[Type the document title]
Virus và Worm Page 1
MỤC LỤC
CHƯƠNG 1: TNG QUAN VỀ AN NINH MNG 4
1.1 Giới thiệu an ninh mng 4
1.2 Hot động an ninh mng 5
1.3 Tình hình về an ninh mng 6
1.4 Tổng kết tình hình virus và an ninh mng năm 2011 nước ta ( s liệu t bkav) 7
CHƯƠNG 2 : GII THIU VIRUS V WORM 9
2.1 Virus 9
2.1.1 Đc đim cơ bn virus 9
2.1.2 Nguyên nhân Virus được to ra 9
2.1.3 Du hiệu nhn biết b nhiễm Virus 9
2.1.4 Nguyên nhân máy tính b nhiễm Virus 10
2.1.5 Phân loi virus theo đi tượng lây nhiễm 10
2.1.6 B-virus. 10
2.1.7 F-Virus 16
2.1.8 Phân loi virus theo cch thc lây nhiễm 21
2.2 Worm 25
2.2.1 Giới thiệu Worm 25
2.2.2 Giới thiệu một s worm cơ bn 26
2.3 So Sánh Virus và Worm 28
2.4 Biện Pht phòng trnh và tiêu diệt Virus và Worm 28
2.4.1 Biện php phòng trnh Virus 28
2.4.2 Biện php phòng trnh Worm 28
2.4.3 Biện pht phòng trnh chung cho Worm và Virus 29
[Type the document title]
Virus và Worm Page 2
2.4.4 Giới thiệu một s phần mềm chng virus và worm uy tín 29
CHƯƠNG 3 : DEMO VIRUS V WORM 33
3.1 Demo virus 33
3.2 Demo worm 35
CHƯƠNG 4 : KẾT LUẬN 36
4.1 Kết qu đt được 36
4.2 Một s hn chế 37
4.3 Tài liệu tham kho 38
[Type the document title]
Virus và Worm Page 3
MỤC LỤC HÌNH ẢNH
Hình 1.1: Danh sách 15 virus lây lan nhiều nhất trong năm 2011 8
Hình 1.2 :Số lượng các website bị tấn công trong năm 2011 8
Hinh 2.1: Phá hoi lm file phân mnh 15
Hình 2.2 : Lây vi file .EXE 17
Hình 2.3: Lây nhiễm của Virus boot sector 21
Hình 2.4: Virus Multipatite 22
Hình 2.5: Sự lây nhiễm Virus Stealth/ Virus Tunneling 22
Hình 2.6: Sự lây nhiễm virus macro 23
Hình 2.7: Biến thể Virus Metamorphic 24
Hình 2.8: Sự lây nhiễm Virus Companion 24
Hình 2.9 : Sự lây nhiễm Virus Cavity 25
Hinh 2.10: Anti-Virus của Avast 30
Hình 2.11: Anti-Virus của Avira 30
Hình 2.12: Anti-Virus của AVG 31
Hình 2.13: Anti-Virus của Kaspersky 32
Hình 3.1: Terabit Virus Maker 33
Hình 3.2: JPS virus maker 34
Hình 3.3: DELmE’s Batch Virus Maker 34
Hình 3.4: Internet Worm Maker Thing 35
[Type the document title]
Virus và Worm Page 4
CHƯƠNG 1: TNG QUAN VỀ AN NINH MNG
1.1 Gii thiệu an ninh mng
Mng my tính toàn cầu Internet là mng của cc mng my tính được kết ni với nhau
qua giao thc TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Cc mng được điều
hành hot động bi một hoc nhiều loi hệ điều hành mng. Như vy, hệ điều hành mng
có th điều phi một phần của mng và là phần mềm điều hành đơn v qun lý nhỏ nht
trên toàn bộ mng.
Mng my tính toàn cầu Internet là mng của cc mng my tính được kết ni với nhau
qua giao thc TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Cc mng được điều
hành hot động bi một hoc nhiều loi hệ điều hành mng. Như vy, hệ điều hành mng
có th điều phi một phần của mng và là phần mềm điều hành đơn v qun lý nhỏ nht
trên toàn bộ mng.
Điều khc nhau giữa mng my tính và xã hội loài người là đi với mng my tính
chúng ta phi qun lý tài sn khi mà cc ngôi nhà đều luôn m cửa. Cc biện php vt lý
là khó thực hiện vì thông tin và thiết b luôn cần được sử dụng.
Trên hệ thng mng m như vy, bo vệ thông tin bằng mt mã là mc cao nht song
không phi bao giờ cũng thun lợi và không tn kém. Thường thì cc hệ điều hành mng,
cc thiết b mng sẽ lãnh trch nhiệm l chắn cui cùng cho thông tin. Vượt qua l chắn
này thông tin hầu như không còn được bo vệ nữa.
Gi trên nền cc hệ điều hành là cc dch vụ mng như: Thư điện tử (Email), WWW,
FTP, News, làm cho mng có nhiều kh năng cung cp thông tin. Cc dch vụ này cũng
có cc cơ chế bo vệ riêng hoc tích hợp với cơ chế an toàn của hệ điều hành mng.
Internet là hệ thng mng m nên nó chu tn công t nhiều phía k c vô tình và hữu ý.
Cc nội dung thông tin lưu trữ và lưu truyền trên mng luôn là đi tượng tn công. Nguy
cơ mng luôn b tn công là do người sử dụng luôn truy nhp t xa. Do đó thông tin xc
thực người sử dụng như mt khẩu, bí danh luôn phi truyền đi trên mng. Những kẻ xâm
nhp tìm mọi cch giành được những thông tin này và t xa truy nhp vào hệ thng. Càng
[Type the document title]
Virus và Worm Page 5
truy nhp với tư cch người dùng có quyền điều hành cao càng thì kh năng ph hoi
càng lớn.
Nhiệm vụ bo mt và bo vệ vì vy mà rt nng nề và khó đon đnh trước. Nhưng tựu
trung li gồm ba hướng chính sau:
Bo đm an toàn cho phía server
Bo đm an toàn cho phía client
Bo mt thông tin trên đường truyền
1.2 Hot động an ninh mng
An ninh Mng không chỉ dựa vào một phương php mà sử dụng một tp hợp cc rào
cn đ bo vệ doanh nghiệp của bn theo những cch khc nhau. Ngay c khi một gii
php gp sự c thì gii php khc vẫn bo vệ được công ty và dữ liệu của bn trước đa
dng cc loi tn công mng.
Cc lớp an ninh trên mng của bn có nghĩa là thông tin có gi tr mà bn dựa vào đ
tiến hành kinh doanh là luôn sẵn có đi với bn và được bo vệ trước cc tn công. Cụ th
là, An ninh Mng:
Bo vệ chng li những tn công mng t bên trong và bên ngoài:
Cc tn công có th xut pht t c hai phía, t bên trong và t bên ngoài tường lửa của
doanh nghiệp của bn. Một hệ thng an ninh hiệu qu sẽ gim st tt c cc hot động
mng, cnh bo về những hành động vi phm và thực hiện những phn ng thích hợp.
Đm bo tính riêng tư của tt c các liên lc, bt c đâu và vào bt c lúc nào:
Nhân viên có th truy cp vào mng t nhà hoc trên đường đi với sự đm bo rằng
hot động truyền thông của họ vẫn được riêng tư và được bo vệ.
Kim soát truy cp thông tin bằng cch xc đnh chính xc người dùng và hệ thng
của họ :
[Type the document title]
Virus và Worm Page 6
Cc doanh nghiệp có th đt ra cc quy tắc của riêng họ về truy cp dữ liệu. Phê duyệt
hoc t chi có th được cp trên cơ s danh tính người dùng, chc năng công việc hoc
các tiêu chí kinh doanh cụ th khc.
Giúp bn tr nên tin cy hơn:
Bi vì cc công nghệ an ninh cho phép hệ thng của bn ngăn chn những dng tn
công đã biết và thích ng với những dng tn công mới, nhân viên, khch hàng và cc
doanh nghiệp có th an tâm rằng dữ liệu của họ được an toàn.
1.3 Tình hình về an ninh mng
Trên thế giới
An ninh không gian mng đang là một thch thc mang tính toàn cầu. Nhiều ý kiến
nhn đnh cho rằng cc cuộc tn công t không gian mng là một mi nguy cơ mới đi
với an ninh quc gia của tt c cc nước trên thế giới. Bi giờ đây Internet đã là một phần
không th thiếu của xã hội loài người. Tt c mọi th đều được đưa lên Internet, những
lợi ích mà Internet mang li rõ ràng là rt lớn, cùng với đó là nguy cơ cũng rt lớn bắt đầu
t đây.
Ti Việt Nam
Trong những năm va qua cùng với cc Website ni tiếng trên thế giới b tn công như
(Yahoo, Amazon.com, eBay, Buy.com) cc Website của Việt nam cũng không nằm ngoài
mục tiêu đột kích của cc hacker. Gần đây nht là vụ tn công của cc hacker vào
Website của Vitranet,bkav.com.vn. Thay vì hiện nội dung trang Web của mng thông tin
thương mi th trường Việt nam li là nội dung của trang Web có nội dung không lành
mnh khi người sử dụng gõ vào dòng đa chỉ: . Tuy nhiên, do s
lượng cc trang Web của Việt Nam còn ít, s lượng người sử dụng Internet chưa nhiều
(c nước có khong 40.000 thuê bao Internet) nên nếu có b tn công cũng gây thiệt hi
không đng k. Trong thời gian qua, cc đường truyền Internet của Việt Nam vn có lưu
lượng rt thp so với thế giới đã một s lần b tắc vào cc giờ cao đim. Tuy nhiên cc
[Type the document title]
Virus và Worm Page 7
trang Web của nước ta lo ngi nht là cc hacker ph hoi, sửa chữa làm sai lệch thông
tin ch không sợ "dội bom".
Trong đó VNN cũng đã nhiều lần b tn công dưới hình thc bom thư. Hàng ngàn bc
thư t nhiều đa đim trên thế giới đã đồng lot gửi về mng nhưng sự tắc nghẽn không
đng k và website trung tâm an ninh mng Việt Nam BKAV b tn công t chi dch vụ
Ddos và b tê liệt trong vầy giờ.Việc đi phó với hình thc tn công này không phi là
qu khó nhưng đ đi tới một gii php ti ưu, triệt đ thì l là vn đề đng bàn. Việc
nghiên cu, xây dựng những gii php kỹ thut tt hơn "bc tường lửa" bo vệ hiện nay
thì an ninh trên mng mới thực sự được bo đm mà không nh hưng đến cc dch vụ
Internet khc. Hiện nay "bc tường lửa" không những không đp ng được vn đề an toàn
an ninh mà còn làm cho cc dch vụ khc không pht trin được. Trước đây, chủ yếu lo
ngăn nga truy cp cc trang web có nội dung xu thì nay vn đề an ninh trên mng cần
phi được xem xét một cch nghiêm túc hơn c trong nước và quc tế
Đ đi phó với cc hình thc tn công t bên ngoài, Ban điều phi mng Internet Việt
Nam cũng đã đưa ra những nghiên cu, dự phòng. Cụ th là sử dụng cc thiết b như
Firewall, my chủ uỷ quyền và tổ chc phân cp công việc, trch nhiệm cụ th. Cc thông
tin quan trọng nht được lưu vào đĩa quang (hacker không xóa được) đ nếu trang Web b
hacker vào làm sai lệch thì xóa toàn bộ rồi li np t đĩa quang sang. Thêm vào đó Nhà
nước còn quy đnh cc my tính ni mng không được truy cp vào cc cơ s dữ liệu
quan trọng, bí mt quc gia. Đồng thời không cho thiết lp cc đường hotline (đường
truy cp trực tiếp) vào cc trang Web quan trọng nht.
1.4 Tổng kết tình hình virus v an ninh mng năm 2011 nưc ta ( số liệu t bkav)
64,2 triệu lượt máy tính ti Việt Nam b nhiễm virus là tổng kết năm 2011 t Hệ
thng giám sát virus của Bkav. Trung bình một ngày đã có hơn 175 nghìn my tính
b nhiễm virus.
Năm 2011, đã có 38.961 dòng virus xut hiện mới, lây lan nhiều nht là virus
W32.Sality.PE. Virus này đã lây nhiễm trên 4,2 triệu lượt máy tính.
[Type the document title]
Virus và Worm Page 8
Danh sách 15 virus lây lan nhiều nht trong năm 2011:
Hình 1.1: Danh sách 15 virus lây lan nhiều nht trong năm 2011
Hình 1.2 :S lượng cc website b tn công trong năm 2011
Cũng trong năm 2011, đã có 2.245 website của cc cơ quan, doanh nghiệp ti Việt
Nam b tn công. Trung bình mỗi tháng có 187 website b tn công.
[Type the document title]
Virus và Worm Page 9
CHƯƠNG 2 : GII THIU VIRUS V WORM
2.1 Virus
2.1.1 Đc đim cơ bn virus
Virus my tính thực cht là cc phần mềm tin học có kh năng gin tiếp tự kích hot,
tự nhân bn sao chép chính nó vào cc chương trình khc nhằm mục đích ph hoi, do
thm hoc cũng có th chỉ là đ vui đùa.Một s virus nh hưng đến máy tính ngay sau
khi mã của nó được thực hiện, một s virus khc nằm im cho đến khi một hoàn cnh hợp
lý rồi mới được kích hot. Đ tiện đồ n, khi nói virus ta hiu là virus my tính.
2.1.2 Nguyên nhân Virus được tạo ra
Gây thiệt hi cho cc đi thủ cnh tranh
Lợi ích tài chính
Dự n nghiên cu
Trò đùa
Ph hoi
Khủng b mng lưới
Phân tn cc thông điệp trính tr
2.1.3 Du hiu nhn bit b nhiễm Virus
Truy xut tp tin, m cc chương trình ng dụng chm.
Khi duyệt web có các trang web l tự động xut hiện.
Duyệt web chm, nội dung các trang web hin th trên trình duyệt chm.
Các trang qung cáo tự động hiện ra (pop up), màn hình Desktop b thay đổi.
Các file l tự động sinh ra khi bn m ổ đĩa USB.
[Type the document title]
Virus và Worm Page 10
Xut hiện các file có phần m rộng .exe có tên trùng với tên cc thư mục.và có du
hiệu mt file và thư mục
Nhẫn ổ đĩa b thay đổi
cng b truy xut thường xuyên
2.1.4 Nguyên nhân máy tính b nhiễm Virus
Không chy ng dụng chng virus mới nht
Không uptade và cc ng dụng bổ sung mới nhât
Cài đt cc phần mềm không tin tưng
M file hoc mail có dính km virus
Truy cp cc web không an toàn
Ti file trên internet mà không kim tra tính an toàn của file
2.1.5 Phân loại virus theo đi tượng lây nhiễm
Như đã nói tin học pht trin ngày càng mnh mẽ thì virus cũng pht trin
ngày càng đa dng có th nói không có loi virus nào là hoàn toàn ging
nhau. Tuy nhiên cc virus luôn có một s đc đim chung nht đnh đ dựa vào đó
người ta có th phân biệt nó. Có nhiều cch phân loi khc nhau, phân loi theo
đi tượng lây nhiễm thì virus gồm hai loi:
B-virus: Virus chỉ tn công lên Master Boot hay Boot Sector.
F-virus: Virus chỉ tn công lên các file kh thi.
Mc dù vy, cch phân chia này cũng không hẳn là chính xc. Ngoi lệ vẫn có
cc virus va tn công lên Master Boot (Boot Sector) va tn công lên file kh
thi.
2.1.6 B-virus.
[Type the document title]
Virus và Worm Page 11
2.1.6.1 Phân loi B-virus.
Như chúng ta đã biết, sau qu trình POST, sector đầu tiên trên đĩa A hoc đĩa C được
đọc vào vùng nhớ ti 0: 7C00, và quyền điều khin được trao cho đon mã trong sector
khi động này. B-virus hot động bông cch thay thế đon mã chuẩn trong sector khi
động này bông đon mã của nó đ chiếm quyền điều khin, sau khi đã cài đt xong mới
đọc sector khi động chuẩn được virus ct giữ đâu đó vào 0:7C00 và tr li quyền điều
khin cho đon mã chuẩn này. Việc ct giữ sector khi động ti v trí nào trên đĩa tuỳ
thuộc loi đĩa và cch gii quyết của tng loi virus. Ði với đĩa cng, thông thường nó
được ct giữ đâu đó trong Side 0, Cylinder 0 vì trong c track này, DOS chỉ sử dụng
sector đầu tiên cho bng Partition. Trên đĩa mềm, v trí ct giữ sẽ phc tp hơn vì mọi chỗ
đều có kh năng b ghi đ thông tin. Một s hướng sau đây đã được cc virus p dụng :
Sử dụng sector cui Root Directory, vì nó thường ít được sử dụng.
Sử dụng các sector cui cùng trên đĩa, vì khi phân bổ vùng trng cho file,DOS tìm
vùng trng t nhỏ đến lớn cho nên vùng này thường ít được sử dụng.
Ghi vào vùng trng trên đĩa, đnh du trong bng FAT vùng này là vùng b
hỏng đ DOS không sử dụng cp phát nữa. Cch làm này an toàn hơn cc
cch làm trên đây.
Format thêm track và ghi vào track va được Format thêm.
Tùy thuộc vào độ lớn của đon mã virus mà B-virus được chia thành hai loi:
SB-virus.
Chương trình của SB-virus chỉ chiếm đúng một sector khi động, cc tc vụ của SB-
virus không nhiều và tương đi đơn gin. Hiện nay s cc virus loi này thường ít gp và
có lẽ chỉ là cc virus do trong nước "sn xut".
DB-virus.
Ðây là những loi virus mà đon mã của nó lớn hơn 512 byte (thường thy). Vì thế mà
chương trình virus được chia thành hai phần:
[Type the document title]
Virus và Worm Page 12
Phần đầu virus: Ðược cài đt trong sector khi động đ chiếm quyền điều hin khi
quyền điều khin được trao cho sector khi động này. Nhiệm vụ duy nht của phần đầu
là: ti tiếp phần thân của virus vào vùng nhớ và trao quyền điều khin cho phần thân đó.
Vì nhiệm vụ đơn gin như vy nên phần đầu của virus thường rt ngắn, và càng ngắn
càng tt vì càng ngắn thì sự khc biệt giữa sector khi động chuẩn và sector khi động đã
b nhiễm virus càng ít, gim kh năng b nghi ngờ.
Phần thân virus: Là phần chương trình chính của virus. Sau khi được phần đầu ti vào
vùng nhớ và trao quyền, phần thân này sẽ tiến hành cc tc vụ của mình, sau khi tiến hành
xong mới đọc sector khi động chuẩn vào vùng nhớ và trao quyền cho nó đ my tính
làm việc một cch bình thường như chưa có gì xy ra c.
2.1.6.2 Một số kỹ thuật cơ bản của B-virus.
Dù là SB-virus hay DB-virus, nhưng đ tồn ti và lây lan, chúng đều có một s cc kỹ
thut cơ bn như sau:
Kỹ thut kim tra tính duy nht.
Virus phi tồn ti trong bộ nhớ cũng như trên đĩa, song sự tồn ti qu nhiều bn sao của
chính nó trên đĩa và trong bộ nhớ sẽ chỉ làm chm qu trình Boot my, cũng như chiếm
qu nhiều vùng nhớ nh hưng tới việc ti và thi hành cc chương trình khc đồng thời
cũng làm gim tc độ truy xut đĩa. Chính vì thế, kỹ thut này là một yêu cầu nghiêm
ngt với B-virus.Việc kim tra trên đĩa có hai yếu t nh hưng:
- Th nht là thời gian kim tra: Nếu mọi tc vụ đọc/ghi đĩa đều phi kim tra đĩa
thì thời gian truy xut sẽ b tăng gp đôi, làm gim tc độ truy xut cũng như gia
tăng mỗi nghi ngờ. Ði với yêu cầu này, cc virus p dụng một s kỹ thut sau:
Gim s lần kim tra bông cch chỉ kim tra trong trường hợp thay đổi truy xut
t ổ đĩa này sang ổ đĩa khc, chỉ kim tra trong trường hợp bng FAT trên đĩa
được đọc vào.
- Th hai là kỹ thut kim tra: Hầu hết cc virus đều kim tra bông gi tr t kho.
Mỗi virus sẽ to cho mình một gi tr đc biệt ti một v trí xc đnh trên đĩa,
việc kim tra được tiến hành bông cch đọc Boot record và kim tra gi tr của t
[Type the document title]
Virus và Worm Page 13
khoá này. Kỹ thut này gp tr ngi vì s lượng B-virus ngày một đông đo, mà
v trí trên Boot Record thì có hn. Cch khắc phục hiện nay của cc virus là tăng
s lượng mã lệnh cần so snh đ làm gim kh năng trùng hợp ngẫu nhiên. Ð
kim tra sự tồn ti của mình trong bộ nhớ, cc virus đã p dụng cc kỹ thut sau:
Ðơn gin nht là kim tra gi tr Key value ti một v trí xc đnh trên vùng nhớ
cao, ngoài ra một kỹ thut khc được p dụng đi với cc virus chiếm ngắt Int 21
của DOS là yêu cầu thực hiện một chc năng đc biệt không có trong ngắt này.
Nếu cờ bo lỗi được bt lên thì trong bộ nhớ chưa có virus, ngược li nếu virus
đã lưu trú trong vùng nhớ thì gi tr tr li (trong thanh ghi AX chẳng hn) là
một gi tr xc đnh nào đó.
Kỹ thut lưu trú.
Sau khi thực hiện xong chương trình POST, gi tr tổng s vùng nhớ va được Test sẽ
được lưu vào vùng BIOS Data đa chỉ 0:413h. Khi hệ điều hành nhn quyền điều khin,
nó sẽ coi vùng nhớ mà nó kim sot là gi tr trong đa chỉ này. Vì vy đ lưu trú, mọi B-
virus đều p dụng kỹ thut sau đây: Sau khi ti phần lưu trú của mình lên vùng nhớ cao,
nó sẽ gim gi tr vùng nhớ do DOS qun lý ti 0:413h đi một lượng đúng bông kích
thước của virus. Tuy nhiên nếu không kim tra tt sự có mt trong vùng nhớ, khi b Boot
mềm liên tục, gi tr tổng s vùng nhớ này sẽ b gim nhiều lần, nh hưng tới việc thực
hiện của cc chương trình sau này. Chính vì thế, các virus được thiết kế tt phi kim tra
sự tồn ti của mình trong bộ nhớ, nếu đã có mt trong bộ nhớ thì không gim dung lượng
vùng nhớ nữa.
Kỹ thut lây lan.
Ðon mã thực hiện nhiệm vụ lây lan là đon mã quan trọng trong chương trình virus.
Ð đm bo việc lây lan, virus khng chế ngắt quan trọng nht trong việc đọc/ghi vùng hệ
thng: đó là ngắt 13h, tuy nhiên đ đm bo tc độ truy xut đĩa, chỉ cc chc năng 2 và 3
(đọc/ghi) là dẫn tới việc lây lan. Việc lây lan bông cch đọc Boot Sector (Master Boot)
lên và kim tra xem đã b lây chưa (kỹ thut kim tra đã nói trên). Nếu sector khi động
đó chưa b nhiễm thì virus sẽ to một sector khi động mới với cc tham s tương ng
[Type the document title]
Virus và Worm Page 14
của đon mã virus rồi ghi tr li vào v trí của nó trên đĩa. Còn sector khi động va đọc
lên cùng với thân của virus (loi DB-virus) sẽ được ghi vào vùng xc đnh trên đĩa. Ngoài
ra một s virus còn chiếm ngắt 21 của DOS đ lây nhiễm và ph hoi trên cc file mà ngắt
21 làm việc. Việc xây dựng sector khi động có đon mã của virus phi đm bo cc kỹ
thut sau đây:
- Sector khi động b nhiễm phi còn cha cc tham s đĩa phục vụ cho qu trình
truy xut đĩa,đó là bng tham s BPB của Boot record hay bng phân chương
trong trường hợp Master boot. Việc không bo toàn sẽ dẫn đến việc virus mt
quyền điều khin hoc không th kim sot được đĩa nếu virus không có mt
trong môi trường.
- Sự an toàn của sector khi động nguyên th và đon thân của virus cũng phi
được đt lên hàng đầu. Cc kỹ thut về v trí ct giu chúng ta cũng đã phân tích
cc phần trên.
Kỹ thut ngụy trang và gây nhiễu.
Kỹ thut này ra đời kh muộn về sau này, do khuynh hướng chng li sự pht hiện của
người sử dụng và những lp trình viên đi với virus. Vì kích thước của virus kh nhỏ bé
cho nên cc lptrình viên hoàn toàn có th dò tng bước xem cơ chế của virus hot động
như thế nào, cho nên cc virus tìm mọi cch lắt léo đ chng li sự theo dõi của cc lp
trình viên. Cc virus thường p dụng một s kỹ thut sau đây:
- C tình viết cc lệnh một cch rắc ri như đt Stack vào cc vùng nhớ nguy
him, chiếm và xoá cc ngắt, thay đổi một cch lắt léo cc thanh ghi phân đon
đ người dò không biết dữ liệu ly t đâu, thay đổi cc gi tr của cc lệnh phía
sau đ người sử dụng khó theo dõi.
- Mã ho ngay chính chương trình của mình đ người sử dụng không pht hiện ra
quy lut, cũng như không thy một cch rõ ràng ngay sự hot động của virus.
- Ngụy trang: Cch th nht là đon mã cài vào sector khi động càng ngắn càng
tt và càng ging sector khi động càng tt. Tuy vy cch th hai vẫn được
nhiều virus p dụng: Khi máy đang nôm trong quyền chi phi của virus, mọi yêu
[Type the document title]
Virus và Worm Page 15
cầu đọc/ghi Boot sector (Master boot) đều được virus tr về một bn chuẩn: bn
trước khi b virus lây. Ðiều này đnh la người sử dụng và cc chương trình
chng virus không được thiết kế tt nếu my hiện đang chu sự chi phi của
virus.
Kỹ thut phá hoi.
Ðã là virus thì bao giờ cũng có tính ph hoi. Có th ph hoi mc đùa cho vui, cũng
có th là ph hoi mc độ nghiêm trọng, gây mt mt và đình trệ đi với thông tin trên
đĩa.
Căn c vào thời đim ph hoi, có th chia ra thành hai loi:
- Loi đnh thời: Loi này lưu giữ một gi tr, gi tr này có th là ngày giờ, s lần
lây nhiễm, s giờ my đã chy, Nếu gi tr này vượt qu một con s cho phép,
nó sẽ tiến hành ph hoi. Loi này thường nguy him vì chúng chỉ ph hoi một
lần.
- Loi liên tục: Sau khi b lây nhiễm và liên tục, virus tiến hành ph hoi, song do
tính liên tục này, cc hot động ph hoi của nó không mang tính nghiêm trọng,
chủ yếu là đùa cho vui.
Hinh 2.1: Ph hoi làm file phân mnh
2.1.6.3 Kỹ thuật dnh quyn điu khuyn của B-virus.
Khi my tính bắt đầu khi động (Power on), cc thanh ghi phân đon đều được đt về
0FFFFh,còn mọi thanh ghi khc đều được đt về 0. Như vy, quyền điều khin ban đầu
[Type the document title]
Virus và Worm Page 16
được trao cho đon mã ti 0FFFFh: 0h, đon mã này thực ra chỉ là lệnh nhy JMP FAR
đến một đon chương trình trong ROM, đon chương trình này thực hiện qu trình POST
(Power On Self Test - Tự kim tra khi khi động).
Qu trình POST sẽ lần lượt kim tra cc thanh ghi, kim tra bộ nhớ, khi to cc Chip
điều khin DMA, bộ điều khin ngắt, bộ điều khin đĩa Sau đó nó sẽ dò tìm cc Card
thiết b gắn thêm đ trao quyền điều khin cho chúng tự khi to rồi ly li quyền điều
khin. Chú ý rông đây là đon chương trình trong ROM (Read Only Memory) nên không
th sửa đổi, cũng như không th chn thêm một đon mã nào khc.
Sau qu trình POST, đon chương trình trong ROM tiến hành đọc Boot Sector trên đĩa
A hoc Master Boot trên đĩa cng vào RAM (Random Acess Memory) ti đa chỉ
0:7C00h và trao quyền điều khin cho đon mã đó bông lệnh JMP FAR 0:7C00h. Ðây là
chỗ mà B-virus lợi dụng đ tn công vào Boot Sector (Master Boot), nghĩa là nó sẽ thay
Boot Sector (Master Boot) chuẩn bông đon mã virus, vì thế quyền điều khin được trao
cho virus, nó sẽ tiến hành cc hot động của mình trước, rồi sau đó mới tiến hành các thao
tc như thông thường: Ðọc Boot Sector (Master Boot) chuẩn mà nó ct giu đâu đó vào
0:7C00h rồi trao quyền điều khin cho đon mã chuẩn này, và người sử dụng có cm gic
rông my tính của mình vẫn hot động bình thường.
2.1.7 F-Virus
2.1.7.1 Phân loi F-Virus
So với B-virus thì s lượng F-virus đông đo hơn nhiều, có lẽ do cc tc vụ đĩa với sự
hỗ trợ của Int 21 đã tr nên cực kỳ dễ dàng và thoi mi, đó là điều kiện pht trin cho các
F-virus. Thường thì cc F-virus chỉ lây lan trên cc file kh thi (có đuôi .COM hoc
.EXE), tuy nhiên một nguyên tắc mà virus phi tuân thủ là: Khi thi hành một file kh thi
b lây nhiễm, quyền điều khin phi nôm trong tay virus trước khi virus tr nó li cho file
b nhiễm, và khi file nhn li quyền điều khin, tt c mọi dữ liệu của file phi được bo
toàn. Ði với F-virus, có một s kỹ thut được nêu ra đây:
2.1.7.2 Kỹ thuật lây lan
[Type the document title]
Virus và Worm Page 17
Các F-virus chủ yếu sử dụng hai kỹ thut: thêm vào đầu và thêm vào cui
Thêm vào đầu file.
Thông thường, phương php này chỉ p dụng cho cc file .COM, tc là đầu vào của
chương trình luôn luôn ti PSP:100h. Lợi dụng đầu vào c đnh, virus chn đon mã của
chương trình virus vào đầu chương trình đi tượng, đẩy toàn bộ chương trình đi tượng
xung phía dưới. Cch này có một nhược đim là do đầu vào c đnh của chương trình
.COM là PSP:100, cho nên trước khi tr li quyền điều khin cho chương trình, phi đẩy
li toàn bộ chương trình lên bắt đầu t offset 100h. Cch lây này gây khó khăn cho những
người khôi phục vì phi đọc toàn bộ file vào vùng nhớ rồi mới tiến hành ghi li.
Thêm vào cui file.
Khc với cch lây lan trên, trong phương php này, đon mã của virus sẽ được gắn
vào sau của chương trình đi tượng. Phương php này được thy trên hầu hết cc loi
virus vì phm vi lây lan của nó rộng rãi hơn phương php trên. Do thân của virus không
nôm đúng đầu vào của chương trình, cho nên đ chiếm quyền điều khin, phi thực hiện
kỹ thut sau đây:
Ði với file .COM: Thay cc byte đầu tiên của chương trình (đầu vào) bông một lệnh
nhy JMP, chuyn điều khin đến đon mã của virus. E9 xx xx JMP Entry virus.
Ði với file .EXE: Chỉ cần đnh v li hệ thng cc thanh ghi SS, SP, CS, IP trong Exe
Header đ trao quyền điều khin cho phần mã virus.
Hình 2.2 : Lây với file .EXE
[Type the document title]
Virus và Worm Page 18
Ngoài hai kỹ thut lây lan chủ yếu trên, có một s ít cc virus sử dụng một s cc kỹ
thut đc biệt khc như mã ho phần mã của chương trình virus trước khi ghép chúng vào
file đ ngụy trang, hoc thm chí thay thế một s đon mã ngắn trong file đi tượng bông
cc đon mã của virus, gây khó khăn cho qu trình khôi phục. Khi tiến hành lây lan trên
file, đi với cc file được đt cc thuộc tính Sys (hệ thng), Read Only (chỉ đọc), Hidden
(ẩn), phi tiến hành đổi li cc thuộc tính đó đ có th truy nhp, ngoài ra việc truy nhp
cũng thay đổi li ngày giờ cp nht của file, vì thế hầu hết cc virus đều lưu li thuộc tính,
ngày giờ cp nht của file đ sau khi lây nhiễm sẽ tr li y nguyên thuộc tính và ngày giờ
cp nht ban đầu của nó.Ngoài ra, việc c gắng ghi lên đĩa mềm có dn nhãn bo vệ cũng
to ra dòng thông bo lỗi của DOS: Retry - Aboart - Ignoreô, nếu không xử lý tt thì dễ b
người sử dụng pht hiện ra sự có mt của virus. Lỗi kiu này được DOS kim sot bông
ngắt 24h, cho nên cc virus mun trnh cc thông bo kiu này của DOS khi tiến hành lây
lan phi thay ngắt 24h của DOS trước khi tiến hành lây lan rồi sau đó hoàn tr.
2.1.7.3 Kỹ thuật đảm bảo tính tồn ti duy nhất.
Cũng ging như B-virus, một yêu cầu nghiêm ngt đt ra đi với F-virus là tính tồn ti
duy nht của mình trong bộ nhớ cũng như trên file. Trong vùng nhớ, thông thường cc F-
virus sử dụng hai kỹ thut chính:
Th nht là to thêm chc năng cho DOS, bông cch sử dụng một chc năng con nào
đó trong đó đt chc năng lớn hơn chc năng cao nht mà DOS có. Ð kim tra chỉ cần
gọi chc năng này, gi tr tr li trong thanh ghi quyết đnh sự tồn ti của virus trong bộ
nhớ hay chưa.
Cch th hai là so snh mộtđon mã trong vùng nhớ n đnh với đon mã của virus, nếu
có sự chênh lệch thì có nghĩa là virus chưa có mt trong vùng nhớ và sẽ tiến hành lây lan.
Trên file, có th có cc cch kim tra như kim tra bông test logic nào đó với cc thông
tin của Entry trong thư mục của file này. Cch này không đm bo tính chính xc tuyệt
đi song nếu thiết kế tt thì kh năng trùng lp cũng hn chế, hầu như không có, ngoài ra
một ưu đim là tc thực hiện kim tra rt nhanh. Ngoài ra có th kim tra bông cch dò
[Type the document title]
Virus và Worm Page 19
một đon mã đc trưng (key value) của virus ti v trí n đnh nào đó trên file, ví dụ trên
cc byte cui cùng của file.
2.1.7.4 Kỹ thuật thường trú
Ðây là một kỹ thut khó khăn, lý do là DOS chỉ cung cp chc năng thường trú cho
chương trình, nghĩa là chỉ cho phép c chương trình thường trú. Vì vy nếu sử dụng chc
năng của DOS, chương trình virus mun thường trú thì c file đi tượng cũng phi thường
trú, mà điều này thì không th được nếu kích thước của file đi tượng qu lớn. Chính vì lý
do trên, hầu hết cc chương trình virus mun thường trú đều phi thao tc qua mt DOS
trên chuỗi MCB bông phương php "thủ công". Căn c vào việc thường trú được thực
hiện trước hay sau khi chương trình đi tượng thi hành, có th chia kỹ thut thường trú
thành hai nhóm:
Thường trú trước khi tr quyền điều khin.
Như đã nói trên, DOS không cung cp một chc năng nào cho kiu thường trú này,
cho nên chương trình virus phi tự thu xếp. Cc cch sau đây đã được virus dùng đến:
- Thao tc trên MCB đ tch một khi vùng nhớ ra khỏi quyền điều khin của
DOS, rồi dùng vùng này đ cha chương trình virus.
- Tự đnh v v trí trong bộ nhớ đ ti phần thường trú của virus vào, thường thì
cc virus chọn vùng nhớ cao, phía dưới phần tm trú của file command.com đ
trnh b ghi đ khi hệ thng ti li command.com. Vì không cp pht bọ nhớ cho
phần chương trình virus đang thường trú, cho nên command.com hoàn toàn có
quyền cp pht vùng nhớ đó cho cc chương trình khc, nghĩa là chương trình
thương trú của virus phi chp nhn sự mt mt do may rủi.
- Thường trú bông chc năng thường trú 31h: Ðây là một kỹ thut phc tp, tiến
trình cần thực hiện được mô t như sau: Khi chương trình virus được trao quyền,
nó sẽ to ra một MCB được khai bo là phần tử trung gian trong chuỗi MCB đ
cha chương trình virus, sau đó li to tiếp một MCB mới đ cho chương trình
b nhiễm bông cch dời chương trình xung vùng mới này. Ð thay đổi PSP mà
[Type the document title]
Virus và Worm Page 20
DOS đang lưu giữ thành PSP mà chương trình virus to ra cho chương trình đi
tượng, phi sử dụng chc năng 50h của ngắt 21h.
Thường trú sau khi đot li quyền điều khin.
Chương trình virus ly tên chương trình đang thi hành trong môi trường của DOS, rồi
nó thi hành ngay chính bn thân mình. Sau khi thi hành xong, quyền điều khin li được
tr về cho virus, và khi đó nó mới tiến hành thường trú một cch bình thường bông chc
năng 31h của ngắt 21h.
2.1.7.5 Kỹ thuật ngụy trang và gây nhiễu
Một nhược đim không trnh khỏi là file đi tượng b lây nhiễm virus sẽ b tăng kích
thước. Một s virus ngụy trang bông cch khi sử dụng chc năng DIR của DOS, virus chi
phi chc năng tìm kiếm file (chc năng 11h và 12h của ngắt 21h) đ gim kích thước
của file b lây nhiễm xung, vì thế khi virus đang chi phi my tính, nếu sử dụng lệnh
DIR của DOS, hoc cc lệnh sử dụng chc năng tìm kiếm file trên đ có thông tin về
entry trong bng thư mục, thì thy kích thước file b lây nhiễm vẫn bông kích thước của
file ban đầu, điều này đnh la người sử dụng về sự trong sch của file này.
Một s virus còn gây nhiễu bông cch mã ho phần lớn chương trình virus, chỉ khi nào
vào vùng nhớ, chương trình mới được gii mã ngược li. Một s virus anti-debug bông
cch chiếm ngắt 1 và ngắt 3. Bi vì cc chương trình debug thực cht phi dùng ngắt 1 và
ngắt 3 đ thi hành tng bước một, cho nên khi virus chiếm cc ngắt này rồi mà người lp
trình dùng debug đ theo dõi virus thì kết qu không lường trước được.
2.1.7.6 Kỹ thuật phá hoi
Thông thường, cc F-virus cũng sử dụng cch thc và kỹ thut ph hoi ging như B-
virus. Có th ph hoi một cch đnh thời, liên tục hoc ngẫu nhiên. Ði tượng ph hoi
có th là màn hình, loa, đĩa,
2.1.7.7 Kỹ thuật dnh quyn điu khuyn của B-virus.
Khi DOS tổ chc thi hành File kh thi (bông chc năng 4Bh của ngắt 21h), nó sẽ tổ
chc li vùng nhớ, ti File cần thi hành và trao quyền điều khin cho File đó. F-virus lợi
[Type the document title]
Virus và Worm Page 21
dụng đim này bông cch gắn đon mã của mình vào file đúng ti v trí mà DOS trao
quyền điều khin cho File sau khi đã ti vào vùng nhớ. Sau khi F-virus tiến hành xong cc
hot động của mình, nó mới sắp xếp, b trí tr li quyền điều khin cho File đ cho File
li tiến hành hot động bình thường, và người sử dụng thì không th biết được.Trong cc
loi B-virus và F-virus, có một s loi sau khi dành được quyền điều khin, sẽ tiến hành
cài đt một đon mã của mình trong vùng nhớ RAM như một chương trình thường trú
(TSR), hoc trong vùng nhớ nôm ngoài tầm kim sot của DOS, nhôm mục đích kim
sot cc ngắt quan trọng như ngắt 21h, ngắt 13h, Mỗi khi cc ngắt này được gọi, virus
sẽ dành quyền điều khin đ tiến hành cc hot động của mình trước khi tr li cc ngắt
chuẩn của DOS.
2.1.8 Phân loại virus theo cch thc lây nhiễm
Virus System hoc Boot sector
Virus boot sector di chuyn MBR đến v trí khc trên đĩa cng và sao chép chính nó
vào v trí ban đầu của MBR
Khi hệ thng khi động, mã virus được thực thi đầu tiên và sau đó kim
soát được thông qua MBR ban đầu
Hình 2.3: Lây nhiễm của Virus boot sector
Virus file: Virus file lây nhiễm các file được thực thi hoc diễn gii trong hệ
thng như EXE, COM. SYS, OVL, OBI, PRG, MNU và file BAT .Virus File có
th là hành động trực tiếp (không thường trú)hoc thường trú trong bộ nhớ
[Type the document title]
Virus và Worm Page 22
Hình 2.4: Virus Multipatite
Virus Multipatite : Virus Multipatite tn công c hai là boot sector và các file hoc
chương trình thực thi cùng một lúc
Virus Stealth/ Virus Tunneling
- Những virus này né tránh cc phần mềm chng virus bằng cch tự
chn các yêu cầu hot động của nó trong hệ thng
- Một virus có th giu mình bằng cch chn cc yêu cầu của phần mềm
chng virus đ đọc cc file và vượt qua các yêu cầu với virus
- Virus sau đó có th tr li một phiên bn của file không b nhiễm cho phần mềm
chng virus, do đó nó xut hiện như là file "sch"
Hình 2.5: Sự lây nhiễm Virus Stealth/ Virus Tunneling
Virus cluster : Nó sẽ khi động chính nó đầu tiên khi bt kỳ chương trình trên hệ
thng được bắt đầu và sau đó kim soát thông qua chương trình thực tế Virus
cluster thay đổi các mục bng thư mục đ các mục thư mục trỏ đến các mã virus
thay vì chương trình thực tế Chỉ một bn sao của virus trên đĩa lây nhiễm cho tt
c các chương trình trong hệ thng máy tính
[Type the document title]
Virus và Worm Page 23
Virus macro : Virus Macro lây nhiễm các tp tin được to ra bi Microsoft Word
hoc Excel .Hầu hết các virus macro được viết bằng cách sử dụng ngôn ngữ macro
Visual Basic cho Ứng dụng (VBA) .Virus Macro lây nhiễm các mẫu hoc chuyn
đổi các tài liệu b nhiễm vào các file mẫu, trong khi duy trì sự xut hiện các file
tài liệu thông thường
Hình 2.6: Sự lây nhiễm virus macro
Virus encrytion
- Loi virus này sử dụng mã hóa đơn gin đ mã hóa code
- Virus được mã hóa với mỗi khóa khác nhau cho mỗi file b nhiễm
- Máy quét Anti-Virus có th không trực tiếp phát hiện các
loi virus bằng cách sử dụng phương php pht hiện chữ ký
Virus add-on :Virus add-on thêm mã của chúng vào mã đích mà không làm thay
đổi sau này hoc di dời mã đích đ tự chèn thêm mã của chúng khi bắt đầu
Virus polymophic
Virus Metamorphic viết li hoàn chỉnh mỗi khi chúng được thực thi lây nhiễm mới
- Code Metamorphic có th lp trình li bằng cách dch code riêng của mình thành
một đi diện tm thời và sau đó tr li vào code bình thường
- Ví dụ, W32/Simile bao gồm hơn 14.000 dòng mã lắp rp thành, 90% của nó là
một phần của Metamorphic
[Type the document title]
Virus và Worm Page 24
Hình 2.7: Biến th Virus Metamorphic
Virus Companion/Camouflage: Virus Companion to 1 file Companion cho mỗi
file thực thi b nhiễm virus. Vì vy, virus Companion có th lưu chính nó như
là notepad.com và mỗi khi người dùng thực hiện notepad.exe, máy tính
sẽ ti notepad.com (virus) và lây nhiễm sang hệ thng
Hình 2.8: Sự lây nhiễm Virus Companion
Virus Shell : Code virus to thành một vỏ xung quanh mục tiêu code của chương
trình, làm cho bn thân chương trình ban đầu và code my đích là thường xuyên
phụ thuộc vào nó Hầu hết các virus boot là virus Shell
Virus Direct Action hoc virus Transient
Virus overwriting File hoc Virus Cavity: Virus Cavity ghi đ lên 1 phần của file
nguồn với một hằng s(thường rỗng), mà không tăng độ dài của file và giữ nguyên
chc năng của file
[Type the document title]
Virus và Worm Page 25
Hình 2.9 : Sự lây nhiễm Virus Cavity
Virus file extension
- Virus file extension thay đổi phần m rộng của file
- .TXT an toàn vì nó chỉ ra một tp tin văn bn thuần túy
- Với phần m rộng b tắt, nếu ai đó gửi cho bn file có
tên BAD.TXT.VBS, bn sẽ chỉ nhìn thy BAD.TXT
- Nếu bn không biết rằng các phần m rộng được tắt, bn có th nghĩ rằng đây
là một file văn bn và m nó .
- Đây là một virus thực thi Visual Basic Script và có th làm thiệt hi nghiêm
trọng .
- Biện php đi phó là đ tắt "phần m rộng tp tin ẩn" trong Windows .
Virus Terminate and Stay Resident(STR)
- Di chuyn tt c sự kim sot của mã đích tới nơi nó cư trú
- Lựa chọn mục tiêu chương trình đ sửa đổi li và làm hỏng
- Duy trì vĩnh viễn trong bộ nhớ trong sut toàn bộ phiên làm việc sau khi mục
tiêu chương trình đích được thực thi và chm dt; không th b loi bỏ khi hệ
thng boot li
2.2 Worm
2.2.1 Giới thiu Worm
Sâu my tính (worm) là một chương trình my tính có kh năng tự nhân bn ging như
virus my tính. Trong khi virus my tính bm vào và tr thành một phần của mã my tính