© 2008, Vietnam-Korea Friendship IT College
MÃ ĐỘC HẠI
MÃ ĐỘC HẠI
Malicious Code
Malicious Code
© 2008, Vietnam-Korea F
riendship IT College
Mã độc hại
1. Virus
2. Worms
3. Zoombie
4. Trojan Horse
5. Logic Bombs
6. Trap Door
7. Spyware
© 2008, Vietnam-Korea F
riendship IT College
Mã độc hại
© 2008, Vietnam-Korea F
riendship IT College
Virus
Là những chương trình nhỏ có khả năng tự sao chép
Có thể lây lan qua nhiều đường: email, file, sao chép
bằng USB,…
Có thể gây phá hủy dữ liệu, chương trình, ổ cứng,…
`
Client
`
Client
`
Client
Server
© 2008, Vietnam-Korea F
riendship IT College
Lifetime
Dormant phase: tiềm tàng, ẩn
Propagation phase: lây lan
Triggering phase: kích hoạt
Execution phase: hoạt động
© 2008, Vietnam-Korea F
riendship IT College
Cấu trúc
Cố gắng lây nhiễm
Các điều kiện để kích hoạt payload
Cơ chế lây lan
Các ảnh hưởng đến hệ thống
© 2008, Vietnam-Korea F
riendship IT College
Một số loại virus
© 2008, Vietnam-Korea F
riendship IT College
Program file virus
© 2008, Vietnam-Korea F
riendship IT College
Virus
Phòng chống
Sử dụng và cập nhật liên tục các chương trình
diệt virus. Ví dụ: Mcafee, Symantec, Bkav,…
Quét tất cả các ổ đĩa mềm, flash memory khi đưa
vào máy
Quét tất cả các file download
Cẩn thận với các file đính kèm trong email
Tắt chức năng chạy Script trong các chương
trình
© 2008, Vietnam-Korea F
riendship IT College
Worms
`
1 2 3 4
exe E-mail www LAN
`
Template
`
External Entity
` ` `
-
Những đoạn mã tìm địa
chỉ và lây lan sang các
hệ thống khác, tự nhân
bản, cư ngụ trong bộ
nhớ
-
Sử dụng lỗi tràn bộ
đệm, điểm yếu của hệ
điều hành để thâm nhập
-
Thường đi cùng với
Virus, Trojan (Sadmind,
CodeRed, Nimda)
© 2008, Vietnam-Korea F
riendship IT College
© 2008, Vietnam-Korea F
riendship IT College
Thường chứa các Trojan
© 2008, Vietnam-Korea F
riendship IT College
Worms
Phòng chống
Cập nhật Hệ điều hành
Các bản vá lỗi mới nhất
Thiết lập các mức Security
Tắt những dịch vụ không cần thiết
Cài đặt các chương trình diệt virus
Dùng IDS để phát hiện dấu hiệu của Worm
© 2008, Vietnam-Korea F
riendship IT College
Zoombie
Là một chương trình cho phép chiếm quyền điều
khiển một máy tính có nối mạng Internet một
cách bí mật và sau đó sử dụng máy tính này để
phát động một cuộc tấn công
© 2008, Vietnam-Korea F
riendship IT College
Trojan Horses
Là một đoạn mã ẩn với bề ngoài là một chương
trình bình thường
Thường được dùng để mở back-door tạo điều
kiện cho Cracker thâm nhập hệ thống và thu
thập thông tin bất hợp pháp
Không thể tự lây lan nhưng có thể được gắn vào
virus để có thể lây lan
Những máy tính bị nhiễm Trojan thường bị lợi
dụng để tấn công DDoS
© 2008, Vietnam-Korea F
riendship IT College
Trojan Horses
Phòng chống
Sử dụng các chương trình diệt virus
Sử dụng IDS để có thể phát hiện Trojan
Đề phòng những dấu hiện bất thường trên máy
tính
© 2008, Vietnam-Korea F
riendship IT College
Logic Bomb
Là một đoạn mã được nhúng vào một chương
trình và được kích hoạt trong một điều kiện cho
trước nào đó.
Khi kích hoạt logic bomb có thể làm thay đổi
hoặc phá hủy một file dữ liệu
© 2008, Vietnam-Korea F
riendship IT College
Spyware
Unkown Certificate
-
Là những chương trình xấu lén lút cài lên máy
tính
-
Mang mục đích thương mại là chủ yếu: theo dõi
hoạt động web của người dùng, hướng trình
duyệt đến các trang không mong muốn, gửi các
thông tin cá nhân,…
© 2008, Vietnam-Korea F
riendship IT College
Spyware
Không tự lây lan mà thường lừa người dùng kích
hoạt chương trình
Khi bị nhiễm Spy, mức security của máy tính
thường bị đặt xuống mức thấp nhất, tạo điều kiện
cho các spyware khác lây nhiễm vào máy
Phân biệt với Adware, là những chương trình
quảng cáo, hiện các popup. Khi ta cài các
chương trình miễn phí thì có thể chấp nhận
Adware
© 2008, Vietnam-Korea F
riendship IT College
Spyware
Phòng chống
Cẩn thận khi duyệt web
Sử dụng các chương trình diệt virus
© 2008, Vietnam-Korea F
riendship IT College
Dò tìm
Static
Scanners: Aho-corasic, Veldman
Static Heuristic
Dynamic
Behaviour monitor
Emulation
© 2008, Vietnam-Korea F
riendship IT College
Thực hành
Viết một đoạn mã JavaScript cài vào một trang
web khi tải xuống sẽ được kích hoạt và mở đồng
loạt nhiều của sổ web khác nhau.