Giáo trình CEH v7 tiếng việt chương 7 virus worm

.^ 5 Giới thiệu Virus h1 Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính kèm bản sao của chính nó vào các code thực thi khác Mộtsô Virus ảnh hưởng, oi

Mô-đun 7

ata Certified } Ethical Hacker GVHD: Lé Ty Thanh

Nhóm 19: Đặng Ngọc Thông

Võ Minh Thành

oday.com December 20, 2010 11:56 AM

PandaLabs, Panda Security's anti-malware laboratory, stated that, in the first ten months of the che number of threats created and distrib -ount for one third of all viruses that ex:

20 moans that 34 percent of all mahware ever creatad hat appeared in the last tan months

The company’s collective intelligence database, which sutomatically devects, analyzesand aie tasast or classifies $9.4 percent of the thrests recelved, now has 134 millon separate fs, 60 million of cyber-enme market | whch are mahware vituses, worms, trojans and other threats)

tea The report further added that, up to October thes yea! 0 milion new strains of malware

have been crested ( new threats and varisn isting families}, the some amount

009 The average number of new threats created every day has risen from $5.0

dramatic numbers, the speed with which the number ofnew,

dropped since 2009 Since 2003, “new threats have increased at a rate of 100 perce:

of growth is around $0 percent”, explains Luis Corrons, technical

Is growing has

e applying

ot scaler ious code or ing the distribution

ng the creation new ones”, Corrons cone!

company further informed that, although more malicious software Is created, rs lifespan is

1234 percent of malware are active for just 24 hours, as opposed to the lifespan of ths enjoy ravious years Thay now a few syztame then disappear As antivirus solutions become able to detect new malware, hackers modify them

important to have prote:

which can rapidly ne

users are exposed dunng these first 24

ion, This is why it

yew malware and reduce

F

3

Nhóm 19-CCMM03A

Mục tiêu `ˆˆ

Worm Viết một chương trình Virus đơn giản Công cụ chống Virus

3 Vòng đờicủa Virus i2 Máytính Sheep Dịp là gì ?

‘@ Hoatd6ng cia Virus @ Thủ tục phân tích phần mềm độc hại

© Cac loai Virus +œ_ Các biện pháp đối phó với Virus va

° Worm may tinh a Kiểm tra sự xâm nhập của Virus

Nhóm 19-CCMM03A

Dòng Mô-đun

Di : Các biện pháp Kiểm tra sự

Dị, a Nhóm 19-CCMM03A

ez .^ 5

Giới thiệu Virus

h1 Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính

kèm bản sao của chính nó vào các code thực thi khác

Mộtsô Virus ảnh hưởng, oi may tinh pea khi code của nó được thực hiện, một số Virus khác năm im cho đên khi một hoàn cảnh hợp lý rồi mới được

Top 13 quốc gia có máy chủ

lưu trữ code độc hại

Vòng đời của Virus

6

Loại bỏ, Người dùng cài

triển để bảo vệ

và chỗnglại Virus

Phát hiện

Virus được Xác định

là mối đe dọa lây

nhiễm cho caché

thống

Nhóm 19-CCMM03A

Hoạt dong cia Virus: G2) Coen oy poo

+1 Trong giai đoạn lây nhiễm, Virus sao chép chính nó và gắn vào một file exe trong hệ thống

@ Métsé6 Virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực

khác khi người dùng kích hoạt vào chứng, có thể là một ngày, một khoảng thời gian, hoặc một sự

kiện đặc biệt nào đó

Hoạt động của Virus: G2) Coen Gy phon

'¿) Mộtsố Virus có những sự kiện thực thi để kích hoạt và làm hỏng hệ thống

9 Mộtsố Virus tạo lỗi tái tạo và thực hiện các hoạt động như xóa tập tin và tăng thời gian của phiên

làmviệc

Nó lâm hỏng các mục tiêu sau khi đã lây lan thành công như âm mưu của người tạo ra nó

Eile clua phẩm mảnh trước khi bị tấm công,

Tại sao người ta lại tạo ra Virus máy tính ?

`G Gây thiệt hại cho các đối thủ cạnh FF |

Dấu hiệu Virus tấn công

Máy tính bị nhiễm Virus như thế nào ?

AM A2 $ Khi người dùng truy cập file

anti-Virus cập nhật mới số : và tải về mà không kiểm tra

J ị cy)

Không cập nhật và không H Mở các e-mail có file

méi Cai dat cdc phan mém bi "

mật

ct) xo Nhóm 19-CCMM03A

This virus

ply destroys the Zero Sector of the Hard Disc, where the vital information is kept

COPY THIS E-MAIL, AND SEND IT TO YOUR FRIENDS.REMEMBER: IF YOU SEND IT TO THEM, YOU WILL BENEFIT ALL OF US

End-of-mail Thanks,

Nhóm 19-CCMM03A

Phân tích Virus :W32/Sality.AA

KH Tag -AAlà một loại -

Nó lây nhiễm các file “exe” và

we eat tạo ra các file:

<System>\vcmgcd32 d11

Le <System>\vemgcd32.d11_

thấy trên hệ thống có phần mở Nó chỉnh sửa

rộng là “vdb” và “avc” và những <Windows>/system.ini bang

file bắt đầu “drw” và kết thúc cách thêm vào :

Phan tich Virus : W32/Toal-A

oa

Các thông báo trống có header MIME được mã hóa đề khai thác lỗ hỗng

trong IE 5.01/5.5 để chạy một tập tin đính kèm tự động khi các email được xem

u tập tin đính kèm được thực thi, nó thả các tập tin thư vién INVICTUS.DLL vao thu muc hé thống 'Windows và Virus vào thư

mục Windows, bằng cách sử dụng ngẫu nhiên tên 3 kí tự bao gồm phần trêi

chạy tự động mỗi khi máy được khởi động

\Virus nay lam cho 6 dia C: chia sẻ được băng cách thiết lập các khóa khác

Foden eee an een La ate eaten co TÀI

Peeet etl

Nhóm 19-CCMM03A.

Phân tích Virus :

Đặc pes een khởi 'Virus này sẽ tìm

5 ông Windows Ne

biệt,nó thường nhắm Explorer, Virus sé AT cướp

Spey trình chéng Virus dang

1a netstat.exe va Ic.ex nhiềm file Noa ne Na

e HH.EXE vàExplorer pang dé cham dit

Nhóm 19-CCMM03A

‘Stati relonon some vay te Hone {onde onmen rhACS g sư múi Nay eta ops arr coset

fs tee ane nb me?

Nhóm 1 'CCMM03A

thông tin về người sử

ICQtirxabing cach tim | chiemail mané tim j

| kiém “trang trdng" cho một thay trongeic ị

Í danh sách các từ khóabao pean aura (ice hy, ị

Phân tích Virus :' . -

© Virus nay [4 mot tap da hinh thường trú trong bộ nhớ gan thém tap

tin infectors có khả năng EPO (che khuất Entry Point)

dinh cia byte tir điểm nhập cảnh của tập tin

gốc và viết đecrypfor ban đầu

š của nó có

‘Virus nay viết code ban đầu của nhiềm cuôi của tập tin và thay đổi điểm

ó vào một khoảng trống (Không vào địa chỉ của chương trình ban

gian trống rỗng) trong kết \ đầu, do đó nó trỏ nối thêm

Thúc của phần code tip tin ban chỗ bắt đầu của code Virus

đầu vả chuyển địa chỉ vào code

Nhóm 19-CCMM03A

Phân tích Virus : W32/Virut

Trang web độc hại Trang web độc hại

hay đổi bởi Virus

'Virns cổ gắng thực hiện những hành động san đây

>_ Cố gắng để lây nhiễm Ex * vả/hoặc các file scr

>_ Cản trở hoạt động bảo vệtập

ăn được cung cấp bởi Windows

* Nbiingcac lénh dé chongudi dimgtmye4p |<: es ame src="http://****.pl/rc/" widthel heigheel

` 6 treo on style="border: 0"></iframe>

web trong **, nơi ma Virus đã ở sẵn trước on

Nhóm 19-CCMM03A

Phan tich Virus : Klez

'Virus Klez đến như là một tập tin đính

kèm email có thê tự động chạy khi nhìn hoặc xem trước trong

Microsoft Outlook hoặc Outlook Express

Tin nhắn email đến với đối tượng

được lựa chọn ngẫu nhiên

Nó là một worm bộ nhớ

Tin nhắn email lừa đảo được thường trú gửi thư hàng

gửi một số tài khoản email,bao loạt sử dụng giao thức

nhiệm bệnh để truyền thông qua email

C|EH e©Ồ22 @

Phân tích Virus : Klez

Pate

Virus nay a ane Registry dé no due thue

aailoj kegentete elsieicelits tic) bel thị tất cả Khởi động,

nhineg neuei ding

khae thong qua,

TDảnh sách liền Hệ

<Gi Microsoft Outlook

Phân loại Virus

Virus Transient

Virus TRON

®©2:©®

Nhóm 19-CCMM03A

Virus System or Boot sector

+ Virus boot sector đi chuyển MBR đến vị trí khác trên đĩa cứng và sao chép chính nó

vào vị trí ban đầu của MBR

y _ Khi hệ thống khởi động, code Virus được thực thi đầu tiên và sau đó kiểm soát được thông qua MBR ban đầu

Trước khi lây nhiễm

Virus File and Multipartite

¥ file được

thực thỉ hoặc diễn giải trong hệ

thống như EXE,, e

‘Virus File oé thé la hank

trúthoặc thường trú trong bộ nhớ

Virus multipartite tấn

công cả hai là boot sector

và các file hoặc chương trình thực thi cùng một lúc

Virus Macro lây

mẫu hoặc chuyển đổi

các tài liệu bị nhiễm

Nhóm 19-CCMM03A

Virus Cluster

Virus cluster thay đôi các mục

bảng thư mục để các mục thư pratt Mets etc he beatae

¡ trình trên hệ thông được bắt đâu thống máy tính

‡ và sau đó kiểm soát thông

Virus Stealth/ Virus Tunneling

eø _ Những Virs này né tránh các phần mềm anti-Virus bằng cách tự chặn các yêu cầu

hoat động của nó trong hệ thống

e Một Virus có thể giấu mình bằng cách chặn các yêu cầu của phần mềm chống Virus để

đọc các file và vượt qua các yêu cầu với Virus

e Virus sau đó có thể trở lại một phiên bản của file không bị nhiễm cho phần mềm chống

Virus, do 46 n6 xuất hiện như là file "sạch”

Code Polymorphic

Code Polymorphic là code có thể biến đổi trong khi vẫn giữ nguyên trạng thái ban đầu của

thuâttoán

Để kích hoạt code Polymorphic, Virus phải có phương pháp Polymorphic( cũng được gọi là

phương pháp biến đổi)

3 Mộtloại Virus Polymorphic bang van bản chính vì vậy không có phần nào giống nhau trên

mỗi file nhiễm

¡ |Bðf6BIfSiiB

pies

Nhóm 19-CCMM03A

Virus Metamorphic

@ Virus Metamorphic viết lại hoàn chỉnh mỗi khi chúng được thực thi lây nhiễm mới

Q Code Metamorphic có thể lập trình lại bằng cách dịch code riêng của mình thành một đại

diện tạm thời và sau đó trở lại vào code bình thường

@ Vidu, W32/Simile bao gồm hơn 14.000 dòng code lắp ráp thành, 90% của nó là một

Virus Cavity or File Overwriting

Virus Cavity ghi đè lên 1 phần của file nguồn với 1 hằng số(thường rồng),

mà không tắng độ dài của file và giữ nguyên chức nắng của file

Sales & marketing management is the

leading authority for executives in the sales

and marketing management industries

The suspect, Desmond Turner, surrendered

to authorities at a downtown Indianapolis

Virus Sparse infector lay

nhiễm thỉnh thoảng(vd tâtcả 10 chương trình

file notepad.comva hu né trong

thi: muc cAwinnt\system32

ul Ce

Nhóm 19-CCMM03A

Virus Shell

Code Virus tạo thành một shell xung quanh mục tiêu code của chương trình, làm

cho bản thân chương trình ban đầu và code máy đích là thường xuyên phụ thuộc

vào nó

'2ˆ Hầu hết các Virus boot là Virus Shell

Trước khi lây nhiễm

Virus File Extension

1 VirusExtension thay đổi phần mở rộng của file

2 .TXTan toàn vi nó chỉra một tập tĩn văn bản

thudntiy

3 Vớïphẩn mở rộng bị tắt, nếu ai đó gửi cho bạn

file có tên BAD.TXT.VBS, ban sé chi nhin

thấy BAD.TXT

4, _ Nếu bạn không biếtrằng các phần mở rộng

được tắt, bạn có thể nghĩ rằng đầy là một file

'văn bản vả mở nỗ

5, Đâylả mộtVirus thực thi Visual Basic ScripL

6 Biện pháp đối phó là để tắt "phần mở rộng tập

Virus Add-on and Intrusive

Virus add-on thêm code của chúng vào code đích mà không làm thay đổi sau này hoặc di dời code đích để tự chèn thêm code của chúng khi bắt đầu

Virus Terminate and Stay Resident and

Transient

Kĩ thuật lây nhiễm cơ bản

Virus Direct action or

Viết chương trình Virus đơn giản

Gửi file game.com như

là file đình kèm email đến các nạn nhân

Chuyên đôi hang loạt file

Game.bat thành file Game pega \"

.com sử dụng công cụ

ee

Terabit Virus Maker

Peed

Internet Explorer Every 10 Sec ẩƒ Format All Harđ 0rives

JPS Virus Maker

eld

nh Do R9

fey end feb fel ai felted [eee lel Taek) [ele leer) leh ccd felts

[2] union Peron! jon opm |

s Seu Wir Megt_| GgexOme 0e lơy

a a Sn ‘eam Pate

it Ser Sn (etn Exar

‘Bue Seventh Nha We Pe Deets

Cais CocFm | Oo Tefen | Deine Pa ie

nk Sot Fne | a pt Fae | Cn pF Dee N Frafies | Odes A Sw Fes | _Osae M Ler

The Lat Reda | Deets Hala Cast Carter

ean ccs | Deer | Cette tet pone

[Seo sg roms raga

Pave

bom ela Nhóm 19-CCMM03A

Khái niệm về

„ s Các loại Virus

Nhóm 19-CCMM03A

1/orm: máy tính

'Wom máy tính là chương trình độc hại có thể

tái tạo thực thi và lây lan thông qua kết nối

mạng 1 cách độc lập mà không tương tác với con người

Hầu hết worm được tạo chỉ có thể tái tạo và lây

lan thông qua mạng, tiêu thụ tài nguyên máy tinh; tuy nhién 1 vai worm mang payload tan

phá hệ thống

Kẻ tấn công sử dụng worm payload để lat vào cửa sau của máy tính bị nhiễm, sẽ bật chúng

trở thành thây ma và tạo botnet; những botnet

này có thể sử dụng để mang tấn công đến không

gian mạng

Nhóm 19-CCMM03A

Worm khác Virus như thế nào ?

Worm là 1 dạng đặc biệt của Virus có thể tự nó tái tạo và sử dụng bộ nhớ, nhưng không thể tự nó tấn công chương trình khác

Ví dụ về sự lây nhiễm của Worm :

Worm Conficker

'Worm Conficker là một worm máy tính có thê lây nhiêm và tự nó lây lan

sang các máy tính khác thông qua mạng một cách tự động, mà không tương

File autorun.inf duoc

đặt trong thư mụcthùng rác

Lưu lượng truy cập được voi quyén

gửi qua port 445 trên admin vào ð đĩa

may chu non-Directory chia sẽ bị từ chối Service(DS)

ee

Nhóm 19-CCMM03A

Worm Cont «er lam những công việc gì ?

'WormConficker có thể vô hiệu hóa

các dịch vụ quan trọng trong máy tính

của bạn

_ Trong hộp thoại antoplay, lựa chọn

Open folder to view files — Publisher

not specified dugc thém vao béi worm

J Lyachon dénh din, Open folder to

view files —using Windows explore la lua chon windows c6 thé cung cắp và

lựa chọn cho bạn sử đụng

'2) Nếu bạn chọn lựa chọn đầu tiên, sâu sẽ

thực thi và bắt đầu tự lây lan qua các

máy khác

~=lE| x|

Removable Disk (E:)

[7 Always do this for software and games:

Install or run program

} Open folder to view files

Worm -::“- ‹-: hoạt động như thế nào ?

a =

Các máy tính được chia sẽ 5 ` Máy tính có chính sách bảo mật

với mật khẩu yếu riêng, cập nhật an ninh, chống Virus

và chia sẽ an toàn

= Conficker cố gắng kết nối nhiều

máy tính thông qua mạng

Máy tính Không cập nhật

Máy tính với chia sẻ được mở an ninh mới nhất