Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG
HOÀNG THỊ NGỌC
NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC
VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Thái Nguyên - 2014
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG
HOÀNG THỊ NGỌC
NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC
VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH
Chuyên Ngành : Khoa Học Máy Tính
Mã số : 60 48 01
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Giáo viên hƣớng dẫn: TS.NGUYỄN NGỌC CƢƠNG
Thái Nguyên - 2014
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
i
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu do chính tôi thực hiện.
Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc ai
công bố trong bất kỳ công trình nào khác.
Thái Nguyên, Ngày 29 tháng 12 năm 2014
Tác giả
Hoàng Thị Ngọc
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
ii
MỤC LỤC
LỜI CAM ĐOAN i
MỤC LỤC ii
DANH MỤC HÌNH ẢNH iv
MỞ ĐẦU 1
CHƢƠNG I - TỔNG QUAN VỀ MÃ ĐỘC 3
1.1 Khái niệm 3
1.2. Mục tiêu của mã độc 3
1.3. Lịch sử phát triển 4
1.4. Phân tích các dạng mã độc 7
1.4.1. Trojan…………………………………………………………… 7
1.4.2. Virus. 10
1.4.3. Worm 16
1.4.4. Backdoor 19
1.5. Dự đoán xu hƣớng phát triển của mã độc trong tƣơng lai 21
CHƢƠNG II CÁC PHƢƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC
23
2.1 Phân tích Tĩnh 23
2.2 Phân tích động 25
2.3 Phân tích Entropy 28
2.4 Phân tích điểm yếu của mã độc 33
2.5 Nhận dạng chính xác mẫu…………………………………….…39
2.6 Nhận dạng Virus theo Heuristic…………………………………51
2.7 Các cơ chế nhận dạng theo hành vi và hành vi thực……….……54
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
iii
CHƢƠNG III XÂY DỰNG CHƢƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ
THỬ NGHIỆM 57
3.1 Mô hình hệ thống ………………………………………………… 57
3.2 Quá trình thực hiện tìm và diệt mã độc …………………………… 60
3.3 Kết quả thử nghiệm ……………………………………………… 61
KẾT LUẬN 69
TÀI LIỆU THAM KHẢO 70
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
iv
DANH MỤC HÌNH ẢNH
Hình 1.1. Lây nhiễm của virus boot sector 12
Hình 1.2 Phá hoại làm file phân mảnh của B- virus 14
Hình 2.1: Độ chính xác thống kê entropy dựa trên tập dữ liệu 32
Hình 2.2: Một thao tác MD5………………………………………… …….45
Hình 2.3: Kiểm tra mã độc trên virustotal qua mã băm…………………… 46
Hình 2.4: Mã nhận dạng của virus FunnyIM 48
Hình 2.5.So sánh hai vị trí offset 49
Hình 3.1: Quy trình phân tích mã độc 58
Hình 3.2 Sơ đồ chƣơng trình phát hiện mã độc 60
Hình 3.3: Giao diện bảng kết quả 65
Hình 3.4: Giao diện bảng thông tin chi tiết…………………………….… 66
Hình 3.5: Giao diện khởi động chƣơng trình 67
Hình 3.6: Giao diện kết quả chƣơng trình …………………………….… 68
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
1
MỞ ĐẦU
Những năm gần đây các cuộc tấn công của mã độc trên thế giới và Việt
Nam có qui mô lớn ngày càng gia tăng và chủ yếu nhắm vào chính phủ hoặc các
tổ chức tài chính gây nên những thiệt hại nghiêm trọng và nguy hại cho kinh tế,
an ninh quốc phòng.
Mã độc là chương trình được cố ý thiết kế để thực hiện trái phép một số hành
động gây nguy hại cho hệ thống máy tính, thiết bị di động. Có rất nhiều loại mã
độc và ngày càng được cải tiến.
Những loại mã độc phổ biến nhƣ: Virus, Trojan House, worm, Attach
script, Java applet- Active X, Malicious mobible code… mà nguy cơ do chúng
gây ra là hoàn toàn rõ ràng và vô cùng phong phú. Khi đã xâm nhập vào máy nạn
nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và
làm mọi việc trên máy nạn nhân, ghi lại thông tin sử dụng máy tính. Đi cùng với
sự phức tạp của thiết kế hành vi thực thi của mã độc là các kỹ thuật ngăn chặn
việc phân tích hoạt động của mã độc khiến cho việc phân tích mã độc ngày càng
trở nên khó khăn và phức tạp.
Hiện nay có nhiều công cụ chuyên nghiệp để phân tích và diệt mã độc nhƣ
các sản phẩm của các hãng nƣớc ngoài, trong nƣớc. Tuy nhiên việc sử dụng các
công cụ này nhƣ là một hộp đen chứa nhiều các nguy cơ tiềm ẩn. Do vậy việc
nghiên cứu để xây dựng các chƣơng trình diệt mã độc là yêu cầu có tính cấp thiết
nhằm làm chủ công nghệ, kỹ thuật trong đảm bảo an ninh an toàn máy tính và mạng.
Do đó trong luận văn này chúng tôi nghiên cứu các phƣơng pháp phân tích và
phát hiện mã độc, từ đó xây dựng thử nghiệm một chƣơng trình phát hiện và diệt
mã độc. Cụ thể Luận văn có cấu trúc nhƣ sau:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
2
Chƣơng 1: Tổng quan về mã độc : Tìm hiểu tổng quan về các loại mã độc.
Chƣơng 2: Các phƣơng pháp phân tích và phát hiện mã độc: Tìm hiểu về
các kỹ thuật phân tích, phát hiện Mã độc và ƣu điểm nhƣợc điểm của từng
kỹ thuật.
Chƣơng 3: Xây dựng chƣơng trình phát hiện mã độc và thử nghiệm: Thử
nghiệm chƣơng trình phát hiện và diệt mã độc dựa vào kỹ thuật nhận dạng
chính xác mẫu.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
3
CHƢƠNG I – TỔNG QUAN VỀ MÃ ĐỘC
Mã độc từ khi ra đời cho đến nay luôn tận dụng những kỹ thuật tiên tiến
của công nghệ thông tin và truyền thông cũng nhƣ lợi dụng những lổ hổng nguy
hiểm trong các hệ thống tin học để khuyếch trƣơng ảnh hƣởng của mình. Mặc dù
việc sử dụng các thiết bị và phần mềm bảo mật trở nên phổ biến nhƣng mã độc
vẫn tiếp tục phát triển mạnh mẽ và giờ đây chúng thƣờng đƣợc viết ra có mục
đích rõ ràng, phục vụ một đối tƣợng cụ thể và không ngừng cải tiến qua các
phiên bản để đạt đƣợc phiên bản hiệu quả nhất.
Vậy để phát hiện và diệt đƣợc mã độc thì trƣớc hết phải hiểu rõ bản chất
của chúng. Về nguyên tắc chung, công việc diệt mã độc đa phần là làm ngƣợc lại
những gì mà mã độc đã làm. Vì vậy trong chƣơng này tôi tập trung nghiên cứu
những nội dung liên quan đến cơ chế hoạt động của các loại mã độc để làm rõ
bản chất của chúng. Từ đó có thể xây dựng chƣơng trình tìm và diệt mã độc.
1.1 Khái niệm
Mã độc là chƣơng trình đƣợc cố ý thiết kế để thực hiện trái phép một số
hành động gây nguy hại cho hệ thống máy tính. Đi cùng với sự phát triển của
internet trong những năm gần đây; Mã độc đang nhanh chóng trở thành mối
nguy hại tiềm tàng ảnh hƣởng đến ngƣời sử dụng, các tổ chức hay chính phủ trên
toàn thế giới.[5]
1.2 Mục tiêu của mã độc
Các thống kê cho thấy,các cuộc tấn công của mã độc quy mô lớn chủ yếu
nhắm vào chính phủ hoặc các tổ chức tài chính. Tiếp đó là các công ty, dịch vụ
về công nghệ thông tin. Điều này lý giải cho mục tiêu của mã độc nhắm tới đó là
lợi nhuận và lây lan rộng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
4
1.3 Lịch sử phát triển
Mã độc
Năm
Phân loại
Chú thích
Thompson’s
compiler trick
1984
TrojanHorse
Ken Thompson thêm vào trình biên
dịch C một Trojan horse có khả
năng tự chèn vào các chƣơng trình
đƣợc biên dịch.
Morris worm
1988
Worm
Sâu máy tính đầu tiên đƣợc phát tán
trên mạng internet. Có khoảng 6000
máy bị lây nhiễm ( chiếm 10%
lƣợng máy tính sử dụng internet thời
bấy giờ).
Java Attack
Applets
1996-
1999
Mobile code
Lợi dụng lỗi trong Java để tấn công
thông qua các applets java đặt trên
web.
ActiveX
( scripting)
1997
Mobile code
Bị tấn công lần đầu vào thời gian
này và kể từ đó đến nay hệ thống
ActiveX của Microsoft liên tục bị
phát hiện dính phải những lỗi bảo
mật nghiêm trọng.
Melissa
1999
Mobile code
virus
Virus lây lan nhanh thứ hai mọi thời
đại, sử dụng email để phát tán. Lây
nhiễm cho hơn một triệu máy tính
chỉ trong vài giờ.
Trinoo
2000
Attack
script DDoS
Chƣơng trình tấn công từ chối dịch
vụ ( DDoS ) đầu tiên gây tác hại lớn
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
5
đến hệ thống mạng yahoo năm 2000.
Love Bug
2000
Virus
Virus đƣợc cho là lây lan nhanh nhất
từ trƣớc đến nay, đánh lừa ngƣời sử
dụng thực thi file VB script phát tán
thông qua email outlook của
Microsoft.
Slammer
2003
Worm
DDoS
Sâu máy tính tấn công DdoS trên
một số máy chủ internet và là chậm
lƣu lƣợng truy cập internet.
Sâu Slammer khai thác lỗi tràn bộ
đệm trong SQL Server của
Microsoft. Lây nhiễm 75000 máy
tính chỉ trong 10 phút.
RavMonE
2006
Trojan
Loại Trojan mở ra một Backdoor
cho phép kẻ tấn công truy cập đến
dữ liệu trong máy tính bị lây nhiễm.
Điểm đặc biệt của loại Trojan này là
nó đƣợc phát tán thông qua file
video của Apple tuy nhiên lại chỉ lây
nhiễm trên hệ thống windows.
Conflicker
2008
Worm
Tấn công windows thông qua khai
thác lỗ hổng trong giao thức RPC.
Loại sâu này kết hợp nhiều kỹ thuật
malware tiên tiến với nhau khiến
cho việc phân tích chúng khó khăn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
6
Conflicker đã lây nhiễm cho hàng
triệu máy tính trên hơn 200 quốc gia
trên thế giới và vẫn tồn tại cho đến
hiện nay.
Stuxnet
2010-
2011
Worm
Stuxnet lây lan qua windows, là loại
mã độc đầu tiên đƣợc phát hiện có
khả năng gián điệp và phá hoại hệ
thống máy tính công nghiệp. Sâu
Stuxnet đƣợc thiết kế vô cùng phức
tạp và các cuộc tấn công tinh vi của
chúng với những mục tiêu cụ thể
đƣợc cho là thực hiện bởi sự hỗ trợ
của cả một quốc gia.
Flame
2012
Malware
Đƣợc đánh giá là loại mã độc tinh vi
và phức tạp nhất cho đến nay, tấn
công các máy tính chạy windows.
Ƣớc tính chi phí cho việc nghiên
cứu phát triển Flame lên tới hàng
chục triệu Dollar. Flame có thể lây
nhiễ thông qua ạng LAN hay USB,
có khả năng ghi âm, chụp ảnh màn
hình, lƣu lƣợng mạng, ăn cắp dữ liệu
trong máy bị nhiễm và cả các thiết bị
kết nối bluetooth với nó…
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
7
1.4 Phân tích các dạng mã độc
1.4.1 Trojan
Trojan là loại mã độc hại đƣợc đặt theo sự tích “Ngựa thành Troy”. Trojan
là một chƣơng trình mà trong đó chứa đựng những mã nguy hiểm và độc hại ẩn
dƣới dạng nhƣng dữ liệu hay chƣơng trình dƣờng nhƣ vô hại theo nhƣ tính năng
này nó có thể điều khiển và gây hại, ví dụ nhƣ mở bảng phân bố tập tin trong đĩa
cứng của bạn.[1]
Mục đích của Trojan
- Ăn cắp thông tin nhƣ mật khẩu, mã bảo mật thẻ tín dụng thông tin bằng
cách sử dụng keylogers.
- Sử dụng máy tính của nạn nhân để tạo một mạng botnet (mạng máy tính
ma) để thực hiện tấn công DDOS.
- Xóa hoặc thay thế các file quan trọng của hệ thống.
- Tạo một kết nối giả để tấn công DOS.
- Tải Spyware Adwares và các file độc hại.
- Vô hiệu hóa tƣờng lửa và phần mềm chống virus.
- Chụp màn hình, ghi âm, quay màn hình của máy nạn nhân.
- Lây nhiễm sang PC của nạn nhân nhƣ một máy chủ proxy cho các cuộc
tấn công chuyển tiếp.
- Sử dụng máy tính của nạn nhân để phát tán thƣ rác và bom thƣ.
Phân loại Trojan
- Command shell Trojan.
- Email Trojans.
- Botnet Trojans
- Proxy sever Trojans
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
8
- FPT Trojans
- VNC Trojans
- HTTP/HTTPS Trojans
- Remote Access Trojans
- E- banking Trojans
- Trojans phá hoại
- Trojans mã hóa
Dấu hiệu nhận biết bị nhiễm Trojan
Nếu có các dấu hiệu sau thì khả năng máy tính đã bị nhiễm Trojan:
- Ổ CD-ROM mở và đóng một cách bí ẩn.
- Trình duyệt của máy tính bỗng dƣng chuyển hƣớng đến những trang
không do ngƣời dung chọn.
- Trình Anti-Virus bị vô hiệu hóa hoặc thuộc tính của nó không hoạt động
nhƣ mong muốn.
- Thanh Taskbar trên windows bỗng dƣng biến mất.
- Tài khoản và mật khẩu bị thay đổi hoặc không chứng thực đƣợc.
- Màn hình máy tính bật ngƣợc hoặc đảo lộn.
- Thiết lập của màn hình chờ tự động thay đổi.
- Nhà cung cấp dịch vụ than phiền nạn nhân đang scan ip của mình.
- Hình nền và background thay đổi.
- Chức năng các nút trái phải bị đảo lộn.
- Mọi ngƣời biết nhiều thông tin của nạn nhân.
- Màn hình mấy tính bị nó tắt mở.
- Tài liệu hoặc tin nhắn đƣợc in ra từ mấy in của mình.
- Trỏ chuột biến mất hoặc di chuyển bởi nó.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
9
- Máy tính bị tắt hoặc mở bởi nó.
- Phím tắt Ctrl + Alt + Del dừng làm việc.
Sự lây nhiễm của Trojans
- Hợp pháp hóa một gói không hợp pháp trong phần mềm đóng gói.
- Chƣơng trình giả mạo.
- Tải các tập tin, trò chơi và màn hình chờ từ các site trên internet.
- Các site phần mềm iễn phí không đáng tin cậy.
- NetBIOS ( chia sẻ file)
- Ứng dụng tin nhắn ngay lập tức.
- IRC ( Internet Relay Chat)
- Tập tin đính kèm.
- Truy cập vật lý.
- Các lỗi của phần mềm trình duyệt và gửi mail.
Dò tìm Trojans
- Chạy máy quét Trojan để phát hiện Trojan.
- Quét cho các HOẠT ĐỘNG MẠNG đáng ngờ.
- Quét cho các FILE HỆ ĐIỀU HÀNH thay đổi đáng ngờ.
- Quét cho các CHƢƠNG TRÌNH KHỞI ĐỘNG đáng ngờ.
- Quét cho các TẬP TIN VÀ THƢ MỤC đáng ngờ.
- Quét cho các TRÌNH ĐIỀU KHIỂN THIẾT BỊ đáng ngờ đƣợc cài đặt
trên máy tính.
- Quét cho các DỊCH VỤ WINDOWN đáng ngờ.
- Quét cho các MỤC REGISTRY đáng ngờ.
- Quét cho các CỔNG MỞ đáng ngờ.
- Quét cho các QUY TRÌNH CHẠY đáng ngờ.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
10
Các biện pháp đối phó với Trojan
- Tránh tải về và thực hiện các ứng dụng từ các nguồn không tin cậy.
- Tránh mở file đính kèm email nhận đƣợc từ những ngƣời gửi không rõ.
- Cài đặt các bản vá lỗi và cập nhật bảo mật cho các hệ thống điều hành và
các ứng dụng.
- Quét đĩa CD và đĩa mềm với phần mềm chống virus trƣớc khi sử dụng
- Tránh chấp nhận các chƣơng trình chuyển giao tin nhắn tức thời.
- Chặn tất cả các cổng không cần thiết tại các máy chủ và tƣờng lửa.
- Khi phần cứng yếu, thiết lập cấu hình mặc định.
- Vô hiệu chức năng không sử dụng bao gồm các giao thức và dịch vụ.
- Tránh gõ các lệnh một cách mù quáng và thực hiện chế sẵn chƣơng trình
hoặc các kịch bản.
- Theo dõi lƣu lƣợng truy cập mạng nội bộ cho các cảng lẻ hoặc mã hóa lƣu
lƣợng truy cập.
- Quản lý tính toàn vẹn tập tin cục bộ máy trạm thông qua tổng kiểm tra, kiểm
toán, và quét cổng.
- Chạy các phiên bản chống virus, tƣờng lửa và phần mềm phát hiện xâm
nhập máy tính.
- Hạn chế quyền truy cập trong môi trƣờng máy tính để ngăn chặn các ứng
dụng độc hại installation trên máy tính.
1.4.2 Virus
Virus máy tính thực chất là các phần mềm tin học có khả năng gián tiếp tự
kích hoạt, tự nhân bản sao chép chính nó vào các chƣơng trình khác nhằm mục
đích phá hoại, do thám hoặc cũng có thể chỉ là để vui đùa. Một số virus ảnh
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
11
hƣởng đến máy tính ngay sau khi mã của nó đƣợc thực hiện, một số virus khác
nằm im cho đến khi một hoàn cảnh hợp lý rồi mới đƣợc kích hoạt.
Nguyên nhân virus được tạo ra
- Gây thiệt hại cho các đối thủ cạnh tranh
- Lợi ích tài chính
- Dự án nghiên cứu.
- Trò đùa.
- Phá hoại.
- Khủng bố mạng lƣới.
- Phân tán các thông điệp chính trị.
Dấu hiệu nhận biết bị nhiễm Virus
- Truy xuất tập tin, mở các chƣơng trình ứng dụng chậm.
- Khi duyệt web có các trang web lạ tự động xuất hiện.
- Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm.
- Các trang quảng cáo tự động hiện ra, màn hình Desktop bị thay đổi.
- Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB.
- Xuất hiện các file có phần mở rộng .exe có tên trùng với tên các thƣ mục
và có dấu hiệu mất file và thƣ mục.
- Ổ cứng bị truy xuất thƣờng xuyên.
Nguyên nhân máy tính bị nhiễm Virus
- Không chạy ứng dụng chống virus mới nhất.
- Không uptade và các ứng dụng bổ sung mới nhất.
- Cài đặt các phần mềm không tin tƣởng.
- Mở file hoặc mail có dính kèm virus.
- Truy cập các web không an toàn.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
12
- Tải file trên internet mà không kiểm tra tính an toàn của file.
Phân loại Virus theo đối tƣợng lây nhiễm
Nhƣ đã nói, tin học phát triển ngày càng mạnh mẽ thì virus cũng phát triển ngày
càng đa dạng, có thể nói không có loại virus nào là hoàn toàn giống nhau. Tuy
nhiên các virus luôn có một số đặc điểm chung nhất định để dựa vào đó ngƣời ta
có thể phân biệt nó. Có nhiều cách phân loại khác nhau, phân loại theo đối tƣợng
lây nhiễm thì virus gồm hai loại:
- B- virus: Virus chỉ tấn công lên Master Boot hay Boot Sector.
- F-virus: Virus chỉ tấn công lên các file khả thi.
Mặc dù vậy, cách phân chia này cũng không hẳn là chính xác. Ngoại lệ vẫn có
các virus vừa tấn công lên Master Boot ( Boot Sector) vừa tấn công lên file khả thi.
B- virus
Khi máy tính bắt đầu khởi động, các thanh ghi phân đoạn đều đƣợc đặt về
0FFFH, còn mọi thanh ghi khác đều đƣợc đặt về 0. Nhƣ vậy, quyền điều khiển
ban đầu đƣợc trao cho đoạn mã tại 0FFFh:0h, đoạn mã này thực ra chỉ là lệnh
nhảy JPM FAR đến một đoạn chƣơng trình trong ROM, đoạn chƣơng trình này
thực hiện quá trình POST (Power On Self Test).
Hình 1.1 Lây nhiễm của virus boot sector
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
13
Quá trình POST lần lƣợt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo
các chip điều khiển DMA, bộ điều khiển ngắt, bộ điều khiển đĩa, … Sau đó nó sẽ
dò tìm các card thiết bị gắn thêm để trao quyền điều khiển cho chúng tự khởi tạo
rồi lấy lại quyền điều khiển. Chú ý rằng đây là đoạn chƣơng trình trong ROM
nên không thể sửa đổi, cũng nhƣ không thể chèn thêm đoạn mã nào khác.
Sau quá trình POST, đoạn chƣơng trình trong ROM tiến hành đọc Boot
Sector trên đĩa A hoặc Master Boot trên đĩa cứng vào RAM, tại địa chỉ 0:7C00h
và trao quyền điều khiển cho đoạn mã đó bằng lệnh JMP FAR 0:7C00h. Đây là
chỗ mà B-virus lợi dụng để tấn công vào Booot Sector, nghĩa là nó sẽ thay Boot
Sector chuẩn bằng đoạn mã virus vì thế quyền điều khiển đƣợc trao cho virus, nó
sẽ tiến hành các hoạt động của mình trƣớc, rồi sau đó mới tiến hành các thao tác
nhƣ thông thƣờng. Đọc Boot Sector chuẩn mà nó cất giấu ở đâu đó vào 0:7C00h
rồi trao quyền điều khiển cho đoạn mã chuẩn này, và ngƣời sử dụng có cảm giác
rằng máy tính của mình vẫn hoạt động bình thƣờng.
Việc cất giữ sector khởi động tại vị trí nào trên đĩa tùy thuộc loại đĩa và
cách giải quyết từng loại virus. Đối với đĩa cứng, thông thƣờng nó đƣợc cất giữ
đâu đó trong side 0, cylinder 0 vì trong cả track này, DOS chỉ sử dụng sector đầu
cho bảng Partition. Trên đĩa mềm, vị trí cất giữ sẽ phức tạp hơn vì mọi chỗ đều
có khả năng ghi đè thông tin.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
14
Hình 1.2. Phá hoại làm file phân mảnh của B-virus
Tùy thuộc vào độ lớn của đoạn mã virus mà B-virus đƣợc chia hai loại:
SB-virus: chƣơng trình của SB-virus chỉ chiếm đúng một sector khởi
động, tác vụ của SB-virus không nhiều và tƣơng đối đơn giản. Hiện nay số các
virus loại này thƣờng ít gặp và có lẽ chỉ là các virus do trong nƣớc “sản xuất”.
DB-virus: đây là những virus mà đoạn mã có nó lớn hơn 512bytes. Vì
thế mà chƣơng trình virus đƣợc chia làm hai phần:
- Phần đầu virus: đƣợc cài đặt trong sector khởi động để chiếm quyền
điều khiển khi quyền điều khiển đƣợc trao cho sector khởi động này.
Nhiệm vụ duy nhất của phần đầu là tải tiếp phần thân của virus vào vùng
nhớ và trao quyền điều khiển cho phần thân đó. Vì nhiệm vụ đơn giản nhƣ
vậy nên phần đầu của virus thƣờng rất ngắn, và càng ngắn càng tốt vì càng
ngắn thì sự khác biệt giữa sector khởi động chuẩn và sector khởi động đã
bị nhiễm virus càng ít, giảm khả năng bị nghi ngờ.
- Phần thân virus: là chƣơng trình chính của virus. Sau khi đƣợc phần đầu
tải vào vùng nhớ và trao quyền, phần thân này sẽ tiến hành các tác vụ của
mình, sau khi tiến hành xong mới đọc sector khởi động chuẩn vào vùng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
15
nhớ và trao quyền cho nó để máy tính làm việc một cách bình thƣờng nhƣ
chƣa có gì xảy ra.
F- Virus
Khi DOS tổ chức thi hành file thực thi (bằng chức năng 4Bh của ngắt 21h),
nó sẽ tổ chức lại vùng nhớ, tải file cần thi hành và trao quyền điều khiển cho file
đó. F-virus lợi dụng điểm này bằng cách gắn đoạn mã của mình vào file đúng tại
vị trí mà DOS trao quyền điều khiển cho file sau khi đã tải vào vùng nhớ. Sau
khi F-virus tiến hành xong các hoạt động của mình, nó mới sắp xếp, bố trí trả lại
quyền điều khiển cho file để cho file lại tiến hành hoạt động bình thƣờng và
ngƣời sử dụng thì không thể biết đƣợc.
- So với B- virus thì số lƣợng F- virus đông đảo hơn nhiều, có lẽ do các tác
vụ đĩa với sự hỗ trợ của Int 21 đã trở nên cực kỳ dễ dàng và thoải mái, đó là
điều kiện phát triển cho các F- virus. Thƣờng thì các F- virus chỉ lây lan trên
các file khả thi ( có đuôi .COM hoặc .EXE), tuy nhiên một nguyên tắc mà virus
phải tuân thủ là: khi thi hành một file khả thi bị lây nhiễm, quyền điều khiển
phải nằm trong tay virus trƣớc khi virus trả nó lại cho file bị nhiễm, và khi file
nhận lại quyền điều khiển, tất cả mọi dữ liệu của file phải đƣợc bảo toàn.
Phân loại virus theo cách thức lây nhiễm
- Virus System hoặc Boot sector
- Virus Stealth/ Virus Tunneling
- Virus cluster
- Virus macro
- Virus encrytion
- Virus add – on
- Virus polymophic
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
16
- Virus Companion/ Camouflage
- Virus Shell
- Virus Direct Action hoặc virus Transient
- Virus file extension
- Virus Terminate and Stay Resident (STR)
Biện pháp phòng tránh Virus
- Đảm bảo file thực thi đƣợc gửi đến tổ chức phải đƣợc phê duyệt
- Không boot máy tính với ổ đĩa bootable đã bị nhiễm.
- Hiểu biết về mối đe dọa virus mới nhất và cập nhật thông tin.
- Kiểm tra CD và DVD có bị nhiễm hay không.
- Đảm bảo cửa sổ pop-up blocker đƣợc bật và sử dụng tƣờng lửa internet.
1.4.3 Worm
Sâu máy tính(worm) là một chƣơng trình máy tính có khả năng tự nhân bản
giống nhƣ virus máy tính. Trong khi virus máy tính bám vào và trở thành một
phần của mã máy tính để có thể thi hành thì sâu máy tính là một chƣơng trình
độc lập không nhất thiết phải là một phần của một chƣơng trình máy tính khác để
có thể lây nhiễm. Sâu máy tính thƣờng đƣợc thiết kế để khai thác khả năng
truyền thông tin có trên những máy tính có các đặc điểm chung – cùng hệ điều
hành hoặc cùng chạy một phần mềm mạng – và đƣợc nối mạng với nhau.
Hầu hết các worm đƣợc tạo chỉ có thể tái tạo và lây lan thông qua mạng,
tiêu thụ tài nguyên máy tính, tuy nhiên một vài worm mang một payload tàn phá
hệ thống.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
17
Kẻ tấn công sử dụng worm payload để cài đặt vào cửa sau của máy tính bị
nhiễm, sẽ bật chúng trở thành thây ma và tạo botnet; những botnet này có thể sử
dụng để mang tấn công đến không gian mạng.
Một số worm cơ bản
W32/ Nesky
Đặc điểm
W32/Nesky là một sâu lây lan sử dụng email và chia sẻ qua mạng Windows.
Nó tìm tất cả ánh xạ ổ đĩa của file có phần mở rộng để tìm thấy địa chỉ email
Worm cũng sẽ cố gắng sao chép chính nó vào trong thƣ mục root của ổ đĩa C.
Thực thi
Khi một file đƣợc giải nén và mở thì virus có thể hiển thị dòng tin nhắn “ The
file could not be opend” W32/ Netsky-A sao chép chính nó vào trong thƣ mục
Window nhƣ services.exe. Để tự động chạy mỗi khi Windows khởi động
W32/Netsky-A tạo một registry.
W32/Bagle.GE
Đặc điểm
Worm W32/Bagle.GE đƣợc nhúng trong file đính kèm email, và lây lan sử
dụng mạng email đã bị lây nhiễm. Nó tự ẩn mình và các thành phần Bagle khác
sử dụng kĩ thuật rookit.
Thực thi
- Nó cố gắng ngăn chặn nhiều Anti-Virus và các phần mềm liên quan đến an
ninh khác.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
18
- Bagle.GE tải một ổ đĩa chế độ kernel (m_hook.sys) đƣợc nó sử dụng để tự
ẩn mình và Bagle các phần mềm độc hại khác, Email-Worm/Bagle.GF.
- Xử lý và thƣ mục, khóa registry và các value.
Worm Conficker
Đặc điểm
- Worm Conficker là một worm máy tính có thể lây nhiễm và tự nó lây lan
sang các máy tính khác thông qua mạng một cách tự động, mà không tƣơng
tác con ngƣời.
- File autorun.inf đƣợc đặt trong thƣ mục thùng rác.
- Ngƣời dùng bị khóa bên ngoài của thƣ mục.
- Truy cập an toàn – liên quan trang web bị chặn.
- Lƣu lƣợng truy cập đƣợc gửi qua port 445 trên máy chủ non – Directory
Service(DS)
- Truy cập với quyền admin vào ổ đĩa chia sẻ bị từ chối.
Thực thi
- Worm Conficker có thể vô hiệu hóa các dịch vụ quan trọng trong máy tính
của bạn.
- Trong hộp thoại autoplay, lựa chọn Open folder to view files – Publisher not
specified đƣợc thêm vào bởi worm.
- Lựa chọn đánh dấu, Open folder to view files – using Windows explore là
lựa chọn windows có thể cung cấp và lựa chọn cho bạn sử dụng.
- Nếu bạn chọn lựa chọn đầu tiên, sâu sẽ thực thi và bắt đầu tự lây lan qua các
máy khác.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
19
Biện pháp phòng tránh Worm
- Chạy clean up ổ đĩa, quét registry và chạy chống phân mảnh một lần trong tuần
- Bật tƣờng lửa nếu OS sử dụng windows XP.
- Chạy chƣơng trình giống phần mềm gián điệp và phần mềm quảng cáo một
lần trong tuần.
- Chặn tất cả các file có phần mở rộng dài hơn phần mở rộng của file.
- Thận trọng với những file đƣợc gửi thông qua dòng tin nhắn tức thời.
1.4.4 Backdoor
Khái niệm Backdoor
Backdoor là một chƣơng trình hoặc có liên quan đến chƣơng trình, đƣợc hacker
sủ dụng để cài đặt trên hệ thống đích, nhằm mục đích cho anh ta truy cập trở lại
hệ thống vào lần sau. Mục đích của Backdoor là xóa bỏ một cách minh chứng hệ
thống ghi nhật ký. Nó cũng giúp hacker cầm cự trạng thái truy cập khi bị quản trị
viên phát hiện và tìm cách khắc phục.
Biện pháp đối phó với Backdoor
- Hầu hết các sản phẩm chống virus thƣơng mại có thẻ tự động quét và phát
hiện các chƣơng trình backdoor trƣớc khi chúng có thể gây thiệt hại.
- Giúp ngƣời dung không cài đặt các ứng dụng tải về từ các trang web
Internet không đáng tin cậy và file đính kèm email.
- Sử dụng công cụ chống virus chanwgr hạn nhƣ Windowws Defender,
McAfee, Norton phát hiện và loại bỏ các Backdoors
Kiểm tra xâm nhập
- Quét hệ thống cổng mở, các tiến trình đang chạy, các khóa registry, trình
điều khiển thiết bị và dịch vụ. Nếu bất kì cổng đáng ngờ, quá trình, mục