2.2.2.1 W32/Netsky
◦ Đặc điểm
W32/Netsky là một sâu lây lan sử dụng email và và chia sẻ qua mạng Windows Nó tìm tất cả ánh xạ ổ đĩa của file có phần mở rộng để tìm thấy địa chỉ email Worm cũng sẽ cố gắng sao chép chính nó vào trong thư mục root của ổ đĩa C
◦ Thực thi
Khi một file được giải nén và mở thì virus có thể hiện thị dòng tin nhắn “The file could not be opend “ W32/Netsky-A sao chép chính nó vào trong thư mục Windows như services.exe. Để tự động chạy mỗi khi Windows khởi động W32/Netsky-A tạo một registry
2.2.2.2 W32/Bagle.GE
Worm W32/Bagle.GE được nhúng trong file đính kèm email, và lây lan sử dụng mạng email đã bị lây nhiễm. Nó tự ẩn mình và các thành phần Bagle khác sử dụng kĩ thuật rookit .
◦ Thực thi
- Nó cố gắng ngăn chặn nhiều Anti-Virus và các phần mềm liên quan đến an ninh khác.
- Bagle.GE tải một ổ đĩa chế độ kernel(m_hook.sys) được nó sử dụng để tự ẩn mình và Bagle các phần mềm độc hại khác, Email-Worm/Bagle.GF
- Xử lý file và thư mục, khóa registry và các value
2.2.2.3 Worm Conficker
◦ Đặc điểm
- Worm Conficker là một worm máy tính có thể lây nhiễm và tự nó lây lan sang các máy tính khác thông qua mạng một cách tự động, mà không tương tác con người
- File autorun.inf được đặt trong thư mục thùng rác
- Người dùng bị khóa bên ngoài của thư mục
- Truy cập an toàn-liên quan trang web bị chặn
- Lưu lượng truy cập được gửi qua port 445 trên máy chủ non-Directory Service(DS)
- Truy cập với quyền admin vào ổ đĩa chia sẽ bị từ chối.
◦ Thực thi
- Worm Conficker có thể vô hiệu hóa các dịch vụ quan trọng trong máy tính của bạn
- Trong hộp thoại autoplay, lựa chọn Open folder to view files – Publisher not specified được thêm vào bởi worm
- Lựa chọn đánh dấu, Open folder to view files – using Windows explore là lựa chọn windows có thể cung cấp và lựa chọn cho bạn sử dụng
- Nếu bạn chọn lựa chọn đầu tiên, sâu sẽ thực thi và bắt đầu tự lây lan qua các máy khác
2.3 So Sánh Virus và Worm
Virus Worm
Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính kèmbản sao của chính nó vào các code thực
thi khác
Worm là một dạng đặc biệt của Virus có thể tự nó tái tạo và sử dụng bộ nhớ, nhưng không thể tự nó tấn công chương trình
khác Một sốVirus ảnh hưởng đến máy tính ngay
sau khi code của nó được thực hiện, một số Virus khác nằm im cho đến khi một hoàn
cảnh hợp lý rồi mới được kích hoạt
Worm lợi dụng file hoặc tính năng vận huyển thông tin trên hệ thống máy tính và
lây lan tự động thông qua mạng
2.4 Biện Phát phòng tránh và tiêu diệt Virus và Worm