UBND TỈNH QUẢNG NAM
TRƯỜNG ĐẠI HỌC QUẢNG NAM
KHOA CÔNG NGHỆ THÔNG TIN
----------
ĐOÀN THỊ MỸ
NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN
MÃ ĐỘC TẤN CÔNG MẠNG XÃ HỘI
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC
Quảng Nam, tháng 4 năm 2016
TRƯỜNG ĐẠI HỌC QUẢNG NAM
KHOA CÔNG NGHỆ THÔNG TIN
----------
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC
Tên đề tài:
NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN
MÃ ĐỘC TẤN CÔNG MẠNG XÃ HỘI
Sinh viên thực hiện
ĐOÀN THỊ MỸ
MSSV: 2112011012
CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN
KHÓA 2012 – 2016
Giảng viên hướng dẫn
ThS. NGUYỄN HÀ HUY CƯỜNG
Quảng Nam, tháng 05 năm 2016
LỜI CẢM ƠN
Tơi xin được bày tỏ lịng chân thành biết ơn tới các thầy cô giáo trường Đại học
Quảng Nam nói chung và thầy cơ Khoa Cơng Nghệ Thơng Tin nói riêng. Trong suốt
bốn năm qua thầy cơ đã tận tình truyền đạt cho tơi những kiến thức vơ cùng quý báu
và động viên tôi trong học tập cũng như trong cuộc sống. Đặc biệt tôi xin cảm ơn sâu
sắc tới Thầy giáo hướng dẫn Th.S Nguyễn Hà Huy Cường đã tận tình chỉ bảo định
hướng cho tơi trong việc lựa chọn đề tài, tạo mọi điều kiện cho tôi hồn thành khố
luận và sửa chữa những sai sót trong suốt q trình tơi thực hiện đề tài.
Luận văn có được một số kết quả nhất định, tuy nhiên khơng thể tránh khỏi sai
sót và hạn chế, kính mong được sự cảm thơng và đóng góp ý kiến của thầy cơ và các
bạn.
Tôi xin chân thành cảm ơn!
Quảng Nam, tháng 05 năm 2016
Sinh viên
Đoàn Thị Mỹ
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
Ký hiệu Từ đầy đủ Nghĩa tiếng Việt
LAN Local Area Network Mạng cục bộ
DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán
IP Internet Protocol Giao thức liên mạng
VPN Virtual Private Network Mạng riêng ảo
VDC Vietnam Datacommunication Cơng ty Điện tốn và truyền Số liệu
Company
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
SQL Structured Query Language Ngơn ngữ truy vấn có cấu trúc
IPS Intrusion Prevention system Hệ thống phát hiện xâm nhập
BKAV Công ty an ninh mạng BKAV
APPS Applications Ứng dụng
FTP File Transfer Protocol Giao thức chuyển nhượng tập tin
SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư điện tử
POP3 Post Office Protocol phiên bản Giao thức được sử dụng để lấy thư
3 điện tử
HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản
CNTT Under Ground Công nghệ thông tin
UG Internet Service Provider Thế giới ngầm
ISP Nhà cung cấp dịch vụ Internet
Internet Relay Chat Cơ sở dữ liệu
CSDL Compact Disc Thành phố Hồ Chí Minh
TP.HCM Remote Administration Tool Mạng xã hội
Transmission Control Protocol Chat chuyển tiếp Internet
MXH User Datagram Protocol Đĩa quang
IRC Universal Serial Bus Điều khiển máy tính từ xa
CoD Giao thức điều khiển truyền vận
RAT Giao thức hướng thông điệp
TCP Thiết bị kết nối ngoại vi với máy tính
UDP
USB
PC Personal Computer Máy tính cá nhân
PUI Program Under Inspection Kiểm tra chương trình dưới
VNN Trang webmail của VNN
TTTT Command & Conquer Thông tin truyền thông
C&C Thương hiệu video game
VNCER Trung tâm ứng cứu khẩn cấp máy
tính Việt Nam
T Tổ chức kiểm định và đánh giá độc
AV- lập về các phần mềm diệt Virus cho
TEST Window và Androi
P2P peer-to-peer Mạng ngang hàng
MỤC LỤC
Phần 1. MỞ ĐẦU ............................................................................................................1
1.1. Lý do chọn đề tài ......................................................................................................1
1.2. Mục đích nghiên cứu ................................................................................................1
1.3. Đối tượng và phạm vi nghiên cứu ............................................................................1
1.4. Phương pháp nghiên cứu ..........................................................................................1
1.5. Lịch sử nghiên cứu ...................................................................................................1
1.6. Đóng góp của đề tài ..................................................................................................2
1.7. Cấu trúc của khóa luận .............................................................................................2
Phần 2. NỘI DUNG NGHIÊN CỨU ..............................................................................3
Chương 1: TỔNG QUAN VỀ KIỂU TẤN CÔNG.........................................................3
1.1. Giới thiệu về mã độc ................................................................................................3
1.1.1. Tình hình mã độc tại việt nam và trên thế giới......................................................4
1.1.2. Nguyên lý phát hiện mã độc..................................................................................6
1.2. Phân loại và hoạt động của mã độc ..........................................................................9
1.2.1. Phân loại các mã độc .............................................................................................9
1.2.2. Cách thức hoạt động của mã độc.........................................................................16
1.3. Các kiểu tấn công và hành vi của các mã độc ........................................................18
1.3.1. Mục đích của mã độc...........................................................................................18
1.3.2. Các kiểu tấn công của mã độc .............................................................................18
1.3.3. Hành vi mã độc....................................................................................................20
1.4. Ảnh hưởng của mã độc...........................................................................................23
1.4.1 Ảnh hưởng của mã độc tấn công gây thiệt hại cho người sử dụng ......................23
1.4.2. Ảnh hưởng của mã độc tấn công mạng xã hội ....................................................23
1.5. Kêt luận...................................................................................................................24
Chương 2: CƠ SỞ NGHIÊN CỨU AN TOÀN BẢO MẬT MẠNG............................25
2.1. An tồn bảo mật mạng............................................................................................25
2.1.1. Tình hình an ninh mạng tại việt nam và trên thế giới. ........................................25
2.1.2. Những tài nguyên mạng cần bảo vệ ....................................................................26
2.1.3. An toàn bảo mật mạng.........................................................................................26
2.2. Mối đe dọa về an ninh mạng ..................................................................................27
2.2.1. Mối đe dọa vê từ người dùng ..............................................................................27
2.2.2. Mối đe dọa từ lỗ hổng hệ thống...........................................................................28
2.2.3. Mối đe dọa từ hacker ...........................................................................................28
2.3 Các mức bảo vệ trên mạng ......................................................................................31
2.4. An toàn bảo mật trong mạng xã hội .......................................................................33
2.4.1. Sơ lược về mạng xã hội. ......................................................................................33
2.4.2. Các mối đe dọa về an toàn bảo mật trong mạng xã hội.......................................34
2.4.3. Bảo mật trong mạng xã hội. ................................................................................35
2.5. Kết luận...................................................................................................................35
Chương 3: GIẢI PHÁP NGĂN CHẶN TẤN CÔNG MẠNG XÃ HỘI.......................36
3.1. Giải pháp bảo mật mạng xã hội..............................................................................36
3.1.1. Giải pháp bảo mật khi chưa bị nhiễm mã độc. ....................................................36
3.1.2. Giải pháp bảo mật khi bị nhiễm mã độc..............................................................37
KẾT LUẬN ...................................................................................................................45
TÀI LIỆU THAM KHẢO .............................................................................................46
DANH MỤC HÌNH ẢNH VÀ ĐỒ THỊ
Hình 1.1. Sự xuất hiện của các loại mã độc mới theo từng năm. – Thống kê của AV-
TEST ................................................................................................................................ 3
Hình 1.2 Việt Nam đứng thứ 2 về lượng lây nhiễm mã độc tấn công các giao dịch ngân
hàng trực tuyến (2013) - Theo TrendMicro. ...................................................................4
Hình 1.3 Số lượng mã độc từ năm 2009 đến tháng 3/2013 theo AV-TEST ...................5
Hình 1.4. Sự phân chia về các kỹ thuật phát hiện mã độc...............................................6
Hình 1.5. Phát hiện mã độc dựa vào dấu hiệu đặc trưng.................................................7
Hình 1.6. Phân loại hành vi dựa vào đặc điểm bất thường..............................................8
Hình 1.7. Các mã độc tấn cơng mạng..............................................................................9
Hình 1.8. Virus đánh kèm trong các tập tin thực thi .....................................................10
Hình 1.9. Hoạt động của người dùng spyware ghi lại...................................................11
Hình 1.10. Troijan ẩn mình trong các phần mềm miễn phí...........................................12
Hình 1.11. Mơ tả mức độ lây lan của worms năm 2001 ...............................................15
Hình 1.12. Cơng dụng của một mạng Botnet ................................................................16
Hình 1.13. Minh họa cách thức lây nhiễm mã độc qua thư điện tử ..............................19
Hình 2.1. Biểu đồ thống kê các nguồn phát tán thư rác chính trong tháng 2/2013.......25
Hình 2.2. Các mức bảo vệ mạng ...................................................................................32
Hình 3.1. Cài đặt dịng thời gian ...................................................................................36
Hình 3.2. Bị nhiễm mã độc trên facebook.....................................................................37
Hình 3.3. Yêu cầu đăng nhập lại để lấy thơng tin .........................................................38
Hình 3.4. Ứng dụng trên rác trên facebook ...................................................................38
Hình 3.5. Xóa bỏ ứng dụng rác .....................................................................................39
Hình 3.6. Cài đặt gắn thẻ lên dịng thời gian.................................................................39
Hình 3.7. Thơng báo nhắc đến bình luận ......................................................................40
Hình 3.8. Thơng báo có mã độc nguy hiểm ..................................................................40
Hình 3.9. Cài đặt tiện ích độc ........................................................................................41
Hình 3.10. Gỡ bỏ tiện ích độc .......................................................................................41
Hình 3.11. Vào nhóm trong facebook ...........................................................................42
Hình 3.12. Hướng dẫn rời khỏi nhóm rác .....................................................................43
DANH MỤC BẢNG
Bảng 1.1. Kỹ thuật phát hiện mã độc dựa vào dấu hiệu đặt trưng ..................................7
Bảng 1.2. Kỹ thuật phát hiện mã độc dựa vào đặc điểm bất thường...............................8
Phần 1. MỞ ĐẦU
1.1. Lý do chọn đề tài
Mạng xã hội ngày càng đi sâu vào cuộc sống của con người đây là mơ hình mới
nhất trong q trình phát triển đương đại, đơn giản hoá các phương thức tương tác và
kết nối giữa con người với nhau suốt chiều dài lịch sử. Theo quan điểm của nhiều nhà
nghiên cứu, mạng xã hội mới ra đời trong thời gian gần đây nhưng nó đang trở thành
món ăn tinh thần khơng thể thiếu của mọi người. Vì thế, nếu một ngày hệ thống mạng
xã hội trở nên tê liệt thì mọi người trở nên khó chịu. Bây giờ, mọi tầng lớp người hầu
như ai cũng có trang blog riêng. Bởi vì ngày nay có rất nhiều trang mạng xã hội như
Facebook, Linkedin, Twitter hay MySpace. Trong đó Facebook là mạng xã hội chiếm
đơng đảo người sử dụng. Tuy nhiên gần đây nhiều trường hợp thông tin cá nhân bị
đánh cắp và lừa đảo gây ra hậu quả nghiêm trọng cho người sử dụng.
Được sự hướng dẫn của thầy Nguyễn Hà Huy Cường, tôi đã chọn đề tài
“NGHIÊN CỨU MÃ ĐỘC TẤN CÔNG MẠNG XÃ HỘI” để làm luận văn tốt
nghiệp.
1.2. Mục đích nghiên cứu
Nắm vững những kiến thức cơ bản về mã độc, đặc biệt là một số giải pháp ngăn
chặn tấn công trong trong mạng xã hội.
Áp dụng kỹ thuật phân tích mã độc để ngăn chặn tấn công trong mạng xã hội
1.3. Đối tượng và phạm vi nghiên cứu
Các kỹ thuật phân tích mã độc
Giải pháp ngăn chặn tấn công mạng xã hội
1.4. Phương pháp nghiên cứu
Tìm đọc tài liệu, giáo trình, luận văn, bài báo, thơng tin trên mạng.
Phân tích, tổng hợp tài liệu.
Thống kê, phân tích dữ liệu.
1.5. Lịch sử nghiên cứu
Với vấn đề về bảo mật mạng xã hội, đặc biệt là bảo mật mạng xã hội facebook
cũng đã được nhiều tác giả phân tích, nghiên cứu theo nhiều hướng khác nhau.
Phần lớn các tác giả đều cho thấy một cách tổng quan về bảo mật mạng và cách
để phịng tránh mã độc, mà ít hướng đến các biện pháp loại trừ chúng.
1
1.6. Đóng góp của đề tài
Đề tài được nghiên cứu nhằm trình bày những kiến thức cơ bản và tổng quan về
mã độc, phân loại và chỉ ra được hướng tấn công của mã độc để phòng tránh.
Nội dung đề tài cịn trình bày tổng quan về an toàn bảo mật mạng và các mối đe
dọa của mã độc tấn công an ninh mạng xã hội.
Giải pháp và xây dựng chương trình mô phỏng khắc phục tấn công của mã độc.
1.7. Cấu trúc của khóa luận
Lời cảm ơn
Mục lục
Danh mục các ký hiệu, các chữ viết tắt
Danh mục các bảng
Danh mục các hình vẽ, đồ thị
MỞ ĐẦU
1. Lý do chọn đề tài
2. Mục đích nghiên cứu
3. Đối tượng và phạm vi nghiên cứu
4. Phương pháp nghiên cứu
5. Lịch sử nghiên cứu
6. Đóng góp của đề tài
NỘI DUNG
Chương 1: Tổng quan về các kiểu tấn công.
Chương 2: Cơ sở nghiên cứu an toàn thông tin.
Chương 3: Giải pháp khắc phục tấn công của mã độc
KẾT LUẬN
TÀI LIỆU THAM KHẢO
2
Phần 2. NỘI DUNG NGHIÊN CỨU
Chương 1: TỔNG QUAN VỀ KIỂU TẤN CÔNG
1.1. Giới thiệu về mã độc
160000000
140000000
120000000
100000000
80000000
60000000
40000000
20000000
0
Hình 1.1. Sự xuất hiện của các loại mã độc mới theo từng năm. – Thống kê của AV-TEST
Mã độc hại (Malware hay Maliciuos code) là một chương trình được chèn một
cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn hoặc
tính sẵn sàng của hệ thống.
Theo định nghĩa này mã độc hại bao hàm rất nhiều thể loại mà ở Việt Nam vẫn
quen gọi chung là virus máy tính như: worm, trojan, spy-ware, … thậm chí là virus
hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như:
backdoor, rootkit, key-logger. Như vậy chính xác thì virus máy tính chỉ là một dạng
của mã độc hại.[4]
Mã độc cịn được định nghĩa là loại mã máy tính có hại hay kịch bản web được
thiết kế để tạo ra các lỗ hổng hệ thống hàng đầu để trở lại cửa ra vào, vi phạm an ninh,
thông tin và đánh cắp dữ liệu, và thiệt hại tiềm năng khác của các tập tin và hệ thống
máy tính.
Mục đích chính của mã độc: Lây nhiễm qua các hệ thống, che giấu mục đích, thu
lợi.
3
United States
Vietnam
Brazil
India
Japan
Philippines
Chile
Turkey
Indonesia
Ma laysi a
Others
Hình 1.2 Việt Nam đứng thứ 2 về lượng lây nhiễm mã độc tấn công các giao dịch ngân hàng
trực tuyến (2013) - Theo TrendMicro.
1.1.1. Tình hình mã độc tại việt nam và trên thế giới.
Mã độc xuất hiện đầu tiên vào năm 1984 đến 2013, theo viện nghiên cứu độc lập
về an tồn thơng tin AV-TEST, đã có khoảng hơn 120.000.000 mã độc được phát tán.
Đặc biệt, trong vòng năm năm gần đây, số lượng mã độc phát triển nhanh chóng trên
tồn thế giới đã đặt ra nhiều vấn đề về an ninh thơng tin cho người sử dụng Internet
trên tồn cầu
4
40000000
30000000
20000000
10000000
0 2010 2011 2012 2013
2009
Hình 1.3 Số lượng mã độc từ năm 2009 đến tháng 3/2013 theo AV-TEST
Các mã độc cũng đa dạng và phong phú về cả hành vi và mục đích phát tán. Các
lĩnh vực mà mã độc nhắm đến bao gồm kinh tế, chính trị, tơn giáo và nhiều lĩnh vực
quan trọng khác. Trong năm 2012, thế giới bị rúng động bởi sự hoành hành của Flame
và Duqu, những Virus đánh cắp thông tin mật của các hệ thống điện Trung Đông.
Tại Việt Nam, xu hướng tấn cơng, phát tán phần mềm có mã độc vào các cơ
quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia
và đã xuất hiện tại Việt Nam. Bên cạnh các loại mã độc phổ biến thì cũng xuất hiện
các dạng mã độc mới, như mã độc đính kèm trong tập tin văn bản. Hầu hết người nhận
được mail đã mở tập tin văn bản đính kèm và bị nhiễm mã độc khái thác lỗ hổng của
phần mềm Microsoft Office. Khi xâm nhập vào máy tính, mã độc này âm thầm kiểm
sốt tồn bộ máy tính nạn nhân, mở cổng hậu (Backdoor), cho phép tin tặc điều khiển
máy tính nạn nhân từ xa. Chúng cũng nhận lệnh tin tặc tải các mã độc khác về máy
tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.[1]
Từ 21/12/2014 đến 21/12/2015, Trung tâm VNCERT đã ghi nhận được 5898 sự
cố Phishing (tăng gần 4 lần so với năm ngoái), gửi yêu cầu điều phối và xử lý được
5104 sự cố (tăng 4,5 lần so với năm ngoái); 8850 sự cố Deface (tăng 1,06 lần so với
năm ngoái), gửi yêu cầu điều phối và đã xử lý được 6188 sự cố (trong đó có 252 sự cố
liên quan đến các tên miền “gov.vn”); 16.837 sự cố Malware (tăng 1,7 lần so với năm
ngoái), đã cảnh báo và khắc phục được 3885 sự cố (trong đó có 87 sự cố liên quan đến
các tên miền “gov.vn”). Nhìn chung mã độc đa số là các liên kết ẩn được nhúng vào
website thực hiện các thao tác không mong muốn. Ví dụ: Like fanpage facebook, ẩn
link. Ghi nhận 1.451.997 lượt địa chỉ IP cả nước bị nhiễm mã độc và nằm trong các
5
mạng Botnet (tăng 1,6 lần so với năm ngoái) trong đó gửi cảnh báo cho 3779 lượt địa
chỉ IP của các cơ quan nhà nước; điều phối, yêu cầu ngăn chặn 7.540 địa chỉ máy chủ
C&C server điều khiển mạng Botnet và bóc gỡ mã độc tại 1.200.000 địa chỉ IP tại các
máy bị nhiễm thuộc quản lý của các doanh nghiệp ISP. Phối hợp với Cert quốc tế xử
lý và ngăn chặn 200 website giả mạo (giả mạo giấy phép do Bộ TTTT cấp, giả mạo
webmail của VNN, VDC,...[11]
1.1.2. Nguyên lý phát hiện mã độc
Phát hiện mã độc
Dựa vào dấu hiệu Dựa vào các điểm
đặc trưng bất thường
Tĩnh Động Lai Tĩnh Động Lai
Hình 1.4. Sự phân chia về các kỹ thuật phát hiện mã độc
Như vậy, có thể thấy các kỹ thuật phát hiện mã độc được chia thành 2 nhóm
chính là: - Signature-based: dựa vào dấu hiệu đặc trưng - Anomaly-based: dựa vào các
điểm bất thường Các kỹ thuật phân tích được sử dụng trong các kỹ thuật phát hiện mã
độc là:
Stactic: phân tích tĩnh
Dynamic: phân tích động
Hybrid: phân tích lai, là sử kết hợp giữa phân tích động và tĩnh.[3]
1.1.2.1. Phát hiện mã độc dựa vào dấu hiệu đặc trưng
Là việc sử dụng một tập các mẫu nhận dạng được gọi là signature để làm căn cứ
xác định mã độc. Tập các signature sẽ được xây dựng bằng việc cập nhật các mẫu mã
độc đã được kiểm chứng, bằng việc sử dụng những mẫu được xây dựng chuyên biệt
bởi các nhà nghiên cứu.
6
Ưu thế:
Phát hiện chính xác các mã độc nếu như có các signature trùng khớp với các mẫu
trong tập mẫu nhận dạng
Hạn chế:
Vậy xây dựng tập các signature hồn chỉnh là vơ cùng khó khăn.
Tập mẫu nhận dạng sẽ chạy theo sau sự phát triển của mã độc, và sẽ không phát
hiện được các mã độc mới, các zero-days.
Khi số lượng signature lớn thì việc lưu trữ và đối chiếu cũng sẽ gặp khó khăn.[3]
Hình 1.5. Phát hiện mã độc dựa vào dấu hiệu đặc trưng
Bảng 1.1. Kỹ thuật phát hiện mã độc dựa vào dấu hiệu đặt trưng
Kỹ thuật Nội dung
Dynamic Xác định chính xác mã độc bằng việc chỉ sử dụng các thông
tin thu thập được từ các chương trình có quyền kiểm tra (Program
Under Inspection – PUI) và được đối chiếu với các tập mẫu.
Static Bằng cách kiểm tra chương trình dưới các mã, các đoạn code
hoặc kiểm tra hành vi bằng các chuỗi mã. Từ đó đối chiếu với tập
mẫu để phân loại chương trình có chứa mã độc hay có phải là mã
độc hay không. Điều này giúp việc xác định mã độc có xác suất rất
cao, gần như là tuyệt đối mà khơng cần thực thi chương trình. Bù
lại, cách thức này mất nhiều công sức, thời gian.
Hybrid Cách thức xác định sử dụng cả 2 hình thức Dynamic và Static.
7
1.1.2.2. Phát hiện mã độc dựa vào đặc điểm bất thường
Cách phát hiện dựa vào các điểm bất thường được chia thành 2 giai đoạn:
Giai đoạn Training Learning: các detector sẽ cố gắng học những trạng thái
bình thường. Có thể học các trạng thái từ các host,…
Giai đoạn Detection Monitoring: dựa vào các trạng thái bình thường đã được
học, các detector sẽ xác định được trạng thái bất thường và đưa ra cảnh báo.
Hình 1.6. Phân loại hành vi dựa vào đặc điểm bất thường
Ưu điểm:
Là chìa khóa để có thể phát hiện ra các khai thác zero-day hay zero-attack.
Hạn chế:
Sai số giữa trạng thái bình thường và bất thường - Sự phức tạp, rắc rối khi xác
định những trạng thái được phép học.[3]
Bảng 1.2. Kỹ thuật phát hiện mã độc dựa vào đặc điểm bất thường
Kỹ thuật Nội dung
Dynamic Các thông tin thu được từ việc thực thi chương trình sẽ được
sử dụng để phát hiện mã độc. Ở giai đoạn Detection, các detector
thực hiện liên tục việc đối chiếu giữa các trạng thái mới với các
trạng thái đã học được. Và giai đoạn Detection được triển khai
trong suốt quá trình chương trình được thực thi.
Static Các đặc trưng về cấu trúc tệp tin của chương trình sẽ được
dùng để kiểm tra và xác định có phải là mã độc hay không. Đặc
điểm nổi bật của cách này là có thể phát hiện mã độc nhưng khơng
8
Hybrid cho chương trình mã độc thực thi.
Sử dụng một mơi trường giả lập có cấu trúc giống với máy
thật, có thể gọi đó là máy ảo để sử dụng phối hợp 2 kỹ thuật phân
tích trên mà khơng làm ảnh hưởng đến máy thật.
1.2. Phân loại và hoạt động của mã độc
1.2.1. Phân loại các mã độc
Malware (hay còn gọi là phần mềm độc hại) là bất kỳ loại phần mềm nào có thể
làm hại máy tính của bạn, bao gồm tất cả những phần mềm độc hại được đề cập đến là:
Hình 1.7. Các mã độc tấn công mạng
Virus
Virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây
nhiễm chính nó vào các file, chương trình hoặc máy tính. Như vậy virus máy tính phải
ln ln bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các
chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt
virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, …
Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông
báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của
virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên khơng thể thực thi việc
xố đoạn mã độc hại đó. Virus thường cần phải được thực hiện thơng qua tính năng
Autorun, hệ thống khởi động hoặc bằng tay bởi người sử dụng. Các nguồn phổ biến
nhất để lây nhiễm virus là ổ đĩa USB, Internet và file đính kèm trong email. Để ngăn
9
chặn virus lây lan từ USB, bạn nên làm cho nó an tồn bằng cách qt virus trước khi
sử dụng trên máy tính.
Compiled Virus là virus mà mã thực thi của nó đã được dịch hồn chỉnh bởi một
trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus như
(Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80
là virus thuộc nhóm này, compiled virus cũng có thể là pha trộn bởi cả boot virus và
file virus trong cùng một phiên bản.
Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ
trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống. Một cách đơn
giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được
thực thi. Macro virus, scripting virus là các virus nằm trong dạng này. Macro virus rất
phổ biến trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc
tạo và mở file để thực thi và lây nhiễm. Sự khác nhau giữa macro virus và scripting
virus là: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus
là tập lệnh chạy bằng một service của hệ điều hành. Melisa là một ví dụ xuất sắc về
macro virus, Love Stages là ví dụ cho scripting virus.[6]
Hình 1.8. Virus đánh kèm trong các tập tin thực thi
Spyware
Là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thơng thường vì
mục đích thương mại) qua mạng Internet mà khơng có sự nhận biết và cho phép của
chủ máy. Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ
phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia
10
sẻ(shareware) mà người ta có thể tải về từ Internet. Một khi đã cài đặt, spyware điều
phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin
đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin
tặc). Khác với worm và virus, Spyware khơng có khả năng tự nhân bản.
Phần mềm gián điệp được phát triển nhằm đánh cắp thông tin của bạn từ máy
tính và gửi lại cho người viết ra nó. Một số thơng tin dễ bị đánh cắp bởi phần mềm
gián điệp bao gồm thơng tin thẻ tín dụng, thông tin đăng nhập trang web, tài khoản
email,... Phần mềm gián điệp sẽ không gây tổn hại cho hệ thống của bạn, chính vì vậy
mà hầu hết người dùng khơng nhận thấy sự tồn tại của nó. Hiện nay, các phần mềm
chống virus hiện đại cũng bao gồm công cụ chống phần mềm gián điệp.[6]
Hình 1.9. Hoạt động của người dùng spyware ghi lại
Trojan
Trojan là một trong những mối đe dọa nguy hiểm nhất với máy tính. Chúng là
một mã độc ẩn bên trong một phần mềm có vẻ hữu ích nhưng bí mật kết nối đến máy
chủ độc hại và chạy nền nên bạn không hề hay biết. Trojan thường được sử dụng để
điều khiển hoàn tồn máy tính từ xa. Nếu máy tính của bạn bị nhiễm trojan, bạn nên
ngắt kết nối Internet và không kết nối lại cho đến khi trojan đó được loại bỏ hoàn toàn.
Là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”. Trojan horse khơng
tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ơn hồ nhưng thực chất
11