Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

HỌC VIỆN KỸ THUẬT MẬT MÃ
---------------***---------------

ĐỒ ÁN TỐT NGHIỆP
Đề tài
Tìm hiểu cơng nghệ phịng chống Virus trên mạng
HTTP – Anti Virus

Ngành :
Chuyên ngành :
Khóa :

Tin học (mã số 01.02.10)
An tồn thơng tin
03 (2006 - 2011)

Cán bộ hướng dẫn khoa học :

Th.S Đinh Quốc Tiến

Sinh Viên thực hiện :

Trần Văn Duy

HÀ NỘI 2011

Trần Văn Duy

1

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Mục Lục
Danh mục các từ viết tắt
Danh mục các hình vẽ
Lời nói đầu
Chương 1 : Tìm hiểu chung về Virus
1.1. Lịch sử phát triển của Virus…………………………………………….3
1.2. Các loại Virus máy tính…………………………………………………3
Chương 2 : Nghiên cứu tìm hiểu một số giải pháp …………………………12
phòng chống Virus tiên tiến
2.1. Giải pháp phòng chống Virus của TrendMicro ………………………..12
2.1.1. Thành phần bảo vệ Gateway………………………………………12
2.1.2. Thành phần chống Virus cho Mail………………………………...17
2.2. Phòng chống Virus bằng ClamAV
sử dụng cơng nghệ điện tốn đám mây…………………………………22
2.2.1. Cơng nghệ điện tốn đám mây…………………………………….22
2.2.2.1. Tìm hiểu chung về cơng nghệ điện tốn đám mây…………..22
2.2.2.2. Các mơ hình điện tốn đám mây…………………………….26
2.2.2. Tìm hiểu về ClamAV……………………………………………..32
2.2.2.1.
Giới thiệu về ClamAV……………………………………….32

2.2.2.2.
Các hệ điều hành được hỗ trợ………………………………..33
2.2.2.3.
Các thành phần trong ClamAV………………………………34
2.2.2.4.
Hoạt động của các thành phần……………………………….35
2.2.2.5.
ClamAV sử dụng cơng nghệ điện tốn đám mây
Chương 3 : Tìm hiểu về HTTP Anti Virus Proxy
và Squid Proxy Server...................................................................43
3.1. HTTP Anti Virus Proxy………………………………………………...43
3.1.1.
Giới thiệu về HAVP………………………………………………43
3.1.2.
Quá trính xử lý của HAVP………………………………………..45
3.1.3.
Thiết lập mơ hình HAVP………………………………………….46
3.1.3.1.
Cài đặt HAVP trên Firegate………………………………….46
3.1.3.2.
Các tùy chọn của HAVP……………………………………..48
Trần Văn Duy

2

Năm 2011


Đồ án tố nghiệp


Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Cấu hình các chế độ cho HAVP…………………………………..52
3.1.4.1.
Cấu hình HAVP ở chế độ Standard………………………….52
3.1.4.2.
Cấu hình HAVP ở chế độ Standard
kết hợp xác thực của Squid………………………………… 54
3.2. Squid Proxy Server……………………………………………………..54
3.2.1. Chức năng của Squid……………………………………………...54
3.2.2. Cài đặt và các tùy chọn Squid trên Firegate………………………56
3.2.2.1. Cài đặt Squid…………………………………………………56
3.2.2.2. Cấu hình Squid ở chế độ xác thực…………………………...58
Kết luận…………………………………………………………………………60
Tài liệu tham khảo………………………………………………………………61
3.1.4.

Trần Văn Duy

3

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Danh Mục Các Từ Viết Tắt
A.M

USD
DdoS
MP3
SWF
SQL
JPEG
FreeBSD
HAVP
EOF
GPL

:
:
:
:
:
:
:
:
:
:
:

Association for Computing Machinery
United Stade Dollar
Distributed Denial Of Service
MPEG audio layer 3
SOCWave Flash
Structured Quero Language
Joint Photographic Experts Group

Free Berkeley Software Distribution
HTTP Anti Virus Proxy
End Of File
Gerneral Public License

ZIP

:

Zip file format

RAR

:

Roshal ARchive

TAR

:

Tape ARchive

OLE2

:

Object Linking and Embeddinguc

CHM


:

Cubic Meter per Hour

SIS

:

Symbian OS filename Extension

MS

:

Microsoft

HTML

:

Hyper Text Markup Language

MAC OS

:

Macintosh Operating System

GNU


:

GNU’s Not Unix

NAT

:

Network Address Translation

TCP

:

Transmission Control Protocol

HTTP

:

Hypertext Transfer Protocol

VMWARE

:

Virtual Machine Ware

AV


:

Anti Virus

Trần Văn Duy

4

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

ELF

:

Executable and Linking Format

PE

:

Phase Encoded

LAN


:

Local Area Network

IP

:

Internet Protocol

WAN

:

Wide Area Network

HTTPS

:

Hypertext Transfer Protocol Security

FTP

:

File Transfer Protocol

SMTP


:

Simple Mail Transfer Protocol

RAM

:

Random Access Memory

CPU

:

Central Processing Unit

RFC

:

Request For Comments

UDP

:

User Datagram Protocol

VIA


:

Very Innovative Architeture

URL

:

Uniform Resourse Locator

DNS

:

Domain Name System

LRU

:

Least Recently Used

GDSF

:

Graphical Data Fusion System

CD


:

Compact Disc

LDAP

:

Lightweight Directory Access Protocol

TTL

:

Tim To Live

ACL

:

Access Control List

TCP

:

Transmission Control Protocol

TOS


:

Term Of Service

SSL

:

Secure Sockets Layer

TLS

:

Transport Layer Security

Trần Văn Duy

5

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

NNTP

:


Network News Transfer Protocol

NCSA
IPs
UFS
AUFS
POSIX
GDFS
CIDR
EC2
SaaS
IT
SOA
SAML
ISO
IaaS
PaaS
API
ISV
CRM
CC
UPX
SP3
SP1

:
:
:
:

:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:

National Computer Security Association
Internet Protocol Security
Unix File System
Authentication Unix File System
Portable Operating System Interface forUnix
Global Data File System
Classless Inter Domain Routing
Elastic Compute Cloud
Software as a Service
Informaion Technology
Service Oriented Architecture

Security Assertion Markup Language
Internation Organization for Standardization
Infrastructure as a Service
Platform as a Service
Application Programming Interface
Independent Software Vendor
Customer Relationship Management
Cloud Computing
Ultimate Packer for Executables
Service Pack 3
Service pack 1

Trần Văn Duy

6

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Danh Mục Các Hình Vẽ
Hình 1-1 : Hình ảnh minh họa Virus
Hình 1-2 : Virus ngày càng phát triển và lây lan trên mạng
Hình 1-3 : Hình ảnh minh họa sâu internet Worm
Hình 2-1 : Mơ hình InterScan security Suite
Hình 2-2 : Lọc Messaging
Hình 2-3 : Mơ hình InterScan web security Suite

Hình 2-4 : Thành phần bảo vệ file server
Hình 2-5 : Bảo vệ đến tận các Client
Hình 2-6 : Thành phần quản lý tập trung
Hình 2-7 : Mơ hình chung điện tốn đám mây
Hình 2-8 : Mơ hình các lớp dịch vụ
Hình 2-9 : Mơ hình đám mây cơng cộng
Hình 2-10 : Mơ hình đám mây doanh nghiệp
Hình 2-11 : Mơ hình đám mây chung
Hình 2-12 : Mơ hình đám mây lai
Hình 2-13 : Cơng nghệ điện tốn đám mây sử dụng trong ClamAV
Hình 2-14 : Giao diện các chức năng của ClamAV
Hình 2-15 : Giao diện các tùy chọn trên ClamAV
Hình 2-16 : Cảnh báo malware
Trần Văn Duy

7

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Hình 2-17 : Mơ phỏng cộng đồng người dùng ClamAV
Hình 3-1 : Mơ hình hoạt động của HAVP
Hình 3-2 : Quá trình xử lý của HAVP
Hình 3-3 : Giao diện quản lý gói trên Firegate
Hình 3-4 : Giao diện các gói đã được cài đặt
Hình 3-5 : Giao diện Tab HTTP Proxy

Hình 3-6 : Giao diện tab Files Scanner
Hình 3-7 : Giao diện tab Settings
Hình 3-8 : Cấu hình Havp ở chế đợ Standard
Hình 3-9 : Cấu hình HAVP ở chế độ Standard kết hợp với xác thực của Squid
Hình 3-10 : Squid đặt giữa máy trạm và máy chủ
Hình 3-11 : Danh sách các gói có thể cài đặt được trong Squid
Hình 3-12 : Danh sách các gói đã được cài đặt vào trong Squid
Hình 3-13 : Dải mạng được phép sử dụng Proxy trong chế độ Authentication
Hình 3-14 : Lựa chọn phương thức xác thực

Trần Văn Duy

8

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Lời Nói Đầu
Ngày nay mạng Internet đã trở thành một nhu cầu không thể thiếu trong
cuộc sống và trong công việc. Việc truyền tải thông tin dữ liệu, gửi và nhận mail,
lướt web… ngày nay trở nên phổ biến và vô cùng quan trọng. Nhưng song song
với sự phát triển của mạng internet thì cũng xuất hiện ngày càng nhiều loại Virus
nguy hiểm gây hại cho chúng ta. Và cũng vì thế đã có rất nhiều phần mềm, cơng
nghệ mới ra đời nhắm chống lại và giảm thiểu tối đa sự lây lan và phá hoại của
Virus. Tuy nhiên, những phần mềm cũng như cơng nghệ đó chỉ có thể phát hiện
và tiêu diệt được những loại Virus đã có từ trước, cịn những loại Virus mới xuất

hiện thì hầu như là khơng thể.
Chính vì lý do đó mà cơng nghệ phịng chống Virus khơng ngừng phát
triển và ngày càng phải phát triển hoàn thiện hơn nữa, đảm bảo sự an toàn cho
người dùng khi truy cập vào mạng internet, cũng như những dữ liệu truyền trên
đó. Cũng vì thế mà chúng ta phải có một cái nhìn cơ bản về các cơng nghệ, cơ
chế hoạt động và tính năng nổi bật của chúng. Từ đó chúng ta hiểu biết thêm về
tầm quan trọng trong việc phát triển công nghệ phịng chống Virus.
Đề tài : “ Tìm hiểu cơng nghệ phòng chống Virus trên mạng
Http – Anti Virus“
Đồ án gồm 4 chương :
Trần Văn Duy

9

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

 Chương I : Tìm hiểu chung về Virus. Chương này giúp chúng ta có cái nhìn

khái qt về Virus như lịch sử ra đời và phát triển vủa Virus, một
số loại Virus cơ bản.
 Chương II : Nghiên cứu tìm hiểu một số giải pháp phịng chống Virus tiên
tiến. Chương này tìm hiểu về hai giải pháp phịng chống Virus :
thứ nhất là phương pháp phòng chống Virus bằng ClamAV, các
thành phần trong ClamAV và giúp chúng ta có một cái nhìn khái
qt nhất về điện tốn đám mây-công nghệ mới nhất đang đem

lại hiệu quả vô cùng to lớn trong cơng việc phịng chống Virus.
Thứ 2 là giải pháp phòng chống Virus của Trendmicro.
 Chương III : Tìm hiểu về HTTP Anti Virus Proxy và Squid Proxy Server.
Chương này cho chúng ta tập trung nghiên cứu HAVP và Squid
như : Khái niệm, quá trình xử lý như thế nào và thiết lập các mơ
hình HAVP, mơ hình Squid và các tùy chọn của mỗi mơ hình đó.
Trong q trình thực hiện đề tài này, ngồi những cố gắng của bản thân,
em đã nhận được sự giúp đỡ rất lớn từ thầy Đinh Quốc Tiến cùng các thầy cơ
giáo trong khoa An Tồn Thơng Tin – Học Viện Kỹ Thuật Mật Mã. Em xin cảm
ơn thầy đã giúp đỡ em tận tình để em hồn thành đề tài này. Do thời gian nghiên
cứu chưa nhiều, kiến thức còn hạn chế nên khơng thể tránh khỏi những sai sót,
kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô.
Em xin chân thành cảm ơn !
Sinh Viên
Trần Văn Duy

Trần Văn Duy

10

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Chương 1
Tổng Quan Về Virus
1.1. Lịch sử phát triển của virus

Có thể nói virus có một q trình phát triển khá dài, và nó ln song hành
cùng người bạn đồng hành của nó là những chiếc "máy tính", (và tất nhiên là
người bạn máy tính của nó chẳng thích thú gì ). Khi mà Cơng nghệ phần mềm
cũng như phần cứng phát triển thì virus cũng phát triển theo. Hệ điều hành thay
đổi thì virus máy tính cũng tự thay đổi mình để phù hợp với hệ điều hành đó và
để có thể ăn bám ký sinh. Tất nhiên là virus không tự sinh ra

Trần Văn Duy

11

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Hình 1-1 . Hình ảnh minh họa Virus
Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản
chỉ là một thú đùa vui ác ý. Nhưng chỉ có điều những cái đầu thơng minh này
khiến chúng ta phải đau đầu đối phó và cuộc chiến này gần như khơng chấm dứt
và nó vẫn tiếp diễn.
Có nhiều tài liệu nói khác nhau nói về xuất xứ của virus máy tính, đó cũng
là điều dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra nổi một
"xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay, điều đó cũng
có nghĩa là không mấy người quan tâm tới chúng. Chỉ khi chúng gây ra những
hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy
vậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít
nhiều liên quan tới những sự kiện sau:

 1983 - Để lộ nguyên lý của trò chơi "Core War"
"Core War" là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2
lập trình viên viết ra. Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo
gọi là Organism vào bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố
gắng phá huỷ Organism của đối phương và tái tạo Organism của mình. Đấu thủ
thắng cuộc là đấu thủ tự nhân bản được nhiều nhất.
Trần Văn Duy

12

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Trị chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson
người đã viết phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận
một trong những giải thưởng danh dự của giới điện toán - Giải thưởng A.M
Turing. Trong bài diễn văn của mình ơng đã đưa ra một ý tưởng về virus máy
tính dựa trên trị chơi "Core War". Cũng năm 1983, tiến sỹ Frederik Cohen đã
chứng minh được sự tồn tại của virus máy tính.
Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mơ tả
về "Core War" và cung cấp cho độc giả những thông tin hướng dẫn về trị chơi
này. Kể từ đó virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa
những người viết ra virus và những người diệt virus.
 1986 - Brain virus
Có thể được coi là virus máy tính đầu tiên trên thế giới, Brain âm thầm đổ
bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware.

Một nơi khác trên thế giới cũng đã mơ tả sự xuất hiện của virus, đó là Đại học
Hebrew – Israel
 1987 - Lehigh virus xuất hiện
Lại một lần nữa liên quan tới một trường Đại học. Lehigh chính là tên của
virus xuất hiện năm 1987 tại trường Đại học nà y. Trong thời gian nà y cũng có 1
số virus khác xuất hiện, đặc biệt WORM virus (sâu virus), cơn ác mộng với các
hệ thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ là m cho công ty
IBM nhớ mãi với tốc độ lây lan đáng nể: 500000 nhân bản trong 1 giờ.
 1988 - Virus lây trên mạng

Trần Văn Duy

13

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Hình 1-2. Virus ngày càng phát triển và lây lan trên mạng
Ngày 2 tháng 11 năm 1988, Robert Morris đưa virus vào mạng máy tính
quan trọng nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu
nhận thức được tính nguy hại của virus máy tính.
 1989 - AIDS Trojan
Xuất hiện Trojan hay cịn gọi là "con ngựa thành Tơ-roa", chúng không
phải là virus máy tính, nhưng ln đi cùng với khái niệm virus. "Những chú
ngựa thành Tơ-roa" này khi đã gắn vào máy tính của bchúng thì nó sẽ lấy cắp
một số thơng tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này

muốn nó vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính của
chúng ta
 1991 - Tequila virus
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó
đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ
thống máy tính.
Đây thực sự là loại virus gây đau đầu cho những người diệt virus và quả
thật khơng dễ dàng gì để diệt chúng. Chúng có khả năng tự thay hình đổi dạng
sau lần lây nhiễm, làm cho việc phát hiện ra chúng quả thật là khó.
 1992 - Michelangelo virus
Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì cơng cụ năm 92 này
tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực
kỳ phức tạp.
Trần Văn Duy

14

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

 1995 - Concept virus
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại
virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những
tiền bối của nó. Chúng gây ra một cú sốc cho những cơng ty diệt virus cũng như
những người tình nguyện trong lĩnh vực phịng chống virus máy tính. Cũng phải
tự hào rằng khi virus này xuất hiện, trên thế giới chưa có loại "kháng sinh" nào

thì tại Việt Nam chúng ta đã đưa ra được giải pháp rất đơn giản để loại trừ loại
virus này và đó cũng là thời điểm Bkav bắt đầu được mọi người sử dụng rộng rãi
trên toàn Quốc.
Sau này những virus theo nguyên lý của Concept được gọi chung là virus
macro, chúng tấn công vào các hệ soạn thảo văn bản của Microsoft (Word, Exel,
Powerpoint), và những nhân viên văn phịng - những người sử dụng khơng am
hiểu lắm về hệ thống - ắt hẳn sẽ không mấy dễ chịu với những con virus thích
chọc ngốy vào cơng trình đánh máy của họ
 1996 - Boza virus
Khi hãng Microsoft chuyển sang hệ điều hànnh Windows95 và họ cho
rằng virus khơng thể cơng phá thành trì của họ được, thì năm 1996 xuất hiện
virus lây trên hệ điều hành Windows95 (có lẽ khơng nên thách thức những kẻ
xấu, điều đó chỉ thêm kích động chúng
 1999 - Melissa, Bubbleboy virus
Đây thật sự là một cơn ác mộng với các máy tình trên khắp thế giới. Sâu
Melissa khơng những kết hợp các tính năng của sâu Internet và virus marco, mà
nó cịn biết khai thác một cơng cụ mà chúng ta thường sử dụng hàng ngày là
Microsoft Outlook Express để chống lại chính chúng ta. Khi máy tính của bạn bị
nhiễm Mellisa, nó sẽ tự phân phát mình đi mà khổ chủ không hề hay biết. Và
chúng ta cũng sẽ rất bất ngờ khi bị mang tiếng là phát tán virus.
Chỉ từ ngày thứ sáu tới ngày thứ hai tuần sau, virus này đã kịp lây nhiễm
250 ngàn máy tính trên thế giới thơng qua Internet, trong đó có Việt Nam, gây
thiệt hại hàng trăm triệu USD. Một lần nữa cuộc chiến lại sang một bước ngoặt
mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương

Trần Văn Duy

15

Năm 2011



Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếng
đồng hồ.
Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính
trên tồn cầu, ngồi Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ
liệu của hang triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày
26 tháng 4.
 2000 - DDoS, Love Letter virus
Có thể coi là vụ việc virus phá hoại lớn nhất từ trước đến nay, Love Letter
có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vịng có 6
tiếng đồng hồ đã kịp đi vịng qua 20 nước trong đó có Việt Nam, lây nhiễm 55
triệu máy tính, gây thiệt hại 8,7 tỷ USD.
Thế còn DDoS? Những virus này phát tán đi khắp nơi, nằm vùng ở những
nơi nó lây nhiễm. Cuối cùng chúng sẽ đồng loạt tấn công theo kiểu "Từ chối dich
vụ - Denial of Service" (yêu cầu liên tục, từ nhiều máy đồng thời, làm cho các
máy chủ bị tấn công không thể phục vụ được nữa và dẫn đến từ chối những yêu
cầu mới -> bị vô hiệu hoá) vào các hệ thống máy chủ khi người điều hành nó
phất cờ, hoặc chúng tự định cùng một thời điểm tấn công. Và một hệ thống điện
thoại của Tây Ban Nha đã là vật thí nghiệm đầu tiên.
 2001 - Winux Windows/Linux Virus, Nimda, Code Red virus
Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên
các hệ điều hành Linux chứ không chỉ Windows. Chúng nguỵ trang dưới dạng
file MP3 cho download.
Nimda, Code Red là những virus tấn cơng các đối tượng của nó bằng
nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy

trạm sang máy trạm...), làm cho việc phòng chống vơ cùng khó khăn, cho đến
tận lúc này (tháng 9 năm 2002) ở Việt Nam vẫn còn những cơ quan với mạng
máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu. Chúng cũng chỉ ra
một xu hướng mới của các loại virus máy tính là "tất cả trong một", trong một
virus bao gồm nhiều virus, nhiều nguyên lý khác nhau.
 2002 - Sự ra đời của hàng loạt loại virus mới

Trần Văn Duy

16

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này
lây những file .SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một
loại công cụ giúp làm cho các trang Web thêm phong phú). Tháng 3 đánh dấu sự
ra đời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft.
Con sâu .Net này có tên SharpA và được viết bởi một người phụ nữ!
Tháng 5 SQLSpider ra đời và chúng tấn cơng các chương trình dùng SQL
Tháng 6, có vài loại virus mới ra đời
Perrun lây qua Image JPEG (Có lẽ bạn nên cảnh giác với mọi thứ). Scalper tân
cơng các FreeBSD/Apache Web server.
1.2. Các loại virus máy tính
1.2.1. Virus Boot
Khi chúng ta bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi

động của chúng ta sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ
điều hành mà chúng ta muốn (Windows, Linux hay Unix...).
Sau khi nạp xong hệ điều hành chúng ta mới có thể bắt đầu sử dụng máy.
Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng
được gọi là "Boot sector". Những virus lây vào Boot sector thì được gọi là virus
Boot.
Virus Boot thường lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng
ta dùng đĩa mềm làm đĩa khởi động máy, vì vậy số lượng virus Boot khơng nhiều
như trước. Tuy nhiên, một điều rất tệ hại là chúng ta lại thường xuyên để quên
đĩa mềm trong ổ đĩa, và vơ tình khi bật máy, đĩa mềm đó trở thành đĩa khởi
động.
1.2.2.Virus File
Là những virus lây vào những file chương trình như file .com, .exe, .bat,
.pif, .sys... mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của
chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng
lây vào các File, nhưng không thể gọi chúng là virus File.
1.2.3. Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính
(Microsoft Excel) và cả (Microsoft Powerpoint) trong bộ Microsoft Office.
Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng,
Trần Văn Duy

17

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng


có thể định một số cơng việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là
các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được
cơng thao tác.
Có thể hiểu nơm na việc dùng Macro giống như việc ta ghi lại các thao
tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhât.
1.2.4. Con ngựa Thành Tơ-roa - Trojan Horse
Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy
Lạp và người thành Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, qn Hy Lạp
khơng sao có thể đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng
hồ , sau đó tặng thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa được
đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và
đánh chiếm thành từ bên trong.
Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng.
Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương
trình của mình, khi chương trình này chạy thì vẻ bề ngồi cũng như những
chương trình bình thường (một trị chơi, hay là những màn bắn pháo hoa đẹp mắt
chảng hạn).
Tuy nhiên, song song với q trình đó, một phần của Trojan sẽ bí mật cài
đặt lên máy nạn nhân. Đến một thời điểm định trước nào đó chương trình này có
thể sẽ ra tay xố dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên
mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet
của người sử dụng và gửi bí mật cho chủ nhân của các Trojan).
Khác với virus, Trojan là một đoạn mã chương trình hồn tồn khơng có
tính chất lây lan, nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn
nhân. Cịn virus thì tự động tìm kiếm nạn nhân để lây lan.
Thơng thường các phần mềm có chứa Trojan được phân phối như là các
phần mềm tiện ích, phần mềm mới hấp dẫn, nhằm dễ thu hút người sử dụng.
1.2.5. Sâu Internet Worm
Sâu Internet -Worm quả là một bước tiến đáng kể và đáng sợ nữa của

virus. Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết
là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó, cũng một phần. Một
Trần Văn Duy

18

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây
lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc
đường truyền.

Hình 1-3. Hình ảnh minh họa sâu internet Worm
Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address
book) của máy mà nó đang lây nhiễm, ở đó thường là địa chỉ của bạn bè, người
thân, khách hàng... của chủ máy.
Tiếp đến, nó tự gửi chính nó cho những địa chỉ mà nó tìm thấy, tất nhiên
với địa chỉ người gửi là chính chúng ta, chủ sở hữu của chiếc máy. Điều nguy
hiểm là những việc này diễn ra mà chúng không hề hay biết, chỉ khi chúng ta
nhận được thông báo la đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ
rằng máy tính của mình bị nhiễm virus (mà chưa chắc chúng ta đã tin như
thế!!?).
Với cách hoàn toàn tương tự trên những máy nạn nhân, Worm có thể
nhanh chóng lây lan trên tồn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ
trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới

Trần Văn Duy

19

Năm 2011


Đồ án tố nghiệp

Tìm hiểu cơng nghệ phịng chống Virus trên mạng

hàng chục triệu máy tính trên tồn cầu. Cái tên của nó Worm hay "Sâu Internet"
cho ta hình dung ra việc những con virus máy tính "bị" từ máy tính này qua máy
tính khác trên các "cành cây" Internet.
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra
chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng
một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn cơng vào
một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn cơng tổng
lực như vậy thì cũng phải bó tay, Website của nhà Trắng là một ví dụ. Ngồi ra,
chúng cịn có thể cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân
và có thể làm đủ mọi thứ như ngồi trên máy dó một cách bất hợp pháp.
 Do sự phát triển không ngửng của Virus như thế, các loại Virus ngày
một tinh vi hơn, ngày một nguy hiểm hơn. Vậy thì làm thế nào để có thể phịng
chống và ngăn chặn sự lây lân và phá hoại của Virus? Câu hỏi này luôn đặt ra
cho mỗi chúng ta phải tìm cách xây dựng các phần mềm, các cơng nghệ phịng
chống Virus một cách hiệu quả nhất. Và ngay từ khi Virus xuất hiện, các công
nghệ đó cũng được phát triển theo, như cơng nghệ nhận diện theo mẫu truyền
thống, hoặc công nghệ Heuristic và Behavior…; Nhưng ở chương sau em xin
giới thiệu về công nghệ phòng chống Virus được ứng dụng trong ClamAV , và
ClamAV sử dụng cơng nghệ điện tốn đám mây. Đây là công nghệ mới nhất và

đem lại sự đột phá trong cơng nghệ phịng chống Virus. Qua các chương sau đó
chúng ta sẽ tìm hiểu xây dựng nhúng ClamAV trong HAVP kết hợp Squid để
phòng chống Virus trên mạng .

Chương 2
Nghiên Cứu Tìm Tiểu Một Số Giải Pháp
Phịng Chống Virus Tiên Tiến
2.1. Giải pháp phòng chống Virus của TrendMicro

Trần Văn Duy

20

Năm 2011