- bị xung đột hoặc không thể khởi động được.
Phân loại virus
Phân loại virus
Virus được phân loại theo nhiều tiêu chí khác nhau. Nếu phân loại virus theo
cách chúng nhiễm vào các hệ thống, có các loại virus như sau:
Boot sector (hoặc partition sector): Nhiễm vào phân vùng khởi động của một hệ
thống. Boot sector (hoặc partition sector) là vị trí đầu tiên của ổ đĩa, lưu giữ mã của ngôn ngữ máy chịu trách nhiệm khởi động hệ điều hành. Khi hệ thống được khởi
động, virus sẽ thực thi trước, thông thường nó tự nạp mình vào bộ nhớ. Cách mà virus có thể lây lan là thông qua đĩa mềm, đĩa CD bị nhiễm.
File infector: Nhiễm vào các tệp như tệp hệ thống, tệp thực thi, tệp điều khiển,
các tệp hỗ trợ khác (ví dụ, tệp .dlls).
Macro: Nhiễm vào các tệp macro (chứa các lệnh hoặc các tổ hợp phím, giúp cho
việc truy nhập các lệnh hoặc các tổ hợp phím đó một cách nhanh chóng thông qua một lệnh hoặc một phím đơn lẻ). Macro thường được sử dụng trong các ứng dụng
của Microsoft office như: chương trình xử lý văn bản, bảng tính, cơ sở dữ liệu và các chương trình khác.
Multipartile: Có thể nhiễm vào các hệ thống thông qua rất nhiều phương tiện
Phân loại virus
Phân loại virus
Nếu phân loại theo cách virus tránh bị phát hiện bằng các phần mềm quét virus, có các loại virus sau:
Amored: Một virus có mã rất khó giải mã nên rất khó để biết chính xác virus hoạt động như
thế nào.
Polymorphic: Một virus có khả năng thay đổi sau mỗi lần nhân bản nên rất khó để chống lại. Stealth: Một virus có khả năng tự phòng vệ nên rất khó phát hiện.
Companion: Một virus chạy từ một tệp không phải là tệp mà nó gắn vào.
Nếu phân loại theo khả năng phá hoại của virus, có các loại virus sau:
Benign: Một virus có thể lây lan nhưng không gây hại cho máy tính. Một số virus benign chỉ
để thử nghiệm khả năng nhân bản của một chương trình hay một đoạn mã thực thi nào đó. Đôi khi những kẻ tấn công sử dụng loại virus này để thử nghiệm mã chương trình của mình trước khi thực hiện các tấn công thật. Ngoài ra, virus benign còn được sử dụng trong các phòng thí nghiệm để viết hoặc kiểm tra các phần mềm ngăn chặn virus. Cho dù loại virus này là vô hại nhưng chúng cũng gây phiền toái và lo ngại cho người dùng.
Destructive: Một virus được thiết kế để xoá hoặc làm hỏng các tệp, dừng dòng công việc
2.1.2. Sâu mạng
2.1.2. Sâu mạng
Sâu mạng là một chương trình có thể nhân bản trên cùng một máy tính
hoặc có thể tự lây lan sang các máy tính khác trên một mạng hoặc internet.
Sâu mạng lây lan thông qua các phương pháp tấn công: tràn bộ đệm
(buffer overflow), quét cổng (port scanning), tràn cổng (port flooding) và mật khẩu yếu.
Sâu mạng Code Red và Code Red II là các ví dụ về sâu mạng sử dụng tấn
công tràn bộ đệm để phá hoại.
Cả 2 phiên bản của Code Red đều nhằm vào các máy chủ Windows NT và
Windows 2000 Server chạy dịch vụ máy chủ Web (IIS) hay các dịch vụ chỉ mục (indexing service), chưa vá các lỗ hổng để chống lại sâu mạng này.
Code Red còn lợi dụng một số yếu điểm trong các cấu hình phần mềm
quản lý router, cho phép sâu mạng này có thể lây lan nhiều thêm trên các mạng.
Code Red nhân bản vào 19 ngày đầu của tháng sau đó lại dừng. Các phiên
bản trước đây của loại sâu mạng này được thiết kế để làm tràn kết nối máy chủ của nhà trằng trên cổng 80. Cổng 80 là cổng mặc định của một số phần
2.1.2. Sâu mạng
2.1.2. Sâu mạng
Linux.Millen.Worm lây nhiễm các hệ thống Linux chạy trên các máy tính
dòng Intel hoặc tương thích với Intel.
Sâu mạng này cũng lây lan thông qua tấn công tràn bộ đệm. Thông qua
tấn công tràn bộ đệm, một đoạn mã khởi tạo của sâu mạng này sẽ khởi tạo một tiến trình FTP trên hệ thống đích, tiến trình này sẽ download và thực hiện tệp mworm.tgz. Mworm.tgz là một tệp nén chưa gần 50 tệp.
Ngoài việc chiếm không gian trên máy tính cục bộ, sâu mạng này còn sử
dụng một phần của các tệp mới để tìm kiếm các máy tính khác để tấn công. Đồng thời, nó mở một cửa hậu (back door) trên tất cả các máy tính nó tấn công thành công, cho phép mã khởi tạo của sâu mạng truy nhập đến tất cả các máy tính đó.
Cửa hậu (back door) là con đường bí mật vào hệ điều hành để tránh các
chức năng an toàn của hệ thống, ví dụ cửa hậu cho phép truy nhập vào hệ thống thông qua một chương trình hay một dịch vụ nào đó. Một họ hàng của sâu mạng Linux.Millen.Worm có tên là Linux.Lion.Worm, có thể tạo ra rất nhiều cửa hậu trên một hệ thống và cung cấp mật khẩu của các khoản mục trên hệ thống mà nó xâm phạm.
2.1.2. Sâu mạng
2.1.2. Sâu mạng
Sâu mạng Digispid.B.Worm chuyên nhằm vào các hệ thống cơ sở