Tải bản đầy đủ (.docx) (61 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

TÀI LIỆU ĐÀO TẠO PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.06 MB, 61 trang )

TỔNG CÔNG TY ĐIỆN LỰC MIỀN BẮC
CÔNG TY ĐIỆN LỰC SƠN LA

TÀI LIỆU ĐÀO TẠO
PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH

Biên soạn: Phòng CNTT

Sơn La, tháng 3 năm 2015


MỤC LỤC
PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH


PHẦN MỀM ĐỘC HẠI VÀ VIRUS MÁY TÍNH
1. Phần mềm độc hại (Malware)
a. Định nghĩa.
- Thực tế, virus cũng chỉ là một trong những thể loại phần mềm độc hại
(Malware), nó là những chương trình hay đoạn mã được thiết kế với khả
năng tự nhân bản và sao chép chính nó (có thể tự sửa đổi) vào khác
chương trình máy tính khác, các files dữ liệu, hoặc boot sector của ổ
cứng. Khi sao chép này thành công, các đối tượng trên gọi là các đối
tượng bị lây nhiễm (to be "infected").

- Trước đây, virus thường được viết bởi một số người am hiểu về lập trình
muốn chứng tỏ khả năng của mình, bởi vậy virus thường có các hành
động như: cho một chương trình hoạt động sai, xóa dữ liệu, làm hỏng ổ
cứng,... hoặc gây ra những trò đùa khó chịu.
- Những virus mới được viết trong thời gian gần đây không còn thực hiện
các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa,


mà chủ yếu hướng đến việc đánh cắp các thông tin cá nhân nhạy
cảm (email, số điện thoại, các mã số thẻ tín dụng...), mở cửa sau cho tin
tặc đột nhập chiếm quyền điều khiển, hoặc các hành động khác, nhằm có
lợi cho kẻ phát tán.
- Chiếm trên 99% số virus đã được phát hiện là nhắm vào hệ thống sử
dụng hệ điều hành họ Windows bởi 2 lý do căn bản: Thứ nhất, Linux bảo
mật hơn Windows; thứ hai, Windows là hệ điều hành chiếm thị phần lớn
nhất và thông dụng nhất của end-user [2].
- Ngày nay, Virus ngày càng biến thể tinh vi hơn và khó phát hiện hơn, kết
hợp với các dạng malware khác, khiến cho quá trình tìm và diệt chúng
khó khăn hơn nhiều
b. Đặc điểm của Malware
- Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.
3


- Tự nhân bản khi ứng dụng chủ được kích hoạt.
- Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này không
gây hậu quả.
- Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.
2. Tác hại của Malware.
- Virus là những phần mềm và do con người tạo ra, vì thế chúng cũng phá
hoại theo những gì mà chủ nhân của chúng nhắm tới. Đôi khi chúng ta là
nạn nhân thực sự mà virus nhắm vào, đôi khi chúng ta vô tình trở thành
"trợ thủ" cho chúng tấn công vào hệ thống khác.
- Một số tác hại của virus :
- Một số virus chỉ là những trò đùa như liên tục đẩy ổ CD ra ngoài, hay
hiện ra màn hình một số câu trêu chọc,..ít nhiều gây nên sự khó chịu cho
người dùng.Trong nhiều trường hợp,virus thực sự là mối đe doạ tới an
toàn thông tin máy tính.Dưới đây là một số tác hại có thể thấy khi một

máy tính bị nhiễm virus:
- Tiêu tốn tài nguyên hệ thống (CPU, bộ nhớ, dung lượng đĩa cứng ,…)
Các máy tính bị nhiễm virus thường có hiện tượng như chạy rất chậm,bị
treo hoặc tự động tắt máy hay khởi động lại,đèn báo ổ cứng hay kết nối
mạng nhấp nháy liên tục,…Trong nhiều trường hợp,virus có thể gây hiện
tượng không thể kết nối mạng.
- Phá huỷ dữ liệu: Có nhiều loại virus xoá hoặc làm hỏng các tệp chương
trình hay dữ liệu.Các tệo thươngd bị tấn công nhiếu nhất là các tệp dữ
liệu văn bản *.doc hay các tệp bảng tính *.xls và các tệp chưong trình
*.exe, &.com. Một số virus hoạt đong vào một thời điểm nhất định như
virus “thứ sáu ngày 13”, nhưng cũng có những virus nguy hiểm hơn, bất
ngờ xóa dữ liệu khiến người dùng không kịp trở tay.
- Phá huỷ hệ thống: Một số virus cố tình phá huỷ hệ thống, làm giảm tuổi
thọ của ổ cứng,.. làm máy tính hoạt động không ổn định hay bị tê liệt.
- Nguy hiểm hơn , chúng còn có thể đánh cắp dữ liệu: Ngày nay nhiều
thông tin quan trọng đươc lưu trên máy tính như các loại sổ sách, chứng
từ, thẻ tín dụng,…Nhiều loại virus được viết với mục đích đánh cắp các
thông tin đó để trục lợi.
- Mã hoá dữ liệu để tống tiền: Đây là một hiện tượng xuất hiện những năm
gần đây .Khi virus xâm nhập vào máy nạn nhân,nó sẽ mã hoá dữ liệu
quan trọng của người dùng và yêu cầu họ phải trả tiền để có thể khôi
phục lại.
- Gây khó chịu khác: Thiết lập các chế độ ẩn cho tệp tin hoặc thư mục,
thay đổi cách thức hoạt động bình thường cuảc hệ điều hành cũng như
các phần mềm ứng dụng,các trình duyệt,phần mềm văn phòng ,…
- Chúng cũng có thể lợi dụng máy tính của nạn nhân để phát tán thư quảng
cáo, thu thập địa chỉ email, hay biến nó thành “trợ thủ” để tấn công vào
4



hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng.,
- Không những thế, Một số virus có khả năng vô hiệu hoá hoặc can thiệp
vào hệ điều hành làm tê liệt (một số) phần mềm diệt virus. Sau hành
động này chúng mới tiến hành lây nhiễm và tiếp tục phát tán. Một số
khác lây nhiễm chính vào phần mềm diệt virus (tuy khó khăn hơn) hoặc
ngăn cản sự cập nhật của các phần mềm diệt virus.
- Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế
hoạt động của các phần mềm diệt virus và được lây nhiễm hoặc phát tác
trước khi hệ thống khởi động các phần mềm này. Chúng cũng có thể sửa
đổi file host của hệ điều hành Windows để người sử dụng không thể truy
cập vào các website và phần mềm diệt virus không thể liên lạc với server
của mình để cập nhật.
- Ngoài ra, một hình thức trong cơ chế hoạt động của virus là tạo ra các
biến thể của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các
mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi
hành động của nó.
- Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn
cho quá trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện
do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả
hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc
cải tiến chúng để tiếp tục phát
3. Phân loại các phần mềm độc hại (Malware)
Tổng quan, ta chia các dạng độc hại có thể gây hại cho máy tính theo 7+1
loại sau:
3.1. Virus:
- Virus là một loại mã độc hại (Malicious code) có khả năng tự nhân bản
và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. Theo
cách định nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ
(đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các chương trình diệt
virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để

quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, ...
Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC
đưa ra thông báo "phát hiện ra virus nhưng không diệt được" khi thấy có
dấu hiệu hoạt động của virus trên PC, bởi vì "vật mang virus" lại nằm ở
máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó.
- Mức độ độc hại của Virus dao động từ mức tương đối lành tính (ví dụ
như gây khó chịu cho người dùng, hoặc chỉ để truyền tải 1 thông điệp
nào đó) cho đến mức cực kỳ độc hại (ví dụ: Đánh cắp thông tin và
chuyển thông tin của victim cho người khởi tạo virus, hoặc là phá hủy hệ
thống).
5


- Nhiều virus cũng có 1 đoạn code kích hoạt (trigger), cần 1 thao tác của
người dùng tác động vào để virus thực thi (ví dụ như mở file, chạy
chương trình, mở tập đính kèm trên email...).
- Virus có 2 chủng loại chính: Compiled Virus, được thực thi bởi hệ điều
hành (OS - Operating System); và Interpreted Virus, được thực thi bởi
các chương trình chạy trên OS.
- Phần sau đây nói về 2 chủng loại virus này, cùng các kỹ thuật khác nhau
mà virus sử dụng để 'qua mặt', tránh bị phát hiện:
3.1.1. Compiled Virus:
- Là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình
biên dịch để nó có thể thực thi trực tiếp bởi/từ OS.
- Compiled virus thường chia thành 3 thể loại con sau:
3.1.1.1.File Infector:
- File infector virus (virus lây nhiễm vào file) sẽ sao chép và gắn chính nó
lên những chương trình thực thi, như là MSWord, AutoCad hay các trò
chơi điện tử. Khi virus đã lây nhiễm cho 1 chương trình, thì (khi chương
trình bị nhiễm virus đó khởi chạy) nó sẽ lây lan sang các chương trình

khác trên hệ thống, cũng như các hệ thống khác sử dụng chung 1 chương
trình chia sẻ mà đã bị lây nhiễm. Jerusalem và Cascade (đã được giới
thiệu ở bài trước: ) chính là 2 ví dụ nổi tiếp cho loại File Infector Virus.
3.1.1.2.Boot Sector:
- Boot sector virus lây nhiễm vào vùng khởi động chủ (MBR - master boot
record) của ổ đĩa cứng (hard drive), hay lây nhiễm vào cung khởi động
(boot sector) của đĩa cứng/ổ đĩa gắn ngoài (ví dụ như đĩa mềm (floppy
diskettes), DVD-RW, USB stick memory...)
- Boot sector (vùng khởi động hay khu vực khởi động) chính là vùng đầu
tiên của ổ đĩa/phân vùng ổ đĩa/các thiết bị lưu trữ dữ liệu khác, nơi chứa
thông tin về thiết bị đó và/hoặc chứa thông tin về cấu trúc ổ đĩa/phân
vùng... đó (ví dụ: Chứa thông tin về ổ đĩa/phân vùng này có bao nhiêu
TB dung lượng, có định dạng ổ/phân vùng là ext4 hay NTFS hay
FAT32... Boot sector cũng đồng thời chứa chương trình khởi động, được
chạy khi khởi động máy để khởi động OS.
- MBR là vị trí duy nhất trên ổ đĩa cứng mà BIOS (Basic Input / Output
System - hệ thống đầu vào/ra cơ bản của máy tính) có thể xác định vị trí
để tải và khởi chạy hệ điều hành. Những thiết bị lưu trữ gắn ngoài (như
USB key, portable HDD/SSD...), không nhất thiết phải có khả năng khởi
động (bootable), nhưng nếu được gắn vào trong lúc hệ thống đang khởi
6


động, thì vẫn có khả năng lây nhiễm boot virus!
- Boot sector virus rất dễ ẩn thân, tỷ lệ lây nhiễm thành công cho hệ thống
lại cực cao.
- Boot sector virus, sau khi lây nhiễm thành công, có thể làm cho PC hiện
thông báo lỗi ngay khi khởi động, hay thậm chí ở mức độ tệ hại hơn là hệ
thống không khởi động được nữa!
3.1.1.3.Multipartite:

- Multipartite virus sử dụng nhiều phương pháp lây nhiễm, thường sử dụng
cả 2 phương thức lây nhiễm cho cả files lẫn boot sector (kết hợp giữa
3.1.1.1 và 3.1.1.2):
- Multipartite virus = file infector virus + boot sector virus.
3.1.2. Interpreted Virus:
- Không giống như compiled virus (vốn có thể thực thi trực tiếp từ hệ điều
hành), Interpreted virus là một tổ hợp của mã nguồn mã chỉ thực thi được
dưới sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ
thống.
- Hiểu một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi
ứng dụng gọi thì nó mới được thực thi.
- Interpreted Virus càng lúc càng trở nên phổ biến hơn Compiled Virus bởi
lý do đơn giản: Một kẻ tấn công, không cần có "tay nghề" cao, cũng có
thể sửa đổi đôi chút từ mã nguồn để tạo ra các biến thể. Do đó, nhiều lúc
có cả hàng chục, thậm chí hàng trăm biến thể từ con interpreted virus
gốc.
- Có 2 thể loại con chính của interpreted virus, là Macro Virus và Scripting
Virus:
3.1.2.1.Macro Virus:
- Là loại phổ biến và thành công nhất của dạng này trong những năm trước
đây của thế kỷ 21. Nó lây nhiễm lên các tập tin tài liệu (như .doc, .ppt...)
và "nằm chờ", đến khi file tài liệu được mở ra bởi 1 chương trình (ví dụ
Microsoft Office): Nó bắt đầu thực hiện "sứ mệnh cao cả": LÂY NHIỄM.
- Loại này lây lan siêu nhanh trước đây bởi 2 lý do:
- Thứ nhất: Những file văn bản như .doc (định dạng văn bản của Microsoft
Word) được chia sẻ rất rộng rãi qua internet, mang đi in, copy qua USB
key, và được bật đi bật lại nhiều lần;
- Thứ hai: Do quan niệm sai lầm, nghĩ rằng chỉ những file dạng *.exe mới
có khả năng lây nhiễm virus, còn *.doc, *.chm... thì không!
- Ví dụ kinh điển cho macro virus là The Concept, Marker và Melissa.

3.1.2.2.Scripting Virus:
7


- Thể loại virus này rất giông với Macro Virus, sự khác biệt chính là:
macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting
virus là tập lệnh chạy bằng một dịch vụ (service) của hệ điều hành. 'First
and Love Stages' là virus nổi tiếng của thể loại này.
- Ngày nay (2014), macro virus đã ít dần đi, do Microsoft Office bây giờ
đã ít dùng các macro trong các bộ Office thế hệ mới.
3.1.3. Các kỹ thuật ẩn thân của virus (Virus Obfuscation Techniques):
- Hầu hết các virus đều sử dụng 1 hoặc nhiều kỹ thuật ẩn dấu. Đó là cách
để các 'hacker' xây dựng virus khiến cho virus ngày càng khó để phát
hiện (bởi các chuyên gia bảo mật cấp cao, các chương trình diệt virus).
- Virus càng khó bị phát hiện, thì tất nhiên khả năng gây thiệt hại cho hệ
thống càng lớn, và khả năng lây lan cũng lớn hơn nhiều. Thông thường,
có các kỹ thuật ẩn thân cơ bản sau:
3.1.3.1.Self-Encryption and Self-Decryption (Tự mã hóa và Tự giải
mã):
- Một số virus có khả năng mã hóa và giải mã phần mã chính của chính nó
(code body) để che giấu khỏi bị phát hiện trực tiếp.
- Virus có thể sử dụng nhiều lớp mã hóa, hoặc khóa mật mã ngẫu nhiên
(random cryptographic key), khiến cho từ 1 code body, nếu sử dụng các
phương thức mã hóa khác nhau, sẽ cho ra nhiều virus khác nhau mà có
thể hệ thống phần mềm diệt virus không thể phát hiện ra được, hoặc phát
hiện ra được 'con' virus này, nhưng lại để lọt mất 'con' kia, mặc dù chúng
cùng có chung code body, và cùng thực thi 1 nhiệm vụ như nhau!
3.1.3.2.Polymorphism (Đa hình):
- Polymorphism là một hình thái đặc biệt mạnh của self-encryption. Một
virus đa hình thường có vài thay đổi so với việc mã hóa mặc định, cũng

như thay đổi phương thức giải mã.
- Trong 1 virus đa hình: Code body vẫn không thay đổi, chỉ có phương
thức ẩn thân là thay đổi.
- Polymorphism virus chính là một bước phát triển của phương thức ẩn
thân đã nêu ở 3.1.3.1.
3.1.3.3.Metamorphism (Biến thể):
- Ý tưởng 'thiết kế' đằng sau thể loại virus này chính là: Tạo ra 1 loại virus
có khả năng thay đổi nội dung của chính nó, hơn là sử dụng cách thức
thay đổi sự ẩn thân bằng việc mã hóa.
- Các virus thể loại này có thể thay đổi theo nhiều cách:
- Hoặc thêm 1 chuỗi mã vô hại/không cần thiết vào mã nguồn;
- Hoặc thay đổi cấu trúc các phần của mã nguồn (đảo, trộn... mã)...
8


- Các mã bị thay đổi, thêm/bớt sau đó được biên dịch lại (re-compiled) để
tạo ra một virus thực thi mới (có thể mang 'nhiệm vụ' mới) về cơ bản
khác với bản gốc.
3.1.3.4.Stealth (ẩn - tàng hình):
- Stealth virus sử dụng nhiều đặc tính kỹ thuật khác nhau để che dấu đặc
tính gốc (lây nhiễm) của nó. Ví dụ: Nhiều virus, sau khi lây nhiễm cho
files, sẽ thâm nhập luôn vào cơ chế kiểm soát kích thước files của hệ điều
hành, khiến cho hệ điều hành hay chương trình diệt virus hoặc người
dùng vẫn nhìn thấy kích thước của file bị lây nhiễm là vẫn như cũ (không
tăng thêm, tức không bao gồm kích thước của cả 'con' virus!).
3.1.3.5.Armoring (kỹ thuật tạo vỏ bọc):
- Mục đích của kỹ thuật này là làm cho con virus có 1 lớp vỏ bọc để đánh
lừa khả năng của các chương trình diệt virus (antivirus software) hay các
chuyên gia phân tích, khiến cho chức năng thực sự của con virus loại này
không bị lộ thân, và khó có thể truy tìm được dấu vết của nó trên hệ

thống...
3.1.3.6.Tunneling (kỹ thuật tạo đường hầm):
- Với kỹ thuật này, virus sẽ tạo ra 1 đường hầm để chèn chính nó vào lowlevel (*) của OS, khiến cho các low-level của OS không thể khởi chạy (bị
đánh chặn bởi virus).
- Với cách này, virus dễ dàng qua mặt được antivirus software bằng cách
đưa ra các lệnh giả ở mức độ low-level, khiến cho chương trình antivirus
tưởng nhầm đó chính là hoạt động đích thực của OS, và bỏ qua nó.
- Chú thích: (*): low-level: Từ kỹ thuật này dùng để biểu thị các lệnh được
lập trình gần với định dạng của mã máy (như lập trình bằng ngôn ngữ
Assembly chẳng hạn).
- Ngày nay, các nhà phát triển Anti-virus software đã nghiên cứu rất kỹ
những kỹ thuật trên của virus, khiến cho chương trình diệt virus của họ
ngày càng có hiệu quả hơn với những thuật ẩn thân của virus kể trên, bao
gồm thuật tàng hình, tạo vỏ bọc, đa hình và siêu đa hình...
- Tuy nhiên, vẫn còn 1 rào cản khó vượt qua cho Anti-virus software: Kỹ
thuật biến thể (Metamorphism).
- Chính vì kỹ thuật này, mà dữ liệu phân tích cũ của 1 anti-virus software
trở nên vô dụng ngay lập tức khi có biến thể mới từ con virus gốc (mà có
khả năng diệt được đó). Cho nên, các gói cập nhật (update) vẫn được
tung ra hàng tuần, thậm chí là hàng ngày, để phòng chống nguy cơ này
(sau khi đã nghiên cứu xong biến thể mới và đưa ra được đoạn code đề
kháng, để cho lên dữ liệu trên server và từ đó bạn có thể download được
9


về gói update).
3.2. Worm (Sâu):

Computer worm - ảnh minh họa
- Worm cũng là một chương trình có khả năng tự sao chép và tự lây nhiễm

trong hệ thống tuy nhiên bản thân của sâu đã là 1 chương trình hoàn
chỉnh (self-contained), không giống như virus cần sống bám vào 'cơ thể
vật chủ' (là các file bị nhiễm) mới có khả năng lây nhiễm cho hệ thống.
- Worm cũng có khả năng tự nhân bản (self-propagating), tuy nhiên về mặt
này, worm mạnh hơn so với virus: Virus cần 1 thao tác của người sử dụng
để có thể tự sao chép và lây nhiễm (ví dụ: Mở file, hay khởi động máy
với 1 thiết bị đã bị nhiễm boot sector virus...), nhưng worm thì không
cần: Worm có khả năng tạo ra 1 bản sao của chính nó và thực thi chính
nó mà không cần người dùng phải tác động. Chính điều này, mà
attackers (những kẻ tấn công) ngày càng khoái worm hơn là virus, bởi vì
một con sâu có khả năng lây nhiễm sang nhiều hệ thống hơn trong một
khoảng thời gian ngắn hơn so với một thể virus. Sâu tận dụng lợi thế của
những lỗ hổng bảo mật (vulnerabilities) và những điểm yếu chết người về
thiết đặt (configuration) để thâm nhập, chẳng hạn như thu thập những
điểm yếu về bảo mật (unsecured) của Windows OS.

10


Confliker worm
- Trước đây, Worm được sinh ra chỉ để phá hoại hệ thống và làm lãng phí
tài nguyên mạng, như những gì đã viết trong mục 1 của bài Lịch sử
Virus. Ngày nay, loại worm này ngày càng ít đi (vẫn còn, do có nhiều tay
script kiddies muốn 'thử tay nghề'), mà mục tiêu chủ yếu của worm ngày
nay là tấn công phân tán từ chối dịch vụ (DDoS - Distributed Denial os
Service) nhằm vào máy chủ khác, cài đặt backdoor (mở 'cửa sau' cho
attacker, sẽ được thảo luận kỹ hơn tại mục 2.7.1 của bài này), hay thực
hiện các hành vi nguy hiểm khác.
- Sâu có 02 thể loại chính: Sâu dịch vụ mạng và sâu gửi thư hàng loạt:
3.2.1. Network Service Worm (Sâu dịch vụ mạng):

- Network service worm lây lan bằng cách khai thác một lỗ hổng bảo mật
trong 1 dịch vụ mạng liên kết với hệ điều hành hoặc với 1 ứng dụng nào
đó trên hệ thống. Khi thể loại sâu này đã lây nhiễm thành công vào hệ
thống, thông thường, nó sẽ quét và phát hiện những hệ thống khác, cũng
đang chạy dịch vụ kiểu đó (target service - dịch vụ mục tiêu: loại dịch vụ
có lỗ hổng đã bị khai thác, như đã nói ở trên), để tiếp tục lây nhiễm cho
các hệ thống đó.
- Và bởi vì do chúng tự thực thi mà không cần tác động của user, nên
thông thường, thể loại sâu này lây lan với tốc độ chóng mặt (nhanh hơn
nhiều so với virus hay các thể loại malware khác). Do sự lây nhiễm
nhanh chóng, network service worm thường được attackers dùng để áp
đảo, gây tê liệt mạng và các hệ thống an ninh (như cảm biến phát hiện sự
thâm nhập mạng) cũng như các hệ thống đã bị nhiễm bệnh.
- Ví dụ kinh điển cho network service worms là Sasser và Witty.
3.2.2. Mass Mailing Worm (Sâu gửi điện thư hàng loạt):
- Sâu gửi điện thư hàng loạt có cách thức hoạt động tương tự như e-mail11


borne virus (khác biệt lớn nhất vẫn là: Sâu loại này, tự nó đã là selfcontained chứ không như email-borne virus cần sống bám vào file đính
kèm trong thư).
- Một khi sâu thể loại này đã nhiễm vào hệ thống, chúng thường tìm kiếm
trong hệ thống đó các địa chỉ email, sau đó tự động gửi bản sao của chính
nó tới những địa chỉ email đó, sử dụng email client của hệ thống, hoặc
một hệ thống tự gửi mail của chính nó (đã được built-in trong sâu).
Sâu thể loại này thường gửi thư (thường kèm theo cả bản sao chính
nó) đến nhiều địa chỉ cùng 1 lúc. Bởi vậy, bên cạnh việc làm quá tải các
máy chủ email và mạng lưới với 1 khối lượng lớn "bomb mail", sâu loại
này thường gây ra vấn đề nghiêm trọng về hiệu suất cho hệ thống bị
nhiễm bệnh.
- Hiện nay, loại sâu này vẫn khả dụng để phát tán thư rác (thường là thư

quảng cáo) bên cạnh những hiểm họa như đã nói ở mục chính 2.2.
Ví dụ điển hình cho mass mailing worms là Beagle, Mydoom và Netsky.
3.3. Trojan Horse:

- Được đặt theo con ngựa gỗ từ thần thoại Hy Lạp (con ngựa gỗ thành Tơroa <Troy>), Trojan hoạt động hơi khác so với các loại malware khác:
Nó không có khả năng tự nhân bản, và lây nhiễm vào hệ thống với 1 biểu
hiện ôn hòa. Tuy nhiên, ẩn dưới lớp vỏ ôn hòa đó lại là các đoạn mã độc
hại, "nằm vùng" chờ thời cơ, y hệt như những người lính nấp trong con
ngựa gỗ thần thoại vậy.
- Trojan thường có 3 phương thức gây hại phổ biến:
- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên
cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi
một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương
trình đánh cắp password);
- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng
12


-

-

3.4.

sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập
một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại
khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách
tắt các hiển thị của hệ thống);
Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một
chương trình không có hại (ví dụ như một trojan được giới thiệu như là

một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt ứng
dụng này là lập tức dữ liệu trên PC sẽ bị xoá hết, hoặc lập tức nó đánh
cắp luôn ví tiền điện tử .wallet và private key trên máy của bạn)...
Trojan khó bị phát hiện, bởi lẽ (theo 2 phương thức gây hại đầu) chương
trình bị lây nhiễm vẫn gần như hoạt động một cách bình thường không có
gì khả nghi; hơn nữa, các trojan hiện nay cũng áp những thủ thuật ẩn thân
như virus. Việc sử dụng trojan để phát tán những chương trình gián điệp
(spyware) ngày càng trở nên phổ biến: Ví dụ như khi bạn download các
chương trình từ những nguồn chia sẻ không an toàn, hoặc là các giao
thức chia sẻ ngang hàng (p2p, như Torrent chẳng hạn), sau khi bạn cài đặt
những chương trình unsafe đó, spyware sẽ ngấm ngầm cài đặt cùng và
bắt đầu thực thi nhiệm vụ gián điệp của mình trên máy victim.
Trojan cũng thường cung cấp các công cụ tấn công vào hệ
thống (attacker tools), với khả năng cung cấp cho attacker sự truy cập
trái phép, hoặc cho phép attacker sử dụng trái phép hệ thống của victim.
Những công cụ này có thể đã được built-in luôn vào con trojan, hoặc là
được âm thầm tải về sau khi trojan đã thâm nhập thành công.
Những trojans nổi tiếng là SubSeven,Back Orifice, and Optix Pro.
Malicious Mobile Code (MMC):

Malicious QR code

13


- Mobile code là tên gọi chung cho những cách thức dùng để truyền tải (dữ
liệu) từ hệ thống điều khiển từ xa (remote system -ví dụ server) để thực
thi trên hệ thống cục bộ(local system - ví dụ client) mà đôi lúc không có
sự hướng dẫn rõ ràng cho người dùng. Trình duyệt web (web
browser) hay email client là 2 ví dụ hoàn hảo cho Mobile Code: Ví dụ:

Khi bạn bật web browser và gõ vào , thì
dịch vụ Blogger của Google sẽ truyền tải đến web browser của bạn trang
Web của GVEhacker: Dữ liệu của GVEhacker đã nằm trên web browser
của máy bạn.
- Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó
không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác
một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác
động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để
chạy mã từ xa. Các công cụ lập trình như Java, ActiveX, JavaScript,
VBScript là môi trường tốt cho malicious mobile code.
- Trò dụ mọi người cài ICONS trên facebook, làm loạn facebook trong thời
gian vừa rồi, cũng chính là khai thác tính năng cho phép thực thi *.js
(JavaScript) từ web browser của người dùng, sau khi những người dùng
này vô tư ấn "install".
- Một trong những ví dụ nổi tiếng của kiểu tấn công MMC là Nimda, sử
dụng JavaScript. Kiểu tấn công này của Nimda thường được biết đến như
một tấn công hỗn hợp(Blended Attacks), mà sẽ được phân tích cụ thể
trong mục 3.5 dưới đây.
3.5. Blended Attacks (tấn công hỗn hợp/pha trộn):

Blended attacks and defense - ảnh
minh họa
- Tấn công hỗn hợp chính là cách thức sử dụng nhiều phương thức lây
nhiễm, hoặc nhiều phương thức truyền dẫn khác nhau. Sâu Nimda thực
sự là một ví dụ kinh điển cho cách thức tấn công này: Nó sử dụng 4
14


phương thức sau:
- Email: Khi user ở 1 hệ thống có lỗ hổng bảo mật mở mở 1 file đính kèm

(đã bị nhiễm) trên email, Nimda lập tức khai thác lỗ hổng đó để hiển thị
trên web browser của victim để mở ra 1 trang html cơ bản để gửi/nhận
mail mới. Sau đó, nó tìm kiếm toàn bộ địa chỉ điện thư trên máy victim
để tiếp tục gửi những bản sao của nó tới các địa chỉ mà nó quét được.
- Windows Shares: Lợi dụng tính năng chia sẻ files của Windows, Nimda,
sau khi thâm nhập vào máy victim, sẽ tìm kiếm trên hosts những file
được chia sẻ và dùng NetBIOS như 1 cơ chế vận chuyển Nimda để lây
nhiễm cho files. Nếu bạn mở file thì Bingo! Nimda đã chui trót lọt vào
máy của bạn.
- Web Servers: Nimda sẽ quét các máy chủ sử dụng IIS (Internet
Information Service của Microsoft) và tìm kiếm lỗ hổng bảo mật đã biết
tới nhưng chưa được vá lỗi. Nếu tìm thấy lỗ hổng: Lập tức nó sao chép
chính nó lên web servers đó và trên mọi files có thể lây nhiễm trên
servers đó. Phương thức này cực kỳ hiệu quả, bởi sẽ có nhiều clients trỏ
đến server bị nhiễm để lấy thông tin (chẳng hạn, đọc báo mạng, nhưng
trang báo mạng đó trước đó đã bị nhiễm Nimda), nên phương thức này
lây lan rất nhanh chóng.
- Web clients: Nếu victim sử dụng 1 trình duyệt web có lỗi bảo mật để truy
cập tới infected web server nêu trên, thì lập tức, máy của victim sẽ bị lây
nhiễm (nếu lỗ hổng bảo mật trên đã nằm trong list của Nimda khi lập
trình).
- Ngoài việc sử dụng các phương thức nêu trên, các cuộc tấn công hỗn hợp
cũng lợi dụng thêm các dịch vụ khác như IM (Instant Messaging) hay
chia sẻ ngang hàng p2p (peer-to-peer) để lây nhiễm.
Qua phân tích trên, ta thấy rằng Nimda không hẳn chỉ là Worm, mà
Nimda = worm + virus + MMC.
- Ngày nay, blended attacks ngày càng sử dụng nhiều thủ thuật tinh vi và
những pha trộn phức tạp khác. Dựa vào độ mạnh của mã độc về mặt nào,
người ta sẽ tạm xếp mã độc về mặt đó (như trường hợp của Nimda, được
phân loại cho worm).

3.6. Tracking Cookies:

15


Tracking cookies protocol
- Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web
cụ thể nào đó của web-client. Có 2 loại cookies:
- Session cookies: Loại tạm thời này chỉ có giá trị cho 1 phiên làm việc
duy nhất. Khi bạn tắt trang web: session cookie mất hiệu lực;
- Persistent cookies: Là loại cookies lưu trữ mãi trên máy của bạn (cho tới
khi bạn xóa). Mục tiêu của việc duy trì các cookie trong hệ thống máy
tính nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao
cho thích hợp và tương ứng với từng web-client, mục đích để phục vụ
người dùng được tốt hơn.
- Thật không may, dạng persistent cookies cũng có thể bị lạm dụng như
phần mềm gián điệp (spyware) để theo dõi và thu thập thông tin riêng tư
về hành vi duyệt web của cá nhân, bởi 2 nguyên nhân: Do cookie không
cần sự đồng ý của người dùng, mà web-browser vẫn tự tạo; nguyên nhân
thứ 2 là do sự thiếu hiểu biết của user về mảng này.
- => nếu thu thập được cookies, sẽ thu thập được kha khá thông tin cá nhân
của người sử dụng đó.
- Một cách khác để thu thập thông tin cá nhân là sử dụng web bugs. Ví dụ,
viết 1 đoạn mã ngắn để thu thập cookie rồi tung lên trang web đó, nhưng
diện tích chỉ chiếm khoảng 1 điểm ảnh (1px) ==> hầu như vô hình trước
mắt user.
- Thông tin thu thập được sẽ được bán cho bên thứ 3, từ đó họ sử dụng để
đưa ra các quảng cáo theo thói quen của bạn. Như vậy, hiệu quả quảng
cáo sẽ tăng lên rõ rệt.
- Nếu không thu thập được cookies, thì sẽ thật ngớ ngẩn, nếu một kỹ sư cơ

16


khí duyệt web, mà trang quảng cáo pop-up lại quảng cáo về ..thuốc giảm
béo dành cho phụ nữ (trong khi trước kia, anh ta không hề tìm kiếm gì về
loại thuốc đó, nên không có được cookie lưu lại).
- Nếu một kẻ có ý đồ xấu (black-hat hacker chẳng hạn), thì nếu thu thập
được cookies của victim, mọi việc họ làm không đơn giản chỉ là.. quảng
cáo :)
- /* Cookies thường lưu trữ trong những bản plain-text, tức không được
mã hóa, khiến cho 1 truy cập trái phép vào cookies sẽ thu thập được
thông tin cá nhân của bạn, hoặc thay đổi cookies đó nhằm mục đích
phục vụ cho kế hoạch của attacker. Trước thảm họa này, nhiều web-site
bây giờ đã sử dụng phương thức mã hóa cho cookies. Tuy nhiên, việc
giải mã cookies vẫn có khả năng xảy ra bởi những attacker có kinh
nghiệm.
*/
3.7.

Attacker Tools:

Một ví dụ về attacker tools có những tool cần
thiết.
- Là những bộ công cụ tấn công có thể sử dụng bởi attacker để tấn công
vào hệ thống của victim. Các bộ công cụ này có khả năng giúp cho kẻ tấn
công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống
bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các đoạn
mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc
đó (ví dụ như được built-in trong một trojan) hoặc nó sẽ được tải vào hệ
thống sau khi nhiễm.

- Ví dụ: một hệ thống đã bị nhiễm một loại worm, worm này có thể điều
khiển hệ thống tự động kết nối đến một web-site nào đó, tải attacker tool
từ site đó và cài đặt attacker tool vào hệ thống.
17


- Có 6 thể loại thông dụng của những công cụ tấn công, được GVEhacker
giới thiệu ngay sau đây:
3.7.1. Backdoor:

- Là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh
điều khiển từ các cổng dịch vụ TCP (Transmission Control
Protocol) hoặc UDP (User Datagram Protocol). Một cách đơn giản nhất,
phần lớn Backdoors cho phép một kẻ tấn công thực thi một số hành động
trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,...
Ngoài ra, Backdoor cũng có những khả năng đặc biệt (thuận theo ý muốn
đã được lập trình bởi attacker) sau:
3.7.1.1.Zoombies - thảm họa Bot-net:
- Zombie (đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống
của victim nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất
của Zoombie là dùng các máy tính nạn nhân để phục vụ cho các cuộc tấn
công DDoS. Kẻ tấn công có thể cài bot vào một số lượng lớn các máy
tính rồi ra lênh tấn công cùng một lúc làm hết tài nguyên mạng (băng
thông - bandwidth) và tê liệt hệ thống bị tấn công. Trinoo và Tribe Flood
Network là hai đại diện nổi tiếng cho thảm họa zombies.
- /* Mặc dù đôi lúc zombie được gọi là bot, nhưng cách gọi đó là không
chuẩn xác, bởi lẽ thuật ngữ 'bot' dùng để chỉ các chương trình thực hiện
các chức năng 1 cách tự động (ví dụ, ta đổ chương trình vào các máy
móc tự động hóa, thì những máy đó có thể gọi là robot). Một nhóm máy
tính mà có cùng 1 loại bot thì ta gọi là botnet. Tuy nhiên, ngày nay, khi

nghe tới thuật ngữ botnet là lập tức người ta lại liên tưởng đến các vụ
tấn công mạng, do sự PR một cách thái quá nhưng lại nằm ngoài hiểu
biết của các báo mạng lá cải ở Việt Nam. Bởi vậy GVEhacker viết rõ
đoạn này, nhằm giúp các bạn phân biệt rõ 2 thuật ngữ là zombie và bot:
Zombies chắc chắn là mã độc, còn bots thì có thể lành tính, có thể không.
*/
3.7.1.2.Remote Administration Tools (RAT):
- Giống như tên gọi, RAT là các công cụ có sẵn của hệ thống cho phép
18


thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng
tính năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm
hành động theo dõi mọi thứ xuất hiện trên màn hình, điều khiển các thiết
bị ngoại vi của victim theo ý muốn (ví dụ loa, webcam, micro, máy
in...) cho đến tác động vào cấu hình của hệ thống. Ví dụ nổi tiếng cho
RATs là: SubSeven, Back Orifice và NetBus.
3.7.2. Keystroke loggers:
- Keystroke logger, còn gọi là keylogger, là phần mềm được dùng để bí
mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker.
Keylogger có thể ghi lại toàn bộ hoặc có chọn lọc những thông tin mà
victim đã nhập vào hệ thống, bao gồm việc ghi lại nội dung của email,
của văn bản, user name, password, thông tin bí mật, etc.
Các keylogger nổi tiếng là KeySnatch, Spyster và KeyLogger Pro.
- /* Một số keyloggers có khả năng ghi lại các thông tin bổ sung khác, như
ảnh chụp màn hình của victim */
3.7.3. Rootkits:
- Rootkit là tập hợp của các files được cài đặt lên hệ thống nhằm biến đổi
các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn các nguy
cơ tấn công nguy hiểm:

- Trên Unix và Linux, rootkit có thể sửa đổi, hoặc thay thế hoàn toàn hàng
chục tới hàng trăm tập tin (bao gồm cả những tập tin hệ thống .bin binary);
- Trên Windows, ngoài khả năng thay đổi những tập tin của hệ thống,
rootkit còn có khả năng 'nằm vùng' thường trú trong bộ nhớ nhằm thay
thế, sửa đổi các lời gọi hàm của hệ điều hành.
- Rootkit cũng sử dụng những thủ thuật ngăn chặn, ẩn thân và xóa dấu vết,
khiến cho rất khó để tìm ra những gì trên hệ thống đã bị thay đổi bởi
rootkit, hay danh định được rootkit đã thâm nhập. Rootkit thường được
dùng để cài đặt các công cụ tấn công như cài backdoor, cài keylogger.
- Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender.
3.7.4. Web Browser Plug-ins:
- Là phương thức cài mã độc hại thực thi cùng với trình duyệt web. Khi
được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt
web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi
thông tin ra ngoài. Bởi vì các plug-in được nạp tự động khi web browser
khởi động, nên phương thức tấn công này rất dễ dàng dùng để giám sát
hệ thống của nạn nhân. Một dạng khác là phần mềm gián điệp có chức
năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết
nối đến một số điện thoại ngầm định mặc dù không được phép của chủ
nhân (hay xảy ra vào hồi còn dùng mạng dial-up ngày trước, hoặc hoàn
toàn có khả năng xảy ra thời nay trên những thiết bị vừa có khả năng
19


vào mạng vừa có khả năng thực hiện cuộc gọi như smartphone hay
tablet).
3.7.5. Email Generators:
- Là những chương trình cho phép tạo ra và gửi đi một số lượng lớn các
bức điện thư. Malware có thể gieo rắc các email generator vào trong hệ
thống, nằm ngoài sự cho phép và tầm kiểm soát của người dùng thông

thường. Các chương trình gián điệp, spam, mã độc hại có thể được đính
kèm vào các email được sinh là từ email generator và gửi tới các địa chỉ
định sẵn, hoặc tìm thêm trong sổ địa chỉ của máy bị nhiễm.
3.7.6. Attacker Toolkits:
- Nhiều tay tấn công sử dụng những bộ công cụ có sẵn (do họ download
được trên các websites thuộc giới UG - Under-ground), hay chính họ tự
lập trình nên trước đó (để tiện dùng cho những lần sau). Các toolkit này
đã có sẵn những tiện ích và các đoạn mã viết sẵn để khai thác và tấn công
victim.
- Toolkit cũng được sử dụng để lợi dụng victim, cài đặt thêm các malware
khác trên máy của victim và qua đó tấn công sang các hệ thống khác.
Trong 1 bộ toolkit, thường có sẵn các tools sau:
3.7.6.1.Packet sniffers:
- Được thiết kế để giám sát lưu lượng trên mạng dây/không dây và nắm bắt
các gói tin, packet sniffers có khả năng 'bắt' được hết các gói tin trao đổi
của victim, hoặc 'tóm' có chọn lọc những gói tin của victim (ví dụ: Chỉ
'bắt' các gói tin vào/ra từ các cổng TCP định sẵn, hoặc 'bắt' các gói tin
trao đổi với các IP đã định sẵn).
- Hầu hết packet sniffers hiện nay đều được trang bị khả năng phân tích
giao thức (protocol analyzer), tức là nó có khả năng ghép các gói tin mà
nó cần bắt, và giải mã chúng thông qua hàng trăm, hàng ngàn giao thức
sẵn có mà nó được trang bị.
3.7.6.2.Port scanners:
- Port scanners được dùng để quét các cổng vào ra đang mở của victim (có
thể là server lẫn client), để tìm ra cổng có tiềm năng dễ bị tấn công (mà
nmap trên Linux - ubuntu là một ví dụ cực kỳ nổi tiếng, như những gì các
bạn đã từng được nhìn trong bài giới thiệu về Tails - Hệ điều hành lướt
web như hacker trên GVEhacker).
- Khi nắm bắt được các mục tiêu tiềm năng, attacker sẽ tiến hành cố gắng
dùng mọi thủ thuật để khai thác qua các cổng đó.

3.7.6.3.Vulnerability Scanners:
- Attacker sẽ dùng nó để quét các lỗ hổng bảo mật khả dụng trên local
system lẫn remote system. Vulnerability scanners giúp cho công việc của
các attacker dễ dàng hơn so với việc dò thủ công bằng tay để tìm ra
những lỗ hổng ở host.
20


3.7.6.4.Password Crackers:
- Là bộ tổng hợp những tiện ích dùng để bẻ khóa mật khẩu. Hầu hết các
tiện ích này tập trung quanh 2 phương thức chính: Đoán mật khẩu
(dictionary attack) hay dò mật khẩu (Brutte-force). Thời gian để có được
mật khẩu phụ thuộc vào rất nhiều thứ: Sức mạnh của các cỗ máy dùng
huy động để bẻ khóa, độ dài của mật khẩu, độ khó của mật khẩu, sự đồ sộ
của bộ từ điển (chứa những mật khẩu thông dụng mà người dùng hay đặt
như 123456, iloveyou, qweasdzxc, !@#$%^&*()...) ....
3.7.6.5.Remote Login Programs:
- Bộ công cụ này thường chứa SSH và telnet, là những chương trình dùng
để đăng nhập hệ thống từ xa. Kẻ tấn công có thể sử dụng các chương
trình này cho nhiều mục đích, chẳng hạn như đánh cắp dữ liệu hay xóa
bỏ dữ liệu trên hệ thống, kiểm soát các hệ thống bị thâm nhập, chuyển dữ
liệu giữa các hệ thống...
3.7.6.6.Attacks:
- Những bộ công cụ tấn công thường kèm theo các chương trình tấn công
khả dĩ, có khả năng tấn công trên local lẫn remote system. Những cuộc
tấn công có nhiều mục đích khác nhau, mà phổ biến là gây ảnh hưởng lên
hệ thống, hoặc gây ra 1 cuộc tấn công từ chối dịch vụ (DoS).
- Những công cụ trong bộ attacker tools đều có khả năng sử dụng cho mục
đích tốt hay xấu, tùy vào người sử dụng là black hat hay white hat trong
thời điểm dùng, ví dụ như: packet sniffers và protocol analyzers cũng

được sử dụng bởi các chuyên viên bảo mật hệ thống mạng; nhưng cũng
có thể được dùng bởi các black hat với mục đích nghe/xem lén xem
victim đang làm gì;
- password crackers cũng được dùng bởi những chuyên gia an ninh, để
kiểm tra độ an toàn cho mật khẩu của hệ thống; còn khi rơi vào tay black
hat, dĩ nhiên chúng sẽ sử dụng với mục đích vốn có của nó là ...bẻ khóa
mật khẩu.
3.8. Non-malware Threats (Những mối đe dọa khác không phải từ phần
mềm độc hại):

21


Cửa sổ pop-up này chính là 1 dạng
fishing.
- Phần này nói ngắn gọn về 2 mối nguy cơ tiềm ẩn, tuy bản thân chúng
không phải là malware, nhưng chúng thường kết hợp với malware, đó là
phishing, và virus hoaxes. Hai hiểm họa này có tên gọi kỹ thuật chung
gọi là Social Engineering, một thuật ngữ ám chỉ kẻ tấn công dùng các
phương thức để lừa mọi người tiết lộ các thông tin nhạy cảm (thông tin
cá nhân, mật khẩu thẻ tín dụng hay mật khẩu các cổng đăng nhập
online...) hoặc thực hiện hành động nhất định, như tải về và mở/thực thi
một file/chương trình có vẻ vô hại nhưng thực chất chứa mã độc.
Bởi vậy, nên 2 phương thức này sẽ được đề cập đến sau đây:
3.8.1. Phishing:
- Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã
độc hại. Phishing là phương thức dụ người dùng kết nối và sử dụng tới
một hệ thống giả mạo (fake website chẳng hạn) nhằm làm cho người
dùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài
khoản, thông tin cá nhân, ...).

- Kẻ tấn công bằng hình thức phishing thường tạo ra trang web hoặc email
có hình thức giống hệt như các trang web hoặc email mà nạn nhân
thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ
tín dụng, ... Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay
đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu,... Các
thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc
được sử dụng vào các mục đích bất hợp pháp khác.Các cửa sổ pop-up giả
mạo hoặc các banner giả mạo, hoặc chứa link đến nơi chứa phần mềm
độc hại cũng là một hình thức phishing.
22


Phishing giả mạo instant message.
3.8.2. Virus Hoaxes:

Một malware giả mạo chương trình antivirus, đưa ra
các cảnh báo giả về virus khiến người dùng lo lắng
- Giống như tên gọi, virus hoax là các cảnh báo giả về virus. Các cảnh bảo
giả này thường núp dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống.
Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh
báo càng nhiều càng tốt qua email, hoặc dẫn dụ victim tới nơi chứa
malware độc hại (ví dụ: Một malware đội lốt 1 chương trình anti-virus).
Bản thân cảnh báo giả không gây nguy hiểm trực tiếp, nhưng những hành
23


động xuẩn ngốc sau đó của người dùng thiếu kinh nghiệm mới chính là
thảm họa: Ví dụ những thư gửi cho bạn bè để cảnh báo có thể chữa mã
độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ
điều hành, xoá file làm nguy hại tới hệ thống....

- Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ
kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ (nâng cấp,
đến tận nơi để sửa chữa...).
- Adwares là loại phần mềm quảng cáo, rất hay có ở trong các chương
trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có
khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng. Một
số adware cũng chính là malware khi đi kèm thêm với các mã độc hại
khác.
- Ransomware: Là loại phần mềm tống tiền sử dụng một hệ thống mật mã
để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi
phục lại. Ransomware cũng có thể sử dụng các kỹ thuật ẩn thân, mạo
danh 1 chương trình khác nhằm dụ bạn tải nó về để cài đặt.
4.

Cách thức lây truyền

4.1.

Virus lây nhiễm theo cách cổ điển.

- Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy
tính là thông qua các thiết bị lưu trữ di động:
+ USB: Ổ USB flash (ổ cứng di động USB, ổ cứng gắn nhanh cổng
USB), thường được gọi là USB, là thiết bị lưu trữ dữ liệu sử dụng
bộ nhớ flash (một dạng IC nhớ hỗ trợ cắm nóng, tháo lắp nhanh)
tích hợp với giao tiếp USB (Universal Serial Bus). Chúng có kích
thước nhỏ, nhẹ, có thể tháo lắp và ghi lại được. Dung lượng của
các ổ USB flash trên thị trường hiện nay có thể lên đến 256 GB và
còn có thể lên nữa trong tương lai.
+ DVD,CD: Là một định dạng lưu trữ đĩa quang phổ biến. Công

dụng chính của nó là lưu trữ video và lưu trữ dữ liệu.
+ Thẻ nhớ: là một dạng bộ nhớ mở rộng của các thiết bị số cầm tay
(Các thiết bị số cầm tay bao gồm: PocketPC, SmartPhone, Điện
thoại di động, Thiết bị giải trí số di động, Máy ảnh số, Máy quay
số...). thẻ ghi nhớ sử dụng công nghệ flash để ghi dữ liệu. thẻ ghi
nhớ thường có kích thước khá nhỏ nên thường sử dụng cho các
thiết bị số cầm tay.
+ Ổ cứng di động.
+ Điện thoại
a. Thiết bị lưu trữ
- Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện
bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử
24


dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng
di động hoặc các thiết bị giải trí kỹ thuật số.
- Khi chúng ta kết nối các thiết bị số, thiết bị lưu trữ trực tiếp vào máy tính.
Virus có sẵn trong các thiết bị lưu trữ sẽ tự động sao chép sang máy tính
của bạn theo cơ chế sau:
- Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay
đĩa mềm của bạn. Khi phát hiện có thiết bị lưu trữ mới được cắm vào
(USB, CD, Floppy Disk... ), Window mặc nhiên sẽ kiểm tra tệp
autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh
theo cấu trúc được sắp xếp trước.
- Tệp autorun.inf thông thường sẽ có nội dung:
[autorun]
open=virus.exe
icon=diskicon.ico
- Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và

thiết lập icon của ổ đĩa là diskicon.ico. Những tệp này đều nằm ở thư
mục gốc của thiết bị lưu trữ. Giả sử ổ USB của bạn là ổ G thì tệp đó sẽ
nẳm ở G:\virus.exe. Khi cắm usb vào, máy tính sẽ mặc nhiên chạy tệp
G:\virus.exe nếu chưa được config đúng cách.

b. Virus lây từ smartphone sang máy tính
- Các chương trình độc hại thường được viết để hoạt động trên một hệ điều
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×