker tiến hành quét hàngloạt PC mới với cường độ mạnh hơn Hầu hết các PC này chưa kịp cập nhật bảnsửa lỗi Windows mới nhất của Microsoft

Hình 1 2: Sự lây lan của Worm: Win 32 Conficker

Worm có thể chia làm 2 loại:

Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mậtcủa mạng, của hệ điều hành hoặc của ứng dụng Sasser là ví dụ cho loại sâu này

Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó

tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email Khisâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửibản thân nó đến các địa chỉ thu nhặt được Việc gửi đồng thời cho toàn bộ cácđịa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail Netsky, Mydoom

là ví dụ cho thể loại này

1.2.4.2 Trojan Horse

Là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa” Trojan horsekhông tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng

thực chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại Trojan có thểlựa chọn một trong 3 phương thức để gây hại:

Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bêncạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một tròchơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắppassword)

Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưngsửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổlogin để lấy password) hoặc che dấu các hành động phá hoại khac (ví dụ nhưtrojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệthống)

Thực thi luôn một chương trình gây hại bằng cách núp dưới danh mộtchương trình không có hại (ví dụ như một trojan được giới thiệu như là một chòchơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữliệu trên PC sẽ bị xoá hết)

Hình 1 3: Ví dụ về một Trojan

1.2.4.3 Moblecode

Là một dạng mã phần mềm có thể được gửi từ xa vào để chạy trên một hệthống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó.Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó khôngnhiễm vào file và không tìm cách tự phát tán Thay vì khai thác một điểm yếubảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằngcách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lậptrình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho maliciousmobile code Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda,

sử dụng JavaScript

Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗnhợp (Blended Atatck) Cuộc tấn công có thể đi tới bằng một email khi ngườidùng mở một email độc bằng web-browser Sau khi nhiệm vào máy này, Nimda

sẽ cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác.Mặt khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng cóthư mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS nhưphương tiện để chuyển file nhiễm virus tới các máy đó Đồng thời Nimda cốgắng dò quét để phát hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảomật của Microsoft Khi tìm thấy, nó sẽ copy bản thân nó vào server Nếu mộtweb client có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đócũng bị nhiễm (lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”).Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân

1.2.4.4 Tracking Cookies

Là một dạng lạm dụng cookie để theo dõi một số hành động duyệt webcủa người sử dụng một cách bất hợp pháp Cookie là một file dữ liệu chứa thôngtin về việc sử dụng một trang web cụ thể nào đó của web-client Mục tiêu củaviệc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ragiao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián

điệp (spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cánhân

1.2.4.5 Attacker Tools

Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độchại vào trong hệ thống Các bộ công cụ này có khả năng giúp cho kẻ tấn công cóthể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mãđộc hại Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool

có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc

nó sẽ được tải vào hệ thống sau khi nhiễm Ví dụ như một hệ thống đã bị nhiễmmột loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến mộtweb-site nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống.Attacker tool thường gặp là backdoor và keylogger

1.2.4.5.1 Backdoor

Là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnhđiều khiển từ các cổng dịch vụ TCP hoặc UDP Một cách đơn giản nhất, phầnlớn các backdoor cho phép một kẻ tấn công thực thi một số hành động trên máy

bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh, Backdoor cũng cóthể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool

1.2.4.5.2 Zoombie (có thể đôi lúc gọi là bot)

Là một chương trình được cài đặt lên hệ thống nhằm mục đích tấn công hệthống khác Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức mộtcuộc tấn công DDoS Kẻ tấn công có thể cài Zoombie vào một số lượng lớn cácmáy tính rồi ra lênh tấn công cùng một lúc Trinoo và Tribe Flood Network làhai Zoombie nổi tiếng

Ví dụ về mô hình hoạt động của botnet