Bài Giảng Tìm Hiểu Về Virus Và Worm
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.47 MB, 37 trang )
Trường CĐ CNTT Hữu Nghị Việt Hàn
Khoa Khoa Học Máy Tính
Tìm hiểu về Virus và Worm
Mô-đun
GVHD
: Lê Tự Thanh
Nhóm 19 : Đặng Ngọc Thông
Võ Minh Thành
Giới thiệu Virus
Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách
đính kèm bản sao của chính nó vào các code thực thi khác
Một số Virus ảnh hưởng đến máy tính ngay sau khi code của nó được thực
hiện, một số Virus khác nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được
kích hoạt
Nhóm 19-CCMM03A
Số liệu thống kê Virus và Worm 2010
Top 13 quốc gia có máy chủ
lưu trữ code độc hại
Nhóm 19-CCMM03A
Vòng đời của Virus
Thiết kế
Phát triển
code Virus bằng cách
sử dụng các ngôn ngữ
lập trình hoặc bộ
dụng cụ xây dựng
Nhân rộng
Virus sao chép vào
hệ thống trong một
khoảng thời gian và
sau đó chính nó sẽ
lây lan
Loại bỏ
Người dùng cài
đặt bản cập
nhật chống Virus và
loại bỏ các mối đe
dọa từ Virus
Kích hoạt
Nó được kích hoạt bởi
người dùng khi
thực hiện một số hành
động như chạy một
chương trình bị nhiễm
Công ty
Phần mềm chống
Virus được phát triển
để bảo vệ và chống
lại Virus
Phát hiện
Virus được xác định
là mối đe dọa lây
nhiễm cho các hệ
thống
Nhóm 19-CCMM03A
Hoạt động của Virus : Giai đoạn lây nhiễm
Trong giai đoạn lây nhiễm, Virus sao chép chính nó và gắn vào một file exe trong hệ thống
Một số Virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực
khác khi người dùng kích hoạt vào chúng, có thể là một ngày, một khoảng thời gian, hoặc một sự
kiện đặc biệt nào đó
Trước khi nhiễm
File sạch
Sau khi nhiễm
File đã
nhiễm Virus
Nhóm 19-CCMM03A
Hoạt động của Virus : Giai đoạn lây nhiễm
Một số Virus có những sự kiện thực thi để kích hoạt và làm hỏng hệ thống
Một số Virus tạo lỗi tái tạo và thực hiện các hoạt động như xóa tập tin và tăng thời gian của phiên
làm việc
Nó làm hỏng các mục tiêu sau khi đã lây lan thành công như âm mưu của người tạo ra nó
File chưa phân mảnh trước khi bị tấn công
File đã bị phân mảnh do sự tấn công của Virus
Nhóm 19-CCMM03A
Tại sao người ta lại tạo ra Virus máy tính ?
Gây thiệt hại cho các đối thủ cạnh
tranh
Lợi ích tài chính
Kẻ tấn công
Dự án nghiên cứu
Trò đùa
Phá hoại
Khủng bố mạng lưới
Phân phát các thông điệp chính trị
Hệ thống có thể
công kích
Nhóm 19-CCMM03A
Dấu hiệu Virus tấn công
Bộ xử lí tốn
nhiều thời
gian và tài
nguyên
Không có
tiếng bíp
máy tính
Nhãn ổ đĩa
bị thay đổi
Máy tính bị
chậm khi
chương trình
bắt đầu chạy
Máy tính
thường
xuyên bị
đóng băng
hoặc gặp
phải lỗi
Không thể
tải được sự
hoạt động
của hệ
thống
Sự cảnh báo
của chương
trình chống
Virus
File và thư
mục bị mất
ổ cứng bị
truy cập
thường
xuyên
Cửa sổ trình
duyệt “đóng
băng”
Hoạt động bất thường
Nếu hệ thống hoạt động theo
cách thức chưa từng thấy, bạn có
thể nghị ngờ bị Virus tấn công
Dương tính giả
Tuy nhiên không phải tất cả
các trục trặc có thể là do Virus
tấn công
Nhóm 19-CCMM03A
Máy tính bị nhiễm Virus như thế nào ?
Không chạy ứng dụng
anti-Virus cập nhật mới
nhất
Không cập nhật và không
cài các phiên bản bổ sung
mới
Khi người dùng truy cập file
và tải về mà không kiểm tra
nguồn có an toàn hay không
Cài đặt các phần mềm bí
mật
Mở các e-mail có file
đính kèm bị nhiễm
Nhóm 19-CCMM03A
Phân tích Virus :
W32/Total-A là một Virus email-nhận thức gửi đến như là 1 file đính kèm gọi là BinLaden_Brasil.exe
Phần nội dung của email sẽ liên quan đến cuộc xung đột ở Afghanistan
Nhóm 19-CCMM03A
Phân tích Virus :
Các thông báo trống có header MIME được mã hóa để khai thác lỗ hổng
trong IE 5.01/5.5 để chạy một tập tin đính kèm tự động khi các email được
xem
Nếu tập tin đính kèm được thực thi, nó thả các tập tin thư viện INVICTUS.DLL vào
thư mục hệ thống Windows và Virus vào thư mục Windows, bằng cách sử dụng
ngẫu nhiên tên 3 kí tự bao gồm phần trên chữ ‘A-O'
Virus cũng có thể tạo một bản sao của chính nó trong thư mục C: \, các file của
các bản sao Virus sẽ có thuộc tính ẩn và chỉ đọc
Virus này thêm vào đường dẫn của nó vào dòng "shell =" trong đoạn [Boot]
của System \<Windows>.ini, chính điều này mà Virus được chạy tự động mỗi
khi máy được khởi động
Virus này làm cho ổ đĩa C: chia sẻ được bằng cách thiết lập các khóa khác nhau:
Nhóm 19-CCMM03A
Phân tích Virus :
Đặc
biệt,nó thường nhắm
vào các mục tiêu
là netstat.exe và Ic.exe
Mỗi khi bạn khởi
động Windows
Explorer, Virus sẽ chạy
và lây nhiễm file
HH.EXE vàExplorer.exe
Virus này sẽ tìm
kiếm các chương
trình chống Virus đang
hoạt động và cố
gắng để chấm dứt
chúng
Hộp tin nhắn có tiêu
đề 'Worm/IWorm/W32.BinLade
n' và chứa bên
dưới văn bản
Khẩu hiệu đầy màu
sắc khác
nhau sẽ được hiển
thị trên màn hình
desktop, cùng với
hộp tin nhắn
Trong những
dịp hiếm hoi
mà Virus được
chạy, nó sẽ kích hoạt
1 visual payload
Văn bản được cố ý che đậy để che giấu nội dung xúc phạm
Nhóm 19-CCMM03A
Phân tích Virus :
Nhóm 19-CCMM03A
Phân tích Virus :
Virus sẽ cố gắng để tải về
thông tin về người sử
dụng khác từ trang
ICQ từ xa bằng cách tìm
kiếm "trang trắng" cho một
danh sách các từ khóa bao
gồm: "lịch sử", "bạn
bè", “chuyến bay"
Virus sau đó sẽ gửi tới địa
chỉ email mà nó tìm
thấy trong các
trang được tìm thấy
Tiến trình Virus bình thường sẽ
chấm dứt sau 5-10 phút, nhưng
cũng có thể được chấm
dứt bằng cách sử dụng Task
Manager
Biện pháp đối phó: Microsoft đã ban hành một bản vá để bảo vệ lỗ hổng này tại :
Nhóm 19-CCMM03A
Phân tích Virus :
Virus này là một tập đa hình thường trú trong bộ nhớ gắn thêm tập
tin infectors có khả năng EPO (che khuất Entry Point)
Virus này định vị một mức nhất
định của byte từ
điểm nhập cảnh của tập tin
gốc và viết decryptor ban đầu
của nó có
Virus này viết code ban đầu của
nó vào một khoảng trống (không
gian trống rỗng) trong kết
thúc của phần code tập tin ban
đầu và chuyển địa chỉ vào code
Phương
thức lây
nhiễm
Nó gắn thêm code của nó đến
cuối của tập tin và thay đổi điểm
vào địa chỉ của chương trình ban
đầu, do đó nó trỏ nối thêm
chỗ bắt đầu của code Virus
Nhóm 19-CCMM03A
Phân tích Virus :
Trang web độc hại
Trang web độc hại
Ng
ườ
tra i dùn
n g
we g truy
b đ
ộc cập
hại
Viru
ngư s lây
ời d nhiễ
ùng m v
má ào
y tí
nh
Trang wed và file
bị thay đổi bởi
Virus
Người dùng xuất các
tập tin bị nhiễm vào
máy chủ web
Virus cố gắng thực hiện những hành động sau đây
Cố gắng để lây nhiễm . Ex * và/hoặc các file scr
Cản trở hoạt động bảo vệ tập
tin được cung cấp bởi Windows
Nhúng các lệnh để cho người dùng truy cập
php, asp. htm và file html trong các trang
web trong **, nơi mà Virus đã ở sẵn trước
Chuyển
hướng
đến
trang
Ng
nh ười d web
iễm ùn độc hại
bở g b
i V ị
i ru
s
N
cậ gườ
p t i d
ran ùn
g w g kh
eb ác
bị tru
nh y
iễm
Virus
lây
nhiễm
người
dùng
máy
tính
21
Nhóm 19-CCMM03A
Phân loại Virus
Virus
System hoặc
Boot sector
Virus file
Virus
Multipatite
Virus
Stealth/
Virus
Tunneling
Virus
cluster
Virus
macro
Nó lây nhiễm như thế nào ?
Virus
encrytion
Virus
polymophic
Virus
Metamorphic
Virus
overwriting
File hoặc
Virus Cavity
Virus
sparse
Infector
Virus
Companion/
Camouflage
Virus Shell
Virus file
extension
Virus
Intrusive
Virus Direct
Action hoặc
virus
Transient
Virus
terminate and
stay
resident(STR)
Virus add-on
Nó lây nhiễm như thế nào ?
25
Nhóm 19-CCMM03A
Virus System or Boot sector
Virus boot sector di chuyển MBR đến vị trí khác trên đĩa cứng và sao chép chính nó
vào vị trí ban đầu của MBR
Khi hệ thống khởi động, code Virus được thực thi đầu tiên và sau đó kiểm
soát được thông qua MBR ban đầu
Trước khi lây nhiễm
Sau khi lây nhiễm
code vi
rút
26
Nhóm 19-CCMM03A
Virus File and Multipartite
Virus file
Virus file lây nhiễm các file được
thực thi hoặc diễn giải trong hệ
thống như EXE,
COM. SYS, OVL, OBI, PRG, MNU và
file BAT
Virus File có thể là hành
động trực tiếp (không thường
trú)hoặc thường trú trong bộ nhớ
Vi rút multipartite
Virus multipartite tấn
công cả hai là boot sector
và các file hoặc chương
trình thực thi cùng một lúc
27
Nhóm 19-CCMM03A
Virus Macro
Macro lây nhiễm kích hoạt tài liệu
Kẻ tấn công
Người dùng
Hầu hết các Virus
macro được
viết bằng cách sử
Virus
Macro lây nhiễm các tập dụng ngôn
ngữ macro Visual
tin được tạo ra bởi
Basic cho
Microsoft Word
Ứng dụng (VBA)
hoặc Excel
Virus Macro lây
nhiễm các
mẫu hoặc chuyển đổi
các tài liệu bị nhiễm
vào các file mẫu,
trong
khi duy trì sự xuất hiệ
n các file
tài liệu thông thường
28
Nhóm 19-CCMM03A
Virus Cluster
Virus cluster thay đổi các mục
bảng thư mục để các mục thư
mục trỏ đến các code vi rút thay
vì chương trình thực tế
Chỉ một bản sao của
Virus trên đĩa lây nhiễm
cho tất cả
các chương trình trong hệ
thống máy tính
Nó sẽ khởi động chính nó đầu
tiên khi bất kỳ chương
trình trên hệ thống được bắt đầu
và sau đó kiểm soát thông
qua chương trình thực tế
29
Nhóm 19-CCMM03A
Virus Cavity or File Overwriting
Virus Cavity ghi đè lên 1 phần của file nguồn với 1 hằng số(thường rổng),
mà không tăng độ dài của file và giữ nguyên chức năng của file
File bị nhiễm
File gốc
34
Nhóm 19-CCMM03A
Virus Shell
Code Virus tạo thành một shell xung quanh mục tiêu code của chương trình, làm
cho bản thân chương trình ban đầu và code máy đích là thường xuyên phụ thuộc
vào nó
Hầu hết các Virus boot là Virus Shell
Trước khi lây nhiễm
Chương trình gốc
Sau khi lây nhiễm
code viirut
Chương trình gốc
37
Nhóm 19-CCMM03A
Virus File Extension
Virus Extension thay đổi phần mở rộng của file
.TXT an toàn vì nó chỉ ra một tập tin văn bản
thuần túy
Với phần mở rộng bị tắt, nếu ai đó gửi cho bạn
file có tên BAD.TXT.VBS, bạn sẽ chỉ nhìn
thấy BAD.TXT
Nếu bạn không biết rằng các phần mở rộng
được tắt, bạn có thể nghĩ rằng đây là một file
văn bản và mở nó
Đây là một Virus thực thi Visual Basic Script
và có thể làm thiệt hại nghiêm trọng
Biện pháp đối phó là để tắt "phần mở rộng
tập tin ẩn" trong Windows
38
Nhóm 19-CCMM03A
Virus Add-on and Intrusive
Virus add-on thêm code của chúng vào code đích mà không làm thay đổi sau này hoặc di dời
code đích để tự chèn thêm code của chúng khi bắt đầu
Chương trình gốc
Code
Virus
Chương trình gốc
Code Virus
Nhảy
Nhảy
Virus xâm nhập ghi đè lên 1 phần của code đích hoặc hoàn toàn lên code đối thủ
Chương trình gốc
Code
Virus
Chương trình gốc
39
Nhóm 19-CCMM03A
