BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

------oo0oo------

Đề tài: Các loại mã độc hại và cách phòng chống
(Demo)
Giảng viên hướng dẫn: Vũ Đình Thu
Nhóm sinh viên thực hiện: Bùi Ngọc Anh
Nguyễn Trọng Trường
Hoàng Thị Cúc
Vũ Văn Bảo

Hà Nội 10-2012

1


LỜI MỞ ĐẦU ............................................................................................. 4
PHẦN I - MÃ ĐỘC HẠI LÀ GÌ – SỰ PHÁT TRIỂN CỦA MÃ ĐỘC
HẠI .............................................................................................................. 5
1- Khái niệm mã độc hại ............................................................................................ 5
2 - Lịch sử mã độc hại ................................................................................................. 5
3- Tình hình phát triển mã độc hại trong những năm gần đây ................................ 6

PHẦN II – CÁC LOẠI MÃ ĐỘC HẠI – CÁCH PHÒNG CHỐNG .... 7
1. Virus và các mã độc hại trên internet .................................................................... 7
1.1 Virus ............................................................................................................... 7
1.2

Các loại virus máy tính.................................................................................. 9

-

Virus Boot ...................................................................................................... 9
- Virus Filea ..................................................................................................... 10
- Virus Macro................................................................................................... 10
- Worm ............................................................................................................. 10

- backdoor ............................................................................................................ 12
- Trojan ............................................................................................................ 12
Có 7 loại trojan chính: ............................................................................. 13

*
-

Trojan truy cập từ xa (RAT – Remote Access Trojan) ...................... 13

-

Trojan gửi dữ liệu ............................................................................... 13

-

Trojan hủy hoại ................................................................................... 14

-

Trojan kiểu Proxy ................................................................................ 14


2


-

Trojan FTP ........................................................................................... 14

-

Trojan tắt phần mềm an ninh ............................................................. 14

-

Trojan DoS........................................................................................... 14

- Zombie ............................................................................................................... 14
- Spyware.............................................................................................................. 15
- Botnet ................................................................................................................ 16
- Rootkit ................................................................................................................ 17
1.3 NHẬN BIẾT MÁY TÍNH BỊ NHIỄM MALWARE...................................................... 18
1.4 CÁCH PHÒNG TRÁNH MALWARE .................................................................... 19

PHẦN III - TÀI LIỆU THAM KHẢO .................................................. 22

3


LỜI MỞ ĐẦU


Khi nhu cầu và việc sử dụng Internet của con người ngày càng tăng thì
cũng là lúc những mối đe dọa xuất hiện càng nhiều, nổi bật là đe dọa của mã
độc hại. Mã độc hại xuất hiện bất kỳ ở đâu trên môi trường của các thiết bị điện
tử như các đĩa mềm, usb, máy tính đến môi trường Internet trong các webside,
trong các tin nhắn, trong hòm thư điện tử của người dùng, trong các phần mềm
miễn phí…. Khi mã độc hại đã nhiễm vào một máy tính nào đó thì nó lây lan
sang các máy tính khác là khá nhanh và thiệt hại do mã độc hại gây ra là khó có
thể lường trước được.
Chính vì vậy bọn em dã chọn đề tài nghiên cứu “mã độc hại và cách
phòng chống”.

4


PHẦN I - MÃ ĐỘC HẠI LÀ GÌ – SỰ PHÁT TRIỂN CỦA MÃ
ĐỘC HẠI

1- Khái niệm mã độc hại
Malware (Malicious software) hay còn gọi là mã độc hại (Maliciuos
code) là tên gọi chung cho các phần mềm được thiết kế, lập trình đặc biệt để phá
hoại hệ thống của bạn hoặc làm gián đoạn môi trường hoạt động mạng.
Malware thâm nhập vào một hệ thống máy tính mà không có sự đồng ý của chủ
sở hữu.
Mã độc hại bao gồm rất nhiều các thể loại và được mọi người gọi chung
là VIRUS máy tính như: worm, trojan, spy-ware, … Thậm chí là virus hoặc các
bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như : backdoor,
rootkit, key-logge... Như vậy chính xác thì virus máy tính chỉ là một dạng của
mã độc hại.
2 - Lịch sử mã độc hại
Năm 1949. Lý thuyết đầu tiên về các chương trình tự sao chép ra đời từ

năm 1949, nhưng mãi đến năm 1981 Apple II là những virus đầu tiên được phát
tán thông qua hệ điều hành của hãng “Quả táo”, lây lan khắp hệ thống của công
ty Texas A&M, thông qua các trò chơi ăn cắp bản quyền trên đĩa mềm. Những
người đầu tiên phát hiện còn gọi nó là Elk Cloner. Tuy nhiên định nghĩa đầu
tiên về virus lại ra đời sau đó vào năm 1983 bởi Fred Cohen, một sinh viên đại
học Mỹ “Là một chương trình máy tính có thể tác động những chương trình
máy tính khác bằng cách sửa đổi chúng bằng phương pháp đưa vào một bản sao
của nó”. Fred Cohen luôn là cái tên được nhắc đến khi nói về lịch sử virus. Kể
từ đó, một thế giới các loại mã và chương trình tấn công đã hình thành và phát
triển với tốc độ chóng mặt. Đi kèm với nó là cả một ngành công nghiệp sản xuất
công cụ phòng ngừa và tiêu diệt. Ngày nay, trên thế giới có rất nhiều loại virus
khác nhau đang hiện diện trên hệ thống máy tính toàn cầu. Chúng phá hoại và
gây ra các hậu quả rất nặng nề đối với ngành công nghệ thông tin thế giới..

5


3- Tình hình phát triển mã độc hại trong những năm gần đây
Sự gia tăng đột biến của các mã độc hại (malware) trong 2 năm gần đây
là dấu hiệu rất đáng lo ngại cho các tổ chức, người dùng máy tính. Chỉ tính
trong 2 năm 2008, 2009 người ta đã phát hiện hơn 30 triệu chương trình phá
hoại.
Trong năm 2010, giới an ninh bảo mật đã ghi nhận sự gia tăng đáng kể
của các loại phần mềm độc hại và các kiểu tấn công "malvertising" (malicious
advertising - quảng cáo độc hại, lợi dụng các kiểu quảng cáo trực tuyến để chèn
mã độc tấn công người sử dụng).
Các chương trình mã độc hại ngày càng phức tạp và nguy hiểm, nhưng
cũng có chương trình lại rất đơn giản xét từ góc độ kỹ thuật, và lại rất phổ biến.
Tuy nhiên, các chương trình phức tạp và nguy hiểm lại tăng lên nhiều so với 4
năm trước đây, trong đó nguy hiểm nhất là những chương trình có khả năng tự

nhân bản, giữ nguyên các tính năng phá hoại và đồng thời sử dụng những cách
thức che dấu sự hiện diện của mình trong hệ thống
Sự phát triển của các mạng xã hội sẽ tạo ra môi trường tốt cho các
chương trình độc hại. Điều này có thể lí giải đơn giản: người dùng tỏ ra tin
tưởng các thành viên trong mạng xã hội hơn, và do đó cũng không e ngại hoặc ít
đề phòng hơn so với những cách thức giao tiếp khác. Mặt khác, mạng xã hội
quy tụ rất nhiều thành phần, và trình độ nhận thức, hiểu biết về an toàn, bảo mật
của người dùng trong mạng cũng rất thấp. Từ đó, có thể thấy rằng các chương
trình độc hại tìm được môi trường rất phù hợp trong mạng xã hội.
3000 điện thoại Vodafone bị phơi nhiễm virus vào tháng 3 năm 2011, mã
độc hại được lan truyền thông qua các thẻ nhớ bán kèm điện thoại HTC Magic
do hãng này phân phối và các hãng khác. Thị trường điện thoại di động ngày
càng được các hacker chú ý đến.

6


PHẦN II – CÁC LOẠI MÃ ĐỘC HẠI – CÁCH PHÒNG
CHỐNG

1. Virus và các mã độc hại trên internet
1.1

Virus

Virus là các đoạn mã có khả năng tự nhân bản. Virus có thể chứa hoặc
không chứa các chương trình tấn công hay các cổng hậu. Virus là đoạn mã được
cài trên máy tính và chạy ngoài ý muốn của người sử dụng.
Virus máy tính là một chương trình phần mềm có khả năng tự sao chép
chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là

các file chương trình, văn bản, máy tính...). Virus có nhiều cách lây lan và tất
nhiên cũng có nhiều cách phá hoại, nhưng đó là một đoạn chương trình thường
dùng để phục vụ những mục đích không tốt.
Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay chúng
ta có thể coi virus máy tính như mầm mống gây dịch bệnh cho những chiếc máy
tính, và chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và
tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng. Như những vấn
đề phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh mà chúng ta
phải dày công nghiên cứu mới trị được, hoặc cũng có những loại bệnh gây ra
những hậu quả khôn lường. Chính vì vậy, phương châm "phòng hơn chống" là
phương châm cơ bản và luôn đúng đối với virus máy tính.
 Virus máy tính lây lan như thế nào ?
Virus máy tính có thể lây vào máy tính của bạn qua email, qua các file
bạn tải về từ Internet hay copy từ usb và các máy tính khác về. Virus máy tính
cũng có thể lợi dụng các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây
nhiễm lên máy tính của bạn một cách âm thầm.
Email là con đường lây lan virus chủ yếu và phổ biến nhất hiện nay. Từ
một máy tính, virus thu thập các địa chỉ email trong máy và gửi email giả mạo
có nội dung hấp dẫn kèm theo file virus để lừa người nhận mở các file này. Các
email virus gửi đều có nội dung khá „hấp dẫn‟. Một số virus còn trích dẫn nội
dung của 1 email trong hộp thư của nạn nhân để tạo ra phần nội dung của email
giả mạo, điều đó giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị
7


mắc lừa hơn. Với cách hoàn toàn tương tự như vậy trên những máy nạn nhân
khác, virus có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân.
Tại Việt Nam, usb là con đường lây lan phổ biến thứ hai của virus, chỉ
sau email. Khi bạn cắm usb của mình vào một máy tính để copy dữ liệu, chắc
bạn không ngờ rằng có một vài chú virus đang ẩn mình trong chiếc máy tính đó,

chờ trực để tự nhân bản vào usb của bạn. Bạn mang usb về, cắm vào máy tính
của mình, mở ổ đĩa để chuyển các file vừa copy được vào máy, và một lần nữa
bạn không biết rằng virus cũng chỉ đợi có thế để lây nhiễm vào máy tính của
bạn.
Máy tính của bạn cũng có thể bị nhiễm virus khi bạn chạy một chương
trình tải từ Internet về hay copy từ một máy tính bị nhiễm virus khác. Lý do là
các chương trình này có thể đã bị lây bởi một virus hoặc bản thân là một virus
giả dạng nên khi bạn chạy nó cũng là lúc bạn đã tự mở cửa cho virus lây vào
máy của mình. Quá trình lây lan của virus có thể diễn ra một cách "âm thầm"
(bạn không nhận ra điều đó vì sau khi thực hiện xong công việc lây lan, chương
trình bị lây nhiễm vẫn chạy bình thường) hay có thể diễn ra một cách "công
khai" (virus hiện thông báo trêu đùa bạn) nhưng kết quả cuối cùng là máy tính
của bạn đã bị nhiễm virus và cần đến các chương trình diệt virus để trừ khử
chúng.
Nếu bạn vào các trang web lạ, các trang web này có thể chứa mã lệnh
ActiveX hay JAVA applets, VBScript...là những đoạn mã cài đặt Adware,
Spyware, Trojan hay thậm chí là cả virus lên máy của bạn. Vì vậy, trong mọi
tình huống bạn nên cẩn thận, không vào những địa chỉ web lạ.
Tuy nhiên virus cũng được phát triển theo một trình tự lịch sử tiến hoá từ
thấp đến cao. Những virus hiện nay có thể lây vào máy tính của bạn mà bạn
không hề hay biết, ngay cả khi bạn không mở file đính kèm trong các email lạ,
không vào web lạ hay chạy bất cứ file chương trình khả nghi nào. Đơn giản là
vì đó là những virus khai thác các lỗi tiềm ẩn của một phần mềm đang chạy trên
máy tính của bạn (ví dụ: lỗi tràn bộ đệm…) để xâm nhập từ xa, cài đặt và lây
nhiễm. Các phần mềm (kể cả hệ điều hành) luôn chứa đựng những lỗi tiềm tàng
mà không phải lúc nào cũng có thể dễ dàng phát hiện ra. Các lỗi này khi được
phát hiện có thể gây ra những sự cố không lớn, nhưng cũng có thể là những lỗi
rất nghiêm trọng và không lâu sau đó thường sẽ có hàng loạt virus mới ra đời
khai thác lỗi này để lây lan.
Một tình huống hay gặp đối với các virus lây lan dựa trên tin nhắn tức

thời (VD : tin nhắn Yahoo Messenger, ICQ, Windows Messenger…) là virus
gửi tin nhắn tới tất cả các thành viên trong danh sách bạn bè của nạn nhân, tin
8


nhắn này có nội dung rất „hấp dẫn‟ và được gửi kèm với liên kết dẫn đến một
trang web. Trang web này nhìn bề ngoài rất bình thường, nhưng thực chất bên
trong nó đã được dựng lên một cách có chú ý để khai thác các lỗ hổng của trình
duyệt Internet (VD : Internet Explorer). Khi bạn nhấn vào liên kết để xem nội
dung trang web với một trình duyệt chưa được vá lỗi, virus sẽ âm thầm lây
nhiễm vào máy mà bạn không hề hay biết.
 Virus phá hoại những gì ?
Đây chắc chắn sẽ là điều băn khoăn của bạn nếu chẳng may máy tính của
bạn bị nhiễm virus. virus cũng được dùng để phục vụ những mục đích không
tốt.
Các virus thế hệ đầu tiên có thể tàn phá nặng nề dữ liệu, ổ đĩa và hệ
thống, hoặc đơn giản hơn chỉ là một câu đùa vui hay nghịch ngợm đôi chút với
màn hình hay thậm chí chỉ nhân bản thật nhiều để "ghi điểm". Tuy nhiên các
virus như vậy hầu như không còn tồn tại nữa.
Các virus ngày nay thường phục vụ cho những mục đích kinh tế hoặc phá
hoại cụ thể. Chúng có thể chỉ lợi dụng máy tính của bạn để phát tán thư quảng
cáo hay thu thập địa chỉ email của bạn. Cũng có thể chúng được sử dụng để ăn
cắp tài khoản ngân hàng, tài khoản hòm thư hay các thông tin các nhân quan
trọng của bạn. Cũng có thể chúng sử dụng máy bạn như một công cụ để tấn
công vào một hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang
sử dụng. Đôi khi bạn là nạn nhân thực sự mà virus nhắm vào, đôi khi bạn vô
tình trở thành "trợ thủ" cho chúng tấn công vào hệ thống khác.
1.2

Các loại virus máy tính.


-

Virus Boot

Ngày nay hầu như không còn thấy virus Boot nào lây trên các máy tính
của chúng ta. Lý do đơn giản là vì virus Boot có tốc độ lây lan rất chậm và
không còn phù hợp với thời đại của Internet. Tuy nhiên, virus Boot vẫn là một
phần trong lịch sử virus máy tính.
Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa
khởi động của bạn sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ
điều hành (Windows, Linux hay Unix...). Sau khi nạp xong hệ điều hành, bạn
mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được để ở vùng trên
cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector".
9


Virus Boot là tên gọi dành cho những virus lây vào Boot sector. Các
Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời
điểm hệ điều hành được nạp lên.
- Virus Filea
Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ
điều hành Windows, như các file có đuôi mở rộng .com, .exe, .bat, .pif, .sys...
Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được
kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn để lây
vào. Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file,
tại sao lại không gọi là virus File?". Câu trả lời nằm ở lịch sử phát triển của
virus máy tính. Mãi tới năm 1995 virus Macro mới xuất hiện và rõ ràng nguyên
lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù
cũng lây vào các File, nhưng không thể gọi chúng là virus File.

Tuy nhiên, bạn cũng không phải quá lo lắng về loại virus này vì thực tế
các loại virus lây file ngày nay cũng hầu như không còn xuất hiện và lây lan
rộng nữa. Khi máy tính của bạn bị nhiễm virus lây file, tốt nhất bạn nên sử dụng
phần mềm diệt virus mới nhất để quét toàn bộ ổ cứng của mình và liên hệ với
nhà sản xuất để được tư vấn, hỗ trợ.
- Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính
(Microsoft Excel) hay các file trình diễn (Microsoft Power Point) trong bộ
Microsoft Office. Macro là tên gọi chung của những đoạn mã được thiết kế để
bổ sung tính năng cho các file của Office. Chúng ta có thể cài đặt sẵn một số
thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt
được thực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những
thao tác giống nhau. Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi
lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó bằng một yêu
cầu duy nhất.

- Worm
Worm là một chương trình độc lập có khả năng tự tạo ra chính bản thân
mình và lây nhiễm sang các máy tính khác qua mạng.
Khác với virus, worm thường không sửa đổi các chương trình khác trong
máy tính.
10


Worm có sức lây lan rộng, nhanh và phổ biến nhất hiện nay. Worm kết
hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là sự lây
lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại
với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng
sợ chúng đã làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền
Internet.

Thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán bằng
cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó lây nhiễm
và tự gửi chính nó qua email tới những địa chỉ tìm được.
Những địa chỉ mà worm tìm thấy thường là địa chỉ của bạn bè, người
thân, khách hàng... của chủ sở hữu máy bị nhiễm. Điều nguy hiểm là worm có
thể giả mạo địa chỉ người gửi là địa chỉ của chủ sở hữu máy hay địa chỉ của một
cá nhân bất kỳ nào đó; hơn nữa các email mà worm gửi đi thường có nội dung
“giật gân” hoặc “hấp dẫn” để dụ dỗ người nhận mở file virus đính kèm. Một số
còn trích dẫn nội dung của một email trong hộp thư của nạn nhân để tạo ra phần
nội dung của email giả mạo. Điều này giúp cho email giả mạo có vẻ “thật” hơn
và người nhận dễ bị mắc lừa. Những việc này diễn ra mà bạn không hề hay biết.
Với cách hoàn toàn tương tự trên những máy nạn nhân khác, Worm có thể
nhanh chóng lây lan trên toàn cầu theo cấp số nhân. Điều đó lý giải tại sao chỉ
trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới
hàng chục triệu máy tính trên toàn cầu. Cái tên của nó, Worm hay "Sâu
Internet" cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính
này qua máy tính khác trên các "cành cây" Internet.
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra
cài thêm nhiều tính năng đặc biệt, chẳng hạn như khả năng định cùng một ngày
giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ
nào đó. Ngoài ra, chúng còn có thể mang theo các BackDoor thả lên máy nạn
nhân, cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và làm đủ
mọi thứ như ngồi trên máy đó một cách bất hợp pháp.
Ngày nay, khái niệm Worm đã được mở rộng để bao gồm cả các virus lây
lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USB
hay các dịch vụ gửi tin nhắn tức thời (chat), đặc biệt là các virus khai thác các lỗ
hổng phần mềm để lây lan. Các phần mềm (nhất là hệ điều hành và các dịch vụ
trên đó) luôn tiềm ẩn những lỗi/lỗ hổng an ninh như lỗi tràn bộ đệm, mà không
phải lúc nào cũng có thể dễ dàng phát hiện ra. Khi một lỗ hổng phần mềm được
phát hiện, không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗ

hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ
11


máy hoàn toàn không hay biết. Từ các máy này, Worm sẽ tiếp tục "bò" qua các
máy tính khác trên mạng Internet với cách thức tương tự.
- backdoor
backdoor : được dùng để chỉ những phần mềm độc hại, được tạo ra để
cài, phát tán mã độc vào máy tính người của người dùng. Nếu xét về khía cạnh
chức năng và kỹ thuật, Backdoor khá giống với hệ thống quản lý và điều phối
phần mềm. Những ứng dụng độc hại này được tạo ra để làm bất cứ yêu cầu gì
mà tin tặc muốn: gửi và nhận dữ liệu, kích hoạt, sử dụng và xóa bất cứ file nào
đó, hiển thị thông báo lỗi, tự khởi động lại máy tính … Những chương trình
như này thường được sử dụng để liên kết những nhóm máy tính bị lây nhiễm để
tạo nên mô hình mạng botnet hoặc zombie thường gặp. Và những kẻ đứng đằng
sau tổ chức này có thể dễ dàng tập trung 1 số lượng lớn hoặc rất lớn các máy
tính.
– lúc này đã trở thành công cụ cho tin tặc, nhằm thực hiện những âm mưu hoặc
mục đích xấu.
Một bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống
hệt với Net-Worm, chúng ta có thể phân biệt chúng qua khả năng lây lan,
Backdoor không thể tự nhân bản và lây lan, trái ngược hoàn toàn với NetWorm. Nhưng chỉ cần nhận được lệnh đặc biệt từ phía tin tặc, chúng sẽ đồng
loạt lây lan và sản sinh với số lượng không thể kiểm soát được

- Trojan
Trojan là một chương trình độc hại được lây nhiễm hoặc ẩn chứa bên
trong một phần mềm hợp lệ. Trojan không thể hoạt động độc lập, điều này khác
với virus và worm. Trojan phụ thuộc vào hoạt động của người dùng, ngay cả
nếu trojan có tự nhân bản hoặc thậm chí tự phân phối chính nó, mỗi một máy bị
hại mới phải chạy chương trình chứa trojan. Trojan thường phục vụ một mục

tiêu thực hiện một tấn công nào khác, nó không phụ thuộc vào các lỗ hổng an
ninh trong hệ thống.
Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không có
tính chất lây lan. Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa đối phương sử
dụng chương trình của mình hoặc ghép Trojan đi kèm với các virus (đặc biệt là
các virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân. Đến thời điểm
thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như
12


số thẻ tín dụng, mật khẩu... để gửi về cho chủ nhân của nó ở trên mạng hoặc có
thể ra tay xoá dữ liệu nếu được lập trình trước.
Bên cạnh các Trojan ăn cắp thông tin truyền thống, một số khái niệm mới
cũng được sử dụng để đặt tên cho các Trojan mang tính chất riêng biệt như sau:
+ Backdoor: Loại Trojan sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra
một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn
nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra.
+ Phần mềm quảng cáo bất hợp pháp - Adware và phần mềm gián điệp Spyware: Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web
mặc định (home page), các trang tìm kiếm mặc định (search page)… hay liên
tục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web.
Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình “ghé thăm”
những trang web có nội dung không lành mạnh, các trang web bẻ khóa phần
mềm… hoặc chúng đi theo các phần mềm miễn phí không đáng tin cậy hay các
phần mềm bẻ khóa (crack, keygen).
*

Có 7 loại trojan chính:
- Trojan truy cập từ xa (RAT – Remote Access Trojan)
Được thiết kế để kẻ tấn công có khả năng truy cập từ xa chiếm quyền
điều khiển của máy bị hại. Các Trojan này thường được giấu vào trong các

trò chơi và các chương trình nhỏ để cho người dùng mất cảnh giác có thể
chạy trên máy tính của họ.
Hiện nay, trojan loại này được sử dụng rất nhiều. Chức năng chính của
trojan này là mở một cổng trên máy nạn nhân để hacker có thể quay lại truy
cập vào máy nạn nhân. Những con trojan này rất dễ sử dụng. Chỉ cần nạn
nhân bị nhiễm trojan và hacker có IP của nạn nhân thì hacker đã có thể truy
cập toàn quyền trên máy nạn nhân.
Hiện có nhiều con nổi tiếng loai này như : netbus, back orifice ..
- Trojan gửi dữ liệu
Lấy và gửi các dữ liệu nhạy cảm như mật khẩu, thông tin thẻ tín dụng,
các tệp nhật ký, địa chỉ email,… Ðọc tất cả mật khẩu lưu trong cache và
thông tin về máy nạn nhân rồi gửi về cho hacker mỗi khi nạn nhân online.
Vd : barok, kuang, bario ..
13


Trojan này có thể tìm kiếm cụ thể từng thông tin hoặc cài phần mềm đọc
trộm bàn phím và gửi toàn bộ các phím bấm về cho tin tặc.
Vd : kuang keylogger.
- Trojan hủy hoại
Phá và xóa các tệp tin. Loại Trojan này giống với virus và thường có thể
bị phát hiện bởi các chương trình chống virus. Loại trojan này rất dễ sử
dụng. Những con trojan này chỉ có một nhiệm vụ duy nhất tiêu diệt tất cả file
trên máy bạn ( VD file .exe, .dll, .ini .... ).
Những con trojan này rất nguy hiễm vì khi máy bạn bị nhiễm chỉ một lần
thôi thì tất cả dữ liệu mất hết.
- Trojan kiểu Proxy
Sử dụng máy tính bị hại làm máy chủ Proxy, qua đó có thể sử dụng máy
bị hại để thực hiện các hành vi lừa gạt hay đánh phá các máy tính khác.
- Trojan FTP

Thiết kế để mở cổng 21 và cho phép tin tặc kết nối vào máy tính bị hại sử
dụng FTP.
- Trojan tắt phần mềm an ninh
Có thể dừng hoặc xóa bỏ các chương trình an ninh như phần mềm chống
virus hay tường lửa mà không để người dùng nhận ra.
- Trojan DoS
Lây virus từ các máy slave để sử dụng máy slave tấn công DoS tới máy
đích.

- Zombie
Zombie là chương trình độc hại bí mật liên kết với một máy tính khác
ngoài internet để nghe lệnh từ các máy tính đó. Các Zombie thường sử dụng
trong các cuộc tấn công từ chối dịch vụ DDoS để tấn công vào một website nào
đó. Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc
14


tấn công DDoS. Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy
tính rồi ra lênh tấn công cùng một lúc.
Ví dụ Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng được sử
dụng như các công cụ để thực hiện tấn công DDoS.
Bom Logic: là một chương trình hoặc một phần của chương trình mà
nằm yên cho tới khi một đoạn chương trình nào đó của Logic chương trình được
kích hoạt . Bằng cách này nó giống như là một quả mìn mằn trên mặt đất.
Phương pháp chung để kích hoạt bom Logic chính là ngày tháng . Bom Logic
kiểm tra ngày hệ thống và không làm gì cho tới khi một ngày đã được lập trình
trước , đúng ngày đó thì bom Logic được kích hoạt và thực hiện đoạn mã của nó
. Bom Logic cũng có thể được lập trình để chờ một thông điệp nào đó từ người
lập trình . Ví dụ với loại bom Logic này , nó sẽ kiểm tra Website một tuần một
lần và tới khi gặp một thông điệp nào đó hoặc khi bom Logic không nhìn thấy

thông điệp thì khi đó nó sẽ kích hoạt để thực hiện đoạn mã của nó . Bom Logic
cũng có thể được lập trình để kích hoạt theo nhiều cách khác nhau như khi File
cơ sở dữ liệu tăng đến một kích thước nào đó hoặc thu mục người dùng bị xoá
... Điều nguy hiểm của bom Logic là nó kích hoạt không biết lúc nào và với
điều kiện nào thì nó kích hoạt . Bom Logic không có khả năng tự tái tạo , nó rất
dễ để viết chương trình Bom Logic . điều đó có nghĩa là bom Logic sẽ không
phát tán để xác định nạn nhân . Có một vài cách bom Logic là được dùng với
mục đích đe dọa ai đó bởi vì nó có thể nhắm tới một nạn nhân có chủ định
. Bom Logic ban đầu được sử dụng để đảm bảo sự thanh toán một phần mềm .
Nếu sự thanh toán không được thực hiện ở một ngày xác định thì bom Logic tự
động kích hoạt và tự động xoá phần mềm . Nhiều dạng chương trình độc hại của
bom Logic sẽ xoá những dữ liệu khác trên máy tính .
- Spyware
Các Spyware được cài đặt trên hệ thống giống như những chương trình
khác nhưng không để cho người sử dụng biết gì về hoạt động, mục đích cũng
như những hậu quả mà nó gây ra. Chức năng chính của các phần mềm gián điệp
là chuyển về cho những người tạo ra chúng những yêu cầu xác định, chủ yếu
phục vụ mục đích quảng cáo và thương mại.
Các Spyware này thường được “kẹp” chung với các phần mềm miễn phí
được kêu gọi download trên mạng, từ các phần mềm trao đổi giữa máy với máy
qua hệ thống peer-to-peer của Kazaa hay The Brigde,… đến những sản phẩm
của các nhà sản xuất phần mềm lớn. Ngoài ra, chúng ta còn có thể kể đến kỹ
thuật Spyware vào máy của một vài trang web bugs - các trang web được cài
15


sẵn worm, sẵn sàng tấn công vào bất kỳ máy tính nào. Tuy nhiên, Spyware này
chỉ có mục đích giúp trang web đếm được số lượt người truy cập vào.
Khi được cài đặt vào máy của người sử dụng, Spyware sẽ bắt đầu ngay
công việc của mình khi chiếc máy đó kết nối Internet. Chủ nhân của các

Spyware này sẽ nhận được mọi thông tin về việc sử dụng chiếc máy tính đó: từ
thói quen duyệt web, các địa chỉ trang web hay, đến những thông số kỹ thuật
của máy và nội dung của các đĩa cứng, nhờ đó mà họ biết được các địa chỉ thư
điện tử và phiền toái hơn là cả các mật mã nữa.
Spyware bị lạm dụng vì những mục đích thương mại. Các Spyware sẽ
xâm nhập máy tính của bạn và thu thập tất cả các thông tin cá nhân của người
sử dụng máy. Các thông tin này sẽ được bán lại cho các công ty khác, những
người cũng rất cần chúng. Hãy lấy ví dụ từ các công ty chuyên gửi spam. Có
bao giờ bạn tự hỏi làm sao những kẻ chuyên gửi thư rác biết nhiều địa chỉ email đến thế không? Đó là do họ mua chúng ở các công ty bố mẹ của các
Spyware. Rồi có bao giờ bạn tự hỏi rằng không hiểu tại sao người ta lại biết bạn
thích bóng đá mà gửi cho bạn nhiều yêu cầu tham gia các diễn đàn về bóng đá
trên mạng? Có thể bạn hơi bất ngờ nhưng tất cả các thói quen duyệt web, những
trang web mà bạn hay thăm viếng, những thông tin bạn thường đọc,… đều được
các Spyware “học thuộc lòng” rồi “mách lẻo” lại cho các trang web khác.
- Botnet
Các máy tính bị nhiễm phần mềm malbot này có thể được điều khiển
thông qua các kênh IRC hoặc một hệ thống chat khác. Mạng botnet có đến hàng
ngàn máy dễ dàng được sử dụng để tấn công DdoS đến một trang thương mại
điện tử.
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC
bot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và
thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan
horse hay các cửa hậu, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một
chương trình chỉ huy botnet (botnet's originator hay bot hearder) có thể điều
khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và
thường là nhằm các mục đích bất chính. Thông thường, kẻ tạo botnet trước đó
đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm,
...). Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền
bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con
bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở

nên giá trị đối với một cộng đồng điều khiển botnet.
16


Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày
càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm
truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet
phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối,
chẳng hạn ADSL, cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục,
công ty, chính phủ và thậm chí quân sự. Đôi khi, một người điều khiển giấu một
cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc
độ cao có thể hỗ trợ một số lớn các bot khác.
Người ta đã tìm thấy và gỡ
bỏ một vài botnet trên Internet. Cảnh sát Hà Lan đã tìm thấy một botnet gồm 1.5
triệu nút và ISP Telenor của Na Uy đã dỡ bỏ một botnet 10.000 nút. Người ta đã
khởi động các hoạt động hợp tác quốc tế lớn nhằm dập tắt các botnet.
- Rootkit
Khái niệm rootkit được sử dụng để mô tả các cơ chế và kĩ thuật được sử
dụng bởi malware (malware là các phần mềm làm sai chức năng chương trình
ứng dụng gồm: virus, spyware, và trojan...) cố gắng ẩn nấp, trốn tránh không bị
phát hiện bởi các chương trình chống spyware, virus và các tiện ích hệ thống.
Thực ra, rootkit tự bản thân không mang tính hiểm độc nhưng khi chúng được
sử dụng cùng với các chương trình mang tính "phá hoại" như: virus, sâu, phần
mềm gián điệp, trojan... thì lại nguy hiểm hơn rất nhiều.

Rootkit nguy hiểm như thế nào?
Rootkit thực tế chẳng gây ảnh hưởng xấu nào. Mục đính duy nhất của
rootkit là ẩn nấp, và tránh không bị phát hiện. Tuy nhiên, rootkit được sử dụng
để giấu các đoạn mã hiểm độc thì rất nguy hiểm. Một số các sâu, virus, trojan và
phần mềm gián điệp vẫn có khả năng duy trì hoạt động và không bị phát hiện

khi sử dụng rootkit. Các malware sẽ không bị phát hiện thậm chí khi hệ thống
được bảo vệ bởi các chương trình chống virus tốt nhất. Do đó, Rootkit thực sự
là mối đe dọa rất nghiêm trọng.
Thực ra, hiện nay chỉ có một vài các phần mềm gián điệp và virus sử
dụng rootkit để lẩn trốn. Một trong những ví dụ điển hình là sử dụng rootkit để
xâm nhập hệ thống là vụ ăn trộm mã nguồn trò chơi nổi tiếng Half-Life 2.
Rootkit được sử dụng phổ biến trong các phần mềm gián điệp hơn là các virus.
Một điều chắc chắn là rootkit vẫn là kĩ thuật còn đang phát triển, chưa có nhiều
trong thực tế, nên mối đe dọa hiện tại của rootkit không lớn lắm so với những
mối nguy hiểm tiềm tàng của kĩ thuật này.
17


Rootkit thực sự đã trở thành phổ biến trong các phần mềm gián điệp và
chúng cũng sẽ dần phổ biến trong các virus và sâu. Các tác giả viết virus bây
giờ đã chuyên nghiệp hơn và cũng hoạt động với mục đích kinh doanh nữa.
Chính vì vậy, họ hoàn toàn có đủ kĩ năng cũng như trình độ để cài đặt các
rootkit rất phức tạp vào trong virus và sâu.
Rootkit có thể làm ẩn các trojan và thư rác (spam) lâu hơn trên những
máy bị nhiễm. Đây cũng là một nguyên nhân dẫn tới sự bùng nổ rootkit trong
tương lai.
Những malware nào sử dụng kĩ thuật rootkit?
Vài Rootkit mang đúng ý nghĩa và tính chất của rootkit được biết đến
như: Hacker Defender và FU. Một số phần mềm gián điệp, quảng cáo có sử
dụng rootkit: EliteToolbar, ProAgent, and Probot SE. Các trojan như:
Berbew/Padodor và Feutel/Hupigon và một số sâu như: Myfip.h và họ sâu
Maslan cũng sử dụng rootkit.
Tại sao các chương trình diệt virus không phát hiện rootkit trước khi chúng kịp
ẩn nấp?
Điều này đúng nhưng chỉ trong một số trường hợp. Bởi vì rootkit thường

được phát tán bằng mã nguồn mở, điều này có nghĩa là hacker có thể thay đổi
mã rootkit một cách nhanh chóng để các chương trình diệt virus không thể phát
hiện được. Một số phần mềm chống virus mới có thể phát hiện được rootkit như
F-Secure Internet Security 2005 có tính năng "Manipulation Control". Tính
năng này có cơ cấu chặn các tiến trình hiểm độc "thao tác" gây ảnh hưởng tới
các tiến trình khác. Tuy nhiên, chương trình F-Secure Internet Security 2005
cũng chỉ chặn được một vài rootkit.
1.3 NHẬN BIẾT MÁY TÍNH BỊ NHIỄM MALWARE
Dưới đây là một số dấu hiệu nhận biết khi máy tính bị nhiễm virus:
· Truy xuất tập tin, mở các chương trình ứng dụng chậm
· Khi duyệt web có các trang web lạ tự động xuất hiện
· Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm
· Các trang quảng cáo tự động hiện ra (pop up)

18


· Góc phải màn hình xuất hiện cảnh báo tam giác màu vàng: “Your computer is
infected”, hoặc xuất hiện cửa sổ “Virus Alert”…
· Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB
· Xuất hiện các file có phần mở rộng .exe có tên trùng với tên các thư mục
Ngoài ra, có nhiều virus chạy ẩn cùng với hệ thống và không có dấu hiệu
đặc biệt hay bất thường, nên người sử dụng rất khó để nhận biết. Vì vậy, để đảm
bảo an toàn cho máy tính, bạn nên chọn một phần mềm diệt virus tốt để cài đặt
và sử dụng thường xuyên, lâu dài cho máy tính của mình. Phần mềm diệt virus
tốt phải là phần mềm đáp ứng được đầy đủ các tiêu chí: là phần mềm có bản
quyền, cập nhật phiên bản mới thường xuyên, có hỗ trợ kỹ thuật trực tiếp từ nhà
sản xuất khi có sự cố liên quan tới virus.

1.4


CÁCH PHÒNG TRÁNH MALWARE

Trong thuật ngữ chuyên ngành, người ta sử dụng từ malware để chỉ các
loại phần mềm gây hại như virus, worm, trojan horse, spyware và adware. Dưới
đây là những cách phòng trừ malware hiệu quả.
 Thói quen Online thông minh
Nhân tố quan trọng nhất trong cuộc chiến phòng ngừa malware chính là
bạn. Bạn không cần phải là chuyên gia, mà chỉ cần không tải và cài đặt bất cứ
thứ gì bạn không hiểu hoặc không tin tưởng.
+ Đối với website
Một website yêu cầu bạn cài đặt một chương trình. Nếu không chắc chắn,
bạn hãy rời website và điều tra về phần mềm mà bạn đang được đề nghị cài đặt.
Nếu kết quả tốt, bạn có thể quay lại và cài đặt sau.
+ Đối với email
Đừng tin tưởng bất cứ thứ gì chứa đựng trong một email rác. Kể cả khi
nhận được email từ người bạn biết có kèm theo link hay file đính kèm, cũng nên
cảnh giác. Nếu nghi ngờ về cái bạn được đề nghị xem hay cài đặt, thì đừng làm
điều đó.
19


+ Đối với thiết bị di động
Bạn bè, gia đình và đồng nghiệp có thể vô tình đưa cho bạn đĩa hoặc USB
nhiễm virus. Đừng vội dùng những dữ liệu này, cần phải quét bằng các chương
trình diệt virus trước.
+ Đối với cửa sổ pop-up
Khi lướt web bạn có thể thấy nhiều cửa sổ bung ra yêu cầu bạn tải về
hoặc đồng ý dùng một chương trình quét hệ thống nào đó. Bạn cần tắt các cửa
sổ này đi và nhớ là không bấm vào bất kỳ nội dung gì bên trong nó. Có thể tắt

bằng Windows Task Manager (bấm Ctrl-Alt-Delete)
+ Đối với một phần mềm
Một số chương trình cố gắng cài malware trong quá trình cài đặt của
chúng. Vì vậy khi cài đặt bạn cần để ý tới các lựa chọn trước khi bấm Next, OK
hay I Agree. Nếu không chắc chắn thì tắt đi, kiểm tra độ tin tưởng của chương
trình và cài lại nếu mọi việc bình thường.
+ Đối với các dịch vụ chia sẻ file trực tuyến
Đây là một môi trường nguy hiểm và bạn phải biết rõ mình đang làm gì
khi quyết định dùng những dịch vụ này. Bởi có rất ít sự kiểm soát hiệu quả, nên
các hacker có thể dễ dàng tạo một malware có tên giống như một bộ phim,
album hay chương trình nổi tiếng để thu hút bạn tải về.
 Loại bỏ malware
Cần chấp nhận thực tế rằng dù bạn có phòng ngừa kỹ càng cỡ nào thì
cũng có ngày bạn sẽ bị nhiễm một trong các loại malware. Đấy là bởi malware
càng ngày càng tinh vi và có thể đột nhập vào máy bạn mà bạn không thể lường
hết được. Khi đó cần tiêu diệt chúng bằng cách dùng những chương trình phù
hợp:
+ Một hệ điều hành thường xuyên cập nhật: Hãy sử dụng Windows Update.
Chương trình này có khả năng tự động thông báo cho bạn về các bản cập nhật,
thậm chí tự tải về và cài đặt.
+ Một trình duyệt đều nên cập nhật
Dù cho bạn đang dùng trình duyệt gì thì hãy dùng bản mới nhất nhằm cập
nhật các cách phòng chống malware tân tiến.
20


+ Trình diệt virus
Bạn nên dùng 1 trình diệt virus nào đó để bảo vệ máy tính của mình. Cập
nhật thường xuyên và lên kế hoạch quét virus một tháng một lần. Tuy nhiên
đừng dùng tới hai trình diệt virus cùng lúc vì chúng sẽ xung đột với nhau.

+ Trình diệt spyware
Nhiều chương trình diệt virus có tích hợp cả tính năng diệt spyware. Nhưng nếu
không có, bạn cần cài một trình diệt spyware độc lập và không xung đột với
trình diệt virus. Cập nhật thường xuyên.
+ Firewall
Firewall hay Tường lửa là phần mềm có tác dụng như bức tường che chắn
máy tính của bạn khỏi các cuộc tấn công từ bên ngoài. Nếu không dùng phần
mềm của hãng thứ ba thì bạn có thể dùng luôn Windows Firewall có sẵn. Cũng
đừng chạy hai Firewall cùng lúc.
+ Bộ lọc thư rác
Nếu chương trình nhận email của bạn không hỗ trợ bộ lọc thư rác thì bạn
có thể dùng thêm phần mềm chuyên dụng. Nếu đang dùng một bộ phần mềm
bảo mật thì bạn nên bật chức năng lọc thư rác lên.

21


PHẦN III - TÀI LIỆU THAM KHẢO

1. />2. />3. />4. />
22