Mô tả và phân loại Virus
trang này đã được đọc lần
Có rất nhiều chương trình diệt virus đã thử định nghĩa và phân loại virus. Tuy nhiên dù có gây
hại hay không thì virus cũng là một sản phẩm trí tuệ của con người. Chính vì vậy nó đa dạng một
cách đáng kinh ngạc. Tuy nhiên tôi cũng thử tổng hợp các mô tả và định nghĩa của Sophos để
mọi người tham khảo và hiểu rõ thêm các virus quanh ta
Access macro virus
Đối tượng lây nhiễm: MS Access 97 hoặc mới hơn trên các hệ điều hành.
Ngôn ngữ sử dụng: Ngôn ngữ VBA macro.
Cách thức lây nhiễm: Lây nhiễm khi mở một tệp Access database khác khi database đã nhiễm
virus đang mở.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "AM97/", "A97M" hay "AM".
AppleScript worm
Mô tả: AppleScript là tệp batch mặc định trên hệ điều hành Macintosh. Một thành phần chính của
các ứng dụng cài trên máy Macintosh thường có thể viết bằng AppleScript. AppleScript worm là
một đoạn script sử dụng các hàm AppleScript phân tán sang các máy khác hay tạo một email
application để tự gửi chính nó đi.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "AplS/".
Batch file worm
Đối tượng lây nhiễm: Lây trên các máy tính nối mạng sử dụng DOS, Windows 95/98/Me hay
Windows NT/2000.
Cách thức lây nhiễm: Batch file worms phát tán bằng cách tìm kiếm các vùng chia sẻ trên các
máy ở xa qua mạng mà nó có thể tự copy sang.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Bat/".
Companion virus
Đối tượng lây nhiễm: Các hệ điều hành.
Cách thức lây nhiễm: Companion virus sẽ tự đổi tên nó hoặc tệp tin mục tiêu của nó nhằm đánh
lừa người sử dụng chạy tệp virus thay vì chạy một chương trình khác. Ví dụ, một companion
virus tấn công một tệp có tên GAME.EXE nó sẽ đổi tên tệp gốc thành GAME.EX đồng thời tự sao
chép nó thành một tệp với tên GAME.EXE. Hoặc nó có thể sử dụng cách khác đơn giản hơn là tự
đổi tên nó thành tệp có tên GAME.COM việc này gây ra khi người sử dụng đánh lệnh 'GAME' từ
dấu nhắc command, hệ điều hành sẽ thực hiện tệp GAME.COM trước thay vì chay GAME.EXE.
Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này.
Corel Script virus
Đối tượng lây nhiễm: Corel SCRIPT files chạy trên các hệ điều hành nào.
Ngôn ngữ sử dụng: Ngôn ngữ Corel SCRIPT macro.
Cách thức lây nhiễm: Khi một script đã nhiễm VR chạy sẽ lây sang các Corel SCRIPT files khác.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "CSC/".
Boot Sector virus
Đối tượng lây nhiễm: Boot Sector (còn gọi là Boot Record) của đĩa cứng và boot sector đĩa mềm.
Boot Sector viruses có thể lây trên bất cứ máy PC nào thuộc họ Intel-compatible cho phép khởi
động từ ổ mềm. Các hệ điều hành bảo mật cao hơn như Windows NT vẫn có thể bị lây nhiềm
nhưng khả năng nhân bản của virus cũng bị hạn chế hơn.
Ngôn ngữ sử dụng: Intel 80x86 Assembler.
Cách thức lây nhiễm: Nạp lên bộ nhớ khi máy PC đã nhiễm khởi động và sẽ lây sang đĩa mềm khi
sử dụng tại các máy PC này. Một PC khác khi khởi động bằng các đĩa mềm có VR cũng sẽ bị
nhiễm VR.
DOS executable file virus
Đối tượng lây nhiễm: Các tệp khả thi trên DOS.
Cách thức lây nhiễm: Nhiễm vào các tệp khả thi. Một số viruses có thể thường trú và lây sang
các chương trình khác khi chương trình được chạy. Một số VR thì có thể quét tìm kiếm các tệp
trên đĩa để lan.
Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này.
Dropper
Mô tả: Các tệp này được tạo ra để thả virus, worm hay Trojan vào hệ thống. Các tệp này thường
chứa một loại virus, worm hay Trojan.
Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này.
Excel formula virus
Đối tượng lây nhiễm: MS Excel 5 hay mới hon trên các HĐH.
Ngôn ngữ sử dụng: Ngôn ngữ Excel formula.
Cách thức lây nhiễm: Khi một văn bản chứa VR được mở formula sheet virus sẽ tự copy nó thành
một tệp tai thư mục XLSTART. Nhờ vậy nó này sẽ lại tự động nạp vào văn bản khác khi một văn
được mở.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "XF/" or "XF97/".
Excel macro virus
Đối tượng lây nhiễm: MS Excel 5 hoặc mới hơn trên mọi hệ điều hành sử dụng.
Ngôn ngữ sử dụng: Ngôn ngữ VBA3 macro.
Cách thức lây nhiễm: Khi một văn bản chứa VR được mở macros virus sẽ được copied thành một
têp tại thư mục XLSTART. Nhờ vậy nó này sẽ lại tự động nạp vào văn bản khác khi một văn được
mở.
Một số viruses như XM97/Papa có thể sử dụng các chương trình gửi mail như Outlook để gửi các
tệp nhiễm VR đến các địa chỉ trong sổ địa chỉ Outlook.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "XM”, "XM97/" or "X97M".
JavaScript worm
Đối tượng lây nhiễm: Các tệp JavaScript scripting, HTML có chứa scripts, Microsoft Outlook và
Internet Explorer.
Ngôn ngữ sử dụng: JavaScript
Cách thức lây nhiễm: Sử dụng các hàm của IRC, Outlook hay Windows networking để gửi các
bản sao tệp lây nhiễm hoặc chính nó qua mạng.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "JS/".
Linux executable file virus
Đối tượng lây nhiễm: Các dạng tệp Linux Platform ELF (Executable and Linkable Format).
Cách thức lây nhiễm: Lây lan qua các tệp khả thi bằng nhiều phương thức khác nhau.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Linux/".
Linux worm
Đối tượng lây nhiễm: Các máy tính nối mạng chạy Linux.
Cách thức lây nhiễm: Linux worms tận dụng các tính năng flaws trong code của mạng nhằm
chiếm quyền truy nhập tới các máy tính ở xa chạy Linux. Khi đã nắm được quyền truy nhập
chúng bắt đầu tìm kiếm các máy mới để lây nhiễm, các triệu chứng ban đầu thường làm tăng
thông lượng truyền trên mạng. Chúng có thể phát tán rất nhanh qua các máy tính nối thường
xuyên với internet.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Linux/" hay "Unix".
Macintosh file virus
Đối tượng lây nhiễm: Các máy tính Macintosh.
Cách thức lây nhiễm: Lây nhiễm lên các tệp chạy trên Macintosh dưới nhiều hình thức.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Mac/".
Macintosh worm
Đối tượng lây nhiễm: Các máy tính Power Macintosh.
Cách thức lây nhiễm: Lợi dụng chức năng QuickTime AutoPlay để copy chính nó ra các đĩa mềm
người sử dụng cho vào.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Mac/".
Macromedia Flash infector
Đối tượng lây nhiễm: Các tệp Macromedia Flash sử dụng cho Flash 5 player.
Cách thức lây nhiễm: Thông thường nhân bản bằng cách tự copy sang script khi tệp Flash bắt
đầu chạy.
Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này.
MapBasic program
Đối tượng lây nhiễm: MapInfo.
Ngôn ngữ sử dụng: MapBasic.
Cách thức lây nhiễm: Lây nhiễm trên các ứng dụng MapInfo để có thể lan sang các tệp MapInfo
Map khác.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "MPB/".
Mid infecting
Đối tượng lây nhiễm: Mọi loại file.
Mô tả: Đây là dạng viruses lây nhiễm vào giữa tệp tin thay vì cách truyền thống là lây nhiễm vào
entry point (điểm bắt đầu chạy).
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Mid/".
mIRC or pIRCH script worm
Đối tượng lây nhiễm: Các hệ thống chạy IRC.
Ngôn ngữ sử dụng: IRC Script.
Cách thức lây nhiễm: Các file này thường sửa tệp SCRIPT.INI để làm cho IRC phân tán các bản
sao của chúng.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "mIRC/" or "pIRC/".
Office macro virus
Đối tượng lây nhiễm: MS Office 97 (hoặc sau đó) trên mọi hệ điều hành sử dụng.
Ngôn ngữ sử dụng: VBA5 hoặc hơn.
Cách thức lây nhiễm: Lây nhiễm từ 2 Office components hoặc nhiều hơn. Phần lớn chạy trên
Word và Excel thi thoảng cả PowerPoint và Project files.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "OF97/".
PalmOS based executable virus
Đối tượng lây nhiễm: PalmOS Palm resource (PRC) files.
Cách thức lây nhiễm: Các viruses này tìm các tệp Palm resource files để lây nhiễm.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Palm/".
PowerPoint macro virus
Đối tượng lây nhiễm: MS PowerPoint 97 (hoặc hơn).
Ngôn ngữ sử dụng: ngôn ngữ VBA5 hoặc hơn.
Cách thức lây nhiễm: virus chạy khi một số action thực hiện và lây nhiễm sang tệp PowerPoint
khác hoặc lên main template (Presentation.pot). Một presentations mới được tạo từ template đã
nhiễm vr cũng sẽ bị nhiễm.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "PM97/" hoặc "PP97M".
Trojan
Mô tả: Trojans có tên nguyên thủy là Trojan Horses được biết đến như các chương trình có ác ý
được ẩn dấu mục đích thực dưới các dạng games hay phần mềm nâng cấp. Rất nhiều dạng
Trojans ngày nay không còn như vậy nữa, vì thế định tên này cũng không hoàn toàn sát nghĩa
nữa. Ví dụ một chương trình game bỗng nhiên xóa files, ghi vào thông tin hệ thống ....
Cách thức lây nhiễm: không tự nhân bản.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Troj/".
Unix worm
Đối tượng lây nhiễm: Các máy tính nối mạng sử dụng Unix.
Cách thức lây nhiễm: Unix worms lợi dụng các đặc tính flaws trong networking code để gây tràn
bộ đệm nhằm chiếm quyền truy nhập máy tính từ xa chạy Unix. Khi đã chiếm được quyền truy
nhập chúng sẽ bắt đầu tìm kiếm các máy mới để lan. Chúng phát tán rất nhanh nhất là qua các
máy nối thường xuyên với.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Unix/".
Visual Basic Script worm
Đối tượng lây nhiễm: Các tệp Visual Basic scripting, HTML có chứa scripts, Microsoft Outlook và
Internet Explorer.
Ngôn ngữ sử dụng: Visual Basic Script
Cách thức lây nhiễm: Sử dụng các hàm của IRC, Outlook hay Windows networking để gửi các
bản sao tệp lây nhiễm hoặc chính nó qua mạng.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "VBS/".
Win16 executable file virus
Đối tượng lây nhiễm: MS Windows 3.0 và 3.1
Cách thức lây nhiễm: Lây trên các tệp khả thi theo nhiều cách. thức khác nhau.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Win/".
Win32 executable file virus
Đối tượng lây nhiễm: MS Windows 95/98/Me, NT hay 2000 PE (Portable Executable) files.
Cách thức lây nhiễm: Lây trên các tệp khả thi theo nhiều cách. thức khác nhau.
Some viruses such as W32/ExploreZip also use Outlook or other programs to distribute infected
files by email.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "W32/"(earlier versions used "Win32").
Win32 worm
Đối tượng lây nhiễm: Các máy tính nối mạng chạy Windows 95/98/Me và Windows NT/2000.
Cách thức lây nhiễm: Win32 worms phát tán sử dụng Windows networking APIs, các hàm MAPI
hay các email clients như Microsoft Outlook. Chúng thường tạo các thư điện tử có gắn worm
program hoặc chính bản thân chúng trong thư. Một message tạo bởi worm thường gợi ý người
đọc mở tệp gửi kèm để xem một thông tin thú vị hoặc quan trong.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "W32/" hay "Win32".
Word macro virus
Đối tượng lây nhiễm: Các phiên bản MS Word trên các hệ điều hành.
Ngôn ngữ sử dụng: Word Basic macro Ngôn ngữ sử dụng (sử dụng trong Word 6 hay 95).
Cách thức lây nhiễm: Lây nhiễm khi văn bản được mở macros VR sẽ tự copy sang tệp global
template (thường là NORMAL.DOT). Khi văn bản khác được mở macros lại tự động nạp vào.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "WM/" hay "Winword".
Word macro Trojan
Đối tượng lây nhiễm: MS Word 97 hoặc mới hơn trên các hệ điều hành.
Ngôn ngữ sử dụng: VBA5 hoặc mới hơn.
Mô tả: Word 97 macro Trojans là một văn bản mà khi mở sẽ làm một số thao tác không mong
đợi với hệ thống của bạn như xóa files hay thay đổi system security.
Cách thức lây nhiễm: Không tự nhân bản.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "WM97/" hay "W97M".
Word macro worm
Đối tượng lây nhiễm: MS Word 97 hay mới hơn trên các hệ điều hành.
Ngôn ngữ sử dụng: VBA5 hay mới hơn.
Cách thức lây nhiễm: Sử dụng các chương trình mail như MS Outlook để tự động gửi các tệp đã
bị nhiễm VR đến danh sách tên lấy từ sổ địa chỉ của chương trình. Nhiều worms còn có thể lây
lan giống như Word 97 macro viruses.
Cách đặt tên: Thông thường tên được dặt thêm tiền tố "WM97/" hay "W97M".
Windows Scripting Host virus
Đối tượng lây nhiễm: Các máy chạy HĐH Windows 95/98/Me và Windows NT/2000/XP.
Mô tả: Windows Scripting Host là một dạng framework lớp dưới cho JavaScript, Visual Basic
Script và ActiveX components thực hiện. Một virus, worm hay Trojan có thể sử dụng nhiều đối
tượng của này framework.