Tải bản đầy đủ (.pdf) (76 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu kỹ thuật phân tích mã độc và ứng dụng trong bảo vệ máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.08 MB, 76 trang )

ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG

HOÀNG THỊ NGỌC

NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC
VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên - 2014


ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG

HOÀNG THỊ NGỌC

NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH MÃ ĐỘC
VÀ ỨNG DỤNG TRONG BẢO VỆ MÁY TÍNH

Chuyên Ngành : Khoa Học Máy Tính
Mã số

: 60 48 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Giáo viên hướng dẫn: TS.NGUYỄN NGỌC CƯƠNG

Thái Nguyên - 2014



i

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu do chính tôi thực hiện.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.

Thái Nguyên, Ngày 29 tháng 12 năm 2014
Tác giả

Hoàng Thị Ngọc


ii

MỤC LỤC
LỜI CAM ĐOAN ................................................................................................. i
MỤC LỤC ............................................................................................................. ii
DANH MỤC HÌNH ẢNH .................................................................................. iv
MỞ ĐẦU ............................................................................................................... 1
CHƯƠNG I - TỔNG QUAN VỀ MÃ ĐỘC ........................................................ 3
1.1 Khái niệm ................................................................................................ 3
1.2. Mục tiêu của mã độc .............................................................................. 3
1.3. Lịch sử phát triển.................................................................................... 4
1.4. Phân tích các dạng mã độc ..................................................................... 7
1.4.1. Trojan……………………………………………………………..7
1.4.2. Virus............................................................................................... 10
1.4.3. Worm............................................................................................. 16

1.4.4. Backdoor ....................................................................................... 19
1.5. Dự đoán xu hướng phát triển của mã độc trong tương lai ................... 21
CHƯƠNG II CÁC PHƯƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC
............................................................................................................................. 23
2.1

Phân tích Tĩnh ............................................................................... 23

2.2

Phân tích động............................................................................... 25

2.3

Phân tích Entropy .......................................................................... 28

2.4

Phân tích điểm yếu của mã độc .................................................... 33

2.5

Nhận dạng chính xác mẫu…………………………………….…39

2.6

Nhận dạng Virus theo Heuristic…………………………………51

2.7


Các cơ chế nhận dạng theo hành vi và hành vi thực……….……54


iii

CHƯƠNG III XÂY DỰNG CHƯƠNG TRÌNH PHÁT HIỆN MÃ ĐỘC VÀ
THỬ NGHIỆM ................................................................................................... 57
3.1 Mô hình hệ thống …………………………………………………...57
3.2 Quá trình thực hiện tìm và diệt mã độc ……………………………..60
3.3 Kết quả thử nghiệm ………………………………………………...61
KẾT LUẬN ......................................................................................................... 69
TÀI LIỆU THAM KHẢO ................................................................................... 70


iv

DANH MỤC HÌNH ẢNH

Hình 1.1. Lây nhiễm của virus boot sector ..................................................... 12
Hình 1.2 Phá hoại làm file phân mảnh của B- virus ....................................... 14
Hình 2.1: Độ chính xác thống kê entropy dựa trên tập dữ liệu ...................... 32
Hình 2.2: Một thao tác MD5…………………………………………..…….45
Hình 2.3: Kiểm tra mã độc trên virustotal qua mã băm……………………...46
Hình 2.4: Mã nhận dạng của virus FunnyIM ........................................................... 48
Hình 2.5.So sánh hai vị trí offset..................................................................... 49
Hình 3.1: Quy trình phân tích mã độc ............................................................. 58
Hình 3.2 Sơ đồ chương trình phát hiện mã độc ............................................ 60
Hình 3.3: Giao diện bảng kết quả.................................................................... 65
Hình 3.4: Giao diện bảng thông tin chi tiết…………………………….…...66
Hình 3.5: Giao diện khởi động chương trình .................................................. 67

Hình 3.6: Giao diện kết quả chương trình …………………………….…....68


1

MỞ ĐẦU
Những năm gần đây các cuộc tấn công của mã độc trên thế giới và Việt
Nam có qui mô lớn ngày càng gia tăng và chủ yếu nhắm vào chính phủ hoặc các
tổ chức tài chính gây nên những thiệt hại nghiêm trọng và nguy hại cho kinh tế,
an ninh quốc phòng.
Mã độc là chương trình được cố ý thiết kế để thực hiện trái phép một số hành
động gây nguy hại cho hệ thống máy tính, thiết bị di động. Có rất nhiều loại mã
độc và ngày càng được cải tiến.
Những loại mã độc phổ biến như: Virus, Trojan House, worm, Attach
script, Java applet- Active X, Malicious mobible code… mà nguy cơ do chúng
gây ra là hoàn toàn rõ ràng và vô cùng phong phú. Khi đã xâm nhập vào máy nạn
nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và
làm mọi việc trên máy nạn nhân, ghi lại thông tin sử dụng máy tính. Đi cùng với
sự phức tạp của thiết kế hành vi thực thi của mã độc là các kỹ thuật ngăn chặn
việc phân tích hoạt động của mã độc khiến cho việc phân tích mã độc ngày càng
trở nên khó khăn và phức tạp.
Hiện nay có nhiều công cụ chuyên nghiệp để phân tích và diệt mã độc như
các sản phẩm của các hãng nước ngoài, trong nước. Tuy nhiên việc sử dụng các
công cụ này như là một hộp đen chứa nhiều các nguy cơ tiềm ẩn. Do vậy việc
nghiên cứu để xây dựng các chương trình diệt mã độc là yêu cầu có tính cấp thiết
nhằm làm chủ công nghệ, kỹ thuật trong đảm bảo an ninh an toàn máy tính và mạng.
Do đó trong luận văn này chúng tôi nghiên cứu các phương pháp phân tích và
phát hiện mã độc, từ đó xây dựng thử nghiệm một chương trình phát hiện và diệt
mã độc. Cụ thể Luận văn có cấu trúc như sau:



2

 Chương 1: Tổng quan về mã độc : Tìm hiểu tổng quan về các loại mã độc.
 Chương 2: Các phương pháp phân tích và phát hiện mã độc: Tìm hiểu về
các kỹ thuật phân tích, phát hiện Mã độc và ưu điểm nhược điểm của từng
kỹ thuật.
 Chương 3: Xây dựng chương trình phát hiện mã độc và thử nghiệm: Thử
nghiệm chương trình phát hiện và diệt mã độc dựa vào kỹ thuật nhận dạng
chính xác mẫu.


3

CHƯƠNG I – TỔNG QUAN VỀ MÃ ĐỘC

Mã độc từ khi ra đời cho đến nay luôn tận dụng những kỹ thuật tiên tiến
của công nghệ thông tin và truyền thông cũng như lợi dụng những lổ hổng nguy
hiểm trong các hệ thống tin học để khuyếch trương ảnh hưởng của mình. Mặc dù
việc sử dụng các thiết bị và phần mềm bảo mật trở nên phổ biến nhưng mã độc
vẫn tiếp tục phát triển mạnh mẽ và giờ đây chúng thường được viết ra có mục
đích rõ ràng, phục vụ một đối tượng cụ thể và không ngừng cải tiến qua các
phiên bản để đạt được phiên bản hiệu quả nhất.
Vậy để phát hiện và diệt được mã độc thì trước hết phải hiểu rõ bản chất
của chúng. Về nguyên tắc chung, công việc diệt mã độc đa phần là làm ngược lại
những gì mà mã độc đã làm. Vì vậy trong chương này tôi tập trung nghiên cứu
những nội dung liên quan đến cơ chế hoạt động của các loại mã độc để làm rõ
bản chất của chúng. Từ đó có thể xây dựng chương trình tìm và diệt mã độc.
1.1 Khái niệm
Mã độc là chương trình được cố ý thiết kế để thực hiện trái phép một số

hành động gây nguy hại cho hệ thống máy tính. Đi cùng với sự phát triển của
internet trong những năm gần đây; Mã độc đang nhanh chóng trở thành mối
nguy hại tiềm tàng ảnh hưởng đến người sử dụng, các tổ chức hay chính phủ trên
toàn thế giới.[5]
1.2 Mục tiêu của mã độc
Các thống kê cho thấy,các cuộc tấn công của mã độc quy mô lớn chủ yếu
nhắm vào chính phủ hoặc các tổ chức tài chính. Tiếp đó là các công ty, dịch vụ
về công nghệ thông tin. Điều này lý giải cho mục tiêu của mã độc nhắm tới đó là
lợi nhuận và lây lan rộng.


4

1.3 Lịch sử phát triển
Mã độc

Năm

Phân loại

Chú thích

Thompson’s

1984

TrojanHorse

Ken Thompson thêm vào trình biên


compiler trick

dịch C một Trojan horse có khả
năng tự chèn vào các chương trình
được biên dịch.

Morris worm

1988

Worm

Sâu máy tính đầu tiên được phát tán
trên mạng internet. Có khoảng 6000
máy bị lây nhiễm ( chiếm 10%
lượng máy tính sử dụng internet thời
bấy giờ).

Java Attack

1996-

Applets

1999

Mobile code

Lợi dụng lỗi trong Java để tấn công
thông qua các applets java đặt trên

web.

ActiveX

1997

Mobile code

( scripting)

Bị tấn công lần đầu vào thời gian
này và kể từ đó đến nay hệ thống
ActiveX của Microsoft liên tục bị
phát hiện dính phải những lỗi bảo
mật nghiêm trọng.

Melissa

1999

Mobile code

Virus lây lan nhanh thứ hai mọi thời

virus

đại, sử dụng email để phát tán. Lây
nhiễm cho hơn một triệu máy tính
chỉ trong vài giờ.


Trinoo

2000

Attack

Chương trình tấn công từ chối dịch

script DDoS

vụ ( DDoS ) đầu tiên gây tác hại lớn


5

đến hệ thống mạng yahoo năm 2000.
Love Bug

2000

Virus

Virus được cho là lây lan nhanh nhất
từ trước đến nay, đánh lừa người sử
dụng thực thi file VB script phát tán
thông

qua

email


outlook

của

Microsoft.
Slammer

2003

Worm

Sâu máy tính tấn công DdoS trên

DDoS

một số máy chủ internet và là chậm
lưu lượng truy cập internet.
Sâu Slammer khai thác lỗi tràn bộ
đệm

trong

SQL

Server

của

Microsoft. Lây nhiễm 75000 máy

tính chỉ trong 10 phút.
RavMonE

2006

Trojan

Loại Trojan mở ra một Backdoor
cho phép kẻ tấn công truy cập đến
dữ liệu trong máy tính bị lây nhiễm.
Điểm đặc biệt của loại Trojan này là
nó được phát tán thông qua file
video của Apple tuy nhiên lại chỉ lây
nhiễm trên hệ thống windows.

Conflicker

2008

Worm

Tấn công windows thông qua khai
thác lỗ hổng trong giao thức RPC.
Loại sâu này kết hợp nhiều kỹ thuật
malware tiên tiến với nhau khiến
cho việc phân tích chúng khó khăn.


6


Conflicker đã lây nhiễm cho hàng
triệu máy tính trên hơn 200 quốc gia
trên thế giới và vẫn tồn tại cho đến
hiện nay.
Stuxnet

2010-

Worm

2011

Stuxnet lây lan qua windows, là loại
mã độc đầu tiên được phát hiện có
khả năng gián điệp và phá hoại hệ
thống máy tính công nghiệp. Sâu
Stuxnet được thiết kế vô cùng phức
tạp và các cuộc tấn công tinh vi của
chúng với những mục tiêu cụ thể
được cho là thực hiện bởi sự hỗ trợ
của cả một quốc gia.

Flame

2012

Malware

Được đánh giá là loại mã độc tinh vi
và phức tạp nhất cho đến nay, tấn

công các máy tính chạy windows.
Ước tính chi phí cho việc nghiên
cứu phát triển Flame lên tới hàng
chục triệu Dollar. Flame có thể lây
nhiễ thông qua ạng LAN hay USB,
có khả năng ghi âm, chụp ảnh màn
hình, lưu lượng mạng, ăn cắp dữ liệu
trong máy bị nhiễm và cả các thiết bị
kết nối bluetooth với nó…


7

1.4 Phân tích các dạng mã độc
1.4.1 Trojan
Trojan là loại mã độc hại được đặt theo sự tích “Ngựa thành Troy”. Trojan
là một chương trình mà trong đó chứa đựng những mã nguy hiểm và độc hại ẩn
dưới dạng nhưng dữ liệu hay chương trình dường như vô hại theo như tính năng
này nó có thể điều khiển và gây hại, ví dụ như mở bảng phân bố tập tin trong đĩa
cứng của bạn.[1]
Mục đích của Trojan
- Ăn cắp thông tin như mật khẩu, mã bảo mật thẻ tín dụng thông tin bằng
cách sử dụng keylogers.
- Sử dụng máy tính của nạn nhân để tạo một mạng botnet (mạng máy tính
ma) để thực hiện tấn công DDOS.
- Xóa hoặc thay thế các file quan trọng của hệ thống.
- Tạo một kết nối giả để tấn công DOS.
- Tải Spyware Adwares và các file độc hại.
- Vô hiệu hóa tường lửa và phần mềm chống virus.
- Chụp màn hình, ghi âm, quay màn hình của máy nạn nhân.

- Lây nhiễm sang PC của nạn nhân như một máy chủ proxy cho các cuộc
tấn công chuyển tiếp.
- Sử dụng máy tính của nạn nhân để phát tán thư rác và bom thư.
Phân loại Trojan
-

Command shell Trojan.

-

Email Trojans.

-

Botnet Trojans

-

Proxy sever Trojans


8

- FPT Trojans
- VNC Trojans
-

HTTP/HTTPS Trojans

- Remote Access Trojans

- E- banking Trojans
- Trojans phá hoại
- Trojans mã hóa
Dấu hiệu nhận biết bị nhiễm Trojan
Nếu có các dấu hiệu sau thì khả năng máy tính đã bị nhiễm Trojan:
- Ổ CD-ROM mở và đóng một cách bí ẩn.
- Trình duyệt của máy tính bỗng dưng chuyển hướng đến những trang
không do người dung chọn.
- Trình Anti-Virus bị vô hiệu hóa hoặc thuộc tính của nó không hoạt động
như mong muốn.
- Thanh Taskbar trên windows bỗng dưng biến mất.
- Tài khoản và mật khẩu bị thay đổi hoặc không chứng thực được.
- Màn hình máy tính bật ngược hoặc đảo lộn.
- Thiết lập của màn hình chờ tự động thay đổi.
- Nhà cung cấp dịch vụ than phiền nạn nhân đang scan ip của mình.
- Hình nền và background thay đổi.
- Chức năng các nút trái phải bị đảo lộn.
- Mọi người biết nhiều thông tin của nạn nhân.
- Màn hình mấy tính bị nó tắt mở.
- Tài liệu hoặc tin nhắn được in ra từ mấy in của mình.
- Trỏ chuột biến mất hoặc di chuyển bởi nó.


9

- Máy tính bị tắt hoặc mở bởi nó.
- Phím tắt Ctrl + Alt + Del dừng làm việc.
Sự lây nhiễm của Trojans
- Hợp pháp hóa một gói không hợp pháp trong phần mềm đóng gói.
- Chương trình giả mạo.

- Tải các tập tin, trò chơi và màn hình chờ từ các site trên internet.
- Các site phần mềm iễn phí không đáng tin cậy.
- NetBIOS ( chia sẻ file)
- Ứng dụng tin nhắn ngay lập tức.
- IRC ( Internet Relay Chat)
- Tập tin đính kèm.
- Truy cập vật lý.
- Các lỗi của phần mềm trình duyệt và gửi mail.
Dò tìm Trojans
- Chạy máy quét Trojan để phát hiện Trojan.
- Quét cho các HOẠT ĐỘNG MẠNG đáng ngờ.
- Quét cho các FILE HỆ ĐIỀU HÀNH thay đổi đáng ngờ.
- Quét cho các CHƯƠNG TRÌNH KHỞI ĐỘNG đáng ngờ.
- Quét cho các TẬP TIN VÀ THƯ MỤC đáng ngờ.
- Quét cho các TRÌNH ĐIỀU KHIỂN THIẾT BỊ đáng ngờ được cài đặt
trên máy tính.
- Quét cho các DỊCH VỤ WINDOWN đáng ngờ.
- Quét cho các MỤC REGISTRY đáng ngờ.
- Quét cho các CỔNG MỞ đáng ngờ.
- Quét cho các QUY TRÌNH CHẠY đáng ngờ.


10

Các biện pháp đối phó với Trojan
- Tránh tải về và thực hiện các ứng dụng từ các nguồn không tin cậy.
- Tránh mở file đính kèm email nhận được từ những người gửi không rõ.
- Cài đặt các bản vá lỗi và cập nhật bảo mật cho các hệ thống điều hành và
các ứng dụng.
- Quét đĩa CD và đĩa mềm với phần mềm chống virus trước khi sử dụng

- Tránh chấp nhận các chương trình chuyển giao tin nhắn tức thời.
- Chặn tất cả các cổng không cần thiết tại các máy chủ và tường lửa.
- Khi phần cứng yếu, thiết lập cấu hình mặc định.
- Vô hiệu chức năng không sử dụng bao gồm các giao thức và dịch vụ.
- Tránh gõ các lệnh một cách mù quáng và thực hiện chế sẵn chương trình
hoặc các kịch bản.
- Theo dõi lưu lượng truy cập mạng nội bộ cho các cảng lẻ hoặc mã hóa lưu
lượng truy cập.
- Quản lý tính toàn vẹn tập tin cục bộ máy trạm thông qua tổng kiểm tra, kiểm
toán, và quét cổng.
- Chạy các phiên bản chống virus, tường lửa và phần mềm phát hiện xâm
nhập máy tính.
-

Hạn chế quyền truy cập trong môi trường máy tính để ngăn chặn các ứng
dụng độc hại installation trên máy tính.

1.4.2 Virus
Virus máy tính thực chất là các phần mềm tin học có khả năng gián tiếp tự
kích hoạt, tự nhân bản sao chép chính nó vào các chương trình khác nhằm mục
đích phá hoại, do thám hoặc cũng có thể chỉ là để vui đùa. Một số virus ảnh


11

hưởng đến máy tính ngay sau khi mã của nó được thực hiện, một số virus khác
nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được kích hoạt.
Nguyên nhân virus được tạo ra
- Gây thiệt hại cho các đối thủ cạnh tranh
- Lợi ích tài chính

- Dự án nghiên cứu.
- Trò đùa.
- Phá hoại.
- Khủng bố mạng lưới.
- Phân tán các thông điệp chính trị.
Dấu hiệu nhận biết bị nhiễm Virus
- Truy xuất tập tin, mở các chương trình ứng dụng chậm.
- Khi duyệt web có các trang web lạ tự động xuất hiện.
- Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm.
- Các trang quảng cáo tự động hiện ra, màn hình Desktop bị thay đổi.
- Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB.
- Xuất hiện các file có phần mở rộng .exe có tên trùng với tên các thư mục
và có dấu hiệu mất file và thư mục.
- Ổ cứng bị truy xuất thường xuyên.
Nguyên nhân máy tính bị nhiễm Virus
- Không chạy ứng dụng chống virus mới nhất.
- Không uptade và các ứng dụng bổ sung mới nhất.
- Cài đặt các phần mềm không tin tưởng.
- Mở file hoặc mail có dính kèm virus.
- Truy cập các web không an toàn.


12

- Tải file trên internet mà không kiểm tra tính an toàn của file.
Phân loại Virus theo đối tượng lây nhiễm
Như đã nói, tin học phát triển ngày càng mạnh mẽ thì virus cũng phát triển ngày
càng đa dạng, có thể nói không có loại virus nào là hoàn toàn giống nhau. Tuy
nhiên các virus luôn có một số đặc điểm chung nhất định để dựa vào đó người ta
có thể phân biệt nó. Có nhiều cách phân loại khác nhau, phân loại theo đối tượng

lây nhiễm thì virus gồm hai loại:
- B- virus: Virus chỉ tấn công lên Master Boot hay Boot Sector.
- F-virus: Virus chỉ tấn công lên các file khả thi.
Mặc dù vậy, cách phân chia này cũng không hẳn là chính xác. Ngoại lệ vẫn có
các virus vừa tấn công lên Master Boot ( Boot Sector) vừa tấn công lên file khả thi.
B- virus
Khi máy tính bắt đầu khởi động, các thanh ghi phân đoạn đều được đặt về
0FFFH, còn mọi thanh ghi khác đều được đặt về 0. Như vậy, quyền điều khiển
ban đầu được trao cho đoạn mã tại 0FFFh:0h, đoạn mã này thực ra chỉ là lệnh
nhảy JPM FAR đến một đoạn chương trình trong ROM, đoạn chương trình này
thực hiện quá trình POST (Power On Self Test).

Hình 1.1 Lây nhiễm của virus boot sector


13

Quá trình POST lần lượt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo
các chip điều khiển DMA, bộ điều khiển ngắt, bộ điều khiển đĩa, … Sau đó nó sẽ
dò tìm các card thiết bị gắn thêm để trao quyền điều khiển cho chúng tự khởi tạo
rồi lấy lại quyền điều khiển. Chú ý rằng đây là đoạn chương trình trong ROM
nên không thể sửa đổi, cũng như không thể chèn thêm đoạn mã nào khác.
Sau quá trình POST, đoạn chương trình trong ROM tiến hành đọc Boot
Sector trên đĩa A hoặc Master Boot trên đĩa cứng vào RAM, tại địa chỉ 0:7C00h
và trao quyền điều khiển cho đoạn mã đó bằng lệnh JMP FAR 0:7C00h. Đây là
chỗ mà B-virus lợi dụng để tấn công vào Booot Sector, nghĩa là nó sẽ thay Boot
Sector chuẩn bằng đoạn mã virus vì thế quyền điều khiển được trao cho virus, nó
sẽ tiến hành các hoạt động của mình trước, rồi sau đó mới tiến hành các thao tác
như thông thường. Đọc Boot Sector chuẩn mà nó cất giấu ở đâu đó vào 0:7C00h
rồi trao quyền điều khiển cho đoạn mã chuẩn này, và người sử dụng có cảm giác

rằng máy tính của mình vẫn hoạt động bình thường.
Việc cất giữ sector khởi động tại vị trí nào trên đĩa tùy thuộc loại đĩa và
cách giải quyết từng loại virus. Đối với đĩa cứng, thông thường nó được cất giữ
đâu đó trong side 0, cylinder 0 vì trong cả track này, DOS chỉ sử dụng sector đầu
cho bảng Partition. Trên đĩa mềm, vị trí cất giữ sẽ phức tạp hơn vì mọi chỗ đều
có khả năng ghi đè thông tin.


14

Hình 1.2. Phá hoại làm file phân mảnh của B-virus
Tùy thuộc vào độ lớn của đoạn mã virus mà B-virus được chia hai loại:
 SB-virus: chương trình của SB-virus chỉ chiếm đúng một sector khởi
động, tác vụ của SB-virus không nhiều và tương đối đơn giản. Hiện nay số các
virus loại này thường ít gặp và có lẽ chỉ là các virus do trong nước “sản xuất”.
 DB-virus: đây là những virus mà đoạn mã có nó lớn hơn 512bytes. Vì
thế mà chương trình virus được chia làm hai phần:
- Phần đầu virus: được cài đặt trong sector khởi động để chiếm quyền
điều khiển khi quyền điều khiển được trao cho sector khởi động này.
Nhiệm vụ duy nhất của phần đầu là tải tiếp phần thân của virus vào vùng
nhớ và trao quyền điều khiển cho phần thân đó. Vì nhiệm vụ đơn giản như
vậy nên phần đầu của virus thường rất ngắn, và càng ngắn càng tốt vì càng
ngắn thì sự khác biệt giữa sector khởi động chuẩn và sector khởi động đã
bị nhiễm virus càng ít, giảm khả năng bị nghi ngờ.
- Phần thân virus: là chương trình chính của virus. Sau khi được phần đầu
tải vào vùng nhớ và trao quyền, phần thân này sẽ tiến hành các tác vụ của
mình, sau khi tiến hành xong mới đọc sector khởi động chuẩn vào vùng


15


nhớ và trao quyền cho nó để máy tính làm việc một cách bình thường như
chưa có gì xảy ra.
F- Virus
Khi DOS tổ chức thi hành file thực thi (bằng chức năng 4Bh của ngắt 21h),
nó sẽ tổ chức lại vùng nhớ, tải file cần thi hành và trao quyền điều khiển cho file
đó. F-virus lợi dụng điểm này bằng cách gắn đoạn mã của mình vào file đúng tại
vị trí mà DOS trao quyền điều khiển cho file sau khi đã tải vào vùng nhớ. Sau
khi F-virus tiến hành xong các hoạt động của mình, nó mới sắp xếp, bố trí trả lại
quyền điều khiển cho file để cho file lại tiến hành hoạt động bình thường và
người sử dụng thì không thể biết được.
- So với B- virus thì số lượng F- virus đông đảo hơn nhiều, có lẽ do các tác
vụ đĩa với sự hỗ trợ của Int 21 đã trở nên cực kỳ dễ dàng và thoải mái, đó là
điều kiện phát triển cho các F- virus. Thường thì các F- virus chỉ lây lan trên
các file khả thi ( có đuôi .COM hoặc .EXE), tuy nhiên một nguyên tắc mà virus
phải tuân thủ là: khi thi hành một file khả thi bị lây nhiễm, quyền điều khiển
phải nằm trong tay virus trước khi virus trả nó lại cho file bị nhiễm, và khi file
nhận lại quyền điều khiển, tất cả mọi dữ liệu của file phải được bảo toàn.
Phân loại virus theo cách thức lây nhiễm
- Virus System hoặc Boot sector
- Virus Stealth/ Virus Tunneling
- Virus cluster
- Virus macro
- Virus encrytion
- Virus add – on
- Virus polymophic


16


- Virus Companion/ Camouflage
- Virus Shell
- Virus Direct Action hoặc virus Transient
- Virus file extension
- Virus Terminate and Stay Resident (STR)

Biện pháp phòng tránh Virus
- Đảm bảo file thực thi được gửi đến tổ chức phải được phê duyệt
- Không boot máy tính với ổ đĩa bootable đã bị nhiễm.
- Hiểu biết về mối đe dọa virus mới nhất và cập nhật thông tin.
- Kiểm tra CD và DVD có bị nhiễm hay không.
- Đảm bảo cửa sổ pop-up blocker được bật và sử dụng tường lửa internet.
1.4.3 Worm
Sâu máy tính(worm) là một chương trình máy tính có khả năng tự nhân bản
giống như virus máy tính. Trong khi virus máy tính bám vào và trở thành một
phần của mã máy tính để có thể thi hành thì sâu máy tính là một chương trình
độc lập không nhất thiết phải là một phần của một chương trình máy tính khác để
có thể lây nhiễm. Sâu máy tính thường được thiết kế để khai thác khả năng
truyền thông tin có trên những máy tính có các đặc điểm chung – cùng hệ điều
hành hoặc cùng chạy một phần mềm mạng – và được nối mạng với nhau.
Hầu hết các worm được tạo chỉ có thể tái tạo và lây lan thông qua mạng,
tiêu thụ tài nguyên máy tính, tuy nhiên một vài worm mang một payload tàn phá
hệ thống.


17

Kẻ tấn công sử dụng worm payload để cài đặt vào cửa sau của máy tính bị
nhiễm, sẽ bật chúng trở thành thây ma và tạo botnet; những botnet này có thể sử
dụng để mang tấn công đến không gian mạng.


Một số worm cơ bản
W32/ Nesky
Đặc điểm
W32/Nesky là một sâu lây lan sử dụng email và chia sẻ qua mạng Windows.
Nó tìm tất cả ánh xạ ổ đĩa của file có phần mở rộng để tìm thấy địa chỉ email
Worm cũng sẽ cố gắng sao chép chính nó vào trong thư mục root của ổ đĩa C.
Thực thi
Khi một file được giải nén và mở thì virus có thể hiển thị dòng tin nhắn “ The
file could not be opend” W32/ Netsky-A sao chép chính nó vào trong thư mục
Window như services.exe. Để tự động chạy mỗi khi Windows khởi động
W32/Netsky-A tạo một registry.

W32/Bagle.GE
Đặc điểm
Worm W32/Bagle.GE được nhúng trong file đính kèm email, và lây lan sử
dụng mạng email đã bị lây nhiễm. Nó tự ẩn mình và các thành phần Bagle khác
sử dụng kĩ thuật rookit.
Thực thi
- Nó cố gắng ngăn chặn nhiều Anti-Virus và các phần mềm liên quan đến an
ninh khác.


18

- Bagle.GE tải một ổ đĩa chế độ kernel (m_hook.sys) được nó sử dụng để tự
ẩn mình và Bagle các phần mềm độc hại khác, Email-Worm/Bagle.GF.
- Xử lý và thư mục, khóa registry và các value.

Worm Conficker

Đặc điểm
- Worm Conficker là một worm máy tính có thể lây nhiễm và tự nó lây lan
sang các máy tính khác thông qua mạng một cách tự động, mà không tương
tác con người.
- File autorun.inf được đặt trong thư mục thùng rác.
- Người dùng bị khóa bên ngoài của thư mục.
- Truy cập an toàn – liên quan trang web bị chặn.
- Lưu lượng truy cập được gửi qua port 445 trên máy chủ non – Directory
Service(DS)
- Truy cập với quyền admin vào ổ đĩa chia sẻ bị từ chối.
Thực thi
- Worm Conficker có thể vô hiệu hóa các dịch vụ quan trọng trong máy tính
của bạn.
- Trong hộp thoại autoplay, lựa chọn Open folder to view files – Publisher not
specified được thêm vào bởi worm.
- Lựa chọn đánh dấu, Open folder to view files – using Windows explore là
lựa chọn windows có thể cung cấp và lựa chọn cho bạn sử dụng.
- Nếu bạn chọn lựa chọn đầu tiên, sâu sẽ thực thi và bắt đầu tự lây lan qua các
máy khác.


19

Biện pháp phòng tránh Worm
- Chạy clean up ổ đĩa, quét registry và chạy chống phân mảnh một lần trong tuần
- Bật tường lửa nếu OS sử dụng windows XP.
- Chạy chương trình giống phần mềm gián điệp và phần mềm quảng cáo một
lần trong tuần.
- Chặn tất cả các file có phần mở rộng dài hơn phần mở rộng của file.
- Thận trọng với những file được gửi thông qua dòng tin nhắn tức thời.

1.4.4 Backdoor
Khái niệm Backdoor
Backdoor là một chương trình hoặc có liên quan đến chương trình, được hacker
sủ dụng để cài đặt trên hệ thống đích, nhằm mục đích cho anh ta truy cập trở lại
hệ thống vào lần sau. Mục đích của Backdoor là xóa bỏ một cách minh chứng hệ
thống ghi nhật ký. Nó cũng giúp hacker cầm cự trạng thái truy cập khi bị quản trị
viên phát hiện và tìm cách khắc phục.
Biện pháp đối phó với Backdoor
- Hầu hết các sản phẩm chống virus thương mại có thẻ tự động quét và phát
hiện các chương trình backdoor trước khi chúng có thể gây thiệt hại.
- Giúp người dung không cài đặt các ứng dụng tải về từ các trang web
Internet không đáng tin cậy và file đính kèm email.
- Sử dụng công cụ chống virus chanwgr hạn như Windowws Defender,
McAfee, Norton phát hiện và loại bỏ các Backdoors
Kiểm tra xâm nhập
- Quét hệ thống cổng mở, các tiến trình đang chạy, các khóa registry, trình
điều khiển thiết bị và dịch vụ. Nếu bất kì cổng đáng ngờ, quá trình, mục


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×