Tải bản đầy đủ (.doc) (61 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Tiểu luận môn an toàn thông tin Tìm hiểu về Virus, Worm, Trojan, Zombie

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (547.64 KB, 61 trang )

Ứng dụng và truyền thông an ninh thông tin

BÁO CÁO ỨNG DỤNG TRUYỀN THÔNG VÀ AN
NINH THÔNG TIN

Tìm hiểu về Virus, Worm, Trojan, Zombie
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Giáo viên : Tô Nguyễn Nhật Quang
Nhóm sinh viên thực hiện:
Trần Cảnh Khánh 08520175
Trần Minh Quân 08520310
Nguyễn Nghĩa Tuấn 08520443
Nguyễn Minh Quân 08520000
Thành phố Hồ Chí Minh 2011
Trường Đại học Công Nghệ Thông Tin Khoa Mạng Máy Tính Và Truyền Thông
Ứng dụng và truyền thông an ninh thông tin
MỤC LỤC
ĐẶT VẤN ĐỀ 1
CHƯƠNG 1. VIRUS 2
I. Lịch sử Virus máy tính 2
II. Khái niệm 3
III. Phân loại virus máy tính 5
IV. Các kỹ thuật của virus máy tính 7
V. Cách thức lây lan của virus máy tính 11
VI. Phòng chống virus 19
22
PHẦN II TROJAN 23
I. Lịch sử hình thành Trojan 23
II. Khái niệm về Trojan 23
III. Phân loại Trojan 23
IV. Một số trojan phổ biến 26


V. Cách phòng chống 28
PHẦN 3 WORM 30
I. Lịch sử hình thành 30
II. Khái niệm 31
III. Phân loại worm 31
IV. Một số loại worm phổ biến 33
VI. Cách phòng chống 46
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
PHẦN 4 ZOMBIE 48
I. Lịch sử hình thành 48
II. Khái niệm 50
III. Làm thế nào để trở thành một zombie 51
IV. Zombie và Spam 51
V. Khi Zombie tấn công 53
VI.Cách phòng chống 54
TÀI LIỆU THAM KHẢO 56
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
ĐẶT VẤN ĐỀ
Mặc dù các phần mềm độc hại (malware) đã xuất hiện từ khá lâu trên thế giới và trong
nước ta, song đối với người sử dụng và cả những làm công tác tin học, các phần mềm độc
hại vẫn là vấn đề nan giải, nhiều khi nó gây các tổn thất về mất mát dữ liệu trên đĩa, gây các
tổn thất về mất mát dữ liệu trên đĩa, gây các sự cố trong quá trình vận hành máy. Sự nan
giải này có nhiều lý do: Thứ nhất, số lượng các phần mềm độc hại xuất hiện khá đông đảo,
mỗi phần mềm độc hại có một đặc thù riêng và một cách phá hoại riêng. Để tìm hiểu cặn kẻ
về virus,trojan,worm không thể trong một thời gian ngắn được, điều này làm nản lỏng
những người lập trình muốn tìm hiểu về virus. Thứ hai, hầu như rất ít các tài liệu về tin học

được phổ biến, có lẽ người ta nghĩ rằng nếu có các tài liệu đề cập tới virus một cách tỉ mỉ,
hệ thống thì số người tò mò, nghịch ngợm viết virus sẽ tăng lên nữa.
Vì các lý do trên, việc phòng chống các phần mềm độc hại vẫn là biện pháp tốt nhất. Trong
trường hợp phát hiện có các phần mềm độc hại xâm nhập, ngoài việc sử dụng các chương
trình diệt virus hiện đang có trên thị trường, việc hiểu biết cơ chế, các đặc điểm phổ biến
của phần mềm độc hại là những kiến thức mà những người công tác tin học nên biết để có
các xử lý phù hợp.
Nội dung của bài báo cáo này đưa ra một số lý thuyết cơ bản đối với mảng kiến thức hệ
thống, các nguyên tắc thiết kế, hoạt động của loại phần mềm độc hại nói chung, áp dụng
trong phân tích một vài virus, trojan, worm phổ biến. Trên cơ sở đó, đề cập tới phương
pháp phòng tránh, phát hiện các phần mềm độc hại. Các kiến thức này cộng với các phần
mềm diệt virus hiện có trên thị trường có tác dụng trong việc hạn chế sự lây lan, phá hoại
của virus nói chung.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
CHƯƠNG 1. VIRUS
I. Lịch sử Virus máy tính
- Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý thuyết tự nhân bản
của một chương trình cho máy tính.
- Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108
một chương trình gọi là “Pervading Animal” tự nó có thể nối với phần sau của các tập
tin tự hành. Lúc đó chưa có khái niệm virus.
- Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.
- Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra
khái niệm computer virus như định nghĩa ngày nay.
- Năm 1986: Virus “The Brain”, virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại
Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector)
của một đĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ đĩa mềm. Đây là loại “Stealth
virus” đầu tiên.
- Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus “VirDem”. Nó

có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại
các máy tính VAX/VMS.
- Năm 1987: Virus đầu tiên tấn công vào command.com là virus “Lehigh”.
- Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học, công ty trong các quốc gia
vào thứ 6 ngày 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (Giống boom
logic).
- Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.
- Năm 1991: Virus đa hình ra đời đầu tiên là virus “Tequilla”. Loại này biết tự thay đổi
hình thức của nó, gây ra khó khăn cho các chương trình chống virus.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
- Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong
các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều
hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các
ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng
của Microsoft như Word, Excel, PowerPoint, OutLook…
- Năm 2002: Tác giả của virus Melissa, David L.Smith, bị xử 20 tháng tù.
- Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm
mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và
còn kết hợp với các thủ đoạn khác của phần mềm gián điệp (spyware). Đồng thời nó có
thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ
điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ
không hề thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như
chương trình.
II. Khái niệm
Virus là một phần mềm có thể sao chép chính nó. Nó không đứng một mình mà
phải gắn vào một tập tin hoặc một chương trình khác. Khi một chương trình bị nhiễm virus
máy tính được thực hiện hoặc một tập tin bị nhiễm được mở ra, loại virus chứa trong nó sẽ
được thực thi. Khi thực thi, virus có thể làm hại máy tính và sao chép chính nó để lấy
nhiểm sang máy khác trong hệ thống.

Có nhiều người nhầm tưởng virus chỉ tồn tại trên máy tính và chỉ xuất hiện trên hệ
điều hành phổ biến là Windows. Tuy nhiên thật ra không phải vậy. Hiện nay virus không
chỉ tồn tại trên hệ điều hành Windows mà tại bất kỳ hệ điều hành (thông dụng) nào đều đã
có sự xuất hiện của virus. Linux, UNIX, MacOS và ngay cả hệ điều hành Sysbian dành cho
điện thoại di động đều đã có những virus lây nhiễm. Tuy nhiên, do tính phổ biến là cao nhất
nên không có gì khó hiểu mà hệ điều hành Windows trở thành hệ điều hành mà nhiều virus
đã và đang xuất hiện nhiều nhất.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
Một số đuôi mở rộng có khả năng bị virus tấn công
.bat: Microsoft Batch File (Tệp xử lý theo lô).
.chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML).
.cmd: Command file for Windows NT (Tệp thực thi của Windows NT).
.com: Command file (program) (Tệp thực thi).
cpl: Control Panel extension (Tệp của Control Panel).
.doc: Microsoft Word (Tệp của chương trình Microsoft Word).
.exe: Executable File (Tệp thực thi).
.hlp: Help file (Tệp nội dung trợ giúp người dùng).
.hta: HTML Application (Ứng dụng HTML).
.js: Javascript File (Tệp Javascript).
.jse: Javascript Encoded Scirpt File (Tệp mã hóa Javascript).
.lnk: Shortcut File (Tệp đường dẫn).
.msi: Microsoft Installer File (Tệp cài đặt).
.pif: Program Information File (Tệp thông tin chương trình).
.reg: Registry File.
.src: Screen Saver (Portable Executable File).
.sct: Window Script Compoment.
.shb: Document Shortcut File.
.shs: Shell Scrap Object.
GV: Thạc sỹ Tô Nguyễn Nhật Quang

Ứng dụng và truyền thông an ninh thông tin
.vb: Visual Basic File.
.vbe: Visual Basic Encoded Script File.
.vbs: Visual Basic File.
.wsc: Windows Script Component.
.wsf: Window Script File.
.wsh: Windows Script Hot File.
. {*}: Class ID (CLSID) File Extensions.
Tuy nhiên bạn nên tránh ngộ nhận. Không phải bắt buộc những file mang đuôi mở rộng
như trên đều là virus, nó chỉ là những phần mở rộng có nhiều khả năng bị virus tấn công mà
thôi.
III. Phân loại virus máy tính
Dựa vào đối tượng lây lan là file hay đĩa, ta chia virus thành hai nhóm chính:
+ B – virus (boot virus): virus chỉ tấn công lên các Boot sector hay Master boot.
+ F – virus (file virus): virus chỉ tấn công lên các file thi hành được (dạng có thể thi hành
bằng chức năng 4Bh của DOS hơn là những file dạng .COM hay .EXE).
Dù vậy, cách phân chia này không phải là duy nhất, mà cũng không hẳn chính xác. Vì sau
này, các F-virus vẫn phá hoại hay chèn mã phá hoại vào Boot sector, cũng như B – virus
chèn đoạn mã vào file. Tuy nhiên, những hiện tượng này chỉ nhằm phá hoại chứ không coi
đó là đối tượng để lây lan. Dạng tổng quát của một virus có thể biểu diễn bằng sơ đồ sau:
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
Như đã giới thiệu về định nghĩa virus, đoạn mã này một lúc nào đó phải được trao quyền
điều khiển. Như vậy, rõ ràng virus phải khai thác một sơ hở nào đó mà máy “tự nguyện”
trao quyền điều khiển lại cho nó.
Bên cạnh đó chúng ta cũng có thể phân chia virus dựa vào phương pháp tìm đối tượng lấy
nhiễm có 2 loại:
- Virus thường trú
- Virus không thường trú
Hoặc phân loại theo phương pháp lây nhiễm:

- Ghi đè
- Ghi đè bảo toàn
- Dịch chuyển
- Song hành
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
- Nối thêm
- Chèn giữa
- Định hướng lại lệnh nhảy
- Điền khoảng trống
IV. Các kỹ thuật của virus máy tính
1. Kỹ thuật lây nhiễm
Là kỹ thuật cơ bản cần phải có của mỗi virus. Có thể đơn giản hoặc phức tạp tùy
từng loại virus.
- Kỹ thuật lây nhiễm Boot Record/ Master Boot của đĩa: thay thế BR hoặc MB trên
phân vùng hoạt động với chương trình virus.
- Kỹ thuật lây nhiễm file thi hành: chương trình virus sẽ được chép vào file chủ bằng
cách nối thêm, chèn giữa, điền vào khoảng trống, ghi đè…
Thuật toán thường dùng để lây nhiễm 1 file .COM:
• Mở file.
• Ghi lại thời gian/ngày tháng/thuộc tính.
• Lưu trữ các byte đầu tiên (thường là 3 byte).
• Tính toán lệnh nhảy mới.
• Đặt lệnh nhảy.
• Chèn thân virus chính vào.
• Khôi phục thời gian/ngày tháng/thuộc tính.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
• Đóng file.
2. Kỹ thuật định vị trên vùng nhớ

- Phân phối một vùng nhớ để thường trú, chuyển toàn bộ chương trình virus tới vùng
nhớ này, sau đó chuyển quyền điều khiển cho đoạn mã tại vùng nhớ mới với địa chỉ
segment: offset mới.
- Là một kỹ thuật quan trọng đối với các chương trình virus dạng mã máy (virus
Boot, virus file). Virus macro và virus Script thực chất là các lệnh của chương trình
ứng dụng nên không cần tiến hành kỹ thuật này.
3. Kỹ thuật kiểm tra sự tồn tại
- Mỗi virus chỉ nên lây nhiễm/kiếm soát một lần để đảm bảo không làm ảnh hưởng
đến tốc độ làm việc của máy tính.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
- Virus phải kiểm tra sự tồn tại của chính mình trước khi lây nhiễm hoặc thường trú.
+Kiểm tra trên đối tượng lây nhiễm.
+Kiểm tra trên bộ nhớ.
- Kỹ thuật kiểm tra thường là:
+Dò tìm đoạn mã nhận diện trên file hoặc bộ nhớ.
+Kiểm tra theo kích thước hoặc nhãn thời gian của file.
4. Kỹ thuật thường trú
- Các virus boot phân phối một vùng nhớ riêng để lưu giữ chương trình virus bao
gồm mã lệnh, biến, vùng đệm.
- Các virus file cần phải kiểm tra xem chương trình đã thường trú chưa, nếu chưa sẽ
định rõ vùng nhớ muốn sử dụng, copy phần virus vào bộ nhớ, sau đó khôi phục file
chủ và trả quyền điều khiển về cho file chủ.
5. Kỹ thuật mã hóa
- Nhắm che giấu mã lệnh thực sự của chương trình virus. Thủ tục mã hóa cũng chính
là thủ tục giải mã.
6. Kỹ thuật ngụy trang
- Nhằm giấu giếm, ngụy trang sự tồn tại của virus trên đối tượng chủ.
- Những virus sử dụng kỹ thuật này thường chậm bị phát hiện và có khả năng lây lan
mạnh.

7. Kỹ thuật phá hoại
- Đa dạng.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
- Phá hoại dữ liệu trên máy tính.
- Phá hỏng một phần máy tính.
8. Kỹ thuật chống bẫy
- Chọn file trước khi lây nhiễm theo một số tiêu chí nào đó nhằm tránh những file bẫy
của chương trình Antivirus.
+Không lây nhiễm các file có số trong tên file.
+Không lây nhiễm những chương trình sử dụng nhiều mã lệnh đặc biệt.
+Không lây nhiễm các file có tên liên tục (Ví dụ aaaa.com…).
+Không lây nhiễm các file liên tục có cùng kích thước.
+Không lây nhiễm các file ở thư mục gốc.
+Không lây nhiễm các file có lệnh nhảy và lệnh gọi zero.
9. Kỹ thuật tối ưu
- Gồm các kỹ thuật viết mã và thiết kế nhằm tối ưu chương trình về tốc độ và kích
thước.
10. Kỹ thuật tạo vỏ bọc
- Là kỹ thuật chống gỡ rối/dịch ngược mã lệnh virus nhằm chống lại phần mềm
antivirus.
- Thường mã hóa hoặc sử dụng các lệnh JMP và CALL để chương trình lộn xộn phức
tạp.
- Sử dụng các thủ tục giả để phân tích viên gặp khó khăn khi phân biệt các tác vụ…
11. Kỹ thuật đa hình
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
- Là kỹ thuật chống lại phương pháp dò tìm đoạn mã mà các chương trình antivirus
thường sử dụng để nhận dạng một virus đã biết bằng cách tạo ra các bộ giải mã
khác biệt.

12. Kỹ thuật biến hình
- Cũng là một kỹ thuật chống lại các kỹ thuật nhận dạng của chương trình antivirus
bằng cách sinh ra một đoạn mã mới hoàn toàn.
- Là một kỹ thuật khó, phức tạp.
13. Kỹ thuật chống mô phỏng và theo dõi
- Một số chương trình antivirus hiện đại sử dụng phương pháp heuristic để phát hiện
virus dựa trên hành vi của chương trình. Kỹ thuật này nhằm chống lại sự phát hiện
của chương trình antivirus như vậy.
- Thông thường là chèn thêm những đoạn mã lệnh “rác” không ảnh hưởng đến logic
của chương trình xen kẻ giữa mã lệnh thực sự.
V. Cách thức lây lan của virus máy tính
1. Tạo khóa khởi động:
Virus nhiễm vào máy tính, tức là nó có thể “sống” trong máy tính ấy. Các virus khi
muốn tiếp tục hoạt động để lây lan thì bắt buộc chúng phải tìm cách để sau khi bạn tắt máy,
vào lần bật máy sau thì virus ấy sẽ được kích hoạt và tiếp tục làm việc.
Để làm được điều này, các virus thường tự ghi các giá trị vào một số địa chỉ nhất định trong
registry để trong lần khởi động sau của hệ điều hành thì virus ấy sẽ tiếp tục được gọi.
1.1. Khởi động hợp pháp
Trong registry có một số địa chỉ mà Windows tạo ra để bạn dễ dàng đưa chương
trình mình chạy sau khi máy được khởi động. Điều này cũng tương tự với một số file. Sở dĩ
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
chúng ta có thể gọi nó đây là cách “hợp pháp” là vì những giá trị (Chứa thông tin về file sẽ
được khởi động) này thì chương trình quản lý những chương trình khởi động cùng hệ
thống có sẵn trong Windows là System Configuration Utility có thể quản lý chúng.
Để khởi động chương trình này, bạn chọn Start\Run Nhập vào giá trị: msconfig và chọn
OK. Bạn chọn thẻ Startup để có thể quản lý các ứng dụng khi khởi động. Còn thẻ Services
để quản lý các chương trình dịch vụ khởi động cùng hệ thống. Cách này worm, Trojan cũng
thường sử dụng.
Sau đây là 2 phương thức khác nhau cùng một vài đoạn code trên VB6 thế hiện việc này

• Ghi file trong Regedit theo các địa chỉ sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Mcrosoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Chú ý: Với phương pháp ghi key như sau sẽ bị một số phần mềm chống virus nhận dạng và
chặn lại nên rất hiếm gặp kiểu ghi key này (Ngoại trừ các virus trên VBScript vẫn sử dụng).
• Phương pháp sử dụng thư mục khởi động:
C:\Documents and Settings\User name\Start Menu\Programs\Startup
Trong đó User name là tên sử dụng trong hệ thống
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Set reg = CreateObject("WScript.Shell")
reg.regwrite
"HKEY_LOCAL_MAHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start",
App.Path + "\" + App.EXEName + ".exe"
Ứng dụng và truyền thông an ninh thông tin
1.2. Khởi động bất hợp pháp
Ngược lại với các khởi động “hợp pháp” ở phía trên, đây là những cách khởi động mà
chương trình quản lý các trình khởi động cùng hệ thống sẽ không quản lý.
Chú ý: không giống như các key đã nói ở trên các key sắp được nói đến khá nguy hiểm nếu
chúng ta không hiểu chúng làm gì.Các key này cũng là các thông tin rất quan trọng khi bạn
diệt virus đảm bảo Windows vẫn làm việc bình thường.
Sửa đổi Key trong Regedit:
Đường dẫn key:
HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogo
n\Userinit
Giá trị mặc định: C:\Windows\System32\userinit.exe
Với C:\Windows là thư mục cài đặt hệ điều hành.
Đường dẫn key:
HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogo
n\Shell
Giá trị mặc định: explorer.exe (Hay C:\Windows\explorer.exe)

Với C:\Windows là thư mục cài đặt hệ điều hành
Đường dẫn ghi ở 2 key này sẽ được Windows khởi động ngay cả trong SafeMode. Đây
cũng chính là lý do mà một số virus vẫn hoạt động ngay cả khi bạn làm việc trên SafeMode
của hệ điều hành.
Ý nghĩa của các key
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
Khi Windows khởi động qua màn hình chào Welcome, Windows sẽ tiếp tục đọc giá trị ở
key Userinit để tìm chương trình khởi động tiếp theo.Với giá trị là file userinit.exe thông
thường,thì file userinit.exe này sẽ được chạy. Sau đó file này tiếp tục gọi explorer.exe và
chúng ta có môi trường làm việc trên explorer.exe.Vấn đề lớn sẽ xảy ra nếu hệ điều hành
không thể khởi động có đường dẫn tương ứng với giá trị tại key Userinit. Lúc này file
explorer.exe không gọi và chúng ta sẽ bị Log Out trở lại màn hình Welcome.Hiện tượng
này đã xảy ra với nhiều người dùng.
Các virus khi ghi giá trị là đường dẫn của mình vào key Userinit thường ghi thành dạng
như sau:
Đường dẫn key: HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\WinLogon\Userinit
Giá trị: C:\Windows\System32\userinit.exe,Đường dẫn virus.
Với C:\Windows là thư mục cài đặt hệ điều hành.
Điều này có nghĩa rằng, cả userinit.exe và cả virus đều được chạy. Và như thế hệ điều hành
vẫn sẽ không có hiện tượng gì bất ổn mà virus vẫn được khởi động. Đây là một giải pháp
an toàn.
Tuy nhiên không phải Virus nào cũng làm vậy, một số virus đã ghi key này với giá trị chính
của đường dẫn virus. Điều này đồng nghĩa với việc chỉ có virus đó được kích hoạt khi khởi
động với key Userinit. Lúc này, nếu virus không gọi file explorer.exe thì hệ thống sẽ ngừng
hoạt động.
Đây là một vấn đề lớn mà rất đông người dùng máy tính gần đây mắc phải
Một số key khác
Windows thực hiện các lệnh trong khu vực

GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
HKEY_CLASSES_ROOT\exefile\shell\open\command “%1” %* của Registry. Lệnh
nhúng ở đây sẽ mở khi bất kỳ file chạy nào được thực thì.
Có thể có những file khác:
HKEY_CLASSES_ROOT\exefile\shell\open\command =”\”%1\” %*”
HKEY_CLASSES_ROOT\comfile\shell\open\command =”\”%1\” %*”
HKEY_CLASSES_ROOT\batfile\shell\open\command =”\”%1\” %*”
HKEY_CLASSES_ROOT\htafile\shell\open\command =”\”%1\” %*”
HKEY_CLASSES_ROOT\piffile\shell\open\command =”\”%1\” %*”
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]
="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\"
%*"
Nếu các khóa không có giá trị “\”%1\”%*” như trên và bị thay đổi một số thứ kiểu như
“\”somefilename.exe %1\” %*” thì chúng sẽ tự động gọi một file đặc tả.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
2. Lây nhiễm:
2.1. Email:
Lây truyền qua email là phương thức cơ bản nhất của virus sử dụng mạng internet để truyền
nhiễm. Dù là một phương pháp đã tồn tại khá lâu, nhưng đến hiện nay đây vẫn là một
phương thức được rất nhiều virus sử dụng.

Sau đây là một đoạn mã minh hoạt quá trình gửi email từ một máy đã bị lây nhiễm qua
email của những người khác thông qua việc liệt kê danh sách email những người đã từng có
liên hệ với máy nạn nhân trên Outlook Explorer (OE)
2.2. Qua các thiết bị lưu trữ
Trước kia phương thức lây truyền virus qua đĩa mềm khá phổ biến, cùng với việc đĩa mềm
ngày càng ít được sử dụng và được thay thế bằng ổ đĩa USB thì phương thức lây truyền qua
đĩa mềm dần được thay thế bằng phương pháp lây truyền qua đĩa USB.
Cũng có một số tự nhân bản vào đĩa CD,DVD rồi chờ đợi những nạn nhận khác nhau.
GV: Thạc sỹ Tô Nguyễn Nhật Quang
‘Xác định đường dẫn virus
Dim AppVirus As String
If Len(App.Path) <> 3 Then
AppVirus = App.Path + "\" + App.exename + (Chr(46) + Chr(101) + Chr(120)
+ Chr(101))
Else
AppVirus = App.Path + App.exename + (Chr(46) + Chr(101) + Chr(120) +
Chr(101))
End If
Set go = CreateObject(fgo)
Set St = CreateObject(“Outlook.Application”)
Set out = Wscript.CreateObject(“Outlook.Application”)
Set MAPI = out.GetNameSpace(“MAPI”)
Set a = MAPI.AddressLists(1)
For X = 1 To a.AddressEntries.Count
Set Mail = St.CreateItem(0)
Mail.To = St.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(X)
Mail.Subject = “Tên nội dung Mail” ‘Ví dụ : This is card Valentine
Mail.Body = “Nội dung email” ‘Ví dụ : This is my lover
Mail.Attachments.Add = AppVirus ‘Đây là phần file đính kèm
Mail.Send

Next
St.Quit
Ứng dụng và truyền thông an ninh thông tin
Sau đây là các bước một virus thường làm để lây truyền qua đĩa USB.
1. Tìm ổ đĩa USB (Xem cố tồn tại không)
- Liệt kê tất cả ổ đĩa.
- Kiểm tra xem trong các ổ đĩa đó, ổ đĩa nào là đĩa giao tiếp qua USB.
2. Sau khi thực hiện bước này, có 2 cách lây nhiễm vào USB chủ yếu như sau:
- Virus tự nhân bản mình vào một địa chỉ nhất định trên USB, rồi tạo file
autorun.inf trong USB nhằm kích hoạt mình nếu người sử dụng nào đó bất
cẩn khi sử dụng USB đó.
- Virus sẽ liệt kê toàn bộ thư mục có trong USB. Tại mỗi thư mục đó virus sẽ
tự nhân bản mình giả dạng 1 thư mục con của thư mục đó (Thường thì các
virus này sẽ biểu tượng giống hình một thư mục thông thường).
Ở cách 2 virus sẽ tạo file autorun.inf có cấu trúc như sau:
[Autorun]
Open=Đường dẫn virus trong đĩa USB
Trên đây chỉ là cấu trúc cơ bản. Cấu trúc này có thể có sự khác biệt, ví dụ trong trường hợp
sau:
[AutoRun]
open=pagefile.pif
shell\open=´ò¿ª(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=pagefile.pif
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
Dù file ở dưới quy định nhiều thuộc tính hơn, nhưng về chức năng cơ bản thì không đổi.
Chức năng của file này là tạo cho đĩa USB có chế độ Autorun. Ở chế độ này, khi người

dùng mở USB theo cách thông thường như nháy đúp vào ổ đĩa USB thì thay vì đĩa USB đó
được mở sẽ tự động chạy file có đường dẫn lưu trữ tại khóa có giá trị OPEN. Chúng ta rất
khó nhận ra sự khác biệt giữa việc Open bình thường của đĩa USB với việc Autorun này.
Lý do là các virus được kích hoạt trong đĩa USB sẽ mở thư mục của đĩa USB ra.
2.3. Mạng nội bộ
Virus sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (của máy nạn nhân) xem có thư
mục nào chia sẽ và cho phép sửa chữa chúng hay không. Sau đó chúng sẽ tự sao chép và
chờ đợi một ai đó vô ý chạy chúng
2.4. Qua cách dịch vụ IM
Trước đây đã có nhiều virus lây lan bằng các dịch vụ nhắn tin (chủ yếu là IRC, MSN hay
Skype) nhưng dạo này người dùng Việt Nam mới để ý đến chúng do cơ dịch virus nội lây
qua dịch vụ IM của Yahoo! mà khởi đầu là virus GaixinhYM. Cơn dịch này bắt đầu từ
2006 và đến nay thì vẫn chưa hoàn toàn kết thúc. Hàng trăm virus nội xuất hiện có cùng
hình thức lây nhiễm qua dịch vụ nhắn tin này.
2.5. Web
Thở sơ khai, Internet chưa có hình ảnh như hôm nay. Do nhu cầu trình diễn và nhiều ứng
dụng trên trang web ngày càng mạnh, người ta đã xây dựng nên các công cụ để phục vụ
mục đích ấy, ActiveX hay các script xuất hiện vì các lý do ấy. Tuy nhiên, những công cụ
này tạo những lỗ hổng bảo mật nguy hiễm. Các virus Việt Nam đã sử dụng 1 lỗ hỗng về mã
VBscript của trình duyệt Internet Explorer để lây nhiễm.
2.6. Qua file
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
Đây là cách lây nhiễm virus đã tồn tại rất lâu. Cách thức lây nhiễm cơ bản là virus sẽ thay
đổi nội dung file của bạn mà sau đó khi bạn hay người khác làm việc với file ấy thì họ sẽ
nhiễm virus.
Trước đây phần lớn virus file chỉ tìm cách lây nhiễm vào các file định dạng exe, pif, com
và virus Macro thay đổi cấu trúc file văn bản.Nhưng theo tôi nhận thấy, gần đây đã có một
số virus nhiễm vào file thông minh hơn.Các virus marco hiện nay đã gần như hết đất sống,
khi các công cụ diệt virus và của chính hãng cung cấp phần mềm soạn thảo ngày càng chú

ý đến dạng virus này.
Tuy nhiên, theo tôi nhận thấy, gần đây một số virus đã rất thông minh khi vẫn lây nhiễm
vào các định dạng doc và xls mà không cần sử dụng đến marco.
Một ví dụ cụ thể là virus Ukuran. Đây là virus phá hoại dữ liệu các file .DBF, .LDF, .MDF,
.BAK và thay đổi các file .doc và .xls. Virus thực tế đã không thay đổi cấu trúc file gốc mà
đã xoá file ấy đi và tạo 1 file mới cùng tên với file văn bản ấy với phần mở rộng là “.exe”.
Trong file mới này, virus đã chèn chính mình ở phía trên và phần dữ liệu của file văn bản ở
phía cuối file. Khi được kích hoạt, chúng sẽ tách dữ liệu của file văn bản ở cuối file để tạo
thành 1 file mới và cho người dùng làm việc trên file này.
Lúc này, file virus tạo là file thực thi chứ không phải là 1 file văn bản như ban đầu. Kẻ viết
virus đã rất thông minh khi để biểu tượng (Icon) của virus chính là biểu tượng của các file
văn bản tương ứng. Điều này làm người dùng nhầm lẫn file này chính là file văn bản mà
vô tình kích hoạt và nhiễm virus.
VI. Phòng chống virus
Một mô hình phòng thủ hiệu quả và chắc chắn là thiết lập nhiều tuyến phòng vệ, nào là
phòng vệ bên ngoài với tường lửa cứng (tích hợp trong router), tường lửa mềm (phần mềm
trong máy tính), phần mềm chống virus, phần mềm chống spyware rồi phải cập nhật bản
sửa lỗi những lỗ hổng bảo mật của hệ điều hành và của những phần mềm cài đặt trên máy
tính. Tuy nhiên, nhiều người dùng gia đình không đủ khả năng (tài chính, kiến thức) để
thực hiện điều này. Vậy tuyến phòng vệ nào là cần thiết và phù hợp?
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
Tường lửa (firewall) kiểm soát dữ liệu ra vào máy tính của bạn và cảnh báo những hành vi
đáng ngờ; là công cụ bảo vệ máy tính chống lại sự xâm nhập bất hợp pháp bằng cách quản
lý toàn bộ các cổng của máy tính khi kết nối với môi trường bên ngoài (mạng Lan,
Internet ). Tường lửa có sẵn trong Windows XP chỉ giám sát được dòng dữ liệu vào máy
tính chứ không kiểm soát được dòng dữ liệu ra khỏi máy tính. Người dùng gia đình thường
ít có kinh nghiệm về bảo mật và virus, tường lửa sẽ không phát huy tác dụng vì người dùng
không thể xử lý các cảnh báo. Hơn nữa, việc cài đặt tường lửa sẽ làm cho máy tính hoạt
động chậm đi.

Phần mềm chống virus. Có rất nhiều sản phẩm phần mềm diệt virus được giới thiệu, từ
những bộ phần mềm "tất cả trong một" đến những phần mềm độc lập và miễn phí. Chúng
đều có những điểm mạnh yếu riêng nhưng đáng buồn là không phần mềm nào có thể bảo vệ
máy tính của bạn một cách toàn diện. Một số bạn đọc không cài đặt phần mềm chống virus
vì thấy hệ thống trở nên chậm chạp. Họ chấp nhận mạo hiểm (hoặc không biết) những rủi
ro khi đánh đổi sự an toàn của máy tính để lấy tốc độ. Một vài bạn đọc lại cho rằng máy
tính sẽ an toàn hơn, được bảo vệ tốt hơn nếu cài đặt nhiều phần mềm chống virus. Điều này
cũng không tốt vì sẽ xảy ra tranh chấp giữa các phần mềm khi chúng tranh giành quyền
kiểm soát hệ thống.
Cập nhật bản sửa lỗi. Lỗ hổng bảo mật của phần mềm là "điểm yếu" virus lợi dụng để
xâm nhập vào máy tính của bạn. Thật không may là những điểm yếu này lại khá nhiều và
người dùng cũng không quan tâm đến việc này. Hãy giữ cho hệ điều hành, trình duyệt web
và phần mềm chống virus luôn được cập nhật bằng tính năng tự động cập nhật (auto
update); nếu tính năng này không hoạt động (do sử dụng bản quyền bất hợp pháp), hãy cố
gắng tải về từ website của nhà sản xuất bằng cách thủ công. Bạn sẽ tăng cường tính năng
phòng thủ hiệu quả cho hệ thống và tránh tình trạng virus "tái nhiễm" sau khi diệt.
Trình duyệt an toàn hơn. Nếu so sánh, bạn dễ dàng nhận thấy Internet Explorer là trình
duyệt web có nhiều lỗ hổng bảo mật nhất dù Microsoft liên tục đưa ra những bản sửa lỗi.
Sử dụng những trình duyệt thay thế như Mozilla Firefox, Opera hoặc cài đặt thêm một
GV: Thạc sỹ Tô Nguyễn Nhật Quang
Ứng dụng và truyền thông an ninh thông tin
trong những trình duyệt này để tận dụng những ưu điểm của mỗi phần mềm và tăng tính
bảo mật khi lướt web.
Suy nghĩ kỹ trước khi cài đặt. Nhiều bạn đọc thích táy máy, tải về và cài đặt nhiều phần
mềm khác nhau để thử nghiệm. Điều này dẫn đến việc chúng ta không kiểm soát được
những phần mềm sẽ làm gì trên máy tính. Thực tế cho thấy cài đặt quá nhiều phần mềm sẽ
"bổ sung" thêm những lỗ hổng bảo mật mới, tạo điều kiện cho tin tặc dễ dàng xâm nhập
vào máy tính của bạn, góp phần làm đổ vỡ hệ thống phòng thủ mà bạn dày công tạo dựng.
Sử dụng máy tính với quyền user. Với Windows NT/2000/XP, việc đăng nhập và sử
dụng máy tính với tài khoản mặc định thuộc nhóm Administrators là một hành động mạo

hiểm vì virus sẽ được "thừa hưởng" quyền hạn của tài khoản này khi xâm nhập vào hệ
thống, máy tính của bạn có thể trở thành zombie và tấn công máy tính khác. Tài khoản
thuộc nhóm Users sẽ không được phép thay đổi các thiết lập liên quan đến hệ thống, bạn sẽ
tránh được nhiều nguy cơ bị phá hoại và những phiền toái, cả khi virus xâm nhập vào máy
tính.
Sử dụng máy tính với quyền User sẽ khiến người dùng gặp nhiều khó khăn trong quá trình
cài đặt ứng dụng và thực hiện một số tác vụ liên quan đến hệ thống nhưng chúng tôi vẫn
khuyến khích bạn đọc tự giới hạn quyền sử dụng trên máy tính của mình. Hơn nữa, bạn
không cần cài thêm phần mềm phòng chống spyware. Tài nguyên hệ thống không bị chiếm
dụng, máy tính hoạt động nhanh hơn.
Sao lưu hệ thống. Bạn có thể bỏ qua bước này nếu tin rằng máy tính của mình luôn chạy
tốt. Hãy thực hiện việc sao lưu vào thời điểm máy tính hoạt động ổn định, đã cài đặt những
phần mềm cần thiết. Bạn có thể đưa hệ thống trở lại trạng thái đã sao lưu chỉ với vài thao
tác đơn giản khi cần thiết. Để tạo tập tin ảnh của phân vùng đĩa cứng, bạn có thể sử dụng
một trong những phần mềm như Drive Image của PowerQuest, Norton Ghost của
Symantec, DriveWorks của V Communications, Acronis True Image của Acronis
Việc sao lưu sẽ rất hữu ích với những bạn đọc thích táy máy, thử nghiệm tính năng phần
mềm, thường xuyên truy cập vào những website "đen". Bạn sẽ tiết kiệm rất nhiều thời gian
GV: Thạc sỹ Tô Nguyễn Nhật Quang

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×