Virus là mộtđoạn mã nhúng vào chương trình một cách hợp pháp,được thiết kế để tựnó lặp lại (bằng cách lây nhiễm vào các chương trình khác), và (dần dần) cùng lúc thực hiện phá hoại.
Các virus ngày càng lây nhiễm vào các máy tính hơn là UNIX hoặc các hệthốnggđa người dùng khác, vì các chương trình trong các hệthống sau này bịgiới hạn thẩm quyềnđểcó thểsửa, thayđổi các chương trình khác hoặcđểtruy cập vào cấu trúc hệ thống (nhưkhối boot).
Các virusđược phân tán vào các hệthống trong mộtvirus dropper, thường một số mẫu nhưTrojan Horse, và thường là qua conđường email, hoặc downlad không an toàn.
Các virus tạo thành nhiều hình thức. Hình bên cho thấy hoạtđộng cơbản của một virus boot sector:
163
2. Các mối đe dọa tới chương trình (c)
Các Virus tin học: (c)
Một sốloại virus:
• Virus File: virus file tựnóđính kèm vào một file chạy,đầu tiên nó chạyđoạn mã virus và sauđó nhảyđếnđiểm bắtđầu của chương trình virus gốc. Những virus nàyđược gọi là các ký sinh trùng (parasitic), bởi vì chúng khôngđểlại bất kỳtập tin mới trên hệthống, và chương trình banđầu vẫn cònđầyđủchức năng.
• Boot virus: Một virus khởiđộng chiếm khu vực khởiđộng, và chạy trước khi hệ điều hànhđược nạp.Đây cònđược gọi là virus bộnhớ, bởi vì trong hoạtđộng cưtrú trong bộnhớ, và không xuất hiện trong hệthống tập tin.
• Macro: Những loại virus này tồn tại nhưlà một macro (script) chạy tự động một số
chương trình macro có khảnăng nhưMS Word hoặc Excel. Những virus này có thể
ồ g g ặ g y
tồn tại trong các văn bản xửlý văn bản hoặc các tập tin bảng tính. • Source code: virus tìm kiếm các mã nguồn và lây nhiễmđểlây lan.
• Polymorphic: virus thayđổi mỗi khi chúng lây lan - Không chức năng cơbản của họ, nhưng chỉchữký của họ, mà người kiểm tra vi-rút nhận ra chúng.
• Encrypted: virusđiởdạng mã hóađểthoát khỏi phát hiện. Trong thực tế, họlà tự
giải mã, sauđó cho phép chúng lây nhiễm các tập tin khác.
• Stealth:virus cốgắngđểtránh bịphát hiện bằng cách sửađổi các bộphận của hệ
thống có thể được sửdụngđểphát hiện nó. Ví dụcác cuộc gọiđọc () hệthống có thể được sửađổiđểnếu một tập tin bịnhiễmđượcđọc một phần bịnhiễm bệnh bị
bỏqua và ngườiđọc sẽthấy các tập tin banđầu không giảmạo.
• Tunneling:virus cốgắngđểtránh bịphát hiện bằng cách chèn vào các dây chuyền xửlý ngắt, hoặc vào các trìnhđiều khiển thiết bị.
• Multipartite:virus tấn công nhiều phần của hệthống, chẳng hạn nhưcác tập tin, khu vực khởiđộng, và bộnhớ.
• Armored:Các virusđược mã hóađểlàm cho họkhó khăn cho các nhà nghiên cứu chống virusđểgiải mã và hiểu. Ngoài ra nhiều tập tin kết hợp với virusẩn, bảo vệ, hoặc cho tên tìm kiếm vô thưởng vô phạt như"...". 164
2. Các mối đe dọa tới chương trình (c)
Các Virus tin học: (c)
…
Năm 2004 một loại virus khai thác lỗi trong sản phẩmcủa Microsoftđểlây nhiễm hàng trăm máy chủWindows