1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐẶNG ĐỨC DŨNG
NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM VÀ CÁCH
PHÒNG CHỐNG MAILWARE
TRONG MÁY TÍNH
Chuyên ngành: Khoa học máy tính
Mã số: 60.48.01
Người hướng dẫn khoa học: TS. HOÀNG XUÂN DẬU
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI – 2012
2
MỞ ĐẦU
Đã từ lâu, đi kèm với sự ra đời và phát triển mạnh
mẽ của các phần mềm máy tính đem lại lợi ích to lớn cho
người sử dụng là sự xuất hiện ngày càng nhiều các chương
trình độc hại gây hỏng hóc các hệ thống máy tính và các
phần mềm có ích. Các chương trình hay phần mềm độc hại
(thường được gọi là Malware trong tiếng Anh) có thể xâm
nhập hệ thống máy tính của người dùng bằng nhiều cách
như qua email hay trao đổi các file sử dụng thẻ nhớ USB.
Có nhiều loại Malware khác nhau và tác hại của chúng
cũng rất khác nhau, từ mức đơn giản như in một thông báo
trêu tức người dùng đến mức tinh vi như phá hoại các file
hệ thống và ăn cắp các dữ liệu quan trọng. Thông thường,
người dùng không thể nhận biết sự xuất hiện của Malware
cho đến khi chúng gây ra những hỏng hóc cho hệ thống
máy tính và các phần mềm ứng dụng.
Mặc dù Malware máy tính đã xuất hiện từ khá lâu
trên thế giới và trong nước, nhưng việc phòng, chống và
khắc phục hậu quả do Malware máy tính gây ra vẫn là vấn
3
đề nan giải. Đó một phần là do nhận thức chưa đúng của
người dùng về mức độ nghiêm trọng của Malware máy
tính. Hơn nữa, do số lượng các loại Malware xuất hiện
ngày càng nhiều, mỗi loại Malware có một đặc thù riêng,
một cách hoạt động riêng và một cách phá hoại riêng, nếu
chúng ta không cập nhật thường xuyên và có giải pháp
phòng chống tích cực thì hậu quả sẽ rất khôn lường.
Từ các phân tích trên có thể thấy, giải pháp hiệu
quả nhất để hạn chế đến tối thiểu thiệt hại do Malware gây
ra là tích cực phòng ngừa trên cơ sở có hiểu biết sâu rộng
về các loại Malware và cơ chế lây nhiễm của chúng. Đây
cũng là mục đích của đề tài “Nghiên cứu cơ chế lây nhiễm
và cách phòng chống Malware trong máy tính” của luận
văn, mà trọng tâm phần mềm độc hại ở đây là Virus,
Worm và Trojan.
Nội dung của luận văn bao gồm bốn chương:
Chương 1: Giới thiệu tổng quan về Malware máy
tính, đưa ra định nghĩa, cách phân loại và lược sử
về các loại Malware máy tính.
4
Chương 2: Nghiên cứu các hình thức lây nhiễm, đối
tượng lây nhiễm và cơ chế lây nhiễm của Virus,
Worm và Trojan trong máy tính.
Chương 3: Chỉ ra các tác hại do Virus, Worm,
Trojan gây ra cho máy tính, đồng thời cung cấp các
phương pháp phòng chống và ngăn chặn tác hại của
Virus, Worm và Trojan.
Chương 4: Đưa ra một chương trình mẫu minh họa
về Virus (mã độc hại kèm theo chương trình diệt).
5
CHƯƠNG 1 – TỔNG QUAN VỀ MALWARE
MÁY TÍNH
Chương 1 giới thiệu tổng quan về các loại Malware
trong máy tính, đưa ra khái niệm về Malware máy tính,
cách phân loại Malware máy tính theo NIST và Peter
Szor, quá trình hình thành và phát triển của Malware từ
trước đến nay.
1.1. Định nghĩa và phân loại Malware máy tính
1.1.1. Định nghĩa
Phần mềm độc hại (Malware) là một chương trình
(program) được chèn một cách bí mật vào hệ thống với
mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc
tính sẵn sàng của hệ thống.
1.1.2. Phân loại
Luận văn trình bày hai phương pháp phân loại phần
mềm độc hại: phân loại phần mềm độc hại của NIST [5]
và phân loại phần mềm độc hại của Peter Szor [8].
1.1.2.1. Phân loại của NIST
1.1.2.2. Phân loại của Peter Szor
6
1.2. Lược sử về Malware máy tính
1.3. Kết chương
Thông qua nội dung chương 1, luận văn đề cập đến
những kiến thức cơ bản về các mã độc hại trong máy tính,
cung cấp cho người sử dụng máy tính sự hiểu biết chung
nhất về các loại mã độc hại.
Chương đã chỉ ra được cách phân biệt các loại mã
độc hại trong máy tính, tiểu sử cũng như hậu quả mà các
loại mã độc hại đó mang lại cho người sử dụng máy tính
qua các thời kỳ. Từ cơ sở này, luận văn sẽ đi nghiên cứu
cách thức hoạt động của chúng ở phần tiếp theo.
7
CHƯƠNG 2 – NGHIÊN CỨU CƠ CHẾ LÂY
NHIỄM CỦA MALWARE MÁY TÍNH
Chương 2 đề cập đến các phương thức lây nhiễm
của Malware vào máy tính, chỉ ra các đối tượng nào trong
hệ thống máy tính có khả năng bị Malware tấn công và cơ
chế hoạt động đặc thù của từng loại Malware máy tính.
2.1. Các hình thức và đối tượng lây nhiễm của
Malware máy tính
2.1.1. Hình thức lây nhiễm
2.1.1.1. Malware lây nhiễm theo cách cổ điển
2.1.1.2. Malware lây nhiễm qua thư điện tử
2.1.2. Đối tượng lây nhiễm
Các tập tin trên hệ điều hành Windows mang đuôi
mở rộng sau có nhiều khả năng bị Malware tấn công:
.bat: Microsoft Batch File (tệp xử lý theo lô).
.chm: Compressed HTML Help File (tệp tài liệu
dưới dạng nén HTML).
.cmd: Command file for Windows NT (tệp thực thi
của Windows NT).
.com: Command file (program) (tệp thực thi).
8
.cpl: Control Panel extension (tệp của Control
Panel).
.doc: Microsoft Word (tệp của chương trình
Microsoft Word).
.exe: Executable File (tệp thực thi).
.hlp: Help file (tệp nội dung trợ giúp người dùng).
.hta: HTML Application (ứng dụng HTML).
.js: JavaScript File (tệp JavaScript).
.jse: JavaScript Encoded Script File (tệp mã hóa
JavaScript).
.lnk: Shortcut File (tệp đường dẫn).
.msi: Microsoft Installer File (tệp cài đặt).
.pif: Program Information File (tệp thông tin
chương trình).
.reg: Registry File.
.scr: Screen Saver (Portable Executable File).
.sct: Windows Script Component.
.shb: Document Shortcut File.
.shs: Shell Srap Object.
.vb: Visual Basic File.
.vbe: Visual Basic Encoded Script File.
9
.vbs: Visual Basic File.
.wsc: Windows Script Component.
.wsf: Windows Script File.
.wsh: Windows Script Host File.
.{*}: Class ID (CLSID) File Extensions.
2.2. Các biến thể của Malware máy tính
2.3. Các cơ chế lây nhiễm của Malware máy tính
2.3.1. Virus
2.3.1.1. Định nghĩa
Virus là một loại mã độc hại có khả năng tự nhân
bản và lây nhiễm chính nó vào các file, chương trình hoặc
máy tính.
2.3.1.2. Phân loại
2.3.1.3. Tính chất
2.3.1.4. Các công nghệ của Virus
2.3.1.5. Cách thức làm việc của Virus
Dựa trên hành vi, Virus được chia thành 2 loại:
Nonresident viruses và Resident viruses. Nonresident
viruses tìm kiếm các máy chủ có thể bị nhiễm và lây
nhiễm sang các mục tiêu này và cuối cùng chuyển điều
10
khiển tới chương trình ứng dụng mà chúng lây nhiễm.
Resident viruses không tìm kiếm các máy chủ mà thay vào
đó, chúng tải vào bộ nhớ để thực thi và kiểm soát chương
trình chủ. Virus này được hoạt động ở chế độ nền và lây
nhiễm vào các máy chủ mới khi các tập tin được truy cập
bởi các chương trình hoặc hệ điều hành ở máy tính khác.
Nonsident viruses bao gồm một mô-đun tìm kiếm
và một mô-đun nhân bản. Các mô-đun tìm kiếm chịu trách
nhiệm cho việc tìm kiếm các tập tin mới để lây nhiễm. Với
mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó sẽ
gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này.
Resident viruses gồm một mô-đun nhân bản hoạt
động tương tự như mô-đun nhân bản của Nonsident
viruses. Tuy nhiên, mô-đun nhân bản này không được gọi
bởi mô-đun tìm kiếm. Virus tải mô-đun nhân bản vào
trong bộ nhớ khi nó được kích hoạt và mô-đun này thực
thi tại thời điểm hệ điều hành thực hiện một hoạt động
nhất định nào đó.
11
2.3.2. Worm
2.3.2.1. Định nghĩa
Là các chương trình có khả năng tự nhân bản, tự
tìm cách lan truyền qua hệ thống mạng (thường là qua hệ
thống thư điện tử).
2.3.2.2. Phân loại
2.3.2.3. Cách thức làm việc của Worm
Yếu tố ban đầu của Worm là một đoạn mã độc hại
có vai trò như một công cụ xâm nhập các lỗ hổng bảo mật
nằm trên máy tính và khai thác chúng. Worm sẽ được
truyền đi thông qua lỗ hổng này.
Một khi các đoạn mã độc hại đã được lây nhiễm
vào máy, Worm sẽ sử dụng một công cụ được thiết kế để
dò tìm, phát hiện các máy tính khác được kết nối vào
mạng. Từ đó, nó quét các máy tính trên mạng để xác định
vị trí các lỗ hổng, sau đó Worm sẽ sử dụng công cụ xâm
nhập để truy cập vào các máy tính này.
2.3.3. Trojan
2.3.3.1. Định nghĩa
Trojan là một chương trình nguy hiểm thường trong
diện mạo như là một chương trình hữu ích. Trojan không
12
phát tán bằng cách làm cho các file khác bị nhiễm cũng
như không tự nhân bản.
2.3.3.2. Phân loại
2.3.3.3. Cách thức làm việc của Trojan
Trojan thường gồm hai thành phần là client và
server, khi máy tính của người sử dụng bị lây nhiễm
Trojan thì chúng sẽ biến thành server và một cổng sẽ bị
mở ra, chúng sẽ dùng client để kết nối tới IP của nạn nhân.
Server sẽ ẩn trong bộ nhớ và nó tạo nên những thay đổi
trong hệ thống.
Trojan sẽ tạo thêm đường khởi động vào registry
hoặc trong các file autoexec.bat, win.ini hoặc các file hệ
thống khác, do vậy mà server sẽ tự khởi động khi
Windows làm việc trong các phiên tiếp theo.
2.4. Kết chương
Qua chương này, chúng ta thấy Malware có rất
nhiều con đường để xâm nhập vào máy tính của người sử
dụng, chúng có thể lây nhiễm trên các tập tin của hệ điều
hành. Như vậy, máy tính có rất nhiều nguy cơ bị tấn công
từ Malware. Mỗi loại Malware có một đặc điểm riêng, một
công nghệ riêng, một cơ chế hoạt động đặc thù.
13
Dựa vào các đặc tính riêng biệt của từng loại
Malware cũng như các dấu hiệu nhận biết các loại
Malware khi chúng xâm nhập vào máy tính mà người sử
dụng có thể áp dụng các biện pháp phòng chống và ngăn
chặn kịp thời.
14
CHƯƠNG 3 – TÁC HẠI VÀ CÁC PHƯƠNG
PHÁP PHÒNG CHỐNG MALWARE MÁY TÍNH
Chương 3 chỉ ra các hậu quả mà Malware máy tính
gây ra cho người sử dụng, đồng thời cung cấp các biện
pháp phòng chống Malware một cách hiệu quả.
3.1. Các tác hại của Malware máy tính
Tiêu tốn tài nguyên của hệ thống.
Phá hủy dữ liệu.
Đánh cắp dữ liệu.
Mã hóa dữ liệu tống tiền.
Phá hủy hệ thống.
Gây ra các sự khó chịu khác cho người dùng.
3.2. Các phương pháp phòng chống Malware máy
tính
3.2.1. Phương pháp phòng chống Virus
3.2.2. Phương pháp phòng chống Worm
3.2.3. Phương pháp phòng chống Trojan
3.2.4. Phương pháp tổng hợp phòng chống các loại
Malware
3.2.4.1. Sử dụng phần mềm diệt Virus
15
3.2.4.2. Sử dụng tường lửa
3.2.4.3. Cập nhật các bản sửa lỗi của hệ điều hành
3.2.4.4. Vận dụng kinh nghiệm sử dụng máy tính
3.2.4.5. Bảo vệ dữ liệu máy tính
3.3. Kết chương
Qua chương này, chúng ta có thể nhận thấy hậu quả
mà Malware máy tính gây ra cho người sử dụng rất khôn
lường. Chúng không chỉ đơn thuần là phá hoại máy tính,
mà còn phá hoại trực tiếp các hoạt động của con người.
Chương còn cung cấp các biện pháp phòng chống
trước tác hại của Malware máy tính. Người sử dụng cần
phải nắm rõ các kiến thức phòng bị, ngăn chặn không cho
Malware xâm nhập vào trong máy tính, giảm thiệt hại tới
mức tối thiểu trong trường hợp Malware lây nhiễm vào
trong hệ thống. Ngoài các công cụ và chức năng diệt trừ
Malware của các chương trình trong máy tính, người sử
dụng còn phải sử dụng những kinh nghiệm cá nhân để bảo
vệ hệ điều hành và dữ liệu của mình.
16
CHƯƠNG 4 – CHƯƠNG TRÌNH MINH HỌA
Chương 4 đưa ra một chương trình minh họa mô tả
cách thức hoạt động của một Malware máy tính. Trên cơ
sở đó, xây dựng chương trình diệt trừ Malware này ra
khỏi hệ thống, giúp hệ thống hoạt động một cách ổn định
và an toàn.
Sau đây, luận văn mô tả cơ chế hoạt động và cách thức
tiêu diệt Virus “Love.exe” do tác giả tự viết (Virus này được tải
lên mạng để kiểm tra bởi phần mềm diệt Virus: Bitdefender
Total Security 2012 và được đặt tên là
“Generic.Malware.SDYd!sp.03714E9C”). Chương trình được
lưu trong ổ USB và chạy trên nền Windows.
Chương trình Virus và chương trình diệt Virus được xây
dựng sử dụng phần mềm Microsoft Visual C++ 2010 Express.
17
4.1. Chương trình Virus
Hình 4.1: Các Môđun trong chương trình Virus
Đoạn mã độc hại trong Virus “Love.exe” nhằm
mục đích xâm nhập Windows Registry và thay đổi các
thông số mặc định ban đầu.
18
4.1.1. Giới thiệu sơ lược về Windows Registry
Hình 4.2: Registry
4.1.2. Mô tả cách thức hoạt động của Virus
“Love.exe”
Khi được kích hoạt, Virus “Love.exe” sẽ vô hiệu
hóa hàng loạt các thông số mặc định sẵn có trong hệ điều
hành Windows.
Sao chép tập tin Virus “Love.exe” và đổi tên thành
tập tin “ducdung.exe” trong USB vào các phân
vùng ổ cứng, ổ USB, thư mục Windows trong ổ C
(C là ổ chứa hệ điều hành). Sau đó, nó thiết lập
thuộc tính ẩn cho tập tin “ducdung.exe” để người sử
dụng không thể phát hiện được sự hiện diện của
Virus trong máy tính.
Cho phép Virus chạy thường trú trong hệ điều hành
mỗi khi người sử dụng đăng nhập vào máy tính.
19
Vô hiệu hóa menu ngữ cảnh khi click phải chuột
ngoài màn hình Desktop và trong Explorer.
Kích hoạt Virus trở lại mỗi khi click đúp vào các
phân vùng ổ cứng và thư mục.
Vô hiệu hóa chức năng làm hiện thư mục và tập tin
ẩn.
Vô hiệu hóa các thành phần trong File Type của
Folder Options: New, Delete, Change, Advanced.
Vô hiệu hóa công cụ Task Manager trong
Windows.
Không cho phép người dùng cài đặt, gỡ bỏ các ứng
dụng và phần mềm trong máy tính.
Thay đổi trang web mặc định của trình duyệt IE
thành trang web chứa mã độc hại.
Không cho phép người sử dụng thay đổi trang web
mặc định được xổ ra mỗi khi bật trình duyệt IE.
Không cho phép người sử dụng tải các tập tin từ
trên mạng.
Vô hiệu hóa tính năng cập nhật Registry.
20
4.2. Chương trình diệt Virus
Hình 4.3: Các Môđun trong chương trình diệt Virus
Xóa các tập tin Virus “Love.exe” và “ducdung.exe”
trong các ổ đĩa và trong thư mục C:\Windows của
máy tính.
Không cho phép Virus chạy thường trú trong hệ
điều hành mỗi khi người sử dụng đăng nhập vào
máy tính.
Kích hoạt lại menu ngữ cảnh khi click phải chuột
ngoài màn hình Desktop và trong Explorer.
21
Cho phép người sử dụng có thể truy xuất vào các ổ
cứng và thư mục bằng cách click đúp vào chúng.
Cho phép hiển thị các thư mục, tập tin ẩn và phần
đuôi mở rộng của tập tin.
Cho phép các thành phần trong Folder Options\File
Type (New, Delete, Change, Advanced) được hoạt
động trở lại như bình thường.
Cho phép người sử dụng có thể sử dụng công cụ
Task Manager trong Windows.
Cho phép người sử dụng có thể chỉnh sửa (cài đặt,
gỡ bỏ) các ứng dụng và phần mềm trong máy tính.
Thay đổi trang web mặc định của trình duyệt IE
thành trang web đáng tin cậy của hãng Microsoft:
.
Cho phép người sử dụng có thể thay đổi lại trang
web mặc định về trang yêu thích trong trình duyệt
IE.
Cho phép người sử dụng tải các tập tin từ trên
mạng, cập nhật các bản vá lỗi của hệ điều hành, cập
nhật cơ sở dữ liệu cho phần mềm diệt Malware,…
Cho phép người sử dụng có thể cập nhật Registry.
22
4.3. Kết chương
Chương này mô tả chi tiết cơ chế lây nhiễm và tính
năng của một Virus mẫu và chương trình diệt Virus này do
tác giả tự xây dựng. Virus được lưu trên ổ USB có khả
năng lây nhiễm và tự copy vào máy nạn nhân thông qua
tính năng autorun/autoplay của hệ điều hành Microsoft
Windows. Virus này cũng có khả năng thay đổi các tham
số của Windows Registry gây khó khăn cho người sử dụng
và khó khăn cho chương trình rà quét và khôi phục hệ
thống. Chương trình diệt Virus mẫu được xây dựng minh
họa để loại bỏ Virus mẫu ra khỏi hệ thống và khôi phục lại
các tham số làm việc của hệ điều hành Microsoft Windows
bị Virus sửa đổi.
23
KẾT LUẬN
Nghiên cứu về Malware nói chung và Virus nói
riêng đã được thực hiện trong một thời gian tương đối dài,
nhưng vẫn rất được quan tâm do các Malware liên tục
được cải tiến, cập nhật và đặc biệt là sức tàn phá của
Malware ngày càng lớn. Với mục tiêu nghiên cứu sâu về
cơ chế lây nhiễm của Malware, trên cơ sở đó đề ra các
biện pháp phòng chống hiệu quả, luận văn đã đạt được
một số kết quả sau:
Giới thiệu các khái niệm và cách phân loại các phần
mềm độc hại đối với máy tính.
Đưa ra các khái niệm, cách phân loại, cách thức
hoạt động của Virus, Worm và Trojan trong máy
tính.
Đưa ra những giải pháp phòng chống và ngăn chặn
các tác hại do Virus, Worm, Trojan gây ra.
Xây dựng một chương trình Virus mẫu và chương
trình diệt Virus này để minh họa về cơ chế làm việc
của Malware.
24
Trong tương lai, luận văn có thể được phát triển
theo các hướng sau:
Nghiên cứu sâu hơn về các phần mềm độc hại, từ
đó có thể nâng cao khả năng phòng chống và ngăn
chặn tác hại do Malware gây ra.
Xây dựng chương trình rà quét và diệt các Malware
dựa trên chữ ký và tập hành vi.