Module VIRUS VÀ WORM Những Nội Dung Chính Trong Chương Này Sự Khác Biệt Giữa Virus Và Worm Phân Loại Virus Dò Tìm Và Gỡ Bỏ Virus Virus máy tính có lẽ thuật ngữ nhiều người biết đến lĩnh vực an toàn thông tin, kèm theo ngộ nhận virus máy tính virus gây tác hại người Tôi nhớ rõ hình ảnh người bạn học dùng khăn lau để mềm trước cho vào máy vi tính để đề phòng virus hay có nhiều quan vào năm đầu thập niên 90 yêu cầu nhân viên phải bỏ dép bên vào phòng máy chủ Vậy virus máy tính ? Về mặt tác hại máy tính tương tự người làm cho hệ thống máy hoạt động ổn định, bị hư hỏng, bị xóa tập tin hay chí gây gãy đổ toàn hệ thống Chúng có khả lây lan mạng Lan mạng internet thông qua lổ hỗng bảo mật hay bất cẩn người dùng, thiếu giải pháp phòng ngừa cẩn thận Nhiều virus máy tính mang theo trojan hay backdoor cho phép hacker đột nhập vào hệ thống hay truy cập liệu trái phép Một virus có tốc độ lây lan chóng mặt conflicker gây bão liệu mạng internet, làm tràn ngập mạng LAN khiến cho nhiều hoạt động bị tê liệt Sự Khác Biệt Giữa Virus Và Worm Virus Worm phẩn mềm nguy hiểm gây thiệt hại mặt kinh tế hay phá hũy liệu người dùng Theo thống kê hàng năm người dân thiệt hại triệu VND (tổng thiệt hại nước năm 2010 virus sâu máy tính khoảng 5900 tỉ đồng – theo số liệu khảo sát BKAV) tác động mà virus đem lại, tính chi phí phải bỏ để mua phần mềm diệt virus số thiệt hại có lẽ lớn nhiều Tuy nhiên, mặt chúng có khác biệt mà bạn cần phân biệt câu hỏi hay tình nêu kì thi chứng CEH thân chương trình virus không tự lây lan mà nhiễm vào ứng dụng có khả thực thì, sau lây lên máy tính khác người dùng chép hay di chuyển tập tin USB, email hay trò chơi điện tử Trong Worm hay sâu máy tính tự tìm kiếm điểm yếu máy tính khác mạng để lây nhiễm Morris sâu máy tính xuất mạng internet vào ngày tháng 11 năm 1988 từ học viện MIT, hệ sâu máy tính ngày thường công vào mạng xã hội ví dụ sâu máy tính lan truyền qua mạng Twitter Phân Loại Virus Virus phân loại dựa đối tượng cách thức mà chúng lây nhiễm Một virus máy tính lây nhiễm vào thành phần sau hệ thống : - System sector - Tập tin - Macros (như MS Word macro) - Các tập tin hay hàm thư viên hệ thống DLL, INI - Disk cluster - Tập tin BAT - Mã nguồn ứng dụng Và để lây nhiễm vào thành phần virus cần có tác động từ bên hành động chép, download thực thi chương trình người dùng Sau loại virus phân chia theo cách thức lây lan chúng : - Polymorphic loại virus mã hóa mã nguồn chúng theo nhiều cách khác để qua mặt chương trình dò tìm - Stealth virus che dấu đặc điểm nhận dạng chúng thay đổi thời gian mà tập tin tạo để ngăn không cho chương trình antivirus phát có tập tin hệ thống - Fast & Slow Infector dạng virus sử dụng chế lây lan thật nhanh hay thật chậm để tránh bị phát - Armored loại virus sử dụng kỹ thuật mã hóa để tránh bị dò tìm - Multipartie loại virus cao cấp chia tiến trình lây nhiễm thành nhiều giai đoạn - Cavity (space-filler) virus dạng tự chèn chúng vào phần trống tập tin - Tunneling virus gởi thông qua giao thức hay mã hóa để ngăn ngừa phát qua mặt firewall - Camouflage dạng virus giả danh chương trình khác nhằm đánh lừa người sử dụng - NTFS & Active Directory virus dạng chuyên công vào hệ thống tập tin NTFS Windows hay công trực tiếp vào Active Directory Các chuyên gia bảo mật thường ví sở liệu nhận dạng dựa signature (chữ kí) “máu” chương trình diệt virus Vì vậy, hacker tìm cách viết kịch hay virus xóa đặc trưng nhận dạng chúng nhằm qua mặt ứng dụng antivirus, trường hợp ứng dụng quét virus phải sử dụng chế nhận dạng dựa hành vi để phát hoạt động bất thường chương trình nguy hiểm Cũng biện pháp phòng chống trojan / backdoor để bảo vệ phòng chống bị lây nhiễm virus cần sử dụng chương trình quét virus mạnh cập nhật đầy đủ Không sử dụng chương trình thiêu tin cậy crack, chương trình patch hay phần mềm trôi nỗi mạng internet Nên quét virus thường xuyên Cập nhật đầy đủ vá hệ thống để hạn chế không cho chương trình nguye hiểm hacker khai thac từ xa Dưới Đây Là Các Bước Dò Tìm Và Gỡ Bỏ Virus Dò tìm hành vi bất thường hệ thống cảnh báo lỗi, tìm kiếm event view… Dò tìm tiến trình với công cụ pslist.exe, fport.exe, netstat.exe … nhằm phát dịch vụ bất thường hệ thống Dò tìm payload virus tập tin bị nhiễm hay bị thay Cô lập thành phần bị nhiễm để tránh lây lan sang hệ thống khác tiến hành quét virus hệ thống chương trình diệt virus cập nhật đủ Các bạn tham khảo thêm số giảng virus thuộc chương trình CEH http://youtu.be/-Cw2XQQAQFw (giới thiệu virus máy tính) hay http://youtu.be/0JAWQuLDXBM (tạo virus công cụ) Tổng Kết Trong chương bạn tìm hiểu virus worm, loại có điểm khác biệt đặc trưng hai ứng dụng gây ảnh hưởng đến vận hành hệ thống bị lây nhiễm Vì cần có biện pháp phòng tránh áp dụng quy trình diệt thích hợp để nâng cao tính an toàn cho hệ thống Nguồn gốc lây nhiễm virus hay worm thường máy tính hay chương trình thiếu cập nhật hay vá lỗi, cài đặt sử dụng chương trình nguồn gốc rõ ràng bất cẩn việc thiết lập sách an ninh, hết bạn cần nâng cao nhận thức an toàn thông tin cho người dùng, đặc biệt kiến thức virus sâu máy tính