Đây là một hình thức phát tán mã độc rất phổ biến. Trước đây, virus AutoRun từng hoành hành với cơ chế mở ổ đĩa là kích hoạt mã độc. Điều đó khiến tốc độ lây lan của dịng virút này trở nên khơng thể kiểm sốt. Microsoft đã buộc phải quyết định cắt bỏ tính năng AutoRun đối với USB từ Windows 7 và trên cả Windows XP phiên bản cập nhật.
Hiện tại tin tặc đã nghĩ ra một phương án mới để thực hiện lây nhiễm mã độc, người dùng khi mở USB bị nhiễm virus, người sử dụng sẽ thấy một ổ đĩa nữa trong USB đó và phải mở tiếp ổ đĩa thứ hai này mới thấy được dữ liệu. Thực chất ổ đĩa thứ hai chính là một shortcut chứa file virus. Khi người dùng mở dữ liệu cũng là lúc máy tính bị nhiễm mã độc từ USB. Dù cơ chế AutoRun đã bị loại bỏ, nhưng với sự xuất hiện của W32.UsbFakeDrive, virus trên USB có thể lây phát tán nhanh chỉ với thao tác truy cập vào ổ đĩa USB của người dùng.
85
Hình 2-35 Phát tán dựa trên các link độc hại
Là một hình thức tấn cơng khá phổ biến. Phương thức này có thể mơ tả như sau:
Người dùng truy cập vào một Website nào đó đã bị gắn đoạn mã độc, cụ thể là Javascript đã được mã hóa. Khi đó người dùng tự động sẽ chuyển đến 1 trang web chứa mã độc và tự động sẽ tải mã độc đó về và cài lên máy tính(dựa vào lỗ hổng phần mềm hoặc hệ điều hành). Sau đó các thơng tin người dùng sẽ bị gửi về cho tin tặc.
86
Chương 3:
CƠ BẢN VỀ PHÂN TÍCH MÃ ĐỘC
Phân tích mã độc hại là cơng việc nghiên cứu phân tích, tìm hiểu xem xét các hành vi ẩn trong mẫu mã độc.
Công việc phân tích mã độc ở Việt Nam là công việc chưa phổ biến. Thường thì cơng việc này thường gắn liền với các chuyên gia phân tích của các cơng ty phần mềm Antivirus, và những người làm an tồn thơng tin chuyên nghiệp cộng tác với các hãng phần mềm. Ở Việt Nam thường có 1 phận đảm an tồn an ninh trong 1 tổ chức, một nhân viên chịu trách nhiệm về bảo mật của hệ thống máy tính hoặc hệ thống mạng. Như đã biết khơng phải lúc nào các chương trình Anti-Virus cũng có thể giải quyết được hết mọi vấn đề về mã độc hại nói chung và virus nói riêng cho hệ thống máy tính. Có thể hình dung việc khi quản trị hàng trăm máy tính trong một cơng ty, mặc dù mỗi máy đều cài chương trình Anti-Virus, nhưng rồi một ngày máy tính nào đó có thể bị nhiễm Virus qua đường email mà chương trình Anti-virus kia khơng nhận dạng được, rồi lây ra toàn mạng, gây rủi ro cao với tính sẵn sàng, tính bảo mật .. của hệ thống đó. Lúc đó người làm an tồn cần phải có những xử lý phân tích chủ động trong tình huống này để giảm thiểu rủi ro đến mức thấp nhất cho hệ thống máy tính hay hệ thống mạng của mình.
Những nhận định, đánh giá ban đầu đúng đắn của người phân tích có ý nghĩa quyết định tới việc giảm thiểu rủi ro và thiệt hại cho toàn bộ hệ thống.
Mục đích của phân tích mã độc hại là để trả lời ba câu hỏi sau : 1. Thứ nhất : tại sao máy tính lại bị nhiễm mã độc hại này?
2. Thứ hai : chính xác thì mã độc hại này làm những gì trên hệ thống?
3. Thứ ba : sau khi nắm được hành vi hoạt động của có thể xóa nó khơng và phịng tránh được chuyện lây nhiễm lần sau hay khơng?
Có một số khuyến cáo đối với những người phân tích tích mã độc đó là: - Đừng địi hỏi vào việc người phân tích phải phân tích và hiểu hết
87
- Hầu hết các chương trình mã độc có lượng mã là lớn và phức tạp nên chủ yếu xác định các tính năng chính của malware.
- Hãy luôn sử dụng phối hợp nhiều công cụ và các cách tiếp cận khác nhau để phân tích.
- Ln ln cập nhật các kĩ thuật mới mà những người viết malware sử dụng cũng như các kĩ thuật mới, các công cụ hỗ trợ mới trong việc phân tích.
3.1 Các kiến thức cơ bản trong phân tích mã độc
Trong kiến trúc máy tính hiện đại , một hệ thống máy tính có thể được biểu diễn như sau:
88