HỌC VIỆN KỸ THUẬT MẬT MÃ  BÁO CÁO BÀI TẬP LỚN Đề tài: Nguyên lý hoạt động của các dòng virus phá hủy hệ thống và các phương pháp phòng chống Nhóm sinh viên thực : Họ Và Tên Lớp Trần Văn Dũng Nguyễn Mạnh Ninh Lê Quang Long Ngô Văn Thỉnh Bùi Đức Thuận AT8B AT8B AT8B AT8B AT8B Hà Nội, 02/2014 MỤC LỤC LỜI NÓI ĐẦU Virus máy tính, từ đời trở thành, trở thành mối nguy hại tất hệ thống máy tính mạng giới Đặc biệt, Việt Nam, phát triển hệ virus máy tính năm gần gây hậu mà để khắc phục chúng phải tiêu phí lượng lớn thời gian tiền bạc Mặt khác, phủ nhận tính tích cực virus máy tính, virus máy tính phát triển dựa sơ xuất công nghệ người sử dụng nên thông qua việc tìm hiểu chế hoạt động virus, phương thức lây lan phá hoại đưa giải pháp cải thiện chất lượng độ an toàn phần mềm hệ thống Thế nhưng, có thực tế Việt Nam, tài liệu nghiên cứu virus máy tính vô ỏi thiếu chi tiết, dẫn đến hậu người sử dụng máy tính thường đủ kiến thức cần thiết để tự bảo vệ máy tính liệu trước công virus máy tính Xuất phát từ yếu tố trên, nhóm K Thông lựa chọn đề tài: “Nguyên lý hoạt động của các dòng virus phá hủy hệ thống và các phương pháp phòng chống” Đồ án chia làm chương, với nội dung chương sau: - Chương 1: Giới thiệu lịch sử hình thành phát triển virus máy tính qua thời kỳ từ đưa nhận định phát triển virus tương lai gần Các khái niệm định nghĩa virus máy tính nói riêng phần mềm độc hại nói chung - Chương 2: Tìm hiểu sở lý thuyết giúp xây dựng nên virus máy tính, phương thức lây lan phá hoại virus máy tính gắn với giai đoạn phát triển - Chương 3: Giới thiệu kỹ thuật phát virus kiến nghị nghiên cứu DANH MỤC HÌNH VẼ Hình 2.1 Phần cài đặt Boot virus Hình 2.2 Phần thân Boot virus Hình 2.3 Phần lây lan File virus Hình 2.4 Phần cài đặt RF virus CHƯƠNG 1: GIỚI THIỆU CHUNG Virus máy tính từ đời tận dụng kỹ thuật tiên tiến công nghệ thông tin truyền thông lợi dụng lổ hổng nguy hiểm hệ thống tin học để khuyếch trương ảnh hưởng Mặc dù việc sử dụng thiết bị phần mềm bảo mật trở nên phổ biến, virus tiếp tục phát triển mạnh mẽ chúng thường viết có mục đích rõ ràng, phục vụ đối tượng cụ thể không ngừng cải tiến qua phiên để đạt phiên hiệu 1.1 Các khái niệm 1.1.1 Phân loại phần mềm độc hại Có nhiều cách phân loại phần mềm độc hại định nghĩa chúng có đôi chút khác nhau, xin trình bày cách phân loại đơn giản sử dụng thống toàn văn • • • • • • Bugware: Các chương trình phần mềm hợp lệ thiết kế để thực số chức lỗi lập trình nên gây lỗi cho hệ thống sử dụng Trojan horse: Các đoạn chương trình có hại cài có chủ định vào chương trình hợp lệ, tiến hành phá hoại, ăn cắp thông tin người sử dụng v.v khả lây lan Software bombs: Các đoạn mã có tính chất phá hoại giấu bí mật chờ thực hiện, phá hoại lần, không lây lan Logic bombs: Chương trình chứa đoạn lệnh phá hoại, việc có phá hoại hay không phụ thuộc vào trạng thái hệ thống: • Time bombs: Việc có phá hoại hay không phụ thuộc vào thời gian hệ thống • Replicators: Các chương trình gần giống với virus, liên tục nhân làm cạn kiệt tài nguyên hệ thống khiến chương trình khác không hoạt động Virus: Chương trình máy tính thiết kế để tự lây lan từ file tới file khác máy vi tính riêng lẻ, khả tự lây lan từ máy tính sang máy tính khác (trong hầu hết trường hợp việc lây lan người) Worm: Chương trình thiết kế để tự lây lan từ máy tính tới máy tính khác qua mạng 1.1.2 Cấu trúc chung virus Thông thường, cấu trúc virus bao gồm phần : Phần lây lan (infection): Cách cách virus dùng để lây lan Chức tìm kiếm đối tượng phù hợp, việc tìm kiếm tích cực trường hợp virus lây file tìm kiếm file có kích thước định dạng phù hợp để lây nhiễm, việc tìm kiếm bị động trường hợp virus macro Khi tìm thấy đối tượng thích hợp lại có số vấn đề đặt ra, vài virus cố gắng làm chậm việc lây lan lại cách lây cho file lần để tránh việc bị phát người sử dụng, có vài virus lại chọn chế lây nhiễm nhanh, hay nói cách khác lây nhanh tốt, nhiều tốt tất virus phải kiểm tra xem đối tượng bị lây nhiễm chưa (vì lây nhiễm nhiều lần lên đối tượng dễ bị phát hiện), ta minh họa đoạn giả mã sau: BEGIN IF (tìm thấy đối tượng thích hợp) AND (đối tượng chưa bị lây nhiễm) THEN (lây nhiễm cho đối tượng) END Nếu đối tượng chưa bị lây nhiễm virus tiến hành cài đặt vào đối tượng Đặc biệt sau lây nhiễm virus phải tiến hành xóa dấu vết để tránh việc bị phát hiện, ví dụ phải trả lại ngày tháng tạo lập file gốc, trả lại thuộc tính cũ cho file v.v Phần điều kiện kích hoạt (trigger): Cơ chế kiểm tra điều kiện để thực phần thân, sau số lần lây nhiễm định, vào ngày định chí kích hoạt lần thực thi (nhưng virus lây lan thực tế) Một chế kích hoạt mô tả qua đoạn giả mã sau: BEGIN IF (thứ ngày 13) THEN (đã đến thời điểm phá hoại) END Phần thân (payload): Tất virus thực máy tính bị lây nhiễm (trừ phần lây lan) Đoạn giả mã sau mô tả chế hoạt động phần thân thông thường: BEGIN IF (đến thời điểm phá hoại) THEN (kích hoạt) END Phần thân thực điều gì, từ việc đơn giản đưa thông báo, vẽ hình đồ họa nghịch ngợm tới việc định dạng lại ổ đĩa cứng hay gửi qua email tới địa sổ địa nạn nhân 1.1.3 Cách thức phá hoại Khi lây vào máy tính, virus gây nên biểu sau: • • • • • • • Tiến hành phá hoại có chủ đích chế nằm phần thân Phá hoại chủ đích (do vô tình) virus cố cài đặt lên máy tính mục tiêu Bản thân virus không mong muốn việc phá hoại chủ đích thực tế cố hữu trình lây lan, việc có mặt virus hệ thống luôn làm giảm hiệu suất hệ thống đó, chiếm dụng nhớ, dung lượng ổ đĩa, sửa đổi thông tin hệ thống v.v… Ngoài ra, virus cố gắng che dấu diện hệ thống che dấu dẫn đến số biểu như: Làm số menu Word (với virus macro) Mã hóa chiếm chỗ vùng thông tin hệ thống (với Boot virus) Thay đổi Windows Registry Tuy nhiên, biểu nhận thấy virus không đáng kể lý để virus lây lan nhanh nhiều Những virus giai đoạn thường viết ngôn ngữ Assembler để có kích thước nhỏ giảm khác biệt kích thước đối tượng trước sau bị lây nhiễm, lý thời kỳ dung lượng đĩa lưu trữ đắt nên dù thay đổi nhỏ kích thước file gây nên ý người sử dụng, tức giảm tính bí mật virus lây lan 1.2 Lịch sử hình thành phát triển virus máy tính Việc tìm hiểu lịch sử phát triển virus máy tính qua giai đoạn công nghệ cần thiết qua việc quan sát giai đoạn phát triển virus phát triển công nghệ (với điểm yếu) dự đoán phần khuynh hướng phát triển virus tương lai gần Thật sở lý thuyết virus máy tính xuất từ lâu, năm 1949, John von Newman viết “Lý thuyết cấu phần tử tự hành phức tạp – Theory and Organization of Complicated Automata” nêu ý tưởng chương trình tự nhân Đến năm 1959, ba lập trình viên AT&T viết chương trình Core war có trang bị tính tự nhân tiêu diệt bảng mã đối phương, sau trở thành tính virus máy tính Sự phát triển virus nói riêng phần mềm độc hại nói chung chia làm bốn giai đoạn kéo dài từ năm 1979 đến (trong tài liệu nước ngoài, tác giả hay sử dụng thuật ngữ “wave”, thuật ngữ “giai đoạn” dùng virus giai đoạn thực phát triển trực tiếp từ giai đoạn trước đó) Mỗi giai đoạn đại diện cho khuynh hướng công nghệ virus tận dụng triệt để công nghệ 1.2.1 Giai đoạn thứ (1979-1990) Những virus virus boot-sector lây hệ điều hành MS DOS Khoảng năm 1980 trở đi, số lượng virus tăng vọt với phát triển máy tính cá nhân Đại diện giai đoạn xét đến virus Brain xuất năm 1986 virus Lehigh xuất năm 1987 Sau thời gian ngắn bắt đầu xuất thuật ngữ “worm” phần mềm có khả tự lây lan qua mạng Năm 1987, worm Christma Exec có khả lây lan qua e-mail mainframe IBM, ví dụ việc lừa đảo theo kiểu “social engineering”, người sử dụng bị đánh lừa để thực thi virus nội dung email cho biết thực thi vẽ thông Noel, worm có thực việc vẽ thông Noel lên hình (bằng cách sử dụng ngôn ngữ kịch REXX) đồng thời gửi tới người sử dụng khác nằm danh sách email nạn nhân Những người sử dụng tin tưởng nhận email từ người họ quen biết họ mở email Tháng 11 năm 1988, Robert Morris Jr viết worm Morris lây lan tới 6000 máy tính vài (khoảng 10% số máy Internet thời điểm đó) Tuy nhiên sau worm bị phát tiêu diệt lỗi lập trình tiến hành lây lại máy tính bị nhiễm từ trước, dẫn đến việc giảm tốc độ đáng kể máy tính nên dễ bị phát 1.2.2 Giai đoạn thứ hai (1990-1998) Giai đoạn thứ hai diễn khoảng năm 1990 đến 1998 đánh dấu nhiều hoạt động virus worm kỹ thuật tiên tiến virus có tác động mạnh mẽ lên trình phát triển worm Trong thời kỳ này, virus bắt đầu chuyển từ hệ điều hành DOS sang công hệ điều hành Windows, xuất virus macro, virus bắt đầu sử dụng kỹ thuật đa hình để ngụy trang tránh bị phát đặc biệt xu hướng sử dụng e-mail công cụ để phát tán Trong thời kỳ virus sử dụng dấu hiệu nhận dạng từ khóa nên dễ dàng bị phát phần mềm diệt virus tiến hành quét phân tích file Để đối phó, ban đầu virus sử dụng thuật toán mã hóa để che dấu tồn mình, nhiên để thực việc virus phải xây dựng thủ tục mã hóa thủ tục giải mã có yếu điểm nên bị phần mềm diệt virus phát Khoảng năm 1989, virus sử dụng kỹ thuật ngụy trang đa hình (polymorphism) xuất hiện, kỹ thuật phức tạp cho phép virus tự biến đổi để tránh bị công cụ dò tìm phát Cũng khoảng thời gian này, số hacker tạo công cụ phát triển (toolkit) có giao diện dễ sử dụng cho phép hacker khác (thậm chí không cần có kiến thức chuyên sâu virus) tạo virus có tính lây lan phá hoại tương đối mạnh, sản phẩm đánh giá xuất sắc toolkit virus Anna Kournikova Virus giả làm ảnh dạng JPG quần vợt Anna Kournikova đính kèm theo e-mail Nếu đoạn VBScript thực hiện, email chứa virus chép tới địa nằm sổ địa Outlook Năm 1995 đánh dấu xuất virus macro có tên gọi Concept, virus viết để lây nhiễm vào file normal.dot Microsoft Word sử dụng cho hệ điều hành Windows 95 Những virus macro có lợi dễ viết chạy nhiều platform khác Tuy nhiên, đa số người sử dụng biết cách bỏ tính thực macro Office virus bị tính phổ biến lợi 1.2.3 Giai đoạn thứ ba (1999-2000) Giai đoạn thứ ba kéo dài từ năm 1999 tới cuối năm 2000 đánh dấu phát triển mạnh mẽ trào lưu phát tán virus qua email Tháng năm 1999, sâu Happy99 lây qua e-mail với file đính kèm có tên Happy99.exe Khi file đính kèm thực hiện, bề hiển thị pháo hoa chào năm 1999 hình, bí mật sửa file WSOCK32 DLL (được Windows sử dụng cho mục đích truyền thông Internet) với Trojan cho phép worm chèn vào tiến trình truyền thông File WSOCK32.DLL ban đầu đổi tên thành WSOCK32.SKA Mỗi e-mail người sử dụng gửi chứa worm Tháng năm 1999, virus Melissa lây lan sang 100.000 máy tính giới ngày Tháng năm 1999, worm ExploreZip giả mạo giao diện file WinZip gắn vào email để lây lan Nếu thực hiện, hiển thị thông báo lỗi, thao tác thật worm bí mật chép vào thư mục hệ thống Windows tự nạp vào Registry Nó tự gửi qua e-mail sử dụng Microsoft Outlook Exchange tới địa nằm hộp thư Nó theo dõi tất email đến tự trả lời người gửi với Đầu năm 2000, virus BubbleBoy xuất chứng minh máy tính bị lây nhiễm cách xem trước (preview) e-mail mà không cần phải mở email Nó tận dụng lỗ hổng bảo mật Internet Explorer cho phép tự động thực VB Script nhúng thân email Virus gửi tới e-mail với tiêu đề "BubbleBoy is back” nội dung email có chứa đoạn mã VBScript virus Nếu email đọc Outlook, script chạy cho dù email đọc chức “preview” Một file bổ sung vào thư mục khởi động Windows, máy tính bắt đầu khởi động lại, virus gửi tới tất địa emailnằm Outlook Tháng năm 2000, worm Love Letter lây lan nhanh dạng e-mail với subject "I love you" file đính kèm có đuôi dạng text để lừa người sử dụng đọc thực đoạn VBScript Khi thực hiện, worm cài đặt vào thư mục hệ thống sửa đổi Registry để bảo đảm file chạy máy tính khởi động Love Letter lây lan sang nhiều kiểu file khác ổ đĩa cục thư mục dùng chung chia sẻ qua mạng Khi lây sang máy tính khác, Outlook cài đặt, worm gửi email có tới địa sổ địa Ngoài ra, worm tạo kết nối IRC gửi tới người khác kết nối tới kênh IRC đó, tải xuống Trojan chuyên thu thập địa email password Tháng 10 năm 2000, worm Hybris bắt đầu lây lan qua email theo kiểu đính kèm Khi thực hiện, sửa file WSOCK32 DLL để theo dõi trình truyền thông máy tính Với e-mail gửi đi, gửi cho người nhận Điều nguy hiểm có khả tự tải nâng cấp từ địa mạng 1.2.4 Giai đoạn thứ tư (2001 - nay) Giai đoạn worm đại năm 2001 đến tận ngày Chúng có khả lây lan nhanh mức độ tinh vi cao với đặc trưng như: Kết hợp nhiều kiểu công khác Lây nhiễm lên nhiều loại đối tượng khác (Linux, mạng ngang hàng, tin nhắn …) • Tự động tải nâng cấp từ Internet • Phần phá hoại đặc biệt nguy hiểm • Vô hiệu hóa phần mềm diệt virus • • Ngày 12 tháng bảy năm 2001, sâu Code Red xuất bắt đầu khai thác lỗi tràn đệm MS IIS web server (mặc dù lối công bố ngày 18 tháng năm 2001) lây nhiễm cho 200.000 máy tính ngày chúng có lỗi chế tìm kiếm Cuối tháng 7, phiên thứ Code Red I (Code Red v2) sửa lỗi nên có khả lây lan nhanh, 14 lây nhiễm cho 359.000 Phần phá hoại Worm đồng loạt công website www.whitehouse.gov Sau lâu bắt đầu xuất worm có khả disable antivirus Klez Bugbear vào tháng 10 năm 2001, số worm khác tiến hành ghi lại thao tác bàn phím người sử dụng để gửi cho hacker Tháng năm 2003 xuất worm Blaster khai thác lỗi Windows DCOM RPC để lây lan (lỗi công bố tháng năm 2003), phần phá hoại worm 10 Hình 2.3 Phần lây lan File virus Để lây lan vào file đối tượng, thường file virus hay sử dụng số phương pháp sau (chung cho hai loại RF virus TF virus): Chèn đầu: Thường áp dụng để lây lên file kiểu COM đặc điểm file dạng có đầu vào cố định 100h sau đầu đoạn vùng 100h dành cho đoạn đầu chương trình (Program Segment Prefix – PSP) Virus chèn đoạn mã vào đầu file đối tượng đẩy đoạn mã file dịch đoạn kích thước virus Ưu điểm trú nhớ kích thước file đối tượng lớn việc dịch chuyển file lâu, dễ bị phát • Nối file: Virus nối đoạn mã vào cuối chương trình đối tượng phải định vị lại lệnh nhảy để chuyển điều khiển đến cho đoạn mã virus cho file đối tượng • Chèn giữa: Virus ghi đoạn mã vào vùng trống file đối tượng (như stack) Ưu điểm phương pháp không làm tăng kích thước chương trình lên nhiều, chí không tăng lại hay gây lỗi lạm dụng stack buffer chương trình đối tượng • Phần phá hoại Không thiết phải có, phương thức phá hoại vô đa dạng Phần liệu Chứa liệu nội chương trình virus liệu chương trình đối tượng bị chiếm quyền 18 b RF Virus Do phải giải vấn đề thường trú chiếm ngắt nên cấu trúc RF Virus phải có thêm phần cài đặt, hoạt động phần cài đặt biểu diễn qua lưu đồ thuật toán sau: Hình 2.4 Phần cài đặt RF virus 2.2.2 Các kỹ thuật Kiểm tra tính tồn Cũng giống boot virus, để giảm khả bị phát hiện, trước lây lan file virus bắt buộc phải kiểm tra tồn đối tượng lây Kiểm tra file Có hai kỹ thuật hay sử dụng so sánh kích thước kiểm tra mã nhận dạng Kỹ thuật so sánh kích thước cho độ xác thấp nên sử dụng nên hay dùng kỹ thuật kiểm tra mã nhận dạng Nhưng có điều đặc biệt virus đặt mã nhận dạng chương trình dễ bị chương trình Anti virus quét phát hiện, lợi dụng phần phá hoại để làm khóa kiểm tra Sau 19 file virus thường đặt mã nhận dạng chuỗi giá trị đặc biệt, điều đặc biệt có ích vừa cho phép kiểm tra tính cách chắn, nhầm lẫn vừa cho phép kiểm tra biến thể Thường trú nhớ Không boot virus tải vào nhớ trước hệ điều hành nên chiếm vùng nhớ theo yêu cầu, RF virus chạy sau hệ điều hành khởi động nên bị khống chế yếu tố kỹ thuật, yếu tố hệ điều hành cung cấp chức thường trú cho chương trình, nghĩa RF virus muốn thường trú chương trình đối tượng phải thường trú Lây lan Trong trình lây lan, virus phải đảm bảo yếu tố sau: Khống chế thông báo lỗi: Người viết virus phải lường trước trường hợp lỗi xảy ra, ví dụ virus lây lan đĩa mềm có lẫy chống ghi, hệ điều hành đưa thông báo: Write on protect disk thời điểm người sử dụng thao tác ghi lên đĩa hành động virus bị phát Để khống chế thông báo lỗi kiểu này, virus phải thay ngắt 24h DOS Trả lại thuộc tính ban đầu file: Virus muốn chèn đoạn mã lệnh vào file đối tượng file phải thuộc tính đọc (read only), ẩn (hidden) v.v sau chèn đoạn mã vào ngày cập nhật file bị thay đổi theo v.v thuộc tính file phải lưu để trả lại nguyên vẹn sau lây lan Định vị file đối tượng: Các virus sử dụng phương pháp chèn đầu trước hết phải xin cấp phát vùng nhớ, chuyển chương trình vào vùng nhớ này, đọc file đối tượng vào tiếp sau ghi lại toàn file Các virus sử dụng phương pháp nối đuôi phải dời trỏ tới cuối file đối tượng để ghi đoạn mã vào, quay lại đầu chương trình để sửa lệnh nhảy đến đầu đoạn mã virus Muốn tồn tại, virus phải tìm file đối tượng thích hợp để lây lan, thường tất virus sử dụng kỹ thuật tìm kiếm chức 4Eh 4Fh ngắt 21 2.3 TROJAN Thuật ngữ dựa vào điển tích cổ, chiến người Hy Lạp người thành Tơ-roa Thành Tơ-roa thành trì kiên cố, quân Hy Lạp không đột nhập vào Người ta nghĩ kế, giả vờ giảng hoà, sau tặng thành Tơ-roa ngựa gỗ khổng lồ Sau ngựa đưa vào thành, đêm xuống quân lính từ bụng ngựa xông đánh chiếm thành từ bên Phương pháp cách mà Trojan máy tính áp dụng Đầu tiên hacker cách lừa cho nạn nhân sử dụng chương trình Khi chương trình chạy vẻ bề giống chương trình bình thường Tuy nhiên, song song với trình đó, phần Trojan bí mật cài lên máy nạn nhân 20 Đến thời điểm định trước chương trình thực việc xóa liệu, hay gửi thông điệp mà hacker muốn lấy đến địa định trước mạng Khác với virus, Trojan đoạn mã chương trình hoàn toàn tính chất lây lan Nó cài đặt kích hoạt lây nhiễm sang máy tính khác có người cố ý gửi đi, virus tự động tìm kiếm nạn nhân để lây lan Thông thường phần mềm có chứa Trojan phân phối phần mềm tiện ích, phần mềm hấp dẫn, nhằm dễ thu hút người sử dụng Bên cạnh Trojan ăn cắp thông tin truyền thống, số khái niệm dùng để đặt tên cho trojan mang tính chất riêng biệt sau: BackDoor: Là loại trojan (sau cài đặt vào máy nạn nhân) tự mở cổng dịch vụ cho phép kẻ công (hacker) kết nối từ xa tới máy nạn nhân, từ nhận lệnh thực lệnh mà kẻ công đưa • Phần mềm quảng cáo bất hợp pháp - Adware phần mềm gián điệp Spyware: Gây khó chịu cho người dùng chúng cố tình thay đổi trang web mặc định (home page), trang tìm kiếm mặc định (search page) hay liên tục tự động (pop up) trang web quảng cáo ta duyệt web Chúng thường bí mật xâm nhập vào máy ta ta vô tình “ghé thăm” trang web có nội dung không lành mạnh, trang web bẻ khóa phần mềm…hoặc theo phần mềm miễn phí không đáng tin cậy, phần mềm bẻ khóa (crack, keygen) • 2.3.1 Phương pháp lây nhiễm Trojan Theo số liệu thống kê trung tâm BKIS 90% số người hỏi có tải xuống, hay chép file từ không trả lời không, thực họ thực trước vài ngày Trojan bị lây nhiễm từ nhiều đường khác nhau: • • • Trojan lây nhiễm từ ICQ (I Seek You) Trojan lây nhiễm từ file đính kèm mail Trojan truy nhập trực tiếp Trojan lây nhiễm từ ICQ (I Seek You) Nhiều người nghĩ Trojan lây lan họ nói chuyện ICQ họ không nghĩ người nói chuyện gửi cho họ Trojan ICQ cho phép gửi file exe sửa cho nhìn file file hình ảnh, âm thanh…Ví dụ, có Trojan kẹp chung với file hình ảnh người gửi thay đổi biểu tượng file exe thành biểu tượng file bmp, người nhận chạy Trojan không nghi ngờ, chạy file exe đó, lên hình ảnh file ảnh Kết máy người nhận có Trojan Đó lý hầu hết người dùng nói họ không chạy file lạ trog họ chạy Một cách ngăn ngừa tốt kiểm tra kiểu file trước chạy 21 Trojan lây nhiễm từ file đính kèm mail Đa số Trojan lây lan mail Các hacker hay chủ nhân Trojan thường đính kèm file Trojan vào thư điện tử gửi Khi người dùng kích hoạt vào file đính kèm hay xem thư Trojan kích hoạt xâm nhập hệ thống thực chức Trojan truy nhập trực tiếp Một máy tính trang bị tốt với biện pháp bảo vệ, với chương trình chống virus tốt làm trước truy cập trực tiếp người cố tình đưa Trojan vào máy tính 2.3.2 Sự nguy hiểm Trojan Đa số người cho Trojan nguy hiểm, máy tính họ làm việc bình thường tất liệu còn, virus liệu có hay hoạt động không bình thường Khi máy tính bị nhiễm Trojan, tất liệu máy tính bị nguy hiểm, thường chủ nhân Trojan không xóa tất file, mà họ chép khai thác tài liệu bí mật công ty, tài khoản Internet, tài khoản cá nhân khác thực xóa liệu Đôi hacker dùng Trojan để cài đặt virus phá hoại CIH chẳng hạn Đó vài ví dụ hacker thực họ cài thành công Trojan 2.3.3 Phân loại Trojan Có nhiều Trojan, chủ yếu chia làm dạng sau: Trojan dùng để truy cập từ xa Hiện nay, Trojan sử dụng nhiều Chức Trojan mở cổng máy tính nạn nhân để hacker quay lại truy cập vào máy nạn nhân Trojan dễ sử dụng Chỉ cần nạn nhân bị nhiễm Trojan chủ nhân có địa IP nạn nhân họ truy cập toàn quyền máy nạn nhân Tùy loại Trojan mà chức khác (key logger, download, upload file, thực lệnh ) Một số Trojan tiếng loại như: netbus, back orifice… 22 Móc nối bàn phím (keylogger) Nó ghi lại tất hành động bàn phím lưu vào file, hacker tìm đến máy tính lấy file chứa toàn thông tin người sử dụng gõ vào bàn phím Ví dụ: kuang keylogger, hooker, kuang2… Trojan gửi mật Đọc tất mật lưu cache thông tin máy tính nạn nhân gửi đến hacker Ví dụ: barok, kuang, bario… Trojan phá hủy Những Trojan có nhiệm vụ tiêu diệt tất file máy tính Ví dụ: CIH Những Trojan nguy hiểm máy tính bị nhiễm lần tất liệu hết FTP Trojan Loại Trojan mở cổng 21 máy tính tất người kết nối đến máy tính mà không cần có mật họ toàn quyền tải liệu xuống 2.3.4 Mục đích Trojan Nhiều người nghĩ hacker dùng Trojan để phá hoại máy họ, điều hoàn toàn sai lầm Trojan công cụ hữu hiệu giúp người sử dụng tìm nhiều thông tin máy tính nạn nhân • • • • Thông tin Credit Card, thông tin khách hàng Tìm kiếm thông tin account liệu bí mật Danh sách địa email, địa nhà riêng Account Passwords hay tất thông tin vệ công ty 2.3.5 Phương thức hoạt động Trojan Khi nạn nhân chạy file Trojan, Trojan dạng truy cập từ xa (remote access), file server Trojan chế độ lắng nghe Nó chờ đến nhận tín hiệu Client, mở cổng để hacker truy cập vào Nó sử dụng giao thức TCP giao thức UDP 23 Khi hacker kết nối vào địa IP nạn nhân, họ làm điều nội dung Trojan bao hàm điều khiển Còn Trojan loại Keylogger hay loại gửi mật tiến hành việc ghi lại tất gõ bàn phím Tất lưu trữ file theo đường dẫn định Tại thời điểm chủ nhân Trojan xâm nhập vào máy tính thông qua cổng sau mà Trojan mở lấy file Đối với Trojan có phương thức gửi file thân tiến hành gửi file đến địa email xác định trước Đối với Trojan loại phá hủy hoạt động nạp Windows khởi động tiến hành công việc xóa file Một vài Trojan nạp Windows khởi động cách sửa file win.ini, system.ini hay sửa registry 2.4 WINDOWS VIRUS 2.4.1 Nguyên lý hoạt động Năm 1995 đánh dấu thay đổi trình phát triển virus hệ điều hành Windows 95 xuất Một lý kỹ thuật mà virus dựa DOS sử dụng không tương thích với Windows 95 Dưới ta xem xét vài thay đổi mặt kỹ thuật hai hệ điều hành Windows MS DOS mà người viết virus cần quan tâm Nguyên lý hoạt động hệ điều hành chuyển từ đơn nhiệm sang đa nhiệm nên Windows cho phép chương trình gọi ngắt cách tùy tiện mà phải thông qua hàm giao diện lập trình ứng dụng (Application Programming Interface – API) API thực chất hàm thư viện viết sẵn hệ điều hành nằm file liên kết động (Dynamic Link Library - DLL) Windows Microsoft kỳ vọng hệ điều hành bị lây nhiễm virus nên bổ sung thêm chế độ bảo vệ (protect mode) Các ứng dụng chạy chế độ bảo vệ Windows thường có nhớ riêng chạy hệ thống khép kín độc lập Mọi thao tác trực tiếp đến vùng nhớ ứng dụng gây lỗi bảo vệ Để kiểm soát hệ thống cấp thấp Windows sử dụng chế Rings Bộ vi xử lý có bồn mức đặc quyền Ring 0, Ring 1, Ring Ring Ring gọi mức độ người sử dụng, chương trình thông thường chạy Ring có nhiều hạn chế Ring lại nơi hệ điều hành lưu giữ phần mã lệnh hạt nhân nó, tiến trình chạy Ring có đặc quyền cao Do thay đổi này, người viết virus phải nhanh chóng tìm hiểu khía cạnh hệ điều hành bắt đầu tạo virus tương thích với môi trường hệ điều hành Windows 95, nhiên phát triển công nghệ nên trình phát triển bắt đầu rẽ nhánh sang dòng macro virus dòng worm Số lượng virus lây file dần 2.4.2 Các kỹ thuật Tìm địa sở kernell32.dll 24 Để sử dụng hàm API hệ điều hành, trước hết virus phải tìm địa sở file thư viện liên kết động kernell32.dll Sau xác định địa chỉ, dựa vào để tìm kiếm PE Header kernell32 Mapping file File thực thi ánh xạ vào không gian nhớ Virus thao tác không gian thao tác ánh xạ ngược lại file vật lý Ta thấy mapping file virus cần bố trí dung lượng nhớ kích thước file nguyên thủy cộng với độ dài đoạn mã virus cộng thêm vùng đệm (buffer) Nếu mapping không phân phối đủ nhớ dẫn đến lỗi (fault page) ghi Thay đổi thuộc tính file Cũng giống virus DOS, thao tác file, virus không trả lại thuộc tính cũ dễ bị phát Vì vậy, mỗi virus sẽ có khả lây nhiễm tối đa mà không làm thay đổi thuộc tính file (ngày, giờ sửa đổi…) Kiểm tra tính tồn Để giảm khả bị phát hiện, trước lây lan file virus bắt buộc phải kiểm tra tồn đối tượng lây 2.5 MACRO VIRUS Năm 1995 đánh dấu xuất macro virus, đơn giản kỹ thuật ý tưởng xây dựng nên dòng virus lại thú vị, cách khai thác dòng mã lệnh tính thiết kế nhằm mang lại thuận tin công việc người sử dụng, người viết virus tạo nên chương trình gây nên tổn thất lớn thời gian tiền bạc cho người sử dụng 2.5.1 Cấu trúc chương trình Về cấu trúc chương trình, macro virus tuân theo nguyên tắc virus máy tính, nghĩa có phần lây lan, phần liệu, phần thân có không tùy trường hợp Nguyên lý hoạt động macro virus dựa việc chương trình Office cho phép người sử dụng tự tạo macro ngôn ngữ lập trình dành cho ứng dụng (Visual Basic for Application – VBA) để phục vụ cho công việc đặc thù Lợi dụng điều này, người viết virus tạo macro có khả tự động thực thi chương trình ứng dụng khởi động tùy vào thao tác mà người sử dụng tác động vào hệ thống 25 2.5.2 Các kỹ thuật Kiểm tra tính tồn Giống virus khác, macro virus phải tiến hành kiểm tra tồn trước lây nhiễm vào hệ thống để giảm khả bị phát hiện Lây lan Đối tượng lây nhiễm virus marco file template ngầm định nạp Word Excel khởi động (đối với Word file NORMAL.DOT) từ chúng tiếp tục lây lan sang file khác lần làm việc sau Ngụy trang Các phần mềm diệt virus phải có file sở liệu chứa thông tin đặc trưng virus, từ đưa biện pháp tiêu diệt chúng, virus làm cho phần mềm diệt virus không phát có nghĩa không bị tiêu diệt Macro virus giải điều cách sử dụng kỹ thuật đa hình (polymorphism) đơn giản biến đổi tên macro sau lần lây nhiễm lưu trữ chúng file win.ini để khởi động lại Microsoft Word tìm tên macro Một macro virus áp dụng kỹ thuật đa hình kiểu Outlaw, virus tự sinh tên bao gồm phần chữ phần số cách sử dụng hàm ngẫu nhiên Vô hiệu hóa phần mềm diệt virus Điều đặc biệt macro virus chỗ, câu lệnh đơn giản, cấu trúc phức tạp ý tưởng người viết chúng lại vô phong phú, điều thể chỗ nhiều macro virus trang bị tính vô hiệu hóa phần mềm diệt virus không thường trú cách xóa file sở liệu Phá hoại Phần phá hoại không bắt buộc phải có, có vô đa dạng Thông thường phần thân kích hoạt có yếu tố xuất 2.6 WORM (SÂU INTERNET) Worm chương trình có khả tự nhân giống virus virus phải ký sinh file chương trình để thi hành worm lại chương trình độc lập, tính tự nhân hay lây lan thực thông qua mạng 26 Thời điểm ban đầu, Worm dùng để virus phát tán cách tìm địa sổ địa (Address book) máy mà lây nhiễm tự gửi qua email tới địa tìm Những địa mà worm tìm thấy thường địa bạn bè, người thân, khách hàng chủ sở hữu máy bị nhiễm Điều nguy hiểm worm giả mạo địa người gửi địa chủ sở hữu máy hay địa cá nhân đó; email mà worm gửi thường có nội dung “giật gân” “hấp dẫn” để dụ dỗ người nhận mở file worm đính kèm Một số virus trích dẫn nội dung email hộp thư nạn nhân để tạo phần nội dung email giả mạo Điều giúp cho email giả mạo “thật” người nhận dễ bị mắc lừa Những việc diễn mà ta không hay biết Với cách hoàn toàn tương tự máy nạn nhân khác, Worm nhanh chóng lây lan toàn cầu theo cấp số nhân Điều lý giải vòng vài tiếng đồng hồ mà Mellisa Love Letter lại lây lan tới hàng chục triệu máy tính Cái tên nó, Worm hay "Sâu Internet" cho ta hình dung việc worm máy tính “bò” từ máy tính qua máy tính khác "cành cây" Internet Với lây lan nhanh rộng lớn vậy, Worm thường người viết cài thêm nhiều tính đặc biệt, chẳng hạn khả định ngày đồng loạt từ máy nạn nhân (hàng triệu máy) công vào địa Ngoài ra, chúng mang theo BackDoor thả lên máy nạn nhân, cho phép chủ nhân chúng truy nhập vào máy nạn nhân làm đủ thứ ngồi máy cách bất hợp pháp Ngày nay, khái niệm Worm mở rộng để bao gồm virus lây lan qua mạng chia sẻ ngang hàng peer to peer, virus lây lan qua ổ đĩa USB hay dịch vụ gửi tin nhắn tức thời (chat), đặc biệt virus khai thác lỗ hổng phần mềm để lây lan Các phần mềm (nhất hệ điều hành dịch vụ đó) tiềm ẩn lỗi/lỗ hổng an ninh lỗi tràn đệm, mà lúc dễ dàng phát Khi lỗ hổng phần mềm phát hiện, không lâu sau xuất virus có khả khai thác lỗ hổng để lây nhiễm lên máy tính từ xa cách âm thầm mà người chủ máy hoàn toàn không hay biết Từ máy này, Worm tiếp tục “bò” qua máy tính khác mạng Internet với cách thức tương tự 27 CHƯƠNG 3: CÁC PHƯƠNG PHÁP PHÒNG CHỐNG Ngày nay, nhiều máy tính nối mạng Internet nguy lây nhiễm virus, spyware, Trojan,… ngày cao với mức lây lan nhanh Vì vậy, người dùng nên thực số biện pháp để tự bảo vệ tránh khỏi nguy từ mạng Internet Cài đặt phần mềm diệt virus hiệu Nhiều người sử dụng máy tính tin tưởng ứng dụng diệt virus miễn phí bảo vệ thiết bị họ trước virus hay spyware Tuy nhiên, chương trình miễn phí không cung cấp bảo vệ đầy đủ cho nguy tăng lên hàng ngày Vì vậy, người dùng PC nên cài đặt phần mềm diệt virus dành cho doanh nghiệp chuyên nghiệp máy tính Các chương trình diệt virus chuyên nghiệp cập nhật hàng ngày nhằm chống lại nguy công vào lỗ hổng phần mềm hệ điều hành Trong số phần mệt diệt virus này, thông dụng phải kể đến Kaspersky Anti-Virus v9.0, Symantec AntiVirus Corporate Edition,… Cài đặt phần mềm chống spyware thời gian thực Thật sai lầm nhiều người dùng máy tính nghĩ chương trình diệt virus tích hợp sẵn bảo vệ thiết bị họ tránh khỏi spyware adware Một số người khác lại nghĩ, ứng dụng chống spyware miễn phí kết hợp với phần mềm antivirus cung cấp khả bảo vệ đầy đủ cho thiết bị Thật không may hầu hết chương trình chống spyware miễn phí không cung cấp khả bảo vệ thiết bị theo thời gian thực để chống lại Trojan spyware Một vài chương trình miễn phí phát nguy nhiễm spyware chúng lây nhiễm cho thiết bị Trong đó, chương trình chống spyware chuyên nghiệp ngăn chặn việc lây nhiễm xóa nguy từ lúc đầu Đảm bảo chương trình chống mã độc hoạt động Các chương trình antivirus anti-spyware yêu cầu việc cập nhật liệu đăng ký đặn Nếu không cập nhật, chương trình chống mã độc khả bảo vệ máy tính trước nguy công Nhiều công diễn thời gian ngắn có sức lây nhiễm 100-300 nghìn trang web ngày Vì vậy, người dùng nên cập nhật thường xuyên cho phần mềm diệt virus spyware ý đến thời điểm hết hạn đăng ký phần mềm Thực quét máy tính hàng ngày Đôi khi, virus spyware thoát khỏi vòng kiểm soát phần mềm bảo vệ lây nhiễm vào thiết bị Vì vậy, việc quét hệ thống hàng ngày giúp phát loại bỏ mầm lây nhiễm khỏi máy tính Vô hiệu chức autorun Nhiều virus công vào máy tính nhớ kết nối với máy tính thông qua chức autorun Vì vậy, người dùng nên tắt chức kết nối ổ 28 cứng ngoài, USB, thiết bị mạng,… Để vô hiệu chức autorun hệ điều hành Windows, người dùng thực bước sau: - Vào Start, Run gõ gpedit.msc OK Trong cửa sổ Group Policy, kích đúp vào Administrative Templates, chọn System Trong khung bên phải, kích đúp vàp Turn Off Autoplay Kích đúp vào Turn Off Autoplay, chọn Enabled Trong ô Turn Off Autoplay on chọn All drives ấn OK Thoát khỏi Group Policy Khởi động lại máy Vô hiệu hóa tính xem trước hình ảnh Outlook Khi thư điện tử chứa hình ảnh bị nhiễm virus ứng dụng Outlook cho phép người dùng xem trước hình ảnh cách khởi động cho virus lây nhiễm sang hệ thống PC người dùng Vì vậy, để ngăn chặn việc lây nhiễm tự động, người dùng nên tắt chức xem trước hình ảnh Outlook Đối với phiên ứng dụng Microsoft Outlook chế tự động hiển thị hình ảnh Nhưng người dùng thay đổi thiết lập bảo mật mặc định nên quay lại tắt chức Nếu dùng Outlook 2007, người dùng thực bước sau để tắt chức này: vào Tools | Trust Center, bật Automatic Download lựa chọn Don’t Download Pictures Automatically In HTML E-Mail Messages Or RSS Không kích vào đường dẫn email hay tài liệu đính kèm Người dùng không kích vào file đính kèm email trước dùng ứng dụng chống mã độc dành cho doanh nghiệp để quét Thay kích vào đường dẫn đính kèm email, người dùng nên truy cập vào trang Web cách mở trình duyệt gõ địa trang vào Lướt web thông minh Nhiều ứng dụng chống mã độc dành cho doanh nghiệp tích hợp trình duyệt web để giúp chống lại việc lây nhiễm từ ổ đĩa, dùng để lọc công Việc làm nhằm tránh cho người dùng bị đánh cắp thông tin mật khẩu, tài hay liệu nhạy cảm Người dùng không nên gõ thông tin cá nhân, tài hay tài khoản đăng nhập vào trang web không đáng tin cậy Đồng thời, không mở trực tiếp đường dẫn đính kèm email Sử dụng phần cứng tường lửa Khi thực chia sẻ máy in, truy cập tài nguyên mạng,… người dùng sử dụng phần mềm tường lừa (firewall) Tuy nhiên, lúc phần mềm chống lại vô số công vào thiết bị kết nối mạng Internet Vì vậy, để bảo vệ máy tính chống lại virus, sâu,… phần mềm firewall người dùng nên sử dụng thiết bị phần cứng - firewall 29 10 Sử dụng trang web trực tuyến virustotal.com VirusTotal dịch vụ miễn phí, giúp phân tích tập tin URL nghi ngờ tạo điều kiện cho việc nhanh chóng phát virus, sâu máy tính, trojan tất loại phần mềm độc hại khác 30 KẾT LUẬN Kết đạt tập lớn: Tìm hiểu nghiên cứu lý thuyết:  Tổng quan virus máy tính, hoạt động B-Virus, F-Virus, Macro Virus, Virus Trojan, Internet worm  Một số phương pháp phát hiện, nhận dạng virus máy tính - Một số phương pháp phòng tránh diệt virus máy tính Thử nghiệm Chương trình mô tạo virus máy tính 31 TÀI LIỆU THAM KHẢO Luận văn thạc sĩ khoa học - Các phương pháp lây lan và phá hoại của virusmáy tính - Đại học bách khoa Hà Nội Luận văn tốt nghiệp - Một số dạng virus máy tính và các phương pháp phòng chống – Đại học dân lập Hải Phòng http://www.wikipedia.org http://vx.netlux.or 32 [...]... diệt virus máy tính 2 Thử nghiệm Chương trình mô phỏng tạo virus máy tính 31 TÀI LIỆU THAM KHẢO 1 Luận văn thạc sĩ khoa học - Các phương pháp lây lan và phá hoại của virusmáy tính - Đại học bách khoa Hà Nội 2 Luận văn tốt nghiệp - Một số dạng virus máy tính và các phương pháp phòng chống – Đại học dân lập Hải Phòng 3 http://www.wikipedia.org 4 http://vx.netlux.or 32... việc nhanh chóng phát hiện virus, sâu máy tính, trojan và tất cả các loại phần mềm độc hại khác 30 KẾT LUẬN Kết quả đạt được của bài tập lớn: 1 Tìm hiểu và nghiên cứu lý thuyết:  Tổng quan về virus máy tính, hoạt động của B -Virus, F -Virus, Macro Virus, Virus Trojan, Internet worm  Một số phương pháp phát hiện, nhận dạng virus máy tính - Một số phương pháp phòng tránh và diệt virus máy tính 2 Thử nghiệm... trên đĩa Nhược điểm của SB virus ở chỗ nếu đoạn boot sector chuẩn bị ghi đè lên vì một lý do nào đó thì máy tính sẽ không khởi động được nên virus sẽ bị phát hiện dễ dàng 12 DB virus (Double Boot virus) Có nhiều chức năng hơn SB virus nên kích thước lớn hơn một sector, đoạn mã nằm trong boot sector chỉ có nhiệm vụ tải thân virus vào thường trú Thông thường với cả SB virus và DB virus, vị trí lý tưởng nhất... đó sẽ xuất hiện các virus có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ máy hoàn toàn không hay biết Từ các máy này, Worm sẽ tiếp tục “bò” qua các máy tính khác trên mạng Internet với cách thức tương tự 27 CHƯƠNG 3: CÁC PHƯƠNG PHÁP PHÒNG CHỐNG Ngày nay, khi càng nhiều máy tính được nối mạng Internet thì nguy cơ lây nhiễm virus, spyware, Trojan,…... file khác để lây lan RF Virus Có thường trú trong bộ nhớ, khống chế hoạt động của máy tính bằng cách chiếm các ngắt (phổ biến nhất là ngắt 21h) để tiến hành lây lan 2.2.1 Cấu trúc chương trình Do nguyên tắc hoạt động khác nhau nên cấu trúc của TF Virus và RF virus cũng khác nhau a TF Virus Vì nguyên lý làm việc đơn giản, không thường trú và không chiếm ngắt nên cấu trúc của một TF virus thường bao gồm... mềm khác thì boot virus sẽ đọc bản chuẩn từ vị trí cất giấu để che mắt các chương trình hệ thống 2.2 FILE VIRUS Dễ thấy số lượng và cả chất lượng của các file virus vượt trội hơn hẳn các boot virus do chúng được chạy trên nền của hệ điều hành nên có thể tận dụng toàn bộ các ưu thế của hệ điều hành để thực hiện các ý đồ của mình File virus được phân làm hai loại chính như sau: TF Virus Virus thuộc loại... vì bản thân đoạn mã của boot virus không thể thay thế hoàn toàn cho đoạn mã chuẩn của boot sector được Nếu không có cơ chế lưu lại đoạn mã chuẩn này, đặc biệt là bảng tham số đĩa BPB thì virus sẽ mất kiểm soát đối với ổ đĩa Chính từ các cách xử lý đối với đoạn mã chuẩn trong boot sector mà boot virus được chia làm hai loại như sau: SB virus (Single Boot virus) Kích thước virus nằm trọn trong một sector... mình, TF virus phải có phần lây lan càng mạnh càng tốt, tuy nhiên việc lây nhiều file cũng dẫn tới hậu quả là làm chậm tốc độ của hệ thống nên dễ bị phát hiện Ta có thể mô tả hoạt động của phần lây lan bằng lưu đồ thuật toán sau: 17 Hình 2.3 Phần lây lan của File virus Để lây lan vào file đối tượng, thường file virus hay sử dụng một số phương pháp sau (chung cho cả hai loại RF virus và TF virus) : Chèn... lại nguyên vẹn sau khi lây lan Định vị file đối tượng: Các virus sử dụng phương pháp chèn đầu trước hết phải xin cấp phát vùng nhớ, chuyển chương trình vào vùng nhớ này, đọc file đối tượng vào tiếp sau rồi ghi lại toàn bộ file Các virus sử dụng phương pháp nối đuôi phải dời con trỏ tới cuối file đối tượng để ghi đoạn mã của mình vào, quay lại đầu chương trình để sửa lệnh nhảy đến đầu đoạn mã của virus. .. lây lan file virus bắt buộc phải kiểm tra sự tồn tại của mình trên đối tượng sắp lây 2.5 MACRO VIRUS Năm 1995 cũng đánh dấu sự xuất hiện của macro virus, tuy đơn giản về kỹ thuật nhưng ý tưởng xây dựng nên dòng virus này lại cực kỳ thú vị, chỉ bằng cách khai thác những dòng mã lệnh và tính năng được thiết kế nhằm mang lại sự thuận tin trong công việc của người sử dụng, những người viết virus có thể