Tải bản đầy đủ (.ppt) (25 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nguyên lý hoạt động của các dòng Virus phá huỷ hệ thống của máy tính, cách phòng tránh

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (899.84 KB, 25 trang )





N
g
u
y
ê
n

l
ý

h
o

t

đ

n
g

c

a

c
á
c



d
ò
n
g

V
i
r
u
s

p
h
á

h
u


h


N
g
u
y
ê
n


l
ý

h
o

t

đ

n
g

c

a

c
á
c

d
ò
n
g

V
i
r
u

s

p
h
á

h
u


h


t
h

n
g

c

a

m
á
y

t
í
n

h
,

c
á
c
h

p
h
ò
n
g

t
r
á
n
h
t
h

n
g

c

a

m

á
y

t
í
n
h
,

c
á
c
h

p
h
ò
n
g

t
r
á
n
h


Lịch sử VIRUS và c
Lịch sử VIRUS và c
ác dòng

ác dòng
VIRUS
VIRUS
ti
ti
êu biểu
êu biểu

Năm 1949: John von Neuman (1903-1957)
Năm 1949: John von Neuman (1903-1957)
phát triển nền tảng lý thuyết tự nhân bản của
phát triển nền tảng lý thuyết tự nhân bản của
một chương trình cho máy tính.
một chương trình cho máy tính.

Vào cuối thập niên 1960 đầu thập niên 1970
Vào cuối thập niên 1960 đầu thập niên 1970
đã xuất hiện trên các máy Univax 1108 một
đã xuất hiện trên các máy Univax 1108 một
chương trình gọi là "Pervading Animal" tự nó
chương trình gọi là "Pervading Animal" tự nó
có thể nối với phần sau của các tập tin tự
có thể nối với phần sau của các tập tin tự
hành. Lúc đó chưa có khái niệm virus.
hành. Lúc đó chưa có khái niệm virus.

Năm 1981: Các virus đầu tiên xuất hiện trong
Năm 1981: Các virus đầu tiên xuất hiện trong
hệ điều hành của máy tính Apple II.
hệ điều hành của máy tính Apple II.


Năm 1983: Tại Đại Học miền Nam
Năm 1983: Tại Đại Học miền Nam
California, tại Hoa Kỳ, Fred Cohen lần đầu
California, tại Hoa Kỳ, Fred Cohen lần đầu
đưa ra khái niệm
đưa ra khái niệm
computer virus
computer virus
như định
như định
nghĩa ngày nay
nghĩa ngày nay
Fred Cohen
Fred Cohen



1986 - Brain virus
1986 - Brain virus

1987 - Lehigh virus xuất hiện
1987 - Lehigh virus xuất hiện
Trong thời gian này cũng có 1 số
Trong thời gian này cũng có 1 số
virus khác xuất hiện, đặc biệt
virus khác xuất hiện, đặc biệt
WORM virus (sâu virus)
WORM virus (sâu virus)


1988 - Virus lây trên mạng
1988 - Virus lây trên mạng
Ngày 2
Ngày 2
tháng 11 năm 1988, Robert Morris
tháng 11 năm 1988, Robert Morris
đưa virus vào mạng máy tính quan
đưa virus vào mạng máy tính quan
trọng nhất của Mỹ, gây thiệt hại lớn.
trọng nhất của Mỹ, gây thiệt hại lớn.
Từ đó trở đi người ta mới bắt đầu
Từ đó trở đi người ta mới bắt đầu
nhận thức được tính nguy hại của
nhận thức được tính nguy hại của
virus máy tính.
virus máy tính.
Robert Morris
Robert Morris



1989 - AIDS Trojan
1989 - AIDS Trojan
Xuất hiện Trojan hay còn gọi là "con ngựa thành
Xuất hiện Trojan hay còn gọi là "con ngựa thành
Troie
Troie
", chúng không
", chúng không
phải là virus máy tính, nhưng luôn đi cùng với khái niệm virus.

phải là virus máy tính, nhưng luôn đi cùng với khái niệm virus.

1991 - Tequila virus
1991 - Tequila virus
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó
đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy
đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy
tính.
tính.

1992 - Michelangelo virus
1992 - Michelangelo virus
Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ
Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ
năm 92 này tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực kỳ
năm 92 này tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực kỳ
phức tạp.
phức tạp.

1995 - Concept virus
1995 - Concept virus
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là
loại virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những tiền bối
loại virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những tiền bối
của nó.
của nó.

1996 - Boza virus

1996 - Boza virus
Khi hãng Microsoft chuyển sang hệ điều hành Windows95 và họ cho rằng
Khi hãng Microsoft chuyển sang hệ điều hành Windows95 và họ cho rằng
virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện virus lây trên hệ điều
virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện virus lây trên hệ điều
hành Windows95
hành Windows95

1999 - Melissa, Bubbleboy virus
1999 - Melissa, Bubbleboy virus
Đây thật sự là một cơn ác mộng với các máy tính trên khắp
Đây thật sự là một cơn ác mộng với các máy tính trên khắp
thế giới.
thế giới.

2000 - DDoS, Love Letter virus
2000 - DDoS, Love Letter virus
Có thể coi là một trong những vụ việc virus phá hoại lớn
Có thể coi là một trong những vụ việc virus phá hoại lớn
nhất từ trước đến thời điểm đó.
nhất từ trước đến thời điểm đó.

2001 - Winux Windows/Linux Virus, Nimda, Code Red virus
2001 - Winux Windows/Linux Virus, Nimda, Code Red virus
Winux Windows/Linux
Winux Windows/Linux
Virus đánh dấu những virus có thể lây được trên các hệ điều hành Linux chứ không chỉ
Virus đánh dấu những virus có thể lây được trên các hệ điều hành Linux chứ không chỉ
Windows.
Windows.


2002 - Sự ra đời của hàng loạt loại virus mới
2002 - Sự ra đời của hàng loạt loại virus mới



2003 - Các virus khai thác lỗ hổng phần mềm
2003 - Các virus khai thác lỗ hổng phần mềm
Năm 2003 mở đầu thời kỳ phát triển mạnh
Năm 2003 mở đầu thời kỳ phát triển mạnh
mẽ của các virus khai thác lỗ hổng phần mềm để cài đặt, lây nhiễm lên các máy tính từ xa -
mẽ của các virus khai thác lỗ hổng phần mềm để cài đặt, lây nhiễm lên các máy tính từ xa -
đây cũng chính là xu hướng phát triển hiện nay của virus trên thế giới
đây cũng chính là xu hướng phát triển hiện nay của virus trên thế giới

2004 - Cuộc chạy đua giữa Skynet và Beagle
2004 - Cuộc chạy đua giữa Skynet và Beagle
. Đây là 2 họ Virus xuất hiện tại Đức
. Đây là 2 họ Virus xuất hiện tại Đức

2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting
2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting


Thế nào là Virus ?
Thế nào là Virus ?

Virus máy tính là những chương trình hay đoạn mã
Virus máy tính là những chương trình hay đoạn mã


Được tạo ra một cách cố ý.
Được tạo ra một cách cố ý.

Có khả năng tự nhân bản
Có khả năng tự nhân bản

Gây ra những tác động không mong muốn l
Gây ra những tác động không mong muốn l
àm ảnh
àm ảnh
hưởng tới công việc
hưởng tới công việc


Đặc điểm của virus máy tính
Đặc điểm của virus máy tính

Không thể tồn tại độc lập mà phải dựa vào một ứng
Không thể tồn tại độc lập mà phải dựa vào một ứng
dụng nền nào đó.
dụng nền nào đó.

Tự nhân bản khi ứng dụng chủ được kích hoạt.
Tự nhân bản khi ứng dụng chủ được kích hoạt.

Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong
Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong
thời gian này không gây hậu quả.
thời gian này không gây hậu quả.


Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.
Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.


Hình thức thể hiện của virus
Hình thức thể hiện của virus

Các ứng dụng trên máy bất ngờ hoặc từ từ chạy chậm lại.
Các ứng dụng trên máy bất ngờ hoặc từ từ chạy chậm lại.

Những biến đổi không thể lý giải về dung lượng của các
Những biến đổi không thể lý giải về dung lượng của các
ứng dụng trong các file có đuôi .EXE, .COM, .BAT,
ứng dụng trong các file có đuôi .EXE, .COM, .BAT,
.SYS, .OVL.
.SYS, .OVL.

Những động thái bất thường của máy tính, nhất là khi bạn
Những động thái bất thường của máy tính, nhất là khi bạn
đang chạy một chương trình mà bình thường không có
đang chạy một chương trình mà bình thường không có
vấn đề gì.
vấn đề gì.

Một chương trình nào đó không thể cài chính xác dữ liệu
Một chương trình nào đó không thể cài chính xác dữ liệu
từ đĩa nguồn
từ đĩa nguồn



VIRUS hoạt động như thế nào
VIRUS hoạt động như thế nào


Virus trốn ở đâu?
Virus trốn ở đâu?

Trong rãnh ghi của đĩa mềm. Đây là một chương trình nhỏ hoạt động
Trong rãnh ghi của đĩa mềm. Đây là một chương trình nhỏ hoạt động
mỗi khi máy tính được khởi động. Chương trình này thường hiển thị
mỗi khi máy tính được khởi động. Chương trình này thường hiển thị
trên màn hình thông điệp "Non-system disk or disk error" (không có đĩa
trên màn hình thông điệp "Non-system disk or disk error" (không có đĩa
hệ thống hoặc đĩa lỗi)
hệ thống hoặc đĩa lỗi)

Đính kèm trong bất cứ một chương trình nào: chia sẻ, tên miền công
Đính kèm trong bất cứ một chương trình nào: chia sẻ, tên miền công
cộng hoặc thương mại.
cộng hoặc thương mại.

Nhúng (embeded) trong file ẩn của hệ thống như IO.SYS và
Nhúng (embeded) trong file ẩn của hệ thống như IO.SYS và
MSDOS.SYS trên đĩa hoặc ổ khởi động.
MSDOS.SYS trên đĩa hoặc ổ khởi động.

Vùng lưu trữ riêng trên ổ cứng.
Vùng lưu trữ riêng trên ổ cứng.



Virus phát tán như thế nào?
Virus phát tán như thế nào?

Virus lây nhiễm theo cách cổ điển:Cách cổ điển nhất của sự lây nhiễm, bành trướng
Virus lây nhiễm theo cách cổ điển:Cách cổ điển nhất của sự lây nhiễm, bành trướng
của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa
của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa
mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để
mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để
phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này
phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này
chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.
chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.

Virus lây nhiễm qua thư điện tử: Khi mà thư điện tử (e-mail) được sử dụng rộng rãi
Virus lây nhiễm qua thư điện tử: Khi mà thư điện tử (e-mail) được sử dụng rộng rãi
trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho
trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho
các cách lây nhiễm truyền thống. Virus lây nhiễm vào các file đính kèm theo thư
các cách lây nhiễm truyền thống. Virus lây nhiễm vào các file đính kèm theo thư
điện tử (attached mail). Lây nhiễm do mở một liên kết trong thư điện tử Các liên
điện tử (attached mail). Lây nhiễm do mở một liên kết trong thư điện tử Các liên
kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này
kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này
thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên
thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên
kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.
kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.
Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa
Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa

cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus.
cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus.
Cách này cũng thường khai thác các lỗi của hệ điều hành.
Cách này cũng thường khai thác các lỗi của hệ điều hành.

Virus lây nhiễm qua mạng Internet : Virus lây nhiễm khi đang truy cập các trang
Virus lây nhiễm qua mạng Internet : Virus lây nhiễm khi đang truy cập các trang
web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa
web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa
các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người
các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người
sử dụng khi truy cập vào các trang web đó.
sử dụng khi truy cập vào các trang web đó.


Virus trong USB
Virus trong USB


Virus trong email
Virus trong email


Virus ở các trang web
Virus ở các trang web


Khi nào virus kích hoạt?
Khi nào virus kích hoạt?


Vào một số lần máy tính khởi động (ví dụ như virus Stoned, kích hoạt vào theo chu kỳ 8 lần khởi
Vào một số lần máy tính khởi động (ví dụ như virus Stoned, kích hoạt vào theo chu kỳ 8 lần khởi
động).
động).

Vào một ngày nhất định trong năm (virus Michelangelo hoạt động vào các ngày 6/3, đúng ngày sinh
Vào một ngày nhất định trong năm (virus Michelangelo hoạt động vào các ngày 6/3, đúng ngày sinh
của danh họa Italy).
của danh họa Italy).

Một ngày nhất định trong tuần (virus Sunday).
Một ngày nhất định trong tuần (virus Sunday).

Một ngày nhất định trong tháng (virus Thứ 6 ngày 13, Thứ 7 ngày 14).
Một ngày nhất định trong tháng (virus Thứ 6 ngày 13, Thứ 7 ngày 14).

Tất cả các ngày, trừ một ngày cụ thể (virus Israeli hay Suriv03, không hoạt động vào các thứ 6 ngày
Tất cả các ngày, trừ một ngày cụ thể (virus Israeli hay Suriv03, không hoạt động vào các thứ 6 ngày
13)
13)

Chỉ xảy ra đúng một ngày duy nhất (virus Century kích hoạt vào ngày 1/1/2000, viết số 0 lên tất cả
Chỉ xảy ra đúng một ngày duy nhất (virus Century kích hoạt vào ngày 1/1/2000, viết số 0 lên tất cả
những đĩa có kết nối, xoá dữ liệu, ứng dụng, thư mục, bảng phân bổ file…).
những đĩa có kết nối, xoá dữ liệu, ứng dụng, thư mục, bảng phân bổ file…).

Chỉ hoạt động trong một chu kỳ nhất định sau khi lây nhiễm (virus Plastique chỉ hoạt động trong 1
Chỉ hoạt động trong một chu kỳ nhất định sau khi lây nhiễm (virus Plastique chỉ hoạt động trong 1
tuần).
tuần).


Kích hoạt ngay sau khi lây nhiễm vào một lượng file nhất định (virus MIX/1 kích hoạt sau khi lây
Kích hoạt ngay sau khi lây nhiễm vào một lượng file nhất định (virus MIX/1 kích hoạt sau khi lây
vào 6 file).
vào 6 file).

Kích hoạt sau một số lần gõ bàn phím nhất định (virus Devil's Dance kích hoạt sau 2.000 lần người
Kích hoạt sau một số lần gõ bàn phím nhất định (virus Devil's Dance kích hoạt sau 2.000 lần người
sử dụng gõ phím; đến lần thứ 5.000 sẽ phá huỷ dữ liệu trên đĩa cứng và in ra thông điệp mang tên
sử dụng gõ phím; đến lần thứ 5.000 sẽ phá huỷ dữ liệu trên đĩa cứng và in ra thông điệp mang tên
nó).
nó).

Vào một khoảng thời gian nhất định trong ngày (virus Teatime chỉ hoạt động từ 15h10 đến 15h13,
Vào một khoảng thời gian nhất định trong ngày (virus Teatime chỉ hoạt động từ 15h10 đến 15h13,
và cứ sau 11 lần người sử dụng gõ phím nó lại phá một ít dữ liệu).
và cứ sau 11 lần người sử dụng gõ phím nó lại phá một ít dữ liệu).

Kết hợp bất kỳ một số hoặc tất cả những kiểu trên cộng thêm với những cái khác mà bạn có thể
Kết hợp bất kỳ một số hoặc tất cả những kiểu trên cộng thêm với những cái khác mà bạn có thể
tưởng tượng ra.
tưởng tượng ra.


Phân loại virus
Phân loại virus

B-virus: Virus chỉ tấn công lên Master Boot hay Boot Sector.
B-virus: Virus chỉ tấn công lên Master Boot hay Boot Sector.
Khi máy tính bắt đầu khởi động (Power on), các thanh ghi phân đoạn đều được đặt về 0FFFFh, còn mọi

Khi máy tính bắt đầu khởi động (Power on), các thanh ghi phân đoạn đều được đặt về 0FFFFh, còn mọi
thanh ghi khác đều được đặt về 0. Như vậy, quyền điều khiển ban đầu được trao cho đoạn mã tại 0FFFFh:
thanh ghi khác đều được đặt về 0. Như vậy, quyền điều khiển ban đầu được trao cho đoạn mã tại 0FFFFh:
0h, đoạn mã này thực ra chỉ là lệnh nhảy JMP FAR đến một đoạn chương trình trong ROM, đoạn chương
0h, đoạn mã này thực ra chỉ là lệnh nhảy JMP FAR đến một đoạn chương trình trong ROM, đoạn chương
trình này thực hiện quá trình POST (Power On Self Test - Tự kiểm tra khi khởi động).
trình này thực hiện quá trình POST (Power On Self Test - Tự kiểm tra khi khởi động).
Quá trình POST sẽ lần lượt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo các Chip điều khiển DMA, bộ
Quá trình POST sẽ lần lượt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo các Chip điều khiển DMA, bộ
điều khiển ngắt, bộ điều khiển đĩa Sau đó nó sẽ dò tìm các Card thiết bị gắn thêm để trao quyền điều
điều khiển ngắt, bộ điều khiển đĩa Sau đó nó sẽ dò tìm các Card thiết bị gắn thêm để trao quyền điều
khiển cho chúng tự khởi tạo rồi lấy lại quyền điều khiển. Chú ý rông đây là đoạn chương trình trong ROM
khiển cho chúng tự khởi tạo rồi lấy lại quyền điều khiển. Chú ý rông đây là đoạn chương trình trong ROM
(Read Only Memory) nên không thể sửa đổi, cũng như không thể chèn thêm một đoạn mã nào khác.
(Read Only Memory) nên không thể sửa đổi, cũng như không thể chèn thêm một đoạn mã nào khác.
Sau quá trình POST, đoạn chương trình trong ROM tiến hành đọc Boot Sector trên đĩa A hoặc Master Boot
Sau quá trình POST, đoạn chương trình trong ROM tiến hành đọc Boot Sector trên đĩa A hoặc Master Boot
trên đĩa cứng vào RAM (Random Acess Memory) tại địa chỉ 0:7C00h và trao quyền điều khiển cho đoạn
trên đĩa cứng vào RAM (Random Acess Memory) tại địa chỉ 0:7C00h và trao quyền điều khiển cho đoạn
mã đó bông lệnh JMP FAR 0:7C00h. Ðây là chỗ mà B-virus lợi dụng để tấn công vào Boot Sector (Master
mã đó bông lệnh JMP FAR 0:7C00h. Ðây là chỗ mà B-virus lợi dụng để tấn công vào Boot Sector (Master
Boot), nghĩa là nó sẽ thay Boot Sector (Master Boot) chuẩn bông đoạn mã virus, vì thế quyền điều khiển
Boot), nghĩa là nó sẽ thay Boot Sector (Master Boot) chuẩn bông đoạn mã virus, vì thế quyền điều khiển
được trao cho virus, nó sẽ tiến hành các hoạt động của mình trước, rồi sau đó mới tiến hành các thao tác
được trao cho virus, nó sẽ tiến hành các hoạt động của mình trước, rồi sau đó mới tiến hành các thao tác
như thông thường: Ðọc Boot Sector (Master Boot) chuẩn mà nó cất giấu ở đâu đó vào 0:7C00h rồi trao
như thông thường: Ðọc Boot Sector (Master Boot) chuẩn mà nó cất giấu ở đâu đó vào 0:7C00h rồi trao
quyền điều khiển cho đoạn mã chuẩn này, và người sử dụng có cảm giác rông máy tính của mình vẫn hoạt
quyền điều khiển cho đoạn mã chuẩn này, và người sử dụng có cảm giác rông máy tính của mình vẫn hoạt
động bình thường.

động bình thường.

F-virus: Virus chỉ tấn công lên các file khả thi.
F-virus: Virus chỉ tấn công lên các file khả thi.
Khi DOS tổ chức thi hành File khả thi (bông chức năng 4Bh của ngắt 21h), nó sẽ tổ chức lại vùng nhớ, tải
Khi DOS tổ chức thi hành File khả thi (bông chức năng 4Bh của ngắt 21h), nó sẽ tổ chức lại vùng nhớ, tải
File cần thi hành và trao quyền điều khiển cho File đó. F-virus lợi dụng điểm này bông cách gắn đoạn mã
File cần thi hành và trao quyền điều khiển cho File đó. F-virus lợi dụng điểm này bông cách gắn đoạn mã
của mình vào file đúng tại vị trí mà DOS trao quyền điều khiển cho File sau khi đã tải vào vùng nhớ. Sau
của mình vào file đúng tại vị trí mà DOS trao quyền điều khiển cho File sau khi đã tải vào vùng nhớ. Sau
khi F-virus tiến hành xong các hoạt động của mình, nó mới sắp xếp, bố trí trả lại quyền điều khiển cho File
khi F-virus tiến hành xong các hoạt động của mình, nó mới sắp xếp, bố trí trả lại quyền điều khiển cho File
để cho File lại tiến hành hoạt động bình thường, và người sử dụng thì không thể biết được.
để cho File lại tiến hành hoạt động bình thường, và người sử dụng thì không thể biết được.


C
C
ác dạng khác của Virus
ác dạng khác của Virus



Sâu
Sâu


máy
máy



tính
tính
(
(
worm
worm
): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng (thường là
): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng (thường là
qua hệ thống thư điện tử).
qua hệ thống thư điện tử).

Trojan Horse
Trojan Horse
: đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra. Như thế, cách
: đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra. Như thế, cách
lan truyền duy nhất là thông qua các thư dây chuyền
lan truyền duy nhất là thông qua các thư dây chuyền

Phần
Phần


mềm
mềm


gián
gián



điệp
điệp
(
(
spyware
spyware
): Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di
): Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di
chứng".
chứng".

Keylogger
Keylogger
: là phần mềm ghi lại chuỗi phím gõ của người dùng.
: là phần mềm ghi lại chuỗi phím gõ của người dùng.

Phần
Phần


mềm
mềm


quảng
quảng


cáo

cáo
(
(
adware
adware
): Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một
): Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một
số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng
số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng

Botnet
Botnet
: Loại này thường dùng để nhắm vào các hệ thống điều khiển máy tính từ xa, nhưng hiện giờ lại nhắm vào người dùng.
: Loại này thường dùng để nhắm vào các hệ thống điều khiển máy tính từ xa, nhưng hiện giờ lại nhắm vào người dùng.
Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ thuật lập trình cao
Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ thuật lập trình cao

Phishing: là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm, chẳng
Phishing: là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm, chẳng
hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong một
hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong một
giao dịch điện tử. Phishing thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện
giao dịch điện tử. Phishing thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện
thoại.
thoại.

Rootkit: là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang chạy, các file hoặc dữ liệu hệ thống.
Rootkit: là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang chạy, các file hoặc dữ liệu hệ thống.
Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi
Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi

các phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện
các phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện

Phần mềm tống tiền (
Phần mềm tống tiền (
Ransomware
Ransomware
): là loại phần mềm ác tính sử dụng một hệ thống mật mã hóa yếu (phá được) để mã hóa
): là loại phần mềm ác tính sử dụng một hệ thống mật mã hóa yếu (phá được) để mã hóa
dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.
dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.

Cửa hậu (
Cửa hậu (
Backdoor
Backdoor
): trong một hệ thống máy tính, cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng
): trong một hệ thống máy tính, cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng
thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát
thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát
thông thường. Cửa hậu có thể có hình thức một chương trình được cài đặt , hoặc có thể là một sửa đổi đối với một chương
thông thường. Cửa hậu có thể có hình thức một chương trình được cài đặt , hoặc có thể là một sửa đổi đối với một chương
trình hợp pháp - đó là khi nó đi kèm với Trojan.
trình hợp pháp - đó là khi nó đi kèm với Trojan.

Virus lây qua passport: Loại virus này lây qua các thẻ RFID cá nhân để thay đổi nội dung của thẻ, buộc tội người dùng và có
Virus lây qua passport: Loại virus này lây qua các thẻ RFID cá nhân để thay đổi nội dung của thẻ, buộc tội người dùng và có
thể ăn cắp passport. Vì sóng RFID không lây qua kim loại nên khi không cần dùng, bạn nên để trong hộp kim loại.
thể ăn cắp passport. Vì sóng RFID không lây qua kim loại nên khi không cần dùng, bạn nên để trong hộp kim loại.


Virus điện thoại di động: chỉ riêng hệ thống PC đã đủ làm người dùng đau đầu, nay lại có virus điện thoại di động. Loại này
Virus điện thoại di động: chỉ riêng hệ thống PC đã đủ làm người dùng đau đầu, nay lại có virus điện thoại di động. Loại này
thường lây qua tin nhắn. Một vài virus ĐTDĐ cũng đánh sập HĐH và làm hỏng thiết bị. Một số khác chỉ gây khó chịu như
thường lây qua tin nhắn. Một vài virus ĐTDĐ cũng đánh sập HĐH và làm hỏng thiết bị. Một số khác chỉ gây khó chịu như
thay đổi các biểu tượng làm thiết bị trở nên khó sử dụng. Một số ít còn nhằm vào tiền. Ví dụ, một Trojan lây lan các điện
thay đổi các biểu tượng làm thiết bị trở nên khó sử dụng. Một số ít còn nhằm vào tiền. Ví dụ, một Trojan lây lan các điện
thoại ở Nga gửi tin nhắn tới những dịch vụ tính tiền người gửi.
thoại ở Nga gửi tin nhắn tới những dịch vụ tính tiền người gửi.


Danh sách các đuôi tệp có khả năng
Danh sách các đuôi tệp có khả năng
di truyền và bị lây nhiễm
di truyền và bị lây nhiễm


Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công.
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công.

.bat: Microsoft Batch File
.bat: Microsoft Batch File
(Tệp xử lí theo lô)
(Tệp xử lí theo lô)



.chm: Compressed HTML Help File
.chm: Compressed HTML Help File
(Tệp tài liệu dưới dạng nén HTML)
(Tệp tài liệu dưới dạng nén HTML)




.cmd: Command file for Windows NT
.cmd: Command file for Windows NT
(Tệp thực thi của Windows NT)
(Tệp thực thi của Windows NT)



.com: Command file (program)
.com: Command file (program)
(Tệp thực thi)
(Tệp thực thi)



.cpl: Control Panel extension
.cpl: Control Panel extension
(Tệp của Control Panel)
(Tệp của Control Panel)



.doc: Microsoft Word
.doc: Microsoft Word
(Tệp của chương trình Microsoft Word)
(Tệp của chương trình Microsoft Word)




.exe: Executable File
.exe: Executable File
(Tệp thực thi)
(Tệp thực thi)



.hlp: Help file
.hlp: Help file
(Tệp nội dung trợ giúp người dùng)
(Tệp nội dung trợ giúp người dùng)



.hta: HTML Application
.hta: HTML Application
(Ứng dụng HTML)
(Ứng dụng HTML)



.js: JavaScript File
.js: JavaScript File
(Tệp JavaScript)
(Tệp JavaScript)



.jse: JavaScript Encoded Script File

.jse: JavaScript Encoded Script File
(Tệp mã hoá JavaScript)
(Tệp mã hoá JavaScript)



.lnk: Shortcut File
.lnk: Shortcut File
(Tệp đường dẫn)
(Tệp đường dẫn)



.msi: Microsoft Installer File
.msi: Microsoft Installer File
(Tệp cài đặt)
(Tệp cài đặt)



.pif: Program Information File
.pif: Program Information File
(Tệp thông tin chương trình)
(Tệp thông tin chương trình)



.reg: Registry File
.reg: Registry File


.scr: Screen Saver (Portable Executable File)
.scr: Screen Saver (Portable Executable File)

.sct: Windows Script Component
.sct: Windows Script Component

.shb: Document Shortcut File
.shb: Document Shortcut File

.shs: Shell Scrap Object
.shs: Shell Scrap Object

.vb: Visual Basic File
.vb: Visual Basic File

.vbe: Visual Basic Encoded Script File
.vbe: Visual Basic Encoded Script File

.vbs: Visual Basic File
.vbs: Visual Basic File

.wsc: Windows Script Component
.wsc: Windows Script Component

.wsf: Windows Script File
.wsf: Windows Script File

.wsh: Windows Script Host File
.wsh: Windows Script Host File





Sử dụng phần mềm diệt virus
Sử dụng phần mềm diệt virus


Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng
nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó
nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó
luôn nhận biết được các virus mới.
luôn nhận biết được các virus mới.
Trên thị trường hiện có rất nhiều phần mềm diệt virus. Một số hãng nổi tiếng
Trên thị trường hiện có rất nhiều phần mềm diệt virus. Một số hãng nổi tiếng
viết các phần mềm virus được nhiều người sử dụng có thể kể đến là: McAfee,
viết các phần mềm virus được nhiều người sử dụng có thể kể đến là: McAfee,
Symantec, Kaspersky…
Symantec, Kaspersky…



Sử dụng tường lửa bằng phần cứng
Sử dụng tường lửa bằng phần cứng
nếu người sử dụng kết nối với mạng Internet thông
nếu người sử dụng kết nối với mạng Internet thông
qua một modem có chức năng này. Thông thường ở chế độ mặc định của nhà sản xuất thì
qua một modem có chức năng này. Thông thường ở chế độ mặc định của nhà sản xuất thì
chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép hiệu
chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép hiệu

lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi chúng
lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi chúng
thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa bằng các
thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa bằng các
phần mềm.
phần mềm.

Sử dụng tường lửa bằng phần mềm
Sử dụng tường lửa bằng phần mềm
: Ngay các hệ điều hành họ Windows ngày nay đã
: Ngay các hệ điều hành họ Windows ngày nay đã
được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các phần
được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các phần
mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so với tường
mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so với tường
lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm Security Suite của
lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm Security Suite của
hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại,
hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại,
chống spam, và tường lửa.
chống spam, và tường lửa.
Sử dụng tường lửa
Sử dụng tường lửa




Cập nhật các bản sửa lỗi của hệ điều
Cập nhật các bản sửa lỗi của hệ điều
hành

hành


Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát
Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát
hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có
hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có
thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc
thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc
phát tán virus và các phần mềm độc hại. Người sử dụng luôn
phát tán virus và các phần mềm độc hại. Người sử dụng luôn
cần cập nhật các bản vá lỗi của Windows thông qua trang web
cần cập nhật các bản vá lỗi của Windows thông qua trang web
Microsoft Update (cho việc nâng cấp tất cả các phần mềm của
Microsoft Update (cho việc nâng cấp tất cả các phần mềm của
hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho
hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho
Windows). Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa)
Windows). Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa)
tự động (Automatic Updates) của Windows. Tính năng này chỉ
tự động (Automatic Updates) của Windows. Tính năng này chỉ
hỗ trợ đối với các bản Windows mà Microsoft nhận thấy rằng
hỗ trợ đối với các bản Windows mà Microsoft nhận thấy rằng
chúng hợp pháp
chúng hợp pháp


Vận dụng kinh nghiệm sử dụng máy
Vận dụng kinh nghiệm sử dụng máy
tính

tính

Phát hiện sự hoạt động khác thường của máy tính
Phát hiện sự hoạt động khác thường của máy tính
: Đa phần người sử dụng máy tính không có thói quen
: Đa phần người sử dụng máy tính không có thói quen
cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn
cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn
định - sẽ nhận biết được sự thay đổi khác thường của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động
định - sẽ nhận biết được sự thay đổi khác thường của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động
chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành
chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành
hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt động khác
hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt động khác
của tường lửa). Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự
của tường lửa). Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự
xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất cho phần mềm
xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất cho phần mềm
diệt virus hoặc thử sử dụng một phần mềm diệt virus khác để quét toàn hệ thống.
diệt virus hoặc thử sử dụng một phần mềm diệt virus khác để quét toàn hệ thống.

Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm trong hệ thống thông
Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm trong hệ thống thông
qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm
qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm
việc bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm
việc bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm
CPU bao nhiêu, tên file hoạt động là gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện
CPU bao nhiêu, tên file hoạt động là gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện
của sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy nhiên cách này

của sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy nhiên cách này
đòi hỏi một sự am hiểu nhất định của người sử dụng.
đòi hỏi một sự am hiểu nhất định của người sử dụng.

Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus: Theo mặc định
Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus: Theo mặc định
Windows thường cho phép các tính năng autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt
Windows thường cho phép các tính năng autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt
phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống. Chính các tính năng này được một số loại virus lợi
phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống. Chính các tính năng này được một số loại virus lợi
dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus
dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus
lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.ini trên ổ
lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.ini trên ổ
USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần loại bỏ tính năng này bằng các phần
USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần loại bỏ tính năng này bằng các phần
mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry.
mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry.

Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến
Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến


Bảo vệ dữ liệu máy tính
Bảo vệ dữ liệu máy tính

Sao lưu dữ liệu theo chu kỳ
Sao lưu dữ liệu theo chu kỳ
là biện pháp đúng đắn nhất
là biện pháp đúng đắn nhất

hiện nay để bảo vệ dữ liệu. Bạn có thể thường xuyên sao
hiện nay để bảo vệ dữ liệu. Bạn có thể thường xuyên sao
lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các thiết
lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các thiết
bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa
bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa
quang ), hình thức này có thể thực hiện theo chu kỳ hàng
quang ), hình thức này có thể thực hiện theo chu kỳ hàng
tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của
tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của
dữ liệu của bạn.
dữ liệu của bạn.

Tạo các dữ liệu phục hồi cho toàn hệ thống
Tạo các dữ liệu phục hồi cho toàn hệ thống
không dừng
không dừng
lại các tiện ích sẵn có của hệ điều hành (ví dụ System
lại các tiện ích sẵn có của hệ điều hành (ví dụ System
Restore của Windows Me, XP ) mà có thể cần đến các
Restore của Windows Me, XP ) mà có thể cần đến các
phần mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản
phần mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản
sao lưu hệ thống bằng các phần mềm ghost, các phần mềm
sao lưu hệ thống bằng các phần mềm ghost, các phần mềm
tạo ảnh ổ đĩa hoặc phân vùng khác.
tạo ảnh ổ đĩa hoặc phân vùng khác.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×