Nghiên cứu triển khai các giải pháp an toàn dữ liệu cho phòng máy thực hành internet
TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG CÀ MAU KHOA CHUYÊN NGÀNH - - BÁO CÁO CHUYÊN ĐỀ NGHIÊN CỨU TRIỂN KHAI CÁC GIẢI PHÁP AN TOÀN DỮ LIỆU CHO PHÒNG MÁY THỰC HÀNH INTERNET Nhóm Cà Mau 2011 TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG CÀ MAU KHOA CHUYÊN NGÀNH - - BÁO CÁO CHUYÊN ĐỀ NGHIÊN CỨU TRIỂN KHAI CÁC GIẢI PHÁP AN TOÀN DỮ LIỆU CHO PHÒNG MÁY THỰC HÀNH INTERNET Cán hướng dẫn khoa học: Ts Trương Minh Nhật Quang Cà Mau 2011 MỤC LỤC i ii LỜI NÓI ĐẦU Ngày nay, với phát triển khoa học kỹ thuật, ngành Công nghệ thông tin phát triển cách vượt bật, vào sống nhu cầu thiết yếu nhằm đáp ứng giải trí thông tin liên lạc nâng cao kiến thức quan trọng phát triển quốc gia vi mô phát triển doanh nghiệp nhờ Công nghệ thông tin, giúp người cải thiện đời sống, tiền bạc, thời gian, sức khỏe Chính phòng internet đời khắp nước không ngừng phát triển quy mô Trong phát triển ngành công nghệ thông tin xu hướng gia nhập giới Viêt Nam yêu cầu trao đổi thông tin liên lạc vô quan trọng cần thiết Nhận thấy yêu cầu đó, ngành công nghệ thông tin phát triển ngày không ngừng vươn lên để bắt kịp thời đại Để có thành tựu đóng góp vô to lớn nhà khoa học Công nghệ thông tin phát triển đa ngành đa lĩnh vực: Web, Mạng, Lập trình … đòi hỏi phải có người chuyên môn hóa cho ngành khác nhau… Bên cạnh phát triển bất tận ngành Công nghệ thông tin có nhiều cạm bẫy nguy hiểm rình rập… Hacker, mã độc công, virus, worm ….luôn lợi dụng vào lỗ hỏng để phá hoại xâm nhập vào hệ thống để thực hành vi nguy hiểm Đó toán lớn cho phòng internet, doanh nghiệp thời đại ngày Để giải toán cần đòi hỏi nhiều giải pháp khác Chuyên đề “Nghiên cứu triển khai giải pháp an toàn liệu cho phòng máy thực hành internet” Trong trình thực chuyên đề, chúng em không mắc phải thiếu sót mong thầy thông cảm Chúng em mong đóng góp thầy để giúp đề tài chúng em hoàn thiện CHƯƠNG 1: MỞ ĐẦU 1.1 Mụch tiêu 1.2 Phương pháp thực 1.3 Cách tổ chức CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Chương trình độc hại 2.1.1 Virus: Virus máy tính chương trình đoạn chương trình,nó lây nhiễm vào chương trình khác cách nhúng vào chương trìng đó.Khi chương trình bị nhiễm virus thực thi virus thực thi.Sau đó,sau virus hoạt động phá hoại lây nhiễm sang tập tin chương trình khác.Tất trình điều diễn suốt người dùng.Nghĩa người dùng không hay biết máy tính có đoạn chương trình thực thi.Virus tạo vào công cụ lập trình giống công cụ dùng để viết phần mềm thống.Nghĩa virus phần mềm thống tạo nhau.Chỉ có mục đích người viết khác mà thôi.Virus, nói chung phần mềm nguy hiểm có số virus viết mục đích phá hoại.Thuật ngữ virus mở rộng để thêm worm, trojan phần mềm nguy hiểm khác.Nguy hiểm có hẳn công cụ chuyên tạo virus.Những công cụ không đòi hỏi người sử dụng phải có trình độ chuyên môn cao viết virus.Song,may mắn thay virus tạo công cụ dễ dàng bị phát phần mềm diệt virus có chế heuristic-đoán nhận đoạn mã có hành vi phá hoại,đánh cắp thông tin …… Virus có khả “kí sinh” lên chương trình khác máy tính.Khi chương trình khởi động,đoạn mã virus khởi động theo.Virus có khả tự nhân lây lan(đặc điểm giống virus sinh học).Virus hoạt động người dùng kích hoạt lần.Nghĩa là,giả sử máy bạn có tập tin bị nhiễm virus bạn không thi hành tập tin virus không hoạt động 2.1.2 Worm: Thuật ngữ dịch là”sâu”.Sâu chương trình máy tính có chức tự nhân giống virus.Virus hoạt động dựa chương trình khác để tiến hành lây nhiễm.Nhưng sâu chương trình độc lập,nó không cần phải trở thành phần chương trình khác tiến hành lây nhiễm được.Đó điểm khác biệt worm virus.Các loại sâu máy tính thường lợi dụng lỗ hổng phần mềm để tiến hành lây lan phá hoại Sâu máy tính sau xâm nhập vào máy tính, sâu hoạt động thực thi chương trình chứa mã độc Sâu mạng tên gọi cho loại sâu lây lan mạng từ máy tính sang máy khác Bản thân có khả lây lan theo nhiều đường khác Bản thân sâu có khả nhân Dưới danh mục số loại sâu máy tính Kiểu Email – Worms Tên Sâu e-mail Mô tả Sâu e-mail lây nhiễm qua đường e-mail Một thông điệp chứa sâu liên kết chứa sâu gắn vào email theo thông điệp gửi Trang web thường web tay hacker bị hacker khai thác Khi người dùng nhận file mở sâu bắt đầu có điều kiện phát tán Sau sâu tiếp tục chép thân sang e-mail IM – Worms Sâu IM khác Những sâu nhân thông qua chương trình trao đổi thông điệp máy trạm, chương trình chat, ICQ,MSN Messenger, AOL, Yahoo, Skype Thường sâu dùng danh sách chương trình nạn nhân để gửi thư chứa liên kết đến trang web không mong muốn Khi người dùng download mở file sâu kích hoạt IRC – Worms Sâu IRC Kiểu sâu xâm nhập vào máy tính thông qua chương trình chat trung gian nằm máy trạm Các máy thường giao tiếp với người dùng khác thông qua Internet thời điểm Loại sâu nhân dựa môi trường internet, người dùng download mở file sâu Net – Worms Sâu mạng kích hoạt Những loại sâu nhân thông qua mạng máy tính Những kiểu sâu không giống với loại sâu thông thường, chúng có khả tự lây lan mà không cần lợi dụng thông qua người dùng Chúng dò tìm máy tính hệ thống mạng nội khai thác chương trình máy tính có nhiều lỗ hổng Để làm điều chúng phát tán gói đặc biệt có chứa mã chúng hay mã cho máy tính Nếu khám phá máy tính không phòng bị mạng chúng lan sang Một sâu vào máy tính bạn Nó kích P2P - Worms hoạt Sâu trao đổi file Sâu trao đổi file lây lan mạng ngang hàng (peer-to-peer), Kazaa, Grokster, EDonkey, FastTrack Gnutella Sâu loại tự chép vào thư mục chứa file theo đường trao đổi file mà lan Chúng có chế riêng để dò tìm yêu càu mạng cho phép tải chép chúng Biến tướng sâu trở Worm Các loại sâu nên phức tạp lan mạng Sâu lây qua môi trường mạng khai thác khác chức hệ điều hành, chúng xâm nhập vào thư mục chung mạng, thư mục chia sẻ liệu nhóm người dùng công ty, sâu kết nối đến máy trạm Không giống sâu mạng, người 3.2 Sử dụng tường lửa (Firewall) 14 Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật đ¬ược tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin t¬ưởng (Untrusted network) Thông th¬ường Firewall đ¬ựơc đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet 3.2.1 Firewall cứng - Khái niệm Firewall cứng: Là firewall tích hợp Router - Đặc điểm Firewall cứng: + Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) + Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) + Firewall cứng kiểm tra nột dung gói tin - Ví dụ Firewall cứng: NAT (Network Address Translate) 3.2.2 Firewall mềm - Khái niệm Firewall mềm: Là Firewall cài đặt Server 15 - Đặc điểm Firewall mềm: + Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức + Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) + Firewal mềm kiểm tra nội dung gói tin (thông qua từ khóa) - Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… 3.2.3 Vì cần Firewall Nếu máy tính bạn không bảo vệ, bạn kết nối Internet, tất giao thông vào mạng cho phép, hacker, trojan, virus truy cập lấy cắp thông tin cá nhân cuả bạn máy tính Chúng cài đặt đoạn mã để công file liệu máy tính Chúng sử dụng máy tính cuả bạn để công máy tính gia đình doanh nghiệp khác kết nối Internet Một firewall giúp bạn thoát khỏi gói tin hiểm độc trước đến 3.2.4 Chức Firewall Chức Firewall kiểm soát luồng thông tin từ Intranet Internet Thiết lập chế điều khiển dòng thông tin mạng bên (Intranet) mạng Internet Cụ thể là: 16 - Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) - Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) - Theo dõi luồng liệu mạng Internet Intranet - Kiểm soát địa truy nhập, cấm địa truy nhập - Kiểm soát người sử dụng việc truy nhập người sử dụng - Kiểm soát nội dung thông tin thông tin lưu chuyển mạng 3.2.5 Hạn chế Firewall Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công công không “đi qua” Một cách cụ thể, firewall chống lại công từ đường dial-up, dò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát firewall Tuy nhiên Firewall giải pháp hữu hiệu áp dụng rộng rãi 3.2.6 Nhiệm vụ Firewall Nhiệm vụ FireWall bảo vệ vấn đề sau : -Dữ liệu : Những thông tin cần bảo vệ yêu cầu sau: + Bảo mât 17 +Tính toàn vẹn +Tính kịp thời - Tài nguyên hệ thống - Danh tiếng công ty sở hữu thông tin cần bảo vệ 3.3 Cập nhật sửa lỗi hệ điều hành Hệ điều hành Windows (chiếm đa số) luôn bị phát lỗi bảo mật thông dụng nó, tin tặc lợi dụng lỗi bảo mật để chiếm quyền điều khiển phát tán virus phần mềm độc hại Người sử dụng cần cập nhật vá lỗi Windows thông qua trang webMicrosoft Update (cho việc nâng cấp tất phần mềm hãng Microsoft) hoặcWindows Update (chỉ cập nhật riêng cho Windows) Cách tốt đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) Windows Tính hỗ trợ Windows mà Microsoft nhận thấy chúng hợp pháp Khuyến khích sử dụng phần mềm mã nguồn mở nhờ tính cộng đồng mà nguy bảo mật thấp Có thể kể hệ điều hành mã mở mạnh quen thuộc Ubuntu Linux, Chrome OS… có khả bảo mật cao, miễn phí cập nhật vá lỗi Giao diện Unbuntu phiên tiếng Linux ngôn ngữ mã nguồn mở: 18 3.4 Vận dụng kinh nghiệm sửa chữa máy tính Một Số Dấu Hiệu Cho Biết Máy Tính Bị Nhiễm Virus: + Tốc độ máy tính giảm đáng kể (lưu ý loại sâu trojan thường làm ảnh hưởng tới tốc độ máy tính so với virus) + Máy tính thường bị treo khởi động lại cách bất thường + Các chương trình máy tính hoạt động không bình thường chẳng hạn bị chức Cho dù sử dụng tất phần mềm phương th ức máy tính có khả bị lây nhiễm virus phần mềm độc hại mẫu virus chưa cập nhật kịp thời phần mềm diệt virus Người sử dụng máy tính cần sử dụng triệt để chức năng, ứng dụng sẵn có hệ điều hành kinh nghiệm khác để bảo vệ cho hệ điều hành liệu Một số kinh nghiệm tham khảo sau: + Phát hoạt động khác thường máy tính: Đa phần 19 người sử dụng máy tính thói quen cài đặt, gỡ bỏ phần mềm thường xuyên làm hệ điều hành thay đổi - có nghĩa sử dụng ổn định - nhận biết thay đổi khác thường máy tính Ví dụ đơn giản: Nhận thấy hoạt động chậm chạp máy tính, nhận thấy kết nối khác thường thông qua tường lửa hệ điều hành hãng thứ ba (thông qua thông báo hỏi cho phép truy cập hoạt động khác tường lửa) Mọi hoạt động khác thường phần cứng gây cần nghi ngờ xuất virus Ngay có nghi ngờ, cần kiểm tra cách cập nhật liệu cho phần mềm diệt virus thử sử dụng phần mềm diệt virus khác để quét toàn hệ thống + Kiểm soát ứng dụng hoạt động: Kiểm soát hoạt động phần mềm hệ thống thông qua Task Manager phần mềm hãng thứ ba (chẳng hạn: ProcessViewer) để biết phiên làm việc bình thường hệ thống thường nạp ứng dụng nào, chúng chiếm lượng nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động có điều bất thường hệ thống (dù chưa có biểu nhiễm virus) có nghi ngờ có hành động phòng ngừa hợp lý Tuy nhiên cách đòi hỏi am hiểu định người sử dụng + Loại bỏ m ột số tính hệ điều hành tạo điều kiện cho lây nhiễm virus: Theo mặc định Windows thường cho phép tính autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm đưa đĩa CD đĩa USB vào hệ thống Chính tính số loại virus lợi dụng để lây nhiễm vừa cắm ổ USB đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền nhanh thời gian gần thông qua ổ USB cách tạo file autorun.ini ổ USB để tự chạy virus cắm ổ USB vào máy tính) Cần loại bỏ tính phần mềm hãng thứ ba TWEAKUI sửa đổi Registry + Sử dụng thêm trang web cho phép phát virus trực tuyến 3.5 Bảo vệ liệu máy tính Nếu không chắn 100% không bị lây nhiễm virus 20 máy tính phần mềm hiểm độc khác bạn nên tự bảo vệ toàn vẹn liệu trước liệu bị hư hỏng virus (hoặc nguy tiềm tàng khác hư hỏng thiết bị lưu trữ liệu máy tính) Trong phạm vi viết virus máy tính, bạn tham khảo ý tưởng sau: Sao lưu liệu theo chu kỳ biện pháp đắn để bảo vệ li ệu Bạn thường xuyên lưu liệu theo chu kỳ đến nơi an toàn thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi đĩa quang ), hình thức thực theo chu kỳ hàng tuần khác tuỳ theo mức độ cập nhật, thay đổi liệu bạn Tạo liệu phục hồi cho toàn hệ thống không dừng lại tiện ích sẵn có hệ điều hành (ví dụ System Restore Windows Me, XP ) mà cần đến phần mềm hãng thứ ba, ví dụ bạn tạo lưu hệ thống phần mềm ghost, phần mềm tạo ảnh ổ đĩa phân vùng khác Thực chất hành động không chắn liệu lưu không bị lây nhiễm virus, có virus phiên cập nhật mớ i phần mềm diệt virus tương lai loại bỏ chúng 3.6 Tìm hiểu virus Configker Dns – Changer 3.6.1 Configker 3.6.1.1 Triệu chứng nhận biết - Quy định khóa tài khoản bị tự động tái tạo - Người dùng thấy PC bung nhiều quảng cáo dạng pop-up khác Trình duyệt web xuất nhiều thứ lạ mà người dùng chưa thấy chưa tải cài đặt trước - Một số thiết lập hệ thống bị thay đổi mà người dùng không hay biết Ví dụ trang chủ (homepage) trình duyệt bị thay đổi sang trang khác đổi lại cũ - PC tự dưng chạy chậm bình thường nhiều Trình điều khiển tên miền phản ứng chậm có yêu cầu từ máy khách Nghẽn mạng nội Thứ đến số dịch vụ Microsoft Windows tự động cập nhật (Automatic 21 Updates), Background Intelligent Transfer Service (BITS), Windows Defender Error Reporting Services bị tắt Conficker ngăn cản không cho người dùng truy cập đến số thư mục định không cho phép truy cập đến website hãng bảo mật www.symantec.com, www.mcafee.com Trên hệ thống tự dưng xuất số tác vụ lập lịch chạy thường xuyên (schedule task) 3.6.1.2 Nguyên lý Conficker sâu tinh vi, khai thác lỗ hổng an ninh MS08-067 Microsoft Lỗ hổng xuất hệ điều hành Windows 32 bit 64 bit, phiên Windows Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP người dùng chưa cài đặt sửa lỗi Microsoft Conficker lây nhiễm vào máy tính mà không cần có tác động người sử dụng Phương thức lây nhiễm chủ yếu sâu máy tính thông qua thẻ nhớ USB PC bị lây nhiễm mạng tự động lây nhiễm sang PC khác ngang hàng Conficker đột nhập vào PC (1) người dùng tải phần mềm từ website không an toàn mạng Internet, (2) người dùng có sử dụng ứng dụng chia sẻ tệp tin ngang hàng (3) người dùng truy cập vào website dùng để phát tán sâu Conficker Mục đích cuối sâu Conficker giúp tin tặc đứng đằng sau nắm quyền điều khiển PC người dùng Bọn chúng từ xa lệnh cho PC người dùng phát tán thư rác, công website, ăn cắp liệu dùng lừa đảo trực tuyến … Tự bảo vệ nó: Việc Configker thực vô hiệu hóa dịch vụ an ninh máy, dịch vụ update Windows công cụ phần mềm cài đặt để chống lại 22 Tự phát tán nó: Conficker lập trình để tự động cập nhật từ tên miền mà ngẫu nhiên tạo Từ ngày tháng số lượng tên miền mà tìm kiếm để tự update lên đến 50.000 tên miền ngày Kẻ viết virus cần sử dụng tên miền để phát tán phiên Conficker 3.6.1.3 Cách đối phó Microsoft Conficker Cabal - ủy ban đặc biệt Microsoft lãnh đạo để chống lại Conficker, kiểm soát 13% số tên miền nói trên, số chưa thể bảo đảm điều Hiện theo ước đoán, số lượng máy tính nhiễm sâu tăng lên khoảng 10 triệu máy toàn cầu Hiện hành động chống lại Conficker phần lớn hoạt động kiểm soát thiệt hại gây Vì vậy, người bảo đảm máy tính không chứa virus cập nhật thường xuyên vá từ Microsoft cách hữu hiệu chắn để ngăn chặn đợt bùng phát Conficker Đối với sâu Conficker cũ người dùng nên nhanh chóng tải cài đặt cập nhật MS08-067 sớm chừng hay chừng Tốt người dùng nên bật tính tự động cập nhật Automatic Updates Windows tự động tải cài đặt cập nhật cần thiết Nếu may mắn chưa bị lây nhiễm sâu Conficker người dùng nên triển khai biện pháp để bảo vệ trước không sâu Conficker mà loại mã độc khác Bên cạnh người dùng nên sử dụng chương trình chống virus danh tiếng Kaspersky, Symantec Norton … để bảo vệ hệ thống Vô hiệu hóa hoàn toàn tính AutoRun Windows Ngoài người dùng nên 23 áp dụng biện pháp sử dụng Internet an toàn không nên mở tệp tin đính kèm từ email không rõ nguồn gốc, nên tập thói quen quét ổ đĩa USB kết nối vào hệ thống, nên sử dụng mật bảo vệ Windows… 3.6.2 Dns – Changer 3.6.2.1 Triệu chứng: truy cập website công ty cung cấp phần mềm diệt virus, vá hệ điều hành vào báo điện tử trang web tìm kiếm 3.6.2.2 Nguyên lý Sau lây nhiễm vào máy tính, virus can thiệp vào hệ thống, cản trở truy cập đến website hay máy chủ update phần mềm diệt virus Bằng cách này, chúng khiến người sử dụng tải phần mềm diệt virus hay update mẫu nhận diện virus cho máy tính Ngoài việc cản trở người sử dụng cập nhật phần mềm diệt virus, virus thực đánh cắp thông tin cá nhân, tài khoản ngân hàng, tài khoản game online hay cài backdoor để kiểm soát máy tính Kết phân tích cho thấy, kỹ thuật virus sử dụng để cản trở truy cập gồm: sửa file host hệ thống (file thực ánh xạ từ tên miền, tên máy địa IP); Hook (kiểm soát), hàm API phục vụ truy vấn tên miền để giả mạo kết trả thay đổi địa DNS Server để trỏ đến DNS Server “độc” hacker kiểm soát Các kỹ thuật nhằm mục đích chuyển hướng truy cập máy tính kết nối đến máy chủ update hay website phần mềm diệt virus Do đó, máy tính bị chuyển hướng kết nối đến địa giả mạo địa không tồn 3.6.2.3 Cách đối phó Nếu DNS Changer trojan tiêm nhiễm vào máy tính bạn bạn bị tiêm nhiễm nhiều virus trojan khác Một chương trình ưa thích cho việc tìm kiếm vấn đề MalwareBytes Anti-Malware Đây chương trình chống spyware chương trình tốt mà biết Trong thực tế, tác giả viết chương trình tạo công cụ có khả remove cho About:Blank hijacker vài năm cách 24 -Tắt gỡ bỏ dịch vụ không cần thiết Theo mặc định hệ điều hành thiết đặt lại dịch vụ mà FPT server, telnet, web server - Nếu có lời đe dọa với việc khai thác dịch vụ mạng vô hiệu hóa truy nhập tới dịch vụ ứng dụng mạng bạn có DNSchanger máy - Luôn cập nhật thông tin nhất, đặc biệt máy chủ có dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FPT, mail dịch vụ DNS (thí dụ: Tất máy tính Windows cần phải có dịch vụ thời cài đặt) Đồng thời, áp dụng cập nhật an toàn mà đáng tin cậy Website nhà cung cấp - Bắt buộc phải có mật khẩu, mật phức tạp làm cho can thiệp vào files máy tính - Những email máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng files có sử dụng đuôi: (.vbs, bat, exe, pif and scr) Cô lập máy tính bị lây lan nhanh Thực phân tích khôi phục máy tính sử dụng phương tiện truy nhập thông tin tin cậy - Bạn vào website để downloaded phần mềm diệt virut Internet Các bước diệt: Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP) Cài đặt chương trình quét virut cập nhật phiên Norton AntiVirus 2006, Symantec AntiVirus Corporate edition 10.0 Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate edition 9.0 Chạy quét toàn hệ thống a Khởi động chương trình Symatec bạn cho quét tất files b Chạy hệ thống đầy đủ quét c Nếu có files phát đọc theo dẫn antivirus Xóa giá trị thêm vào nơi đăng ký Các mục liệu 25 Registry bị nhiễm HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parame ters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148 85.255.112.223 -> Quarantined and deleted successfully HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parame ters\Interfaces\{806586a1-a695-45bb-9075-88b9ef4addf6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148,85.255.112.223 -> Quarantined and deleted successfully HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\ NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148 85.255.112.223 -> Quarantined and deleted successfully HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\ Interfaces\{806586a1-a695-45bb-9075-88b9ef4addf6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148,85.255.112.223 -> Quarantined and deleted successfully HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\ NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148 85.255.112.223 -> Quarantined and deleted successfully HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\ Interfaces\{806586a1-a695-45bb-9075-88b9ef4addf6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148,85.255.112.223 -> Quarantined and deleted successfully HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\ NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148 85.255.112.223 -> Quarantined and deleted successfully HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\ Interfaces\{806586a1-a695-45bb-9075-88b9ef4addf6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.148,85.255.112.223 -> Quarantined and deleted successfully Sau remove file tiêm nhiễm khởi động lại máy tính, trở Windows Updates thực lại việc download nâng cấp Lúc thứ 26 làm việc bình thường 27 CHƯƠNG 4: KẾT LUẬN 4.1 Kết đạt 4.2 Hạn chế 4.3 Khắc phục 28 [...]... hoạt sẽ khiến máy tính của bạn bị kiểm soát Trojans Trojans từ xa bởi ai đó Trojans bao gồm các loại chương trình mang mã độc: Chương trình Trojan truyền thống: Chúng chỉ có nhiệm vụ chính là khóa, thay đổi hoặc xóa dữ liệu, ngắt các tác vụ điều khiển của máy tính hoặc hệ thống mạng máy tính; chúng không có các chứ năng cộng thêm như các loại Trojan mô tả trong bảng này Các chương trình Trojan "đa mục... như một số Trojan khác Những chương trình này che giấu cho các chương Rootkits trình mang mã độc và hành vi của các chương trình này Chúng ẩn các file và các tiến trình trong bộ nhớ của máy tính bị lây nhiễm, chúng cũng ẩn các khóa chạy bởi chương trình mang mã độc này hoặc giấu diếm việc chuyển file giữa các ứng dụng được cài đặt trên máy tính của người dùng hay các máy tính Trojan – Trojan tấn khác... lây nhiễm virus 20 máy tính và các phần mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn vẹn của dữ liệu của mình trước khi dữ liệu bị hư hỏng do virus (hoặc ngay cả các nguy cơ tiềm tàng khác như sự hư hỏng của các thiết bị lưu trữ dữ liệu của máy tính) Trong phạm vi về bài viết về virus máy tính, bạn có thể tham khảo các ý tưởng chính như sau: Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất... hiện nay để bảo vệ dữ li ệu Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như các thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang ), hình thức này có thể thực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có của hệ điều hành (ví dụ System... ngoài các chức năng đặc trưng của chương trình Trojan truyền thống còn có các kiểu chương trình Trojan Trojan - Chương được xây dựng theo mục đích khác nhau Loại Trojan này "bắt cóc" máy tính người dùng chỉnh Ransoms trình sửa hoặc khóa, ngắt các tiến trình của máy Trojan bắt tính khiến người dùng không thể truy xuất dữ liệu cóc Từ đó chúng tạo ra các yêu cầu trợ giúp bằng cách truy cập vào các website... Thông thường các Trojan này đánh vào các đối tượng quản lý các tài khoản ngân hàng , và thường thanh toán qua mạng( Trojan-Bankers), đánh cắp tài thông tin cá nhân ( Trojans-IMs), đánh cắp dữ liệu của game thủ chơi game online (Trojans- 8 Trojan – Chương GameThieves) Loại chương trình này là các chương trình gián điệp, Spies trình chúng thu thập thông tin của người dùng, lưu lại các Trojan gián thông... thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính) Cần loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry + Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến 3.5 Bảo vệ dữ liệu máy tính Nếu như không chắc... dùng cũng nên triển khai các biện pháp để bảo vệ mình trước không chỉ sâu Conficker mà cả các loại mã độc khác Bên cạnh đó người dùng cũng nên sử dụng các chương trình chống virus danh tiếng như Kaspersky, Symantec Norton … để bảo vệ hệ thống Vô hiệu hóa hoàn toàn tính năng AutoRun của Windows Ngoài ra người dùng cũng nên 23 áp dụng các biện pháp sử dụng Internet an toàn như không nên mở các tệp tin... Firewall Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. .. soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là: 16 - Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet) - Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet) - Theo dõi luồng dữ liệu mạng giữa Internet và Intranet - Kiểm soát địa chỉ truy nhập,