Chơng trình KC-01: Nghiên cứu khoa học phát triển công nghệ thông tin truyền thông Đề tài KC-01-01: Nghiên cứu số vấn đề bảo mật an toàn thông tin cho mạng dùng giao thức liên mạng máy tính IP Báo cáo kết nghiên cứu AN ninh, an toàn mạng máy tính Quyển 5B: Cơ chế an toàn hệ điều hành mạng, Network hacker, Virus máy tính Hà NộI-2003 Báo cáo kết nghiên cứu AN ninh, an toàn mạng máy tính Quyển 5B: Cơ chế an toàn hệ điều hành mạng, Network hacker, Virus máy tính Chủ trì nhóm thực hiện: TS Đặng Vũ Sơn mục lục Trang Phần Khả an toàn hệ điều hành mạng i tổng quan hệ điều hành Các thành phần hệ điều hành Phân loại hệ điều hành 2.1 Hệ điều hành đơn chơng trình, hệ điều hành đa chơng trình 2.2 Hệ điều hành phân chia thời gian thực hệ điều hành thời gian thực 2.3 Hệ tập trung phân tán Lịch sử phát triển hệ điều hành ii chế an toàn hệ điều hành An toàn truy nhập mạng An toàn truy nhập hệ thống An toàn truy nhập file th mục iii Các lỗ hổng an toàn Khái niệm Một số lỗ hổng tiêu biểu hệ điều hành 2.1 Đối với hệ điều hành Microsoft Windows 2.2 Đối với hệ điều hành Unix Phát khắc phục lỗ hổng 3.1 Các lỗ hổng từ hệ điều hành ứng dụng 3.2 Vấn đề ngêi sư dơng 3.3 Ethernet frame padding information leakage- Mét ví dụ điển hình lỗ hổng có nguyên nhân từ ngời lập trình Mật mà lỗ hổng bảo mật Phụ lục: Một số phần mềm giám sát an ninh mạng Nessus SAINT- Công cụ tích hợp an toàn mạng ngời quản trị CyberCop Scanner TàI liệu tham khảo Phần Network Hacker I Hacker gì? Hacker thờng dân hacker trị Hacker kẻ Téi ph¹m cã tỉ chøc II Hacker hack nh thĨ nào? Các lỗi bảo mật thờng gặp a Cấu hình sai máy chủ b Lỗi ứng dụng c Những nhà cung cấp thiếu trách nhiệm d Thiếu ngời có trình độ Quy trình hacking hệ thèng a Footprinting b Scanning c Eumeration d Gaining Access e Escalating Privileges (leo thang đặc quyền) f Pilfering g Covering Tracks h Creating “Back Doors” i Denial of Service (DOS: công từ chối dịch vụ) III Những lỗi hệ điều hành mà hacker khai thác Lỗi tràn đệm Tấn công Sniffer MËt khÈu TÊn c«ng hƯ thèng Unix a Thu thập thông tin mục tiêu b Khai th¸c FTP, TFTP, PHF Bug (etc/passwd or etc/shadow) c Khai thác dịch vụ khác (RPC, NIS) d Khai thác dÞch vơ Sendmail e Crack Unix Password File f Khai thác lỗ hổng WU-FTP Server V Mật mà vấn đề liên quan đến hacker Kỹ thuật xâm nhập Sự bảo vệ mật An toàn liệu V Phòng chống Hackers Phòng chống hacker a Vì phải bảo mật b Bảo vệ liệu c Bảo vệ tài nguyên sử dụng mạng d Bảo vệ danh tiếng quan Những hớng dẫn bảo mật cho hệ thống phụ lục:phần mềm giám sát an ninh mạng snort tài liệu tham khảo Phần Virus máy tính I Tổng quan virus máy tính Virus máy tính gì? Phân loại virus a Phân loại theo đối tợng lây nhiễm môi trờng hoạt động b Phân loại theo phơng pháp lây nhiễm c Phân loại theo mức độ phá hoại d Phân loại theo họ virus Một số tên gọi khác thờng dùng virus II B-Virus Phơng pháp lây lan Phân loại B-Virus a SB- Virus b DB- Virus CÊu tróc ch¬ng trình Virus a Phần install b Phần thân Các yêu cầu B- Virus a Tính tồn nhÊt b TÝnh thêng tró c TÝnh l©y lan d Tính phá hoại e Tính gây nhiễm nguỵ trang f Tính tơng thích Phân tích kỹ thuật a Kü tht lu tró b Kü tht kiĨm tra tÝnh nhÊt c Kü thuËt l©y lan d Kü thuËt phá hoại e Kỹ thuật nguỵ trang gây nhiễu f Kỹ thuật định vị chơng trình g Kỹ thuật ®a h×nh h Kü thuËt biÕn h×nh i Kü thuËt chèng m« pháng j Kü thuËt chèng theo dâi k Kỹ thuật đờng hầm-cửa hậu l Kỹ thuật anti-tunnel III F- Virus A Các Virus file môi trờng DOS Phơng pháp lây lan Phân loại Cấu trúc chơng trình Virus Các yêu cầu cho F- Virus a TÝnh tån t¹i nhÊt b Tính lây lan c Tính phá hoại d Tính thờng tró e TÝnh kÕ thõa Ph©n tÝch kü tht a Kiểm tra tính tồn b Kỹ thuật lây lan c Kü tht thêng tró d Kü tht ph¸ hoại e Kỹ thuật gây nhiễu nguỵ trang f Các kỹ thuật khác B Các Virus file môi trờng windows Đối tợng lây nhiễm môi trờng hoạt động Phân tích kỹ thuật Virus file Windows a Kỹ thuật lây nhiễm b Kỹ tht kiĨm tra sù tån t¹i c Kü tht sư dụng Structured exception Handling (SHE) d Kỹ thuật định vị e Công nghệ thờng trú f Kỹ thuật tìm kiếm file đối tợng g Kỹ thuật tạo áo giáp h Kỹ thuật nguỵ trang i Kỹ thuật chống mô IV Phân tích kỹ thuật Virus mạng Lây nhiễm mạng cục (LAN) Internet v Mật mà virus Mật mà vấn đề phát hiện, phòng chống Virus Phòng chống Virus máy tính a Phòng chống Virus b Xu hớng phát triển chơng trình phòng chống Virus Phụ lục: Danh sách số viruS điển hình Tài liệu tham khảo Phần chế an toàn hệ điều hành mạng I Tổng quan hệ điều hành Hệ điều hành tầng hệ thống máy tính nằm phần cứng chơng trình ngời dùng (hay phần mềm ngời dùng) Hệ điều hành đợc xây dựng trực tiếp giao diện phần cứng cung cấp giao diện phần cứng máy tính chơng trình ngời dùng Thông thờng, phần mềm ứng dụng không trực tiếp thực phần cứng máy tính mà yêu cầu hệ điều hành để chạy Hệ điều hành lớp phần mềm gần phần mềm ứng dụng đợc thực thi Hệ điều hành chơng trình đợc chạy máy tính máy tính đợc khởi động Hệ điều hành chia sẻ đặc trng với phần cứng phần mềm Hệ điều hành phần mềm, nghĩa chơng trình đà đợc biên dịch, liên kết chạy máy tính Tuy nhiên, lại giống phần cứng copy hệ điều hành chạy máy tính mở rộng khả phần cứng Chức hệ điều hành quản lý tài nguyên thực thi nh máy tính ảo Hệ điều hành quản lý tài nguyên phần cứng hệ thống máy tính bao gồm chức sau: - Chuyển đổi (Transforming): tạo tài nguyên từ tài nguyên đà có Tài nguyên đợc tạo hoạt động thay cho tài nguyên đà có nhng đợc sử dụng dễ dàng - Đa thành phần (Multiplexing): tạo vài tài nguyên ảo từ tài nguyên - Lập lịch (Scheduling): định chơng trình nhận đợc tài nguyên chúng nhận đợc Các tài nguyên phần cứng có tơng tác tơng đối phức tạp Phần cứng tơng tác víi mét m¸y in cã thĨ bao gåm: c¸c ghi liệu, ghi điều khiển ghi trạng thái Để gửi ký tự đến máy in, cần lặp lại việc đọc ghi trạng thái nhận đợc dẫn máy in đà sẵn sàng nhận ký tự Mỗi máy in đà sẵn sàng, liệu cần đợc ghi vào ghi liệu lệnh gửi đợc ghi vào ghi điều khiển Để thực điều cần phải biết điạ ghi điều khiển, ghi liệu, ghi trạng thái cấu trúc bit ghi điều khiển ghi trạng thái Để tránh khó khăn liên kết sử dụng tài nguyên phần cứng, hệ điều hành chuyển đổi tài nguyên phần cứng sang tài nguyên ảo Tài nguyên ảo cung cấp chức cần thiết tài nguyên phần cứng nhng đợc sử dụng dễ dàng chi tiết giao diện phần cứng đợc ẩn Chẳng - Keylogger: ghi lại tất hành động bàn phím gửi cho hacker máy bị nhiễm online - Trojan lấy mật khẩu: Đọc tất mật lu cache thông tin máy bị nhiễm gửi cho hacker máy bị nhiễm online - Trojan phá huỷ: loại có nhiệm vụ phá huỷ toàn liệu máy nhiễm - FTP Trojan: loại mở cổng 21 máy nhiễm tất ngời kết nối đến máy tính không cần mật họ toàn quyền tải liệu ã Trojan hoạt động nh nào? Khi nạn nhân chạy file nhiễm Trojan, lµ Trojan truy cËp tõ xa (remote access), file server chế độ chờ Nó chờ cho ®Õn nhËn ®ỵc tÝn hiƯu cđa client, lËp tức mở cổng để hacker đột nhập vào Nó sử dụng TCP hay nghi thức UPD Một số Trojan đợc nạp Windows đợc khởi động cách sửa file win.ini, system.ini hay sưa registry • Kü tht Trojan sư dụng: - Dựa hệ thống th điện tử để sinh gửi thông điệp sử dụng hàm MAPI Kỹ thuật dựa việc sử dụng hàm MAPI th viện MAPI32.DLL, nh MAPILogon, MAPISendMail, MAPISenDocuments, - Sử dụng hàm WINSOCK, hàm API nh socket, connect, recv, th viện WINSOCK32.DLL + Tạo cổng nghe đợi sẵn (listen port), lệnh thị cho Trojan tiến hành hoạt động phá hoại hay thám: gửi file thực thi cho máy cần lây nhiễm để lấy trộm mật khẩu, khởi động lại hay phá huỷ hệ thống + Tấn công theo phơng pháp từ chối dịch vụ (DOS Denial of Service xét tới phơng pháp sau): Trojan tạo kết nối tới máy chủ HTTP/FTP để chúng mở Nếu có nhiều ngời sử dụng bị lây nhiễm Trojan, số kết nối vợt số lợng tối đa mà máy chủ cung cấp Trojan liên tiếp gửi thông điệp đén máy chủ để gây tải hoạt động, 213 gây hậu nghiêm trọng cho giao dịch mạng liệu máy chủ + Lây nhiễm kết nối đến cổng đặc biệt máy chủ sử dụng giao thøc IRC (Internet Relay Chat protocol) + Cho phÐp c¸c kết nối cổng đó, sau định hớng lại đến máy/cổng khác + Tiến hành hoạt động khác mạng, sử dụng địa ngời khác, thay sử dụng địa hacker - Kỹ thuật chặn hàm API hỗ trợ mạng: kỹ thuật cho phép chặn hàm API hỗ trợ mạng, ví dụ nh hàm connect th viện WINSOCK32.DLL Khi nhận đợc quyền điều khiển, Trojan kiểm tra cổng kết nối, cổng 25 (SMTP) tiến hành phân phối th điện tử có gắn Trojan tiếp tục lây nhiễm máy khác Ngoài cổng 25, sử dụng cỉng kh¸c VD víi cỉng 21 (FTP), Trojan cã thĨ tiến hành gửi file đà lây nhiễm lên th mục nơi đến máy chủ mà ngời sử dụng kÕt nèi tíi Cỉng 80 (HTTP)cịng cã thĨ sư dơng tơng tự - Kỹ thuật điều khiển từ xa: kü tht cao cÊp, cã thĨ thiÕt kÕ víi mét Trojan Thêng cã file: + File thø nhÊt –SERVER- hoạt động nh ứng dụng chủ, phần gửi cho máy cần lây nhiễm Phần chờ mệnh lệnh từ chơng trình CLIENT + File thứ hai CLIENT- hoạt động nh ứng dụng khách, chơng trình mà ta sử dụng để điều khiển SERVER më cỉng v MËt m· vµ virus Chóng ta đà nghiên cứu loại virus phơng pháp lây nhiễm, phá hoại họ Virus điển hình Câu hỏi đặt sử dụng mật mà để phát phòng chống virus không? Mật mà vấn đề phát hiện, phòng chống Virus Khi máy tính bị nhiễm virus, liệu máy tính bị phá hoại Đối với virus Boot, nhiễm nhẹ khởi động chậm, nặng ổ cứng bị format 214 liệu đĩa hoàn toàn biến Đối với loại virus này, mật mà khả phát phòng chống, virus boot hoạt động trình khởi động máy, trớc lúc hệ thống nạp hệ điều hành, mà mật mà lại làm việc tầng ứng dụng (hoặc số tầng khác) dựa hệ điều hành cụ thể Đối với virus file thờng lây nhiễm vào file có phần mở rộng là: com, exe, bat, doc, xls số liệu khác, nên file liệu có phần mở rộng khác phần mở rộng không bị lây nhiễm Đối với loại virus mà hoá file cách phòng chống hiệu quả, file đợc mà hoá phần mở rộng file khác với phần mở rộng mà virus file lây nhiễm đợc Nếu file đà bị nhiễm virus mà sau ta tiến hành mà hoá mà hoá file bình thờng trờng hợp này, mật mà khả phát phòng chống lại virus Xét khía cạnh phát virus, mật mà có phần khả phát hiện, ta có file liệu đà đợc mà hoá, sau file bị nhiễm virus gửi tới ngời nhận cuối, ngòi nhận tiến hành giải mà file phát trình giải mà (hoặc xác thực) không thành công, buộc ngời dùng phải kiểm tra lại thuật toán mà hoá, khoá mật mÃ, không thấy có sai sót file nhận đợc đà bị nhiếm virus (và bị sai lệch liệu) bi sửa đổi trái phép đờng truyền Phòng chống Virus máy tính a Phòng chống Virus + Hậu virus Hầu hết chơng trình virus đợc viết nhằm mục đích phá hoại hệ thống máy tính Hậu virus gây nên nghiêm trọng Có thể ảnh hởng lớn đến kinh tế, giới máy tính đà biết đến virus nỉi tiÕng nh CIH, Nimda, Klez, Red code, Ho¹t động phá hoại gián tiếp gây tổn thất tới đối tác mục tiêu phá hoại, ví dụ thâm nhập vào sở liệu ngân hàng, hệ thống toán trực tuyến Ngày nay, dựa vào công nghệ đại ngời quản lý tất máy tính, nh bệnh viện lớn đợc quản lý máy tÝnh, nh theo dâi sù sèng cña ngêi ë phòng cấp cứu 215 qua máy tính, điều khiển mổ máy tính, nh máy bị nhiễm virus ảnh hởng trực tiếp đến sinh mạng ngời Nguy hiểm hệ thống điều khiển vũ khí hạt nhân cờng quốc đợc điều khiển máy tính bị nhiễm virus dẫn tới diệt vong giới Internet ngày phát triển điều kiện thuận lợi cho virus phát tán Các virus lây lan qua mạng tiến hành hoạt động lây nhiễm, phá hoại mạng làm gián đoạn việc cung cấp dịch vụ mạng chí làm tê liệt máy chủ Một số virus đợc hacker điều khiển có khả theo dõi, đột nhập, lấy trộm liệu quan trọng ngời dùng Do đó, việc phòng chống lây lan virus cần thiết quan trọng, đặc biệt hệ thống mạng, đời chơng trình phòng chống virus thiếu Nó góp phần nâng cao độ ổn định tính bảo mật hệ thống, đảm bảo hiệu suất làm việc với máy tính mạng + Cách thức phòng ,chống Virus Virus máy tính đợc sinh ngày, chí từ khắp nơi giới ngày nay, hầu hết ngời dùng máy tính có liên hệ với ngời khác đối tác qua mạng th điện tử truy cập website, tóm lại đờng giúp cho virus lây lan cách nhanh chóng, cách khác làm lây lan virus từ đĩa mềm, đĩa CD, đĩa cứng dùng để chép liệu từ máy qua máy khác Các chơng trình phần mềm đợc phát tán mạng, không đảm bảo chúng Virus Tuy cách phòng chống virus không khó khăn phức tạp cho Chịu khó bỏ thời gian ban đầu để có đợc an toàn sau, việc cần làm: - Cảnh giác với Virus trớc chúng nhiễm lên hệ thống cách quét virus liệu định copy, download hay chạy, - HÃy mua, copy hay download mạng chơng trình phòng chống virus mạnh để cài đặt lên hệ thống Một chơng trình chống virus đợc cài lên máy tính không đợc coi đủ Phải cần tới 2, hay nhiều chơng trình cài lên máy Lu ý thời điểm định nên thờng trú chơng trình, dùng chơng trình khác quét HÃy cập nhật thờng xuyên chơng trình phòng chống 216 này, lập lịch quét định kỳ cho chúng HÃy sử dụng chơng trình diệt virus mạnh có HÃy cảnh giác với thông tin lấy mạng, virus ngày thờng phát tán qua ®êng email h·y quÐt virus tríc ®äc th Sao lu thờng xuyên: dù dùng máy tính nhà hay máy tính nơi làm việc, hÃy thờng xuyên lu hệ thống phòng biện pháp kiểm dịch không ngăn đợc virus Chỉ cho truy cập read only từ xa: tài nguyên máy, kể ổ cứng ổ mềm, hạn chế việc dùng chung mạng tốt Nếu bắt buộc phải chia sẻ, hÃy để chế độ read only để đề phòng việc ghi, copy virus từ mạng Nếu máy tính thiếu việc sử dụng email hÃy sư dơng mét mĐo nhá thiÕt lËp c¸c chơng trình Mail Đây mẹo nhỏ không vặt chút giúp tránh lây virus qua email máy bị nhiễm virus Nh đà biết, sâu (Worm) đà nhiễm vào máy, chui vào địa email address book, tự nhân phát tán theo đờng email tới máy có địa address book Mẹo sau không giúp cho máy tính tránh bị nhiễm sâu mà giúp ngăn chặn việc sử dụng address book để lây tiếp đồng thời thông báo lên để ta biết máy đà bị nhiễm virus Đây điều cần làm: Đầu tiên, mở Address book click vào new contact nh muốn thêm tên vào Trong cửa sổ, thay đánh tên, ta đánh dòng chữ: !000 cửa sổ bên dới, thay gõ email address hÃy gõ vào dòng chữ sau: Wormalert Sau cùng, click add, enter, ok Tên !000 đợc đặt phần address book đợc đánh số Đây ngời mà Worm bắt đầu lây Nhng ngời lại có địa email Wormalert, không quy cách dẫn đến gửi cho ngời đợc, đợc gửi lại nơi gửi Nh vậy, nhận đợc mail nói email addressed to Wormalert could not be delivered”, th× ta kÕt luËn máy đà nhiễm Worm (ví dụ nh Nimda, Klez, ) b Xu hớng phát triển chơng trình phòng chống Virus 217 Cùng với đời Virus máy tính, phần mềm phòng chống Virus đợc phát triển ngày Các chơng trình phòng chống Virus cho phép phát loại bỏ Virus khỏi đối tợng chủ, khôi phục chơng trình ban đầu Một số chơng trình cho phép giám sát kiểm tra hoạt động hệ thống, phát kịp thời hoạt động Virus để ngời dùng có biện pháp đối phó thích hợp Cùng với phát triển hệ điều hành chơng trình ứng dụng, loại Virus liên tục phát triển chủng loại công nghệ, nhiều công nghệ đợc đa ra, thích hợp với môi trờng đồng thời chống lại công nghệ mà chơng trình phòng chống Virus sử dụng để phát tiêu diệt Virus Có chiến tranh, không rầm rộ, không công khai nhng không phần liệt dai dẳng Đó đối đầu Virus tin học chơng trình phòng chống, hay nói cách khác, ngời thiết kế Virus ngời viết chơng trình phòng chống Virus (đôi họ một) Trong đấu tranh ấy, hai bên sức chạy đua, nghiên cứu vũ khí mới, nhằm giành đợc lợi cho Do đó, chơng trình phòng chống Virus luôn đợc phát triển, công nghệ nh phơng thức tiến hành, đảm bảo đáp ứng đợc yêu cầu nh phơng thức tiến hành, đảm bảo đáp ứng đợc yêu cầu nhiệm vụ Tuy nhiên, tuỳ theo tính chuyên nghiệp công ty phần mềm, chơng trình diệt Virus công ty khác có mặt hạn chế khác định Cho đến thời điểm này, tạm thời đa số nhận xét sau: - Các chơng trình diệt Virus đà đợc trang bị vũ khí công nghệ mạnh để phát tiêu diệt loại Virus đà biết - Khả đặt nghi vấn cho hoạt động đáng ngờ, nhng cha thể kết luận Virus đà đợc hÃng chuyên nghiệp có uy tín quan tâm Có phơng pháp thông minh để tìm lo¹i Virus míi biÕn thĨ cđa Virus cị - ViƯc tiến hành cập nhật, phát triển phân phối chơng trình phòng chống Virus đợc tiến hành nhanh chóng, thuật tiện Ngoài việc cập nhật tắc (cập nhật theo cấu hình chơng trình), hầu hết hÃng chuyên viết phần mềm phòng chống Virus đà cho phép ngời dùng có 218 thể tải xuống thông tin cập nhật hình thức download, FTP để ngời dùng qua mạng cập nhật kịp thời hình thức khác - Hạn chế công nghệ áp dụng là: công nghệ mà chơng trình phòng chống Virus phát triển cha thể ngăn chặn hoàn toàn lây lan cđa Virus, nhÊt lµ Virus míi (hµng ngµy hµng giê ®Ịu xt hiƯn Virus míi) VỊ phÝa ngêi sư dơng máy tính, nói chung trình độ ngời sử dụng vỊ phßng chèng Virus cßn rÊt u, rÊt nhiỊu ngêi ỷ lại vào chơng trình diệt Virus, coi thuốc trị bách bệnh cho máy tính dẫn đến việc sử dụng chơng trình phòng chống Virus cha đạt hiệu 219 Phụ lục: Danh sách số loại Virus tiêu biểu Nimda Lây qua đờng e-mail, tệp tin chia sẻ máy chủ lợi dụng trang web có chứa Javascript, tốc độ lây lan cực nhanh, tự động tìm mục tiêu mới, không phá huỷ tệp, làm hệ thống chạy chậm sử dụng hệ thống để tìm mục tiêu Nó có kh sửa đổi số loại tài liệu web, cho phép hacker tiếp cận kh qun trị mạng tạo cửa sau hệ thống để khai thác cho lần xâm nhËp tiÕp theo, hiƯn cã rÊt nhiỊu biÕn thĨ Nimda Code Red Tốc độ nhân bn cực nhanh lan truyền qua mạng Internet để tới máy khác, công website mạng cách gửi tới tấp hàng loạt liệu tới máy chủ Internet, vợt khả xử lý hệ thống làm hệ thống bị tê liệt Các máy chủ bị nhiƠm Code Red trë thµnh tay sai tham gia cc công DOS từ chối dịch vụ Klez Virus có khả xoá chơng trình chống virus hàng loạt file có đuôi nh txt, htm, html, wab, doc, xls, jpg, cpp, c, pas, mpg, mpeg, bak mp3 Lây nhiễm qua đờng e-mail xoá ghi đè file có đuôi Hiện có nhiều biến thể nguy hiểm Chernobyl Ngày 26 tháng năm 1999 26 tháng năm 2000 đà có hàng triệu máy tính khắp giới Việt Nam bị virus Chernobyl phá huỷ liệu, thiệt hại lớn Chernobyl loại virus hẹn giờ, ngày 26 tháng hàng năm phá huỷ liệu máy tính mà lây nhiễm Ngoài có tên CIH Một biến thể virus Win95.CIH mang tên virus Chernobyl, xuất phát từ Đài Loan, đà nhiễm hàng trăm máy tính giới Có 500.000 máy bị liệu thiệt hại nghiêm trọng phần cứng Virus "Chernobyl" sau xâm nhập vào máy vi tính xoá liệu cố gắng viết lại thông tin đợc lu trữ chip BIOS máy vi tính Đây lµ mét chip ROM (Read Only Memory – Bé nhí chØ ®äc) hay PROM (Programmable Read Only Memory – Bé nhớ đọc lập chơng trình) nằm mainboard Chip BIOS chứa đựng phần mềm cần thiết để khởi động máy vi tính Ngay sau mở máy vi tính, phần mềm BIOS thi hành, cho phép máy truy cập trực tiếp cấp thấp tới bàn phím, cạc hình ổ cứng Nó đọc thông tin cấu hình từ nhớ CMOS sau tải chơng trình boot từ ổ cứng hay đĩa 220 mềm Nếu phần mềm BIOS bị phá hỏng, máy vi tính khởi động đợc dẫn tới phải thay BIOS Virus Anna Kournikova Loại virus Kournikova xuất dới dạng thông điệp e-mail file đính kèm nh ảnh Khi bạn nhắp vào file đính kèm này, chơng trình virus đợc kích hoạt kiểm tra ngày máy tính bạn có phải 26 tháng Giêng không Vào ngày này, virus cố gắng sử dụng trình duyệt Web bạn kết nối đến Website Hà Lan có tên gọi Dynabyte.NL Khi bạn nhắp đúp vào file Windows, thao tác đợc thực mà lệnh file quy định Thao tác ngầm định nhắp đúp vào file Visual Basic (VBS) - vÝ dơ nh file virus Kournikova - lµ thi hành mà lệnh chứa file Sự lây lan rộng khắp virus Kournikova đà giảm dần ngày gần Tuy nhiên, loại worm bé nhỏ khác loại virus viết mà lệnh Visual Basic (VBS) kh¸c gièng nh virus Kournikova vÉn cã thĨ lây nhiễm vào hộp mail bạn Để bảo vệ máy tính bạn, bạn nên cập nhật phần mềm diệt virus nhất, bạn thay đổi cách thức quản lý file Visual Basic hay xoá chúng Bởi ngày đến vào năm tới, nên virus thực nhiệm vụ thứ hai "chui" vào sổ địa chơng trình Microsoft Outlook Từ virus tự nhân gửi tới tất địa th điện tử đợc liệt kê sổ địa Theo Steve Trilling phÇn mỊm nhËn biÕt virus cđa Symantec sÏ thiÕt lËp dòng lệnh Windows Registry máy tính ngời dùng, từ họ bị nhiễm lại virus virus không tự nhân tự gửi chúng đến máy tính khác Virus Ble Bla Đợc biết đến với tên MyRomeo hay Verona, virus sử dụng e-mail dạng HTML để lây nhiễm cách tự động tự động cập nhật nhờ Internet Khác với loại virus khác có phần đính kèm gây lây nhiễm dạng Plain Text, virus W32.Ble Bla (hay tên hiệu MyRomeo, MyJuliet, Verona) cã nguån gèc tõ Hµ Lan vµ tù động lây nhiễm xem hay đọc e-mail hạng HTML Hiện tại, virus không chứa đoạn mà mang tính chất phá hoại nhng kết nối Internet nh tải tính nguy hiểm Virus đợc ZDNET xếp hạng thứ t mức độ nguy hiểm Cách thức lây nhiễm: Ble Bla đợc gửi tới dới dạng e-mail HTML phần chủ đề (Subject) thờng gồm loại sau: "Romeo&Juliet" '':))))))'' 221 "hello world" "!!??!?!?" "subject" "ble bla, ble" "I Love You :)" "sorry " "Hey you !" "Matrix has you " "my picture" "from shake-beer" Phần đính kèm (Attached) không hiển thị nhng phần mà HTML virus chứa file lµ MyRomeo.exe vµ MyRomeo.exe th mơc C:\WINDOWS\TEMP Khi bị lây nhiễm, file MyRomeo.exe tìm sử dụng sổ địa bạn (address book) gửi tới địa copy Thêm nữa, cố gắng nối tới ®Þa chØ IP sau: 194.153.216.60 195.117.152.91 195.116.62.86 195.117.99.98 212.244.199.2 213.25.111.2 Đây địa mà virus tự động tải thêm phần nâng cấp hay đoạn mà BubbleBoy Một loại virus lây lan qua e-mail theo cách khác hẳn loại virus phần mềm khác Đó nhân bản, lây nhiễm vào máy vi tính mà không cần nạn nhân phải mở file đính kèm BubbleBoy ảnh hởng tới ngời sử dụng Microsoft Outlook Microsoft Outlook Express víi Internet Explorer 5.0, Windows 98, Windows 2000, cịng nh số cấu hình Windows 95 Virus xt hiƯn nh mét e-mail cã subject lµ "BubbleBoy is back" với thông điệp có tít "The BubbleBoy Incident, Pictures And Sounds" chữ trắng đen Mét bÞ sê mã tíi, nã sÏ tù gưi cho tất ngời có tên Address Book nạn nhân Và mà liên tục phát triển Do không "ké" chơng trình khác để nhân bản, BubbleBoy không giống nh virus khác Đợc phát tán e-mail chứa lần từ máy bị nhiễm 222 Bản thân BubbleBoy thứ virus nguy hiểm Nhng lý khiến làm cho chuyên gia vi tính phải điên đầu mở "khái niệm hoàn toàn virus máy vi tính" Dạng virus tự nhân nh bị kẻ xấu sử dụng cho công có mục tiêu, nhằm vào cá nhân hay tổ chức cụ thể Bản tin an toàn Website Microsoft khuyến cáo : nhận đợc e-mail có tiêu đề nh trên, bạn hÃy delete sau xóa trống folder chứa e-mail đà bị delete Microsoft Outlook Microsoft Outlook Express I-Worm.MTX Virus I-Worm.MTX loại virus lây lan rộng mạng Internet đặc biệt Việt Nam Mỗi gửi email cho bạn bè hay đối tác, email hay bị trả ngời nhận email phàn nàn email lạ kèm theo email nhận đợc Đó tợng gây virus MTX MTX có chế hoạt động phức tạp, kết hợp nhiều kỹ thuật phức tạp loại virus tõ tríc tíi Khi m¸y tÝnh nhiƠm virus MTX th× file Wsock32.dll - mét th viƯn cđa Windows dïng cho việc trao đổi thông tin máy tính với Internet - bị sửa đổi để cho có email đợc gửi virus đợc kích hoạt, tự động tạo thêm email khác kèm theo hai email đợc gửi tới địa Email mà virus tạo tiêu đề, không cã néi dung mµ chØ cã mét file gưi kÌm thân virus, file có nhiều tên khác tuỳ theo thời điểm virus đợc kích hoạt, tên sau: I_wanna_see_YOU.TXT.pif, HANSON.SCR, MATRiX_Screen_Saver.SCR, LOVE_LETTER_FOR_YOU.TXT.pif, NEW_playboy_Screen_saver.SCR, BILL_GATES_PIECE.JPG.pif, ANTI_CIH.EXE, SEICHO-NOIE.EXE,YOU_are_FAT!.TXT.pif, FREE_xxx_sites.TXT.pif v.v Khi hai email nãi trªn tíi ngêi nhËn, ngêi nhận dễ nhầm tởng file gửi kèm bạn hay đối tác gửi (vì địa ngời gửi email virus tạo địa ngời gửi th thứ nhất) Nếu ngời lại lỡ tay cho chạy file nhận đợc, máy tính ngời nhiễm virus lại trở thành nguồn lây virus sang c¸c m¸y tÝnh kh¸c cã mèi quan hƯ với thông qua Internet mail cách nói Ngoài tợng nh đà mô tả, virus tìm cách cài đặt phận khác máy bị nhiễm, loại "sâu Internet" mµ tõ kü tht gäi lµ Backdoor, víi "sâu" kẻ tạo virus thâm nhập trái phép vào máy bị nhiễm để cài đặt loại virus khác ăn cắp thông tin máy Virus cấm không cho máy mà lây nhiễm đợc truy nhập hay gửi email vào số địa công ty chuyên diệt virus giới 223 Virus MTX lây lan réng ë ViƯt Nam nãi riªng cịng nh Internet nãi chung, nhng may mắn hành động cố ý phá hoại nh phá huỷ liệu chẳng hạn, mà đơn lây lan, phận backdoor có lỗi nên cha gây tác hại Tuy máy tính bị nhiễm MTX hay bị báo lỗi nối Internet lỗi nói Để phòng tránh virus bạn nên tuân theo nguyên tắc đà đợc nói đến nhiều là: không nên cho chạy hay mở file gửi kèm nhận đợc mà cha kiểm tra virus (nên save đĩa quét virus) hay không rõ xuất xứ Nếu máy tính bạn đà nhiễm virus này, bạn dùng BKAV340 để diệt với trình tự nh sau: Khởi động máy đĩa mềm "Restart in MS-DOS Mode" nh bạn dùng Windows Chạy BKAV Nếu BKAV có phát virus MTX nên chạy lại BKAV lần với lựa chọn "All File" menu BKAV (vì nh đà nói, virus MTX núp dới nhiều loại file khác không số loại file thông thờng nh exe hay dll) Virus Ms World Virus ngµy có tên hấp dẫn Học hỏi kinh nghiệm tõ NakedWife, mét virus míi cã tªn MsWorld - Hoa hậu Thế giới - vừa tìm cách quyến rũ ngời sử dụng máy tính vừa tự nhân qua e-mail tới tất địa lu Outlook format lại ổ đĩa cứng MsWorld (w32.MsWorld@mm) xuất Anh theo e-mail có tiêu đề Miss World Phần thân có đoạn: "Hi, enjoy the latest pictures of Miss World from various Country and the MWrld.exe file is attached" (Xin chào, hÃy tận hởng tranh Hoa hËu ThÕ giíi tõ nhiỊu qc gia vµ cã gắn kèm file MWrld.exe) Một hoa hậu xuất hình Nếu file gắn kèm đợc kích hoạt, cưa sỉ Flash sÏ xt hiƯn víi h×nh mét vật dễ thơng bánh to có cắm nến cuối cửa sổ có dòng chữ: I fall more in love with you each day! “ (Cµng ngày anh yêu em hơn!) Trong đó, "cô nàng" MsWorld tự động gửi cháu tới tất ngời có tên danh sách địa Outlook Sau chơng trình Flash đợc đóng lại, MsWorld khiến cho máy tính format lại ổ cứng tìm cách xoá file USER.DAT, USER.DA0, SYSTEM.DAT vµ SYSTEM.DA0 10 Virus Naked Wife Virus nµy lõa ngời dùng th điện tử cách giả vờ cung cấp cho họ đoạn video với tiêu đề "ngời vợ khoả thân" 224 Tuy nhiên, thay cung cấp cho ngời dùng hình ảnh khiêu dâm, virus tìm kiếm phá huỷ tất file quan trọng máy tính họ Một vài công ty phát triển phần mềm diệt virus đà xếp virus mức độ nguy hiểm cao, virus lây lan nhanh có chức phá hoại ghê gớm Virus có chức phá hoại ghê gớm virus Anna Kournikova, xóa file ổ cứng Khi bị nhiễm virus, ngời dùng cách cài đặt lại hệ điều hành Nhng virus "Naked Wife" có mức độ lây lan thấp so với virus "I Love You" ngời đà đợc thông báo họ không nên mở file đính kèm chứa virus Giả dạng đoạn phim Flash Virus giả dạng đoạn phim Macromedia Flash, có tiêu đề "Fw: Naked Wife" (Gửi sang: Ngời vợ khỏa thân) Nội dung th điện tử có đoạn viết: "My wife never look like that! :-) Best Regards" (Vỵ không trông giống nh này! Thân ái) Sau virus nhập vào tên ngời gửi Những ngêi më file ®Ýnh kÌm NakedWife.exe sÏ thÊy mét cưa sổ có dòng chữ "JibJab Loading" Sau virus tìm cách xoá tất file có phần më réng BMP, COM, DLL, EXE, INI vµ LOG Windows th mục Windows/Systems Virus lây nhiễm qua Microsoft Outlook, gưi b¶n cđa nã tíi tÊt c¶ địa th điện tử liệt kê máy tÝnh cđa ngêi dïng Ngêi dïng nÕu bÊm vµo thùc đơn Help/About nhận đợc thông điệp: "(C) 2001 by BGK (Bill Gate Killer)" 11 Worm SirCam SirCam lµ tên trộm siêu hạng, đánh cắp liệu mà không hay biết Loại worm không thực phá hoại máy tính ngời sử dụng, nhiên, SirCam đà trở nên tiếng với khả đánh cắp liệu chuyển cho kẻ tạo thông qua Internet Hơn nữa, có khả phát tán với cấp số mũ, làm cho chuyên gia diệt virus phải đứng ngồi không yên SirCam loại worm phát tán nhờ chế SMTP (Giao thức truyền th đơn giản) Khi đợc kích hoạt, SirCam tự chép vào th mục "C:\RECYCLED\SirC32.exe" để ẩn nấp, phần mềm diệt virus không đợc phép quét tìm "thùng rác" cđa Windows Worm cịng tù chÐp vµo th mơc Windows dới dạng file có tên gọi SirC32.exe Nó có tên gọi W32/SirCam@MM, Win32.SirCam.137216, SirCam, vµ Backdoor.SirCam E-mail chøa worm cã néi dung nh sau: "dòng đầu tiên: Hi ! How are you ? dòng cuối cùng: See you later Thanks" "dòng đầu tiên: Hola como estas ? dßng cuèi: Nos vemos pronto, gracias" 225 Khi ngêi sư dơng më file ®Ýnh kÌm e-mail, SirCam sÏ nhanh chãng thu thËp c¸c file th mục My Document, nh tất địa e-mail sổ địa Windows Có thể SirCam lựa chọn ngẫu nhiên file th mục gửi đến địa e-mail có sổ địa Các chuyên gia công nghệ thông tin gọi hành động xâm phạm quyền riêng t Vì SirCam có khả đánh cắp liệu siêu hạng, nên đà "qua mặt" đợc phần mềm diệt virus cài máy tính Các công ty cần phải bảo vệ thông tin máy tính mình, nh có biện pháp bảo mật e-mail thích hợp Hơn nữa, họ cần áp dụng chơng trình lọc nội dung phần mềm diệt virus để giữ cho máy tính đợc "lành lặn", tránh đợc công tới tấp virus Worm SirCam xuất giới vào ngày 18/7 Đây loại worm có sức phát tán khủng khiếp Giống nh loại worm khác, SirCam lây nhiễm qua e-mail, dới dạng file đính kèm có phần mở rộng doc, xls nhng thực chất file com, pif, exe, bat NÕu ngêi dïng chØ më th đọc hoàn toàn vô hại Nhng họ mở file đính kèm, worm đợc kích hoạt Mỗi lần ngời dùng khởi động lại máy tính, worm đợc nạp vào nhớ để thực chức SirCam tìm tất địa e-mail có máy tính, thờng sổ địa chơng trình th điện tử, th mục Windows/Temporary lu trữ tạm thời file Internet ngêi dïng dut Web, sau ®ã gưi mail ®Õn tÊt địa đà tìm đợc Đặc điểm bËt cđa SirCam lµ nã sÏ lÊy mét file bÊt kỳ máy tính, thờng file Word (.doc, dot) , Excel (.xls), gắn đoạn mà vào file Sau đó, file đợc đính vào e-mail gửi ngẫu nhiên đến địa đà tìm đợc Điều có nghĩa bạn có nguy bị lộ thông tin quan trọng SirCam đánh cắp file máy bạn gửi ngẫu nhiên cho nhiều ngời khác Trên vài Virus tiêu biểu đợc biết đến thời gian gần đây, số virus có sức phá hoại ghê gớm gây thiệt hại lớn cho doanh nghiệp, quốc gia giới nh Nimda, Code Red nhiều loại virus nhng khuôn khổ tài liệu giới thiệu hết đợc 226 Tài liệu tham khảo Ngô Anh Vũ, Virus tin học huyền thoại thực tế, NXB Thành Phố Hồ Chí Minh Nguyễn Thành Cơng, Hớng dẫn phòng diệt virus máy tính , NXB thống kê Nguyễn Viết Linh Đậu Quang Tuấn, Hớng dẫn phòng chống virus tin học cách hiệu quả, NXB trẻ Trần Thạch Tùng, Bảo mật tối u Red Hat Linux , NXB Lao ®éng – X· hội VN-Guide, Bảo mật mạng Bí giải pháp , NXB thống kê Edward Amoroso, Fundamentals of Computer Security Technology E_book: Hackers’ Handbook, State of the art Hacking tools and techniques Vol 1,2,3 William Stallings Ph.D (1999), Cryprography and Network security: Principles and Practice - Second edition, Prentice -Hall, Inc.,USA http://www.hackecs.com 10 http://www.viethacker.net 11 http://www.hackercracker.net/ 12 http://www.happyhacker.org/ 13 http://www.viruslist.com/ 14 http://www.norman.com 15 http://www.esecurityplanet.com 16 http://www.antivirusebook.com 17 http://www.waronvirus.com 18 http://www.hackertrickz.de 227 ... cứu AN ninh, an toàn mạng máy tính Quyển 5B: Cơ chế an toàn hệ điều hành mạng, Network hacker, Virus máy tính Chủ trì nhóm thực hiện: TS Đặng Vũ Sơn mục lục Trang Phần Khả an toàn hệ điều hành mạng. .. mạng i tổng quan hệ điều hành Các thành phần hệ điều hành Phân loại hệ điều hành 2.1 Hệ điều hành đơn chơng trình, hệ điều hành đa chơng trình 2.2 Hệ điều hành phân chia thời gian thực hệ ®iỊu hµnh... tạo hệ điều hành an toàn sở liệu cao cấp nhiệm vụ cấp bách Tuy nhiên công việc khó khăn nặng nề II Cơ chế an toàn hệ điều hành Mỗi hệ điều hành có hệ thống an toàn đợc xây dựng sẵn Tuy hệ có cách