Vạch mặt virus - Phần 1 pptx

Virus Virus hay nói chung hơn là malware = MALicious + softWARE là những phần mềm ñộc hại hay những ñoạn mã ñộc có khả năng lây, nhiễm, tự sao chép chính nó, ăn cắp thông tin, giả danh

Deface Virus

Lời giới thiệu:

Virus là một vấn ñề muôn thủa, luôn luôn mới và người viết ra Virus luôn là người ñi trước Mình viết

và tham khảo ñược một ít về cái gọi là virus ñể các bạn có một ít cách nhìn về Virus và ñể tìm và vạch mặt cái ñó

Cám ơn người anh em vovi ñã giúp ñỡ hoàn thành việc chuyển thể ra file chm

Deface Virus

a Virus

b Rootkit

b Các triệu chứng biểu hiện của Rootkit

b Cách nhận biết và phát hiện Rootkit

a Câu lệnh hiển thị file

c Câu lệnh tắt tiến trình ñang chạy

d Câu lệnh tắt dịch vụ ñang chạy

e Câu lệnh xóa

f Câu lệnh thực thi trong REGEDIT

Deface Virus

1 Nói qua về virus(VR), Rootkit

a Virus

Virus hay nói chung hơn là malware (= MALicious + softWARE) là những phần mềm ñộc hại hay những ñoạn mã ñộc có khả năng lây, nhiễm, tự sao chép chính nó, ăn cắp thông tin, giả danh các tiến trình

hệ thống, ẩn nấp, cố gắng phá hoại nhân hệ ñiều hành(OS kernel), làm thay ñổi cấu hình hệ thống hoặc các ứng dụng khác chạy trên hệ thống của bạn…

Malware nói chung ñược gồm có các loại sau: Trojan horse, virus, worm, spyware(phần mềm gián ñiệp), adware(phần mềm quảng cáo), backdoor, keylog, botnet, và hiện giờ còn có phần mềm giả danh các chương trình antivirus (như antivirus2009,…), rootkit(chuyên ñể ẩn nấp)…

b Rootkit

• “Một rootkit là một công cụ ñược thiết kế ñể tự ẩn chính nó và các tiến trình, dữ liệu khác và/hoặc hoạt ñộng trên một hệ thống” - G Hoglund (www.rootkit.com)

• Một công cụ ñược sử dụng ñể bảo vệ các backdoor và các công cụ khác dựa vào việc phát hiện ra bởi các nhà quản trị

• Rootkit không phải là một virus, worm

• Nhiệm vụ mà người tạo rootkit muốn làm là

Ẩn các process

Ẩn các services

Ẩn các drivers

Ẩn các kernel modules

Ẩn các cổng TCP/UDP ñang ñược lắng nghe

Ẩn các files

Ẩn các khóa trong regedit

Và xu thế bây giờ thường là lai ghép vidu: rootkit+virus, rootkit+worm, rootkit+trojan,…

2 Máy tính của bạn bị nhiễm virus theo cách nào

- Lây nhiễm vào máy tính từ một ổ cứng bị virus, từ ổ CD hoặc ổ A Hoặc lây nhiễm qua ổ USB (bằng cách tự ñộng kích hoạt) Thường là khi ta kích ñúp vào USB, hoặc kích chuột phải chọn Open/Explorer

- Lây nhiễm qua phần ñính kèm trong email Các file lây nhiễm bị ñính kèm thường là các file thực thi (như là exe, com, vbs, dll, sh, bat, scr, pif, …) Và các email gửi tới thường ñược gửi từ những người không quen biết, và chúng có thể chứa các ñoạn mã phá hoại bên trong các form của html, mà tự ñộng ñược thực thi khi ta mở email

- Lây nhiễm khi download nhạc trên Bittorrent

- Lây nhiễm qua các trang web (sex, crack…) thường là khi download Các trang web này thường ñược ñẩy tới qua việc quảng cáo, hoặc ñính kèm vào các web khác và ñẩy tới người viếng thăm Việc duyệt web cũng bị lây nhiễm (thường là qua các ñịnh dạng htm và html)

- Virus khai thác qua các ñiểm yếu chưa ñược vá của Microsoft(IE, Office, Media,…)

3 Các triệu chứng biểu hiện của VR, Rootkit

a Các triệu chứng biểu hiện của VR

- Máy tính chạy ñờ ñẫn

- Khóa, không cho chạy các chương trình hệ thống như (cmd, regedit, task manager, gpedit, run, control panel, …) hoặc các chương trình diệt virus không thể thực thi ñược

- Hoặc khi chạy một chương trình gì thường thông báo lỗi, chạy các file *.exe, *.com, *.bat… ñều bị thay thế bằng các chương trình khác(virus)

Deface Virus

- Hình như có tiến trình nào ñó ñang chạy tốn nhiều tài nguyên hệ thống, tốn RAM CPU hay sao nhưng chưa tìm ra…

- Ẩn file, thư mục làm người dùng hoang mang không thấy dữ liệu cần làm ñâu

- Thay ñổi ñịa chỉ IP làm cho không thể vào ñược mạng

- Lây nhiễm qua USB sử dụng file autorun.inf ñể kích hoạt khi người dùng kích ñúp/chuột phải vào USB, lây qua mạng LAN, Internet tức lây qua các ñường link có chứa virus, các file ñính kèm gửi qua email…

b Các triệu chứng biểu hiện của Rootkit

- Xảy ra hiện tượng màn hình xanh(BSoD) trên các hệ thống ñang ổn ñịnh bình thường

- Xảy ra các lỗi khi bạn cố gắng shutdown hoặc reboot lại hệ thống

- Xảy ra lỗi khi kết nối mạng

- Các chương trình antivirus cảnh báo nhưng “móm”

4 Tìm kiếm/nhận biết/phát hiện VR, Rootkit

a Cách nhận biết và phát hiện VR

- Process ñó chiếm khá nhiều tài nguyên hệ thống (CPU và Memory)

- Process có tên lạ, hoặc có tên gần giống với các process hệ thống Một vài process hệ thống hay bị

“nhái” là explorer.exe, svchost.exe; lsass.exe, winlogon.exe, chúng thường có tên giả kiểu như

expl0rer.exe, schost.exe, 1sass.exe, WIN1OGON.exe chẳng hạn…

- Process bị tắt rồi tự ñộng ñược chạy lại (tức ko thể tắt ñược): Trường hợp này là do virus gọi 1 lúc nhiều process, phải tìm ñược process gốc và những process liên quan ñể tắt hết chúng ñi Có thể tắt 1 lúc nhiều process, hoặc tắt “từ trên xuống dưới”, theo dạng cây hay dừng(suspend) process rồi mới del tiến trình

ñó

- Dựa vào cách mô tả(description), xác minh chữ ký(verify signature), user name, ñường dẫn(image name)… của tiến trình ñang chạy

- Tìm kiếm thu thập thông tin về tiến trình nào ñó không xác ñịnh trên google hoặc những trang cung cấp thông tin về con virus ñó như threatexpert.com hay kiểm tra thông tin mô tả về VR ở GriSOFT's Virus Encyclopedia, Eset's Virus Descriptions, McAffee's Virus Glossary, Symantec's Virus Encyclopedia, or Trend Micro's Virus Encyclopedia.…

Dưới ñây là một số file mà virus thường hay giả danh

c:\windows\system32 hoặc bất cứ nơi ñâu khác

“taskmngr.exe” lưu ý là virus rất hay giả danh, ñổi tên những file hệ thống

không nằm trong bất cứ nơi nào khác

Một số khóa REGEDIT mà VR hay khởi chạy

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Deface Virus

có nhiều nơi mà virus thay thêm vào các ựoạn script và các shortcut khi khởi chạy tiến trình trong start up:

Lưu ý: Một số khoá sau trong registry, giá trị ựúng của nó là Ộ%1%*Ợ Bất cứ chương trình nào mà thêm giá trị này sẽ thực thi các file nhị phân như (.exe, com) vidụ: Ộvirus.exe %1%*Ợ

HKEY_CLASSES_ROOT\exefile\shell\open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

HKEY_CLASSES_ROOT\comfile\shell\open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

HKEY_CLASSES_ROOT\comfile\shell\open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

Cũng kiểm tra tại các nơi sau

Startup folder: kắch vào Start->Programs->Startup, and right click on Startup and select "Open" from

the menu Check every file in this folder and make sure you know what they are These files will startup automatically every time you login to your systems

Windows Scheduler - kiểm tra nếu bất kỳ chương trình xem nó ựược ựặt chạy vào những lúc nào đôi

khi các virus thường sử dụng scheduler như một cách ựể cho chương trình thực thi nằm trong

c:\windows\task

Kiểm tra các file:

Win.ini (load=Trojan.exe or run=Trojan.exe) (cho win98)

System.ini (Shell=Explorer.exe trojan.exe) (cho win98)

Autoexec.bat Ờ Tìm xem những file nào ựựơc thêm vào, có thể theo các ựuôi mở rộng : exe, scr, pif,

.com, bat

Config.sys Ờ Tìm xem nhưng file nào ựược thêm vào

b Cách nhận biết và phát hiện Rootkit

- Tìm kiếm những tiến trình không xác ựịnh

- Kiểm tra các cổng mở(netstat, tcpview)

- Dựa trên chữ ký ựể tìm kiếm rootkits, virus, backdoors ựã biết, tìm kiếm các Ộphần ựộc hại, các từ như kill, dieẦỢ sống trong bộ nhớ(memory)

- Có hai cách chắnh ựể phát hiện một rootkit trên máy bị nhiễm: quét và theo dõi các sự kiện Kĩ thuật quét sử dụng phương pháp so sánh cách nhìn của hệ thống sử dụng các công cụ mức người dùng với cách nhìn từ bên trong lõi HđH Nếu có dấu hiệu che giấu nào, thành phần ựó phải hiện lên bên trong lõi chứ không phải ở màn hình người dùng Gần ựây ựã có khá nhiều chương trình có thể ựảm nhiệm chức năng quét này

- Về mặt lý thuyết thì phương pháp này là rất tốt Ờ rootkit giấu các tài nguyên hệ thống, vậy cách tốt nhất

ựể phát hiện rootkit là tìm kiếm những gì bị che giấu Tuy nhiên vẫn có một vài nhược ựiểm Nhược ựiểm ựầu tiên là nếu bản thân HđH ựã có lỗi thì việc quét cũng có thể bị chắnh rootkit qua mặt Khả năng xảy ra nguy cơ này phụ thuộc vào cụ thể quá trình quét và bản thân rootkit ựược thực thi như thế nào Thường thì lõi HđH Windows không ựược mô tả công khai cho nên rất khó ựảm bảo tiến trình quét

Deface Virus

ñạt kết quả chính xác Hơn nữa, rootkit có thể tránh bị phát hiện bằng cách che giấu tất cả các tiến trình ngoại trừ chính tiến trình phát hiện rootkit

- Một cách khác là sử dụng một hệ thống hoạt ñộng dựa trên các sự kiện liên tục theo dõi ñể có thể nắm ñược rootkit vào thời ñiểm nó tiến hành tác vụ cài ñặt Những chương trình như thế thường ñược gọi là

hệ thống chống xâm nhập (IPS) Việc theo dõi từ phía HðH là rất cần thiết Các hệ thống IPS theo dõi ở mức người dùng thực ra cũng vẫn có thể bị rootkit tấn công như chính những chương trình khác của người dùng

- Những hệ thống này có thể phát hiện và khóa những tác vụ nạp các module của HðH Tuy nhiên việc khóa hết các module lại là một ñiều phi thực tế - nhiều chương trình hợp lệ khác cũng sẽ tiến hành cài ñặt các module lõi Ví dụ, một số trình diệt virus sử dụng các module lõi ñể thực hiện tác vụ quét theo yêu cầu

- Vẫn có thể ñưa ra một giải pháp hay hơn là tính thêm khả năng cân nhắc liệu việc nạp một module có phải là xấu hay không bằng cách xem xét các thuộc tính khác của bộ cài ñặt cùng những chương trình liên quan Trong khi một rootkit và một trình duyệt virus có thể có chung một số tác vụ (như cài ñặt một module lõi) thì phần lớn những ñặc tính khác của chúng lại hoàn toàn không giống nhau

- Ví dụ, một rootkit có thể cố gắng “lánh mặt” bằng cách không tạo ra cửa sổ trực quan, trong khi một trình diệt virus lại muốn cho người dùng biết sự hiện diện của chương trình Trình rootkit cũng có thể cài một keylogger (bắt bàn phím và gửi thông tin tới một người dùng khác) còn một chương trình diệt virus thì hoàn toàn không làm thế Bằng cách tổng hợp các ñặc tính hành ñộng khác nhau (ñược lựa chọn cẩn thận ñể có thể bắt ñược những thao tác chung liên quan tới phần mềm mục ñích xấu), việc phát hiện những chương trình rootkit là hoàn toàn có thể thực hiện ñược với ñộ tin tưởng cao Thực tế,

phương pháp này có tên “ñánh giá qua hành ñộng” và có thể ñược áp dụng rộng rãi ñể phát hiện những lớp mã mục ñích xấu như Trojan hay phần mềm gián ñiệp

- Vì dựa trên nguyên lý ñánh giá, tích lũy kinh nghiệm, hệ thống kiểu này có thể vẫn mắc lỗi (coi những chương trình bình thường là phần mềm xấu) Cách giải quyết ñơn giản với vấn ñề này là cần phải có danh sách cấm cho những lỗi chung thường gặp

(phần này kAmIkAzE (http://www.hedspi.net/diendan/) viết)

5 Làm thể nào ñể tự bảo vệ bản thân

- Tạo một bản sao cho những file thường xuyên sử dụng của bạn, sau khi ñã ñược quét sạch với một chương trình antivirus

- Cập nhật chương trình antivirus mới nhất ngay khi có thể

- Cập nhật các trình duyệt web mới nhấtt khi có thể

- Cập nhật các chương trình ñọc thư mới nhất phía máy trạm ngay khi có thể

- Cập nhật chương trình Acrobat Reader mới nhất (nếu bạn sử dụng nó)

- Cập nhật chương trình Office

- Quét mọi file khi bạn tải từ mạng về

- Nếu bạn sử dụng chát qua IRC bạn phải vô hiệu hóa tùy chọn tự ñộng truy nhập tới các file

- Không cắm USB từ các nguồn không ñáng tin cậy Hoặc khi cắm USB vào bạn phải disable chức năng

tự ñộng chạy trong từ USB ñi Xem thêm ở mấy link sau

http://support.microsoft.com/kb/126025

http://antivirus.about.com/od/securitytips/ht/autorun.htm

http://nick.brown.free.fr/blog/2007/10/memory-stick-worms

http://blogs.computerworld.com/the_best_way_to_disable_autorun_to_be_protected_from_infected_usb _flash_drives

- Khi máy tính bạn ñang hoạt ñộng hay ñể chương trình virus chạy ñể theo dõi các chương trình chạy, và

sự xâm nhập, thực thi của một chương trình nào ñó

- Không truy cập vào các trang web ñược gửi từ những người lạ Nó có thể chứa một ñoạn mã thực thi làm hỏng, lỗi hệ thống máy tính của bạn Nếu bạn muốn xem trang web ñó bạn có thể copy ñường link rồi vào trang này ñể kiểm tra link ñó

Deface Virus

http://linkscanner.explabs.com/linkscanner/default.aspx

- Tại thời ñiểm hiện nay bạn nên dùng một trình duyệt thứ 3 ngoài Internet Explorer như Firefox, Opera, Google Chrome…Vì hiện tại IE bị tấn công nhiều nhất sau ñó ñến Firefox và các trình duyệt khác (mình hay dùng Opera :D)

- Vô hiệu hóa chức năng thực thi của java hoặc các script active-x trong trình duyệt của bạn Khi nào cần thì cho phép lại

- Hiện ẩn các phần ñuôi mở rộng ñể biết ñược ñịnh dạng file ñó là gì(vào Folder Options
view
bỏ tích Hide extensions for know files) Vì nếu ai ñó gửi cho bạn một file như là pic.jpg.vbs, bạn có thể

nghĩ rằng file ñó ñịnh dạng là jpg và chạy nó…thế là….ăn “ñạn” ngay :D

- Luôn luôn có một ñĩa boot, ñĩa phục hồi ñể sửa chưa máy tính của bạn trong trường hợp ñã bị lây nhiễm Khi có ñĩa này bạn có thể copy dữ liệu của mình, kiểm tra virus từ ñĩa ñó Bạn sử dụng ñĩa Windows

PE, Hiren’s Boot (từ bản 9.7 là có winxp mini chạy và có thể thực thi việc copy và diệt virus bằng tay) Hoặc bạn sử dụng các ñĩa cứu hộ virus của các hãng bảo mật ñể cứu

http://www.raymond.cc/blog/archives/2008/12/11/13-antivirus-rescue-cds-software-compared-in-search-for-the-best-rescue-disk/

- Bạn dùng chỉ một chương trình diệt virus và cập nhật nó thường xuyên, khi bạn sử dụng một phần mềm diệt virus sẽ quen với cách dùng ñó và chức năng diệt virus của các phần mềm diệt cũng có một số yếu

tố chung nhất Tự mình là một công cụ diệt hay hơn :>)

Dưới ñây là danh sách một số phần mềm hàng ñầu về diệt virus (nếu bạn trả tiền mua)

F-Secure (http://www.f-secure.com/en_EMEA/)

BitDefender (http://www.bitdefender.com/)

Kaspersky (http://www.kaspersky.com/)

McAfee (http://www.mcafee.com/)

Symantec (http://www.symantec.com/)

Panda (http://www.pandasecurity.com/)

Còn ñây là danh sách phần mềm diệt virus miễn phí

AVG Free Edition (http://free.avg.com/)

Avast Home Edition (http://www.avast.com/eng/download-avast-home.html)

Antivir Personal Edition (http://www.free-av.com/)

Rising Antivirus Free Edition (http://www.freerav.com/)

ClamWin Free Antivirus (http://www.clamwin.com/)

A-Squared Free (http://www.emsisoft.com/en/software/free/)

Phần mềm của Việt Nam có

BKAV - http://www.bkav.com.vn/

(có bản Home miễn phí cho người dùng ở nhà, và bản thương mại dùng cho doanh nghiệp)

CMC Antivirus - http://cmcinfosec.com/index.php

(cũng có bản free và bản thương mại)

- Cập nhật các bản vá lỗi cho windows

http://www.microsoft.com/technet/security/current.aspx

Hoặc bạn có thể dùng tool Rising PC doctor ñể vá phần nào ñó lỗi

http://www.rising-global.com/Download/Rising-Free-Utilities/Rising-PC-Doctor.html

Cài ñặt ra
chọn Leaks
Vulnerabilities found
Details
tích vào ô Select all
Chọn Fix

Vulnerabilities

Deface Virus

6 Sử dụng câu lệnh CMD ñể phát hiện VR

- Các file ẩn có ñuôi (*.exe, *.dll, *.bat, *.txt, *.vbs, *.js, *.reg, *.cmd, *.com, *.pif, *.lnk, *.wsh) nằm trong ổ hệ thống (thường là ổ C) C:\windows, c:\windows\system32, c:\windows\system,

c:\windows\system\drivers… (mặc ñịnh của windows thì không có những file ñó ẩn) mà ko phải do người

dùng ẩn ñi thì ñều là virus hoặc chương trình ñộc hại Khi muốn kiểm tra các thuộc tính ẩn nên kiểm tra ở các thư mục windows, system32, system, drivers, tasks trong ổ C:\

- VR xu hướng bây giờ thường chạy cùng một lúc nhiều tiến trình

a) Câu lệnh hiển thị file

- DIR

+ Lệnh Dir /ah ñể xem tất cả các file ẩn

+ Lệnh Dir /ah /s ñể xem tất cả các file ẩn ở thư mục ñấy và các thư mục con của nó

+ Lệnh Dir /ah /b xem các file ẩn sắp xếp theo hàng

+ Lệnh Dir /ah *.exe là chỉ xem những file ẩn có ñuôi *.exe

Muốn xem nhiều ñịnh dạng file ta thêm dấu “,” vd: “DIR /ah *.exe, *.dll, *.bat”

+ Lệnh Dir /ah /s *.dll là xem tất cả các file ẩn có ñuôi *.dll ở thư mục ñó và thư mục con của nó

Vd ta ñang ở C:\windows\system32:

c:\windows\dir /ah /s *.dll  chỉ hiện thị những file ẩn dạng *.dll

Deface Virus

Như hình này ñã sử dụng câu lệnh “dir /ah”, “dir /ah /b”, “dir /ah /b /s *.exe, *.dll”

b) Câu lệnh xem tiến trình ñang chạy

- TASKLIST

+ Xem có dịch vụ nào ñang chạy cùng tiến trình ñó

Tasklist /svc

Lọc riêng một tiến trình xem có dịch vụ nào ñang chạy cùng nó

Tasklist /svc /fi “imagename eq explorer.exe”

+ Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra ñịnh dạng csv: hiển thị bao gồm

"Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU

Time","Window Title"

Tasklist /v /fi "pid gt 2000" /fo csv

In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt

+ ðể hiển thị các tiến trình với trạng thái ñang chạy với các username mặc ñịnh với các username:

system, network service, local service, administrator Còn nếu bạn ñang chạy trong user nào thì hiện thị với tên user ñó

Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running"

Lệnh rút gọn:

Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running"

Deface Virus

Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running”

Tasklist /fi “username ne system” /f “status eq running”  lệnh này hiển thị trạng thái ñang chạy với username ko phải là system

Tasklist /v /fi "STATUS eq running"  xem chỉ những tiến trình ñang chạy

+ Hiển thị các file DLL chạy cùng tiến trình

Tasklist /m

Tasklist /m wbem* Lọc những tiến trình chạy có các file *.dll với ñầu ngữ wbem

Tasklist /fi “modules eq ntdll*”  lệnh này chỉ lọc các file dll với ñầu ngữ ntdll

Tasklist /fi “modules eq dnsq.dll”  chỉ hiện tiến trình chạy có dnsq.dll (con dashfer)

- WMIC

+ Hiển thị tiến trình

wmic process list

wmic process list brief

wmic process list full

wmic process list brief /every:10  cứ 10s lại cập nhật 1 lần (CTRL+C to end)

wmic process list brief | find "cmd.exe"  chỉ tìm với cmd.exe

+ Hiển thị các tiến trình ko nằm trong thư mục %windows%

wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath

+ Hiển thị các chương trình khi khởi ñộng

Wmic startup list brief