Tải bản đầy đủ (.pdf) (38 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

công nghệ thông tin vì thế virus và worm luôn

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.27 MB, 38 trang )

[Type the document title]

Virus và Worm Page 1

MỤC LỤC
CHƯƠNG 1: TNG QUAN VỀ AN NINH MNG 4
1.1 Giới thiệu an ninh mng 4
1.2 Hot động an ninh mng 5
1.3 Tình hình về an ninh mng 6
1.4 Tổng kết tình hình virus và an ninh mng năm 2011  nước ta ( s liệu t bkav) 7
CHƯƠNG 2 : GII THIU VIRUS V WORM 9
2.1 Virus 9
2.1.1 Đc đim cơ bn virus 9
2.1.2 Nguyên nhân Virus được to ra 9
2.1.3 Du hiệu nhn biết b nhiễm Virus 9
2.1.4 Nguyên nhân máy tính b nhiễm Virus 10
2.1.5 Phân loi virus theo đi tượng lây nhiễm 10
2.1.6 B-virus. 10
2.1.7 F-Virus 16
2.1.8 Phân loi virus theo cch thc lây nhiễm 21
2.2 Worm 25
2.2.1 Giới thiệu Worm 25
2.2.2 Giới thiệu một s worm cơ bn 26
2.3 So Sánh Virus và Worm 28
2.4 Biện Pht phòng trnh và tiêu diệt Virus và Worm 28
2.4.1 Biện php phòng trnh Virus 28
2.4.2 Biện php phòng trnh Worm 28
2.4.3 Biện pht phòng trnh chung cho Worm và Virus 29
[Type the document title]

Virus và Worm Page 2



2.4.4 Giới thiệu một s phần mềm chng virus và worm uy tín 29
CHƯƠNG 3 : DEMO VIRUS V WORM 33
3.1 Demo virus 33
3.2 Demo worm 35
CHƯƠNG 4 : KẾT LUẬN 36
4.1 Kết qu đt được 36
4.2 Một s hn chế 37
4.3 Tài liệu tham kho 38


[Type the document title]

Virus và Worm Page 3


MỤC LỤC HÌNH ẢNH
Hình 1.1: Danh sách 15 virus lây lan nhiều nhất trong năm 2011 8
Hình 1.2 :Số lượng các website bị tấn công trong năm 2011 8
Hinh 2.1: Phá hoi lm file phân mnh 15
Hình 2.2 : Lây vi file .EXE 17
Hình 2.3: Lây nhiễm của Virus boot sector 21
Hình 2.4: Virus Multipatite 22
Hình 2.5: Sự lây nhiễm Virus Stealth/ Virus Tunneling 22
Hình 2.6: Sự lây nhiễm virus macro 23
Hình 2.7: Biến thể Virus Metamorphic 24
Hình 2.8: Sự lây nhiễm Virus Companion 24
Hình 2.9 : Sự lây nhiễm Virus Cavity 25
Hinh 2.10: Anti-Virus của Avast 30
Hình 2.11: Anti-Virus của Avira 30

Hình 2.12: Anti-Virus của AVG 31
Hình 2.13: Anti-Virus của Kaspersky 32
Hình 3.1: Terabit Virus Maker 33
Hình 3.2: JPS virus maker 34
Hình 3.3: DELmE’s Batch Virus Maker 34
Hình 3.4: Internet Worm Maker Thing 35
[Type the document title]

Virus và Worm Page 4

CHƯƠNG 1: TNG QUAN VỀ AN NINH MNG
1.1 Gii thiệu an ninh mng
Mng my tính toàn cầu Internet là mng của cc mng my tính được kết ni với nhau
qua giao thc TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Cc mng được điều
hành hot động bi một hoc nhiều loi hệ điều hành mng. Như vy, hệ điều hành mng
có th điều phi một phần của mng và là phần mềm điều hành đơn v qun lý nhỏ nht
trên toàn bộ mng.
Mng my tính toàn cầu Internet là mng của cc mng my tính được kết ni với nhau
qua giao thc TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Cc mng được điều
hành hot động bi một hoc nhiều loi hệ điều hành mng. Như vy, hệ điều hành mng
có th điều phi một phần của mng và là phần mềm điều hành đơn v qun lý nhỏ nht
trên toàn bộ mng.
Điều khc nhau giữa mng my tính và xã hội loài người là đi với mng my tính
chúng ta phi qun lý tài sn khi mà cc ngôi nhà đều luôn m cửa. Cc biện php vt lý
là khó thực hiện vì thông tin và thiết b luôn cần được sử dụng.
Trên hệ thng mng m như vy, bo vệ thông tin bằng mt mã là  mc cao nht song
không phi bao giờ cũng thun lợi và không tn kém. Thường thì cc hệ điều hành mng,
cc thiết b mng sẽ lãnh trch nhiệm l chắn cui cùng cho thông tin. Vượt qua l chắn
này thông tin hầu như không còn được bo vệ nữa.
Gi trên nền cc hệ điều hành là cc dch vụ mng như: Thư điện tử (Email), WWW,

FTP, News, làm cho mng có nhiều kh năng cung cp thông tin. Cc dch vụ này cũng
có cc cơ chế bo vệ riêng hoc tích hợp với cơ chế an toàn của hệ điều hành mng.
Internet là hệ thng mng m nên nó chu tn công t nhiều phía k c vô tình và hữu ý.
Cc nội dung thông tin lưu trữ và lưu truyền trên mng luôn là đi tượng tn công. Nguy
cơ mng luôn b tn công là do người sử dụng luôn truy nhp t xa. Do đó thông tin xc
thực người sử dụng như mt khẩu, bí danh luôn phi truyền đi trên mng. Những kẻ xâm
nhp tìm mọi cch giành được những thông tin này và t xa truy nhp vào hệ thng. Càng
[Type the document title]

Virus và Worm Page 5

truy nhp với tư cch người dùng có quyền điều hành cao càng thì kh năng ph hoi
càng lớn.
Nhiệm vụ bo mt và bo vệ vì vy mà rt nng nề và khó đon đnh trước. Nhưng tựu
trung li gồm ba hướng chính sau:
 Bo đm an toàn cho phía server
 Bo đm an toàn cho phía client
 Bo mt thông tin trên đường truyền
1.2 Hot động an ninh mng
An ninh Mng không chỉ dựa vào một phương php mà sử dụng một tp hợp cc rào
cn đ bo vệ doanh nghiệp của bn theo những cch khc nhau. Ngay c khi một gii
php gp sự c thì gii php khc vẫn bo vệ được công ty và dữ liệu của bn trước đa
dng cc loi tn công mng.
Cc lớp an ninh trên mng của bn có nghĩa là thông tin có gi tr mà bn dựa vào đ
tiến hành kinh doanh là luôn sẵn có đi với bn và được bo vệ trước cc tn công. Cụ th
là, An ninh Mng:
 Bo vệ chng li những tn công mng t bên trong và bên ngoài:
Cc tn công có th xut pht t c hai phía, t bên trong và t bên ngoài tường lửa của
doanh nghiệp của bn. Một hệ thng an ninh hiệu qu sẽ gim st tt c cc hot động
mng, cnh bo về những hành động vi phm và thực hiện những phn ng thích hợp.

 Đm bo tính riêng tư của tt c các liên lc,  bt c đâu và vào bt c lúc nào:
Nhân viên có th truy cp vào mng t nhà hoc trên đường đi với sự đm bo rằng
hot động truyền thông của họ vẫn được riêng tư và được bo vệ.
 Kim soát truy cp thông tin bằng cch xc đnh chính xc người dùng và hệ thng
của họ :
[Type the document title]

Virus và Worm Page 6

Cc doanh nghiệp có th đt ra cc quy tắc của riêng họ về truy cp dữ liệu. Phê duyệt
hoc t chi có th được cp trên cơ s danh tính người dùng, chc năng công việc hoc
các tiêu chí kinh doanh cụ th khc.
 Giúp bn tr nên tin cy hơn:
Bi vì cc công nghệ an ninh cho phép hệ thng của bn ngăn chn những dng tn
công đã biết và thích ng với những dng tn công mới, nhân viên, khch hàng và cc
doanh nghiệp có th an tâm rằng dữ liệu của họ được an toàn.
1.3 Tình hình về an ninh mng
 Trên thế giới
An ninh không gian mng đang là một thch thc mang tính toàn cầu. Nhiều ý kiến
nhn đnh cho rằng cc cuộc tn công t không gian mng là một mi nguy cơ mới đi
với an ninh quc gia của tt c cc nước trên thế giới. Bi giờ đây Internet đã là một phần
không th thiếu của xã hội loài người. Tt c mọi th đều được đưa lên Internet, những
lợi ích mà Internet mang li rõ ràng là rt lớn, cùng với đó là nguy cơ cũng rt lớn bắt đầu
t đây.
 Ti Việt Nam
Trong những năm va qua cùng với cc Website ni tiếng trên thế giới b tn công như
(Yahoo, Amazon.com, eBay, Buy.com) cc Website của Việt nam cũng không nằm ngoài
mục tiêu đột kích của cc hacker. Gần đây nht là vụ tn công của cc hacker vào
Website của Vitranet,bkav.com.vn. Thay vì hiện nội dung trang Web của mng thông tin
thương mi th trường Việt nam li là nội dung của trang Web có nội dung không lành

mnh khi người sử dụng gõ vào dòng đa chỉ: . Tuy nhiên, do s
lượng cc trang Web của Việt Nam còn ít, s lượng người sử dụng Internet chưa nhiều
(c nước có khong 40.000 thuê bao Internet) nên nếu có b tn công cũng gây thiệt hi
không đng k. Trong thời gian qua, cc đường truyền Internet của Việt Nam vn có lưu
lượng rt thp so với thế giới đã một s lần b tắc vào cc giờ cao đim. Tuy nhiên cc
[Type the document title]

Virus và Worm Page 7

trang Web của nước ta lo ngi nht là cc hacker ph hoi, sửa chữa làm sai lệch thông
tin ch không sợ "dội bom".
Trong đó VNN cũng đã nhiều lần b tn công dưới hình thc bom thư. Hàng ngàn bc
thư t nhiều đa đim trên thế giới đã đồng lot gửi về mng nhưng sự tắc nghẽn không
đng k và website trung tâm an ninh mng Việt Nam BKAV b tn công t chi dch vụ
Ddos và b tê liệt trong vầy giờ.Việc đi phó với hình thc tn công này không phi là
qu khó nhưng đ đi tới một gii php ti ưu, triệt đ thì l là vn đề đng bàn. Việc
nghiên cu, xây dựng những gii php kỹ thut tt hơn "bc tường lửa" bo vệ hiện nay
thì an ninh trên mng mới thực sự được bo đm mà không nh hưng đến cc dch vụ
Internet khc. Hiện nay "bc tường lửa" không những không đp ng được vn đề an toàn
an ninh mà còn làm cho cc dch vụ khc không pht trin được. Trước đây, chủ yếu lo
ngăn nga truy cp cc trang web có nội dung xu thì nay vn đề an ninh trên mng cần
phi được xem xét một cch nghiêm túc hơn  c trong nước và quc tế
Đ đi phó với cc hình thc tn công t bên ngoài, Ban điều phi mng Internet Việt
Nam cũng đã đưa ra những nghiên cu, dự phòng. Cụ th là sử dụng cc thiết b như
Firewall, my chủ uỷ quyền và tổ chc phân cp công việc, trch nhiệm cụ th. Cc thông
tin quan trọng nht được lưu vào đĩa quang (hacker không xóa được) đ nếu trang Web b
hacker vào làm sai lệch thì xóa toàn bộ rồi li np t đĩa quang sang. Thêm vào đó Nhà
nước còn quy đnh cc my tính ni mng không được truy cp vào cc cơ s dữ liệu
quan trọng, bí mt quc gia. Đồng thời không cho thiết lp cc đường hotline (đường
truy cp trực tiếp) vào cc trang Web quan trọng nht.

1.4 Tổng kết tình hình virus v an ninh mng năm 2011  nưc ta ( số liệu t bkav)
 64,2 triệu lượt máy tính ti Việt Nam b nhiễm virus là tổng kết năm 2011 t Hệ
thng giám sát virus của Bkav. Trung bình một ngày đã có hơn 175 nghìn my tính
b nhiễm virus.
 Năm 2011, đã có 38.961 dòng virus xut hiện mới, lây lan nhiều nht là virus
W32.Sality.PE. Virus này đã lây nhiễm trên 4,2 triệu lượt máy tính.
[Type the document title]

Virus và Worm Page 8

 Danh sách 15 virus lây lan nhiều nht trong năm 2011:

Hình 1.1: Danh sách 15 virus lây lan nhiều nht trong năm 2011

Hình 1.2 :S lượng cc website b tn công trong năm 2011
 Cũng trong năm 2011, đã có 2.245 website của cc cơ quan, doanh nghiệp ti Việt
Nam b tn công. Trung bình mỗi tháng có 187 website b tn công.

[Type the document title]

Virus và Worm Page 9

CHƯƠNG 2 : GII THIU VIRUS V WORM
2.1 Virus
2.1.1 Đc đim cơ bn virus
Virus my tính thực cht là cc phần mềm tin học có kh năng gin tiếp tự kích hot,
tự nhân bn sao chép chính nó vào cc chương trình khc nhằm mục đích ph hoi, do
thm hoc cũng có th chỉ là đ vui đùa.Một s virus nh hưng đến máy tính ngay sau
khi mã của nó được thực hiện, một s virus khc nằm im cho đến khi một hoàn cnh hợp
lý rồi mới được kích hot. Đ tiện đồ n, khi nói virus ta hiu là virus my tính.

2.1.2 Nguyên nhân Virus được tạo ra
 Gây thiệt hi cho cc đi thủ cnh tranh
 Lợi ích tài chính
 Dự n nghiên cu
 Trò đùa
 Ph hoi
 Khủng b mng lưới
 Phân tn cc thông điệp trính tr
2.1.3 Du hiu nhn bit b nhiễm Virus
 Truy xut tp tin, m cc chương trình ng dụng chm.
 Khi duyệt web có các trang web l tự động xut hiện.
 Duyệt web chm, nội dung các trang web hin th trên trình duyệt chm.
 Các trang qung cáo tự động hiện ra (pop up), màn hình Desktop b thay đổi.
 Các file l tự động sinh ra khi bn m ổ đĩa USB.
[Type the document title]

Virus và Worm Page 10

 Xut hiện các file có phần m rộng .exe có tên trùng với tên cc thư mục.và có du
hiệu mt file và thư mục
 Nhẫn ổ đĩa b thay đổi
  cng b truy xut thường xuyên
2.1.4 Nguyên nhân máy tính b nhiễm Virus
 Không chy ng dụng chng virus mới nht
 Không uptade và cc ng dụng bổ sung mới nhât
 Cài đt cc phần mềm không tin tưng
 M file hoc mail có dính km virus
 Truy cp cc web không an toàn
 Ti file trên internet mà không kim tra tính an toàn của file
2.1.5 Phân loại virus theo đi tượng lây nhiễm

Như đã nói tin học pht trin ngày càng mnh mẽ thì virus cũng pht trin
ngày càng đa dng có th nói không có loi virus nào là hoàn toàn ging
nhau. Tuy nhiên cc virus luôn có một s đc đim chung nht đnh đ dựa vào đó
người ta có th phân biệt nó. Có nhiều cch phân loi khc nhau, phân loi theo
đi tượng lây nhiễm thì virus gồm hai loi:
 B-virus: Virus chỉ tn công lên Master Boot hay Boot Sector.
 F-virus: Virus chỉ tn công lên các file kh thi.
Mc dù vy, cch phân chia này cũng không hẳn là chính xc. Ngoi lệ vẫn có
cc virus va tn công lên Master Boot (Boot Sector) va tn công lên file kh
thi.
2.1.6 B-virus.
[Type the document title]

Virus và Worm Page 11

2.1.6.1 Phân loi B-virus.
Như chúng ta đã biết, sau qu trình POST, sector đầu tiên trên đĩa A hoc đĩa C được
đọc vào vùng nhớ ti 0: 7C00, và quyền điều khin được trao cho đon mã trong sector
khi động này. B-virus hot động bông cch thay thế đon mã chuẩn trong sector khi
động này bông đon mã của nó đ chiếm quyền điều khin, sau khi đã cài đt xong mới
đọc sector khi động chuẩn được virus ct giữ  đâu đó vào 0:7C00 và tr li quyền điều
khin cho đon mã chuẩn này. Việc ct giữ sector khi động ti v trí nào trên đĩa tuỳ
thuộc loi đĩa và cch gii quyết của tng loi virus. Ði với đĩa cng, thông thường nó
được ct giữ  đâu đó trong Side 0, Cylinder 0 vì trong c track này, DOS chỉ sử dụng
sector đầu tiên cho bng Partition. Trên đĩa mềm, v trí ct giữ sẽ phc tp hơn vì mọi chỗ
đều có kh năng b ghi đ thông tin. Một s hướng sau đây đã được cc virus p dụng :
 Sử dụng sector  cui Root Directory, vì nó thường ít được sử dụng.
 Sử dụng các sector cui cùng trên đĩa, vì khi phân bổ vùng trng cho file,DOS tìm
vùng trng t nhỏ đến lớn cho nên vùng này thường ít được sử dụng.
 Ghi vào vùng trng trên đĩa, đnh du trong bng FAT vùng này là vùng b

hỏng đ DOS không sử dụng cp phát nữa. Cch làm này an toàn hơn cc
cch làm trên đây.
 Format thêm track và ghi vào track va được Format thêm.
Tùy thuộc vào độ lớn của đon mã virus mà B-virus được chia thành hai loi:
 SB-virus.
Chương trình của SB-virus chỉ chiếm đúng một sector khi động, cc tc vụ của SB-
virus không nhiều và tương đi đơn gin. Hiện nay s cc virus loi này thường ít gp và
có lẽ chỉ là cc virus do trong nước "sn xut".
 DB-virus.
Ðây là những loi virus mà đon mã của nó lớn hơn 512 byte (thường thy). Vì thế mà
chương trình virus được chia thành hai phần:
[Type the document title]

Virus và Worm Page 12

Phần đầu virus: Ðược cài đt trong sector khi động đ chiếm quyền điều hin khi
quyền điều khin được trao cho sector khi động này. Nhiệm vụ duy nht của phần đầu
là: ti tiếp phần thân của virus vào vùng nhớ và trao quyền điều khin cho phần thân đó.
Vì nhiệm vụ đơn gin như vy nên phần đầu của virus thường rt ngắn, và càng ngắn
càng tt vì càng ngắn thì sự khc biệt giữa sector khi động chuẩn và sector khi động đã
b nhiễm virus càng ít, gim kh năng b nghi ngờ.
Phần thân virus: Là phần chương trình chính của virus. Sau khi được phần đầu ti vào
vùng nhớ và trao quyền, phần thân này sẽ tiến hành cc tc vụ của mình, sau khi tiến hành
xong mới đọc sector khi động chuẩn vào vùng nhớ và trao quyền cho nó đ my tính
làm việc một cch bình thường như chưa có gì xy ra c.
2.1.6.2 Một số kỹ thuật cơ bản của B-virus.
Dù là SB-virus hay DB-virus, nhưng đ tồn ti và lây lan, chúng đều có một s cc kỹ
thut cơ bn như sau:
 Kỹ thut kim tra tính duy nht.
Virus phi tồn ti trong bộ nhớ cũng như trên đĩa, song sự tồn ti qu nhiều bn sao của

chính nó trên đĩa và trong bộ nhớ sẽ chỉ làm chm qu trình Boot my, cũng như chiếm
qu nhiều vùng nhớ nh hưng tới việc ti và thi hành cc chương trình khc đồng thời
cũng làm gim tc độ truy xut đĩa. Chính vì thế, kỹ thut này là một yêu cầu nghiêm
ngt với B-virus.Việc kim tra trên đĩa có hai yếu t nh hưng:
- Th nht là thời gian kim tra: Nếu mọi tc vụ đọc/ghi đĩa đều phi kim tra đĩa
thì thời gian truy xut sẽ b tăng gp đôi, làm gim tc độ truy xut cũng như gia
tăng mỗi nghi ngờ. Ði với yêu cầu này, cc virus p dụng một s kỹ thut sau:
Gim s lần kim tra bông cch chỉ kim tra trong trường hợp thay đổi truy xut
t ổ đĩa này sang ổ đĩa khc, chỉ kim tra trong trường hợp bng FAT trên đĩa
được đọc vào.
- Th hai là kỹ thut kim tra: Hầu hết cc virus đều kim tra bông gi tr t kho.
Mỗi virus sẽ to cho mình một gi tr đc biệt ti một v trí xc đnh trên đĩa,
việc kim tra được tiến hành bông cch đọc Boot record và kim tra gi tr của t
[Type the document title]

Virus và Worm Page 13

khoá này. Kỹ thut này gp tr ngi vì s lượng B-virus ngày một đông đo, mà
v trí trên Boot Record thì có hn. Cch khắc phục hiện nay của cc virus là tăng
s lượng mã lệnh cần so snh đ làm gim kh năng trùng hợp ngẫu nhiên. Ð
kim tra sự tồn ti của mình trong bộ nhớ, cc virus đã p dụng cc kỹ thut sau:
Ðơn gin nht là kim tra gi tr Key value ti một v trí xc đnh trên vùng nhớ
cao, ngoài ra một kỹ thut khc được p dụng đi với cc virus chiếm ngắt Int 21
của DOS là yêu cầu thực hiện một chc năng đc biệt không có trong ngắt này.
Nếu cờ bo lỗi được bt lên thì trong bộ nhớ chưa có virus, ngược li nếu virus
đã lưu trú trong vùng nhớ thì gi tr tr li (trong thanh ghi AX chẳng hn) là
một gi tr xc đnh nào đó.
 Kỹ thut lưu trú.
Sau khi thực hiện xong chương trình POST, gi tr tổng s vùng nhớ va được Test sẽ
được lưu vào vùng BIOS Data  đa chỉ 0:413h. Khi hệ điều hành nhn quyền điều khin,

nó sẽ coi vùng nhớ mà nó kim sot là gi tr trong đa chỉ này. Vì vy đ lưu trú, mọi B-
virus đều p dụng kỹ thut sau đây: Sau khi ti phần lưu trú của mình lên vùng nhớ cao,
nó sẽ gim gi tr vùng nhớ do DOS qun lý ti 0:413h đi một lượng đúng bông kích
thước của virus. Tuy nhiên nếu không kim tra tt sự có mt trong vùng nhớ, khi b Boot
mềm liên tục, gi tr tổng s vùng nhớ này sẽ b gim nhiều lần, nh hưng tới việc thực
hiện của cc chương trình sau này. Chính vì thế, các virus được thiết kế tt phi kim tra
sự tồn ti của mình trong bộ nhớ, nếu đã có mt trong bộ nhớ thì không gim dung lượng
vùng nhớ nữa.
 Kỹ thut lây lan.
Ðon mã thực hiện nhiệm vụ lây lan là đon mã quan trọng trong chương trình virus.
Ð đm bo việc lây lan, virus khng chế ngắt quan trọng nht trong việc đọc/ghi vùng hệ
thng: đó là ngắt 13h, tuy nhiên đ đm bo tc độ truy xut đĩa, chỉ cc chc năng 2 và 3
(đọc/ghi) là dẫn tới việc lây lan. Việc lây lan bông cch đọc Boot Sector (Master Boot)
lên và kim tra xem đã b lây chưa (kỹ thut kim tra đã nói  trên). Nếu sector khi động
đó chưa b nhiễm thì virus sẽ to một sector khi động mới với cc tham s tương ng
[Type the document title]

Virus và Worm Page 14

của đon mã virus rồi ghi tr li vào v trí của nó trên đĩa. Còn sector khi động va đọc
lên cùng với thân của virus (loi DB-virus) sẽ được ghi vào vùng xc đnh trên đĩa. Ngoài
ra một s virus còn chiếm ngắt 21 của DOS đ lây nhiễm và ph hoi trên cc file mà ngắt
21 làm việc. Việc xây dựng sector khi động có đon mã của virus phi đm bo cc kỹ
thut sau đây:
- Sector khi động b nhiễm phi còn cha cc tham s đĩa phục vụ cho qu trình
truy xut đĩa,đó là bng tham s BPB của Boot record hay bng phân chương
trong trường hợp Master boot. Việc không bo toàn sẽ dẫn đến việc virus mt
quyền điều khin hoc không th kim sot được đĩa nếu virus không có mt
trong môi trường.
- Sự an toàn của sector khi động nguyên th và đon thân của virus cũng phi

được đt lên hàng đầu. Cc kỹ thut về v trí ct giu chúng ta cũng đã phân tích
 cc phần trên.
 Kỹ thut ngụy trang và gây nhiễu.
Kỹ thut này ra đời kh muộn về sau này, do khuynh hướng chng li sự pht hiện của
người sử dụng và những lp trình viên đi với virus. Vì kích thước của virus kh nhỏ bé
cho nên cc lptrình viên hoàn toàn có th dò tng bước xem cơ chế của virus hot động
như thế nào, cho nên cc virus tìm mọi cch lắt léo đ chng li sự theo dõi của cc lp
trình viên. Cc virus thường p dụng một s kỹ thut sau đây:
- C tình viết cc lệnh một cch rắc ri như đt Stack vào cc vùng nhớ nguy
him, chiếm và xoá cc ngắt, thay đổi một cch lắt léo cc thanh ghi phân đon
đ người dò không biết dữ liệu ly t đâu, thay đổi cc gi tr của cc lệnh phía
sau đ người sử dụng khó theo dõi.
- Mã ho ngay chính chương trình của mình đ người sử dụng không pht hiện ra
quy lut, cũng như không thy một cch rõ ràng ngay sự hot động của virus.
- Ngụy trang: Cch th nht là đon mã cài vào sector khi động càng ngắn càng
tt và càng ging sector khi động càng tt. Tuy vy cch th hai vẫn được
nhiều virus p dụng: Khi máy đang nôm trong quyền chi phi của virus, mọi yêu
[Type the document title]

Virus và Worm Page 15

cầu đọc/ghi Boot sector (Master boot) đều được virus tr về một bn chuẩn: bn
trước khi b virus lây. Ðiều này đnh la người sử dụng và cc chương trình
chng virus không được thiết kế tt nếu my hiện đang chu sự chi phi của
virus.
 Kỹ thut phá hoi.
Ðã là virus thì bao giờ cũng có tính ph hoi. Có th ph hoi  mc đùa cho vui, cũng
có th là ph hoi  mc độ nghiêm trọng, gây mt mt và đình trệ đi với thông tin trên
đĩa.
Căn c vào thời đim ph hoi, có th chia ra thành hai loi:

- Loi đnh thời: Loi này lưu giữ một gi tr, gi tr này có th là ngày giờ, s lần
lây nhiễm, s giờ my đã chy, Nếu gi tr này vượt qu một con s cho phép,
nó sẽ tiến hành ph hoi. Loi này thường nguy him vì chúng chỉ ph hoi một
lần.
- Loi liên tục: Sau khi b lây nhiễm và liên tục, virus tiến hành ph hoi, song do
tính liên tục này, cc hot động ph hoi của nó không mang tính nghiêm trọng,
chủ yếu là đùa cho vui.

Hinh 2.1: Ph hoi làm file phân mnh
2.1.6.3 Kỹ thuật dnh quyn điu khuyn của B-virus.
Khi my tính bắt đầu khi động (Power on), cc thanh ghi phân đon đều được đt về
0FFFFh,còn mọi thanh ghi khc đều được đt về 0. Như vy, quyền điều khin ban đầu
[Type the document title]

Virus và Worm Page 16

được trao cho đon mã ti 0FFFFh: 0h, đon mã này thực ra chỉ là lệnh nhy JMP FAR
đến một đon chương trình trong ROM, đon chương trình này thực hiện qu trình POST
(Power On Self Test - Tự kim tra khi khi động).
Qu trình POST sẽ lần lượt kim tra cc thanh ghi, kim tra bộ nhớ, khi to cc Chip
điều khin DMA, bộ điều khin ngắt, bộ điều khin đĩa Sau đó nó sẽ dò tìm cc Card
thiết b gắn thêm đ trao quyền điều khin cho chúng tự khi to rồi ly li quyền điều
khin. Chú ý rông đây là đon chương trình trong ROM (Read Only Memory) nên không
th sửa đổi, cũng như không th chn thêm một đon mã nào khc.
Sau qu trình POST, đon chương trình trong ROM tiến hành đọc Boot Sector trên đĩa
A hoc Master Boot trên đĩa cng vào RAM (Random Acess Memory) ti đa chỉ
0:7C00h và trao quyền điều khin cho đon mã đó bông lệnh JMP FAR 0:7C00h. Ðây là
chỗ mà B-virus lợi dụng đ tn công vào Boot Sector (Master Boot), nghĩa là nó sẽ thay
Boot Sector (Master Boot) chuẩn bông đon mã virus, vì thế quyền điều khin được trao
cho virus, nó sẽ tiến hành cc hot động của mình trước, rồi sau đó mới tiến hành các thao

tc như thông thường: Ðọc Boot Sector (Master Boot) chuẩn mà nó ct giu  đâu đó vào
0:7C00h rồi trao quyền điều khin cho đon mã chuẩn này, và người sử dụng có cm gic
rông my tính của mình vẫn hot động bình thường.
2.1.7 F-Virus
2.1.7.1 Phân loi F-Virus
So với B-virus thì s lượng F-virus đông đo hơn nhiều, có lẽ do cc tc vụ đĩa với sự
hỗ trợ của Int 21 đã tr nên cực kỳ dễ dàng và thoi mi, đó là điều kiện pht trin cho các
F-virus. Thường thì cc F-virus chỉ lây lan trên cc file kh thi (có đuôi .COM hoc
.EXE), tuy nhiên một nguyên tắc mà virus phi tuân thủ là: Khi thi hành một file kh thi
b lây nhiễm, quyền điều khin phi nôm trong tay virus trước khi virus tr nó li cho file
b nhiễm, và khi file nhn li quyền điều khin, tt c mọi dữ liệu của file phi được bo
toàn. Ði với F-virus, có một s kỹ thut được nêu ra  đây:
2.1.7.2 Kỹ thuật lây lan
[Type the document title]

Virus và Worm Page 17

Các F-virus chủ yếu sử dụng hai kỹ thut: thêm vào đầu và thêm vào cui
 Thêm vào đầu file.
Thông thường, phương php này chỉ p dụng cho cc file .COM, tc là đầu vào của
chương trình luôn luôn ti PSP:100h. Lợi dụng đầu vào c đnh, virus chn đon mã của
chương trình virus vào đầu chương trình đi tượng, đẩy toàn bộ chương trình đi tượng
xung phía dưới. Cch này có một nhược đim là do đầu vào c đnh của chương trình
.COM là PSP:100, cho nên trước khi tr li quyền điều khin cho chương trình, phi đẩy
li toàn bộ chương trình lên bắt đầu t offset 100h. Cch lây này gây khó khăn cho những
người khôi phục vì phi đọc toàn bộ file vào vùng nhớ rồi mới tiến hành ghi li.
 Thêm vào cui file.
Khc với cch lây lan  trên, trong phương php này, đon mã của virus sẽ được gắn
vào sau của chương trình đi tượng. Phương php này được thy trên hầu hết cc loi
virus vì phm vi lây lan của nó rộng rãi hơn phương php trên. Do thân của virus không

nôm đúng đầu vào của chương trình, cho nên đ chiếm quyền điều khin, phi thực hiện
kỹ thut sau đây:
Ði với file .COM: Thay cc byte đầu tiên của chương trình (đầu vào) bông một lệnh
nhy JMP, chuyn điều khin đến đon mã của virus. E9 xx xx JMP Entry virus.
Ði với file .EXE: Chỉ cần đnh v li hệ thng cc thanh ghi SS, SP, CS, IP trong Exe
Header đ trao quyền điều khin cho phần mã virus.

Hình 2.2 : Lây với file .EXE
[Type the document title]

Virus và Worm Page 18

Ngoài hai kỹ thut lây lan chủ yếu trên, có một s ít cc virus sử dụng một s cc kỹ
thut đc biệt khc như mã ho phần mã của chương trình virus trước khi ghép chúng vào
file đ ngụy trang, hoc thm chí thay thế một s đon mã ngắn trong file đi tượng bông
cc đon mã của virus, gây khó khăn cho qu trình khôi phục. Khi tiến hành lây lan trên
file, đi với cc file được đt cc thuộc tính Sys (hệ thng), Read Only (chỉ đọc), Hidden
(ẩn), phi tiến hành đổi li cc thuộc tính đó đ có th truy nhp, ngoài ra việc truy nhp
cũng thay đổi li ngày giờ cp nht của file, vì thế hầu hết cc virus đều lưu li thuộc tính,
ngày giờ cp nht của file đ sau khi lây nhiễm sẽ tr li y nguyên thuộc tính và ngày giờ
cp nht ban đầu của nó.Ngoài ra, việc c gắng ghi lên đĩa mềm có dn nhãn bo vệ cũng
to ra dòng thông bo lỗi của DOS: Retry - Aboart - Ignoreô, nếu không xử lý tt thì dễ b
người sử dụng pht hiện ra sự có mt của virus. Lỗi kiu này được DOS kim sot bông
ngắt 24h, cho nên cc virus mun trnh cc thông bo kiu này của DOS khi tiến hành lây
lan phi thay ngắt 24h của DOS trước khi tiến hành lây lan rồi sau đó hoàn tr.
2.1.7.3 Kỹ thuật đảm bảo tính tồn ti duy nhất.
Cũng ging như B-virus, một yêu cầu nghiêm ngt đt ra đi với F-virus là tính tồn ti
duy nht của mình trong bộ nhớ cũng như trên file. Trong vùng nhớ, thông thường cc F-
virus sử dụng hai kỹ thut chính:
Th nht là to thêm chc năng cho DOS, bông cch sử dụng một chc năng con nào

đó trong đó đt chc năng lớn hơn chc năng cao nht mà DOS có. Ð kim tra chỉ cần
gọi chc năng này, gi tr tr li trong thanh ghi quyết đnh sự tồn ti của virus trong bộ
nhớ hay chưa.
Cch th hai là so snh mộtđon mã trong vùng nhớ n đnh với đon mã của virus, nếu
có sự chênh lệch thì có nghĩa là virus chưa có mt trong vùng nhớ và sẽ tiến hành lây lan.
Trên file, có th có cc cch kim tra như kim tra bông test logic nào đó với cc thông
tin của Entry trong thư mục của file này. Cch này không đm bo tính chính xc tuyệt
đi song nếu thiết kế tt thì kh năng trùng lp cũng hn chế, hầu như không có, ngoài ra
một ưu đim là tc thực hiện kim tra rt nhanh. Ngoài ra có th kim tra bông cch dò
[Type the document title]

Virus và Worm Page 19

một đon mã đc trưng (key value) của virus ti v trí n đnh nào đó trên file, ví dụ trên
cc byte cui cùng của file.
2.1.7.4 Kỹ thuật thường trú
Ðây là một kỹ thut khó khăn, lý do là DOS chỉ cung cp chc năng thường trú cho
chương trình, nghĩa là chỉ cho phép c chương trình thường trú. Vì vy nếu sử dụng chc
năng của DOS, chương trình virus mun thường trú thì c file đi tượng cũng phi thường
trú, mà điều này thì không th được nếu kích thước của file đi tượng qu lớn. Chính vì lý
do trên, hầu hết cc chương trình virus mun thường trú đều phi thao tc qua mt DOS
trên chuỗi MCB bông phương php "thủ công". Căn c vào việc thường trú được thực
hiện trước hay sau khi chương trình đi tượng thi hành, có th chia kỹ thut thường trú
thành hai nhóm:
 Thường trú trước khi tr quyền điều khin.
Như đã nói  trên, DOS không cung cp một chc năng nào cho kiu thường trú này,
cho nên chương trình virus phi tự thu xếp. Cc cch sau đây đã được virus dùng đến:
- Thao tc trên MCB đ tch một khi vùng nhớ ra khỏi quyền điều khin của
DOS, rồi dùng vùng này đ cha chương trình virus.
- Tự đnh v v trí trong bộ nhớ đ ti phần thường trú của virus vào, thường thì

cc virus chọn  vùng nhớ cao, phía dưới phần tm trú của file command.com đ
trnh b ghi đ khi hệ thng ti li command.com. Vì không cp pht bọ nhớ cho
phần chương trình virus đang thường trú, cho nên command.com hoàn toàn có
quyền cp pht vùng nhớ đó cho cc chương trình khc, nghĩa là chương trình
thương trú của virus phi chp nhn sự mt mt do may rủi.
- Thường trú bông chc năng thường trú 31h: Ðây là một kỹ thut phc tp, tiến
trình cần thực hiện được mô t như sau: Khi chương trình virus được trao quyền,
nó sẽ to ra một MCB được khai bo là phần tử trung gian trong chuỗi MCB đ
cha chương trình virus, sau đó li to tiếp một MCB mới đ cho chương trình
b nhiễm bông cch dời chương trình xung vùng mới này. Ð thay đổi PSP mà
[Type the document title]

Virus và Worm Page 20

DOS đang lưu giữ thành PSP mà chương trình virus to ra cho chương trình đi
tượng, phi sử dụng chc năng 50h của ngắt 21h.
Thường trú sau khi đot li quyền điều khin.
Chương trình virus ly tên chương trình đang thi hành trong môi trường của DOS, rồi
nó thi hành ngay chính bn thân mình. Sau khi thi hành xong, quyền điều khin li được
tr về cho virus, và khi đó nó mới tiến hành thường trú một cch bình thường bông chc
năng 31h của ngắt 21h.
2.1.7.5 Kỹ thuật ngụy trang và gây nhiễu
Một nhược đim không trnh khỏi là file đi tượng b lây nhiễm virus sẽ b tăng kích
thước. Một s virus ngụy trang bông cch khi sử dụng chc năng DIR của DOS, virus chi
phi chc năng tìm kiếm file (chc năng 11h và 12h của ngắt 21h) đ gim kích thước
của file b lây nhiễm xung, vì thế khi virus đang chi phi my tính, nếu sử dụng lệnh
DIR của DOS, hoc cc lệnh sử dụng chc năng tìm kiếm file  trên đ có thông tin về
entry trong bng thư mục, thì thy kích thước file b lây nhiễm vẫn bông kích thước của
file ban đầu, điều này đnh la người sử dụng về sự trong sch của file này.
Một s virus còn gây nhiễu bông cch mã ho phần lớn chương trình virus, chỉ khi nào

vào vùng nhớ, chương trình mới được gii mã ngược li. Một s virus anti-debug bông
cch chiếm ngắt 1 và ngắt 3. Bi vì cc chương trình debug thực cht phi dùng ngắt 1 và
ngắt 3 đ thi hành tng bước một, cho nên khi virus chiếm cc ngắt này rồi mà người lp
trình dùng debug đ theo dõi virus thì kết qu không lường trước được.
2.1.7.6 Kỹ thuật phá hoi
Thông thường, cc F-virus cũng sử dụng cch thc và kỹ thut ph hoi ging như B-
virus. Có th ph hoi một cch đnh thời, liên tục hoc ngẫu nhiên. Ði tượng ph hoi
có th là màn hình, loa, đĩa,
2.1.7.7 Kỹ thuật dnh quyn điu khuyn của B-virus.
Khi DOS tổ chc thi hành File kh thi (bông chc năng 4Bh của ngắt 21h), nó sẽ tổ
chc li vùng nhớ, ti File cần thi hành và trao quyền điều khin cho File đó. F-virus lợi
[Type the document title]

Virus và Worm Page 21

dụng đim này bông cch gắn đon mã của mình vào file đúng ti v trí mà DOS trao
quyền điều khin cho File sau khi đã ti vào vùng nhớ. Sau khi F-virus tiến hành xong cc
hot động của mình, nó mới sắp xếp, b trí tr li quyền điều khin cho File đ cho File
li tiến hành hot động bình thường, và người sử dụng thì không th biết được.Trong cc
loi B-virus và F-virus, có một s loi sau khi dành được quyền điều khin, sẽ tiến hành
cài đt một đon mã của mình trong vùng nhớ RAM như một chương trình thường trú
(TSR), hoc trong vùng nhớ nôm ngoài tầm kim sot của DOS, nhôm mục đích kim
sot cc ngắt quan trọng như ngắt 21h, ngắt 13h, Mỗi khi cc ngắt này được gọi, virus
sẽ dành quyền điều khin đ tiến hành cc hot động của mình trước khi tr li cc ngắt
chuẩn của DOS.
2.1.8 Phân loại virus theo cch thc lây nhiễm
 Virus System hoc Boot sector
Virus boot sector di chuyn MBR đến v trí khc trên đĩa cng và sao chép chính nó
vào v trí ban đầu của MBR
Khi hệ thng khi động, mã virus được thực thi đầu tiên và sau đó kim

soát được thông qua MBR ban đầu

Hình 2.3: Lây nhiễm của Virus boot sector
 Virus file: Virus file lây nhiễm các file được thực thi hoc diễn gii trong hệ
thng như EXE, COM. SYS, OVL, OBI, PRG, MNU và file BAT .Virus File có
th là hành động trực tiếp (không thường trú)hoc thường trú trong bộ nhớ
[Type the document title]

Virus và Worm Page 22


Hình 2.4: Virus Multipatite
 Virus Multipatite : Virus Multipatite tn công c hai là boot sector và các file hoc
chương trình thực thi cùng một lúc
 Virus Stealth/ Virus Tunneling
- Những virus này né tránh cc phần mềm chng virus bằng cch tự
chn các yêu cầu hot động của nó trong hệ thng
- Một virus có th giu mình bằng cch chn cc yêu cầu của phần mềm
chng virus đ đọc cc file và vượt qua các yêu cầu với virus
- Virus sau đó có th tr li một phiên bn của file không b nhiễm cho phần mềm
chng virus, do đó nó xut hiện như là file "sch"

Hình 2.5: Sự lây nhiễm Virus Stealth/ Virus Tunneling
 Virus cluster : Nó sẽ khi động chính nó đầu tiên khi bt kỳ chương trình trên hệ
thng được bắt đầu và sau đó kim soát thông qua chương trình thực tế Virus
cluster thay đổi các mục bng thư mục đ các mục thư mục trỏ đến các mã virus
thay vì chương trình thực tế Chỉ một bn sao của virus trên đĩa lây nhiễm cho tt
c các chương trình trong hệ thng máy tính
[Type the document title]


Virus và Worm Page 23

 Virus macro : Virus Macro lây nhiễm các tp tin được to ra bi Microsoft Word
hoc Excel .Hầu hết các virus macro được viết bằng cách sử dụng ngôn ngữ macro
Visual Basic cho Ứng dụng (VBA) .Virus Macro lây nhiễm các mẫu hoc chuyn
đổi các tài liệu b nhiễm vào các file mẫu, trong khi duy trì sự xut hiện các file
tài liệu thông thường

Hình 2.6: Sự lây nhiễm virus macro
 Virus encrytion
- Loi virus này sử dụng mã hóa đơn gin đ mã hóa code
- Virus được mã hóa với mỗi khóa khác nhau cho mỗi file b nhiễm
- Máy quét Anti-Virus có th không trực tiếp phát hiện các
loi virus bằng cách sử dụng phương php pht hiện chữ ký
 Virus add-on :Virus add-on thêm mã của chúng vào mã đích mà không làm thay
đổi sau này hoc di dời mã đích đ tự chèn thêm mã của chúng khi bắt đầu
 Virus polymophic
 Virus Metamorphic viết li hoàn chỉnh mỗi khi chúng được thực thi lây nhiễm mới
- Code Metamorphic có th lp trình li bằng cách dch code riêng của mình thành
một đi diện tm thời và sau đó tr li vào code bình thường
- Ví dụ, W32/Simile bao gồm hơn 14.000 dòng mã lắp rp thành, 90% của nó là
một phần của Metamorphic
[Type the document title]

Virus và Worm Page 24


Hình 2.7: Biến th Virus Metamorphic
 Virus Companion/Camouflage: Virus Companion to 1 file Companion cho mỗi
file thực thi b nhiễm virus. Vì vy, virus Companion có th lưu chính nó như

là notepad.com và mỗi khi người dùng thực hiện notepad.exe, máy tính
sẽ ti notepad.com (virus) và lây nhiễm sang hệ thng

Hình 2.8: Sự lây nhiễm Virus Companion
 Virus Shell : Code virus to thành một vỏ xung quanh mục tiêu code của chương
trình, làm cho bn thân chương trình ban đầu và code my đích là thường xuyên
phụ thuộc vào nó Hầu hết các virus boot là virus Shell
 Virus Direct Action hoc virus Transient
 Virus overwriting File hoc Virus Cavity: Virus Cavity ghi đ lên 1 phần của file
nguồn với một hằng s(thường rỗng), mà không tăng độ dài của file và giữ nguyên
chc năng của file
[Type the document title]

Virus và Worm Page 25


Hình 2.9 : Sự lây nhiễm Virus Cavity
 Virus file extension
- Virus file extension thay đổi phần m rộng của file
- .TXT an toàn vì nó chỉ ra một tp tin văn bn thuần túy
- Với phần m rộng b tắt, nếu ai đó gửi cho bn file có
tên BAD.TXT.VBS, bn sẽ chỉ nhìn thy BAD.TXT
- Nếu bn không biết rằng các phần m rộng được tắt, bn có th nghĩ rằng đây
là một file văn bn và m nó .
- Đây là một virus thực thi Visual Basic Script và có th làm thiệt hi nghiêm
trọng .
- Biện php đi phó là đ tắt "phần m rộng tp tin ẩn" trong Windows .
 Virus Terminate and Stay Resident(STR)
- Di chuyn tt c sự kim sot của mã đích tới nơi nó cư trú
- Lựa chọn mục tiêu chương trình đ sửa đổi li và làm hỏng

- Duy trì vĩnh viễn trong bộ nhớ trong sut toàn bộ phiên làm việc sau khi mục
tiêu chương trình đích được thực thi và chm dt; không th b loi bỏ khi hệ
thng boot li
2.2 Worm
2.2.1 Giới thiu Worm
Sâu my tính (worm) là một chương trình my tính có kh năng tự nhân bn ging như
virus my tính. Trong khi virus my tính bm vào và tr thành một phần của mã my tính

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×