Thế giới đang chứng kiến sự phát triển như vũ bão của Công Nghệ Thông tin, Công nghệ máytính và đặc biệt là mạng Internet, các dịch vụ Internet ngày càng phát triển và lớn mạnh, xâm nhập
Trang 1I TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI II.
Bài tập lớn môn:
MỘT SỐ VẤN ĐỀ XÃ HỘI CỦA CNTT
V Đề tài:
TỘI ÁC TRONG TIN HỌC
Giảng viên hướng dẫn: Nguyễn Thị Lụa
Thầy Trần Doãn Vinh
Nhóm sinh viên:
Phạm Thu Hương Trịnh Thị Thu Hương
Đỗ Thị Liên
Lớp : K54C
Trang 2Hà nội Tháng 10/14
MỤC LỤC
Lời giới thiệu……… trang 2
I Khái niệm tội ác trong tin học……… trang 2
II Các loại hình tội phạm tin học……… trang 3
V Thực trạng an ninh mạng ở Việt Nam ……… …… trang 29
1 An ninh mạng Việt Nam năm 2006……… ………trang 29
2 An ninh mạng Việt Nam năm 2007 ……… trang 30
3 Xu hướng an ninh mạng dến năm 2010……… trang 33
Trang 3 Lời giới thiệu
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là mạngInternet ngày càng phát triển đa dạng và phong phú Các dịch vụ trên mạng Internet đã xâm nhập vàohầu hết các lĩnh vực trong đời sống xã hội Các thông tin trao đổi trên Internet cũng đa dạng cả về nộidung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tincậy của nó
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị cao, yêu cầu phải đảm bảo tính ổn định
và an toàn cao Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn
“Siêu xa lộ thông tin không phải là đường cao tốc để chuyển tải tội ác Ngăn chặn tội ác trênInternet sẽ là điều chúng ta cần quan tâm Có khi chủ quan, quá tin vào công nghệ và sự lơ là trong quản
lý là điểm yếu khiến hệ thống mạng ở Việt Nam thường không đứng vững trước tin tặc.Đây là vấn đềquan tâm chung của các quốc gia phát triển và đang phát triển
Dù đi tiên phong trong nghiệp vụ chống tội phạm máy tính, các chuyên gia của FBI vẫn tỏ ra dèdặt trước kết quả đã đạt được trong chiến dịch Operation Cyber Sweep cũng như triển vọng hợp tácchống tội phạm tin học toàn thế giới John McCabe - một thành viên thuộc đội đặc nhiệm của FBI tạiMinneapollis, cho biết: “Điều tra tội ác trên mạng là điều hết sức khó khăn Tuy nhiên vẫn có thể hyvọng Dù ranh ma, song tội phạm tin học vẫn để lại những dấu tay điện tử trên không gian ảo Nhờnhững dấu vết này mà chúng tôi tìm ra chúng”
Cảnh sát quốc tế đã lập nhiều nhóm an ninh mạng, phối hợp với đội ngũ chuyên gia mạng đểchống các hình thức tội phạm trong thế giới mạng Các nhóm này phối hợp theo khu vực Mỹ , Âu, Phi
và châu Á- Thái Binh Dương Mỗi nhóm bao gồm những người đứng đầu đội đặc nhiệm chống tội ác tinhọc (Information Technology Crime Unit – ITCU) của một quốc gia Tuy các đội đặc nhiệm ITCU củatừng quốc gia có nhiều khác biệt, nhưng Interpol vẫn liên tục tổ chức trao đổi thông tin, chia sẻ kinhnghiệm, cập nhật tình hình tội phạm và huấn luyện các kỹ năng tin học cần thiết, để các nhóm chiến đấuvới tội phạm tin học và chiến thắng thế giới ngầm trên Internet Nhóm phối hợp châu Á-Thái BìnhDương của cảnh sát quốc tế hình thành từ năm 1998 và Việt Nam trở thành thành viên từ năm 2002
Chống tội phạm tin học đã trở thành cuộc chiến có quy mô toàn cầu Hôm 19-9, tại Singapore,đại diện 10 nước thành viên ASEAN đã ra thông cáo chung về việc chia sẻ thông tin liên quan đến anninh máy tính trong năm tới và dự kiến sẽ hoàn tất việc thiết lập những đội đặc nhiệm chống tội phạmtrên mạng vào năm 2005
Các đội đặc nhiệm này sẽ chia sẻ những thông tin liên quan đến hacker, các loại sâu và virus máytính, đồng thời hợp tác chống lại những hình thức tội ác mới trên mạng Bước đầu tiên, một hiệp địnhkhung về chia sẻ thông tin có thể sẽ được thông qua vào năm tới
Trang 4Trong thế giới công nghệ, xuất hiện nhiều loại hình tội ác Ở đây chúng tôi chỉ đề cập đến loại
hình tấn công phổ biến nhất là virus máy tính Có rất nhiều cách tấn công, càn quét thế giới mạng
I Khái niệm “tội ác” trong tin học.
Thế giới đang chứng kiến sự phát triển như vũ bão của Công Nghệ Thông tin, Công nghệ máytính và đặc biệt là mạng Internet, các dịch vụ Internet ngày càng phát triển và lớn mạnh, xâm nhập hầuhết các lĩnh vực trong đời sống xã hội: kinh tế, xã hội, chính trị đời sống, nó trở thành điều tất yếu khôngthể thiếu như miếng ăn giấc ngủ của con người Thời gian làm việc của con người với mạng máy tínhcàng ngày càng nhiều hơn, người ta trao đổi, tin tức công việc thường xuyên trên mạng Internet manglại cho người ta lợi ích về thời gian, kinh tế…
Dịch vụ mạng Internet ngày càng có giá trị cao vì vậy yêu cầu phải đảm bảo tính ổn định và antoàn cao Bên cạnh đó là những hình thức phá hoại mạng cũng trở lên tinh vi và phức tạp hơn
Các loại hình tội phạm tin học
1.Virus.
Trong khoa học máy tính, virus máy tính còn gọi là virus máy tính là một loại chương trình máytính được thiết kế để tự nhân bản và sao chép chính nó vào các chương trình khác (truyền nhiễm tính)của máy tính Virus có thể rất nguy hiểm và có nhiều hiệu ứng tai hại như là làm cho một chương trìnhkhông hoạt động đúng hay huỷ hoại bộ nhớ của máy tính (độc tính)
Có loại virus chỉ làm thay đổi nhẹ màn hình nhằm mụch đích "đùa giỡn" nhưng cũng có thứ tiêuhuỷ toàn bộ dữ liệu trên các ổ đĩa mà nó tìm thấy Một số loại virus khác lại còn có khả năng nằm chờcho đến đúng ngày giờ đã định mới phát tán các hiệu ứng tai hại Hầu hết các loại virus được phát triểnchỉ nhắm tấn công vào các hệ điều hành Windows vì thứ nhất thị phần của các hệ điều hành này lên đếnkhoảng 90%, và thứ hai là hệ điều hành Windows không an toàn như các hệ điều hành dựa trên nhânLinux
Tuỳ theo chức năng hay phạm vi hoạt động, người ta có nhiều cách phân loại virus:
Virus lan truyền qua thư điện tử
Virus lan truyền qua Internet
Các virus cổ điển
Các khái niệm có liên quan
1.1 Virus lan truyền qua thư điện tử:
Đại đa số các virus ngày nay thuộc vào lớp này Lí do là virus có thể tự tìm ra danh sách các địachỉ thư điện tử và tự nó gửi đi hàng loạt (mass mail) để gây hại hàng triệu máy tính, làm tê liệt nhiều cơquan trên toàn thế giới trong một thời gian vô cùng ngắn
Một nhược điểm của loại virus này khiến chúng ta có thể loại bỏ nó dễ dàng là nó phải được gửi
dưới dạng đính kèm theo thư điện tử (attached mail) Do đó ngưòi dùng thường không bị nhiễm virus
cho tới khi nào tệp virus đính kèm được mở ra (do đặc diểm này các virus thường được "trá hình" bởicác tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)
Nhược điểm thứ nhì của loại virus này là nó phải là tệp mệnh lệnh tự thi hành (self executable
file) Trong hệ thống Windows có một số kiểu tệp có khả năng này, chúng bao gồm các tệp có đuôi
Trang 5(extension) là exe, com, js, bat, và các loại script (Lưu ý, chữ "mệnh lệnh tự thi hành" là để phân
biệt với các tệp mệnh lệnh phải được gọi qua một chưong trình trung gian như dll, vxd.)
Trước đây, để tìm bắt các tay tin tặc chuyên phát tán virus thì FBI hay Interpol thường dựa vàodanh mục người gửi để truy ngược về người phát tán virus đầu tiên mà bắt giữ
Tuy nhiên, loại virus này không phải là không có ưu điểm Thứ nhất, nó có thể lợi dung khuyếtđiểm làm tròn dung lượng hiển thị của hệ thống (Ví dụ: 2,01K thành 2K) để ẩn những con virus Dunglượng nhỏ khi gửi Thứ hai, nó có thể giấu một phần của tệp tin gửi và hiển thị đuôi file và chỉ cần ngườidùng liên kết đến file đó là bị dính virus
Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm:
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấncông
bat: Microsoft Batch File
chm: Compressed HTML Help File
cmd: Command file for Windows NT
com: Command file (program
cpl: Control Panel extension
doc: Microsoft World
exe: Executable File
msi: Microsoft Installer File
pif: Program Information File
reg: Registry File
scr: Screen Saver (Portable Executable File)
sct: Windows Script Component
shb: Document Shortcut File
shs: Shell Scrap Object
vb: Visual Basic File
vbe: Visual Basic Encoded Script File
vbs: Visual Basic File
wsc: Windows Script Component
Trang 6 wsf: Windows Script File
wsh: Windows Script Host File
{*}: Class ID (CLSID) File ExtensionsNgày nay đã có rất nhiều loại virus mới tự bản thân chúng có thể "ăn cắp" tên và địa chỉ thư điện
tử của các chủ hộp thư khác để mạo danh mà gửi các đính kèm tới các địa chỉ chứa trong các hộp thưcủa họ
Do đó, ngay cả các thư điện tử có địa chỉ gửi từ người thân quen cũng không chắc là không
chứa các đính kèm có thể là virus Nạn nhân điển hình của việc lan truyền virus kiểu này thường từ các
hộp thư điện tử miễn phí vì các hộp thư này thường không cung cấp đầy đủ các dịch vụ bảo vệ tối đacho thân chủ
Dựa vào đó, một lời khuyên tốt nhất là đừng bao giờ mở các tệp mệnh lệnh mới qua thư điện tửtrừ khi biết rõ 100% là chúng không chứa virus
Lưu ý:
Trong các chương trình hộp thư loại cũ (Outlook 95 chẳng hạn) hệ điều hành, bởi mặc định, sẽkhông hiển thị đuôi của các tệp đính kèm qua thư điện tử nên cần phải cài đặt lại để tránh lầm tưởng mộttệp có đuôi là txt.exe thành đuôi txt (vì khi đó hệ điều hành tự động dấu đi cái đuôi exe) Thay vì nhìnthấy tên tệp là "love.txt.exe" thì người đọc chỉ nhìn thấy "love.txt" và lầm rằng đó chỉ là tệp kí tựthường, nhưng kì thực nó là virus Love
II.1.2 Virus lan truyền qua Internet
Khác với loại lan truyền qua thư điện tử, virus loại này thường ẩn mình trong các chương trình
lưu hành lậu (illegal) hay các chương trình miễn phí (freeware, shareware) Thật ra không phải chương
trình lậu hay chương trình miễn phí nào cũng có virus nhưng một số tay hắc đạo lợi dụng tâm lý "tham
đồ rẻ" để nhét virus vào đấy
Loại này thường hay nằm dưới dạng exe và nhiều khi được gói trong zip
Các hệ điều hành mới ngày nay có khả năng tự khởi động và cài đặt một phần mềm ngay sau khitải về máy Tính năng này rất tiện lợi nhưng cũng vô cùng tai hại nếu nhỡ chương trình tải về có chứavirus thì rõ ràng người tải về đã "cõng rắn cắn máy nhà"
Lời khuyên:
Đừng bao giờ cho phép (đồng ý nhấn nút OK mà không cần biết mình đã làm gì!!!) mở tệp tin
ngay lập tức sau khi tải về mà trước nhất phải kiểm qua virus
1.2 Các virus cổ điển:
Virus đầu tiên là phát minh của một thiếu niên ở Anh Nó chỉ truyền được qua đường mạng vàcác thiết bị chứa dữ liệu như đĩa mềm do kết quả của việc sử dụng chung đĩa mềm, CD ROM, đĩaZIP/ZAP hay băng từ Virus nổi tiếng trong lich sử máy tính của loại này là virus Stealth Nó có khảnăng thay đổi ngay cả chức năng của BIOS Ngày nay, Stealth vẫn còn nhưng đã được biến dạng thànhmột trong hai loại kể trên
1.3 Các khái niệm có liên quan:
Sâu máy tính (worm): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua
hệ thống mạng (thường là qua hệ thống thư điện tử) Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên
Trang 7máy bị nhiễm, nhiệm vụ chính của worm là phá các mạng (network) thông tin, làm giảm khả năng
hoạt động hay ngay cả hủy hoại các mạng này Nhiều nhà phân tích cho rằng worm khác với virus,
họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988 Nó có thể làm hỏng bất kì hệđiều hành UNIX nào trên Internet Tuy vậy, có lẽ worm tồn tại lâu nhất là virus happy99, hay các thế hệsau đó của nó có tên là Trojan Các worm này sẽ thay đổi nội dung tệp wsok32.dll của Windows và tựgửi bản sao của chính chúng đi đến các địa chỉ cho mỗi lần gửi điện thư hay message
Phần mềm ác tính (malware): (chữ ghép của maliciuos và software) chỉ chung các phầnmềm có tính năng gây hại như virus, worm và Trojan horse
Trojan Horse : đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó
không tự nhân bản ra Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền Để trừ loại nàyngười chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong Tuy nhiên, không có nghĩa làkhông thể có hai con Trojan horse trên cùng một hệ thống Chính những kẻ tạo ra các phần mềm này sẽ
sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng Đây cũng làloại virus cực kỳ nguy hiểm Nó có thể hủy ổ cứng, hủy dữ liệu
Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào
hệ điều hành mà không để lại "di chứng" Thường một số chương trình diệt virus có kèm trình diệtspyware nhưng diệt khá kém đối với các đợt "dịch"
Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong các
chương trình cài đặt tải từ trên mạng Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thôngtin kịt màn hình, cưỡng chế người sử dụng
Botnet : Trước đây, loại này thường dùng để nhắm vào các hệ thống điều khiển máy tính
từ xa, nhưng hiện giờ lại nhắm vào người dùng
Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ thuật lập trình
cao Nó được rao bán với giá từ 20USD trở lên cho các hacker Hậu quả của nó để lại không nhỏ: mất tàikhoản Nếu liên kết với một hệ thống máy tính lớn, nó có thể tống tiền cả một doanh nghiệp
Nhóm của Sites ở Sunbelt cùng với đội phản ứng nhanh của công ty bảo mật iDefense Labs đãtìm ra một botnet chạy trên nền web có tên là Metaphisher Thay cho cách sử dụng dòng lệnh, tin tặc cóthể sử dụng giao diện đồ họa, các biểu tượng có thể thay đổi theo ý thích, chỉ việc dịch con trỏ, nhấnchuột và tấn công
Theo iDefense Labs, các bot do Metaphisher điều khiển đã lây nhiễm hơn 1 triệu PC trên toàn
cầu Thậm chí trình điều khiển còn mã hóa liên lạc giữa nó và bot "đàn em" và chuyển đi mọi thông tin
về các PC bị nhiễm cho người chủ bot như vị trí địa lý, các bản vá bảo mật của Windows và những trìnhduyệt đang chạy trên mỗi PC
Những công cụ tạo bot và điều khiển dễ dùng trên góp phần làm tăng vọt số PC bị nhiễm botđược phát hiện trong thời gian gần đây Thí dụ, Jeanson James Ancheta, 21 tuổi, người Mỹ ở bangCalifornia, bị tuyên án 57 tháng tù vì đã vận hành một doanh nghiệp "đen" thu lợi bất chính dựa vào cácbotnet điều khiển 400.000 "thành viên" và 3 tay điều khiển bot bị bắt ở Hà Lan mùa thu năm trước chính
là trung tâm "đầu não" điều khiển hơn 1,5 triệu PC!
Mặc dù đã có luật để bắt những tội phạm kiểu này, nhưng do dễ dàng có được những công cụphá hoại nên luôn có thêm người mới gia nhập hàng ngũ hacker vì tiền hay vì tò mò
Trang 8 Keylogger : là phần mềm ghi lại chuỗi phím gõ của người dùng Nó có thể hữu ích cho
việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việccủa nhân viên văn phòng Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ,cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị anninh Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể
sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa
Phishing : là một hoạt động phạm tội dùng các kỹ thuật lừa đảo Kẻ lừa đảo cố gắng lừa
lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là mộtngười hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử Phishing thường được thực hiệnbằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại
Rootki t : là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang
chạy, các file hoặc dữ liệu hệ thống Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng nhữngnăm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệthống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện Người ta đã biết đến cácrootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số phiên bản củaMicrosoft Windows Các rootkit thường sửa đổi một số phần của hệ điều hành hoặc tự cài đặt chúngthành các driver hay các môdule trong nhân hệ điều hành (kernel module)
Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất hiện vào tháng 11năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứng dụng của Sony Phần mềm của Sonygiấu bất kỳ file hay tiến trình bắt đầu với "$sys$", những kẻ viết phần mềm độc hại đã đổi tên file để lợidụng đặc điểm này
May mắn là kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làm chậm hệ thống vàlàm thay đổi những file nhất định Hiện giờ, loại siêu rootkit này chỉ mới ở dạng ý tưởng, cần nhiều thờigian trước khi tin tặc có thể thực hiện phương thức tấn công này
Phần mềm tống tiền (Ransomware): là loại phần mềm ác tính sử dụng một hệ thống mật
mã hóa yếu (phá được) để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.
Cửa hậu (Backdoor): trong một hệ thống máy tính, cửa hậu là một phương pháp vượt
qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính,trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường Cửa hậu có thể có hình thức mộtchương trình được cài đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit được cài đặt khimột đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một máy tính chạy Windows),hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với Trojan
Virus lây qua passport : Loại virus này lây qua các thẻ RFID cá nhân để thay đổi nội
dung của thẻ, buộc tội người dùng và có thể ăn cắp passport Vì sóng RFID không lây qua kim loại nênkhi không cần dùng, bạn nên để trong hộp kim loại
Virus điện thoại di động : chỉ riêng hệ thống PC đã đủ làm người dùng đau đầu, nay lại
có virus điện thoại di động Loại này thường lây qua tin nhắn Một vài virus ĐTDĐ cũng đánh sập HĐH
và làm hỏng thiết bị Một số khác chỉ gây khó chịu như thay đổi các biểu tượng làm thiết bị trở nên khó
sử dụng Một số ít còn nhằm vào tiền Ví dụ, một Trojan lây lan các điện thoại ở Nga gửi tin nhắn tới
những dịch vụ tính tiền người gửi.
II.1.4 Một vài ví dụ cụ thể :
a Cách diệt sâu W32.Killaut.A
Trang 9Phát hiện: September 12, 2007 Cập nhật: September 12, 2007 5:45:49 PM
Kiểu: Worm
Có kick thước khoảng : 264,088 bytes Những hệ thống bị ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me,Windows NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau :
• %UserProfile%\My Documents\[CURRENT USER ACCOUNT].exe
%UserProfile%\My Documents\[FolderName].exe Sau đó nó sẽ tìm kiếm tất cả các ổ đĩa cứng khởi tạo và đặ thuộc tính cho tất cả các folder
70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00
79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E
00 65 00 78 00 65 00 00 00 00"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Shell" "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00
• HKEY_CURRENT_USER\Control Panel\don't load\"appwiz.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USER\Control Panel\don't load\"Services.cpl" = "6E 00 6F 00 00 00 00"
• HKEY_CURRENT_USER\Control Panel\don't load\"Startup.cpl" = "6E 00 6F 00 00 00 00"
Trang 10•HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Infodelivery\
Restrictions\"{default}" = "00 00 C3"
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\"(default)" = "74 00 78 00 74 00 66 00 69 00 6C 00 65 00 00 00 05"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69
00 64 00 64 00 65 00 6E 00 00 00 03"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\"(default)" = "00 00 C3"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 5C 00 73
00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00 6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00
Trang 11hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhậptới những dịch vụ ứng dụng mạng
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ
co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS (thí dụ: Tất cả các máy tínhtrên Windows cần phải có các dịch vụ hiện thời được cài đặt) Đồng thời, hãy áp dụng bất kỳ những sựcập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trênmáy tính
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sửdụng đuôi: (.vbs, bat, exe, pif and scr)
- Cô lập những máy tính bị lây lan nhanh Thực hiện một sự phân tích khôi phục những máy tính
sử dụng phương tiện truy nhập thông tin được tin cậy
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
Trang 121 Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2 Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3 Chạy và quét toàn bộ hệ thống
a Khởi động chương trình Symatec của bạn và cho quét tất cả các files
b Chạy một hệ thống đầy đủ và quét
1 Click Start > Run
2 Type regedit
3 Click OK
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons\"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00
70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00
79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Shell" "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 003A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00
HKEY_CURRENT_USER\Control Panel\don't load\"appwiz.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USER\Control Panel\don't load\"Services.cpl" = "6E 00 6F 00 00 00 00"
HKEY_CURRENT_USER\Control Panel\don't load\"Startup.cpl" = "6E 00 6F 00 00 00 00"
Trang 13HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00
69 00 64 00 64 00 65 00 6E 00 00 00 03"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\"(default)" = "00 00 C3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 5C 00
73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00 6E 00 69 00
74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\"AlternateShell" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00
33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\"AlternateShell" = "63
00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79
00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\"Hidden" = "0x00000002"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Trang 14Kiểu: Trojan
Có kick thước khoảng : 61,440 bytes
Những hệ thống bị ảnh hưởng: Windows
2000, Windows 95, Windows 98, Windows Me, Windows
NT, Windows Server 2003, Windows Vista, Windows XP
Khi nhiễm Trojan sẽ gây ra một số hoạt động sau :
Nó sẽ khởi tạo vào computer một file có biểu tượng của Microsoft Word icon:
[JAPANESE CHARACTERS].exe khi nào nhiễm nó sẽ thay thế tất cả các file thành [ORIGINAL FILE NAME].doc
Trên những file đó khi mở ra chỉ hiển thih tiếng nhật Tiếp theo nó sẽ khởi tạo những file sau
hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tớinhững dịch vụ ứng dụng mạng
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ
co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS (thí dụ: Tất cả các máy tínhtrên Windows cần phải có các dịch vụ hiện thời được cài đặt) Đồng thời, hãy áp dụng bất kỳ những sựcập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trênmáy tính
Trang 15- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sửdụng đuôi: (.vbs, bat, exe, pif and scr).
- Cô lập những máy tính bị lây lan nhanh Thực hiện một sự phân tích khôi phục những máy tính
sử dụng phương tiện truy nhập thông tin được tin cậy
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt:
1 Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2 Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3 Chạy và quét toàn bộ hệ thống
a Khởi động chương trình Symatec của bạn và cho quét tất cả các files
b Chạy một hệ thống đầy đủ và quét
c Spam đính kèm tệp PDF nối gót thư rác ảnh:
(Cập nhật ngày 2/8/2007)
Một trong những mánh khóe mới nhất của giới spammer là sử dụng địnhdạng PDF để xâm nhập vào các hòm thư do bộ lọc e-mail không thể đọc được nộidung bên trong
Thư rác ảnh:(file ảnh có đuôi gif hoặc jpeg với nội dung khuyến mại đượcchèn ngay trong phần nội dung) được những kẻ phát tán spam sử dụng hơn mộtnăm qua và đã rất thành công Nhưng khi các công cụ bảo mật được nâng cấp đểđối phó với tình trạng này, spammer lại tiếp tục chơi trò "mèo vờn chuột" và cáchđây 2 tháng, chúng tung ra một thủ thuật mới
Đính kèm file PDF là bước đi khôn ngoan vì người sử dụng vẫn nghĩ thôngđiệp quảng cáo sẽ phải hiện ra ngay trong phần nội dung của e-mail Hơn nữa, định dạng PDF hiện phổbiến trong giao dịch, do đó người nhận cần mở file do lo ngại bỏ lỡ thông tin quan trọng Theo hãng bảomật Symantec (Mỹ), PDF spam chiếm 8% tổng lượng thư rác trong tháng 7
Trong khi đó, hãng Sophos của Anh nhận thấy PDF spam bắt đầu xuất hiện trong các chiến dịchthư rác "pump-and-dump" - hình thức "tung hỏa mù" để thao túng giá cổ phiếu của các công ty và nạnnhân mới nhất là hãng kinh doanh sản phẩm không dây Prime Time Group (PTG)
Đầu tuần này, người sử dụng Internet liên tục nhận được e-mail chứa file đính kèm dạng PDFvới nội dung lôi kéo họ mua cổ phiếu của PTG Các nhà đầu tư có thể không nhận ra rằng nhómspammer kia đã nắm trong tay một lượng lớn cổ phiếu với giá rẻ và đang vận động mọi người tham giamua bán để bơm giá cao lên Sau đó, chúng sẽ bán toàn bộ số cổ phiếu đó để kiếm lời (pump and dump).Spammer đã thành công khi lượng thư rác toàn cầu tăng lên 30% chỉ trong một ngày còn giá cổ phiếuPTG cũng tăng tới 60%
Sophos ước tính thư rác "pump-and-dump" hiện chiếm khoảng 25% lượng spam toàn cầu Trongtháng 4, hãng IDC thống kê có khoảng 97 tỷ e-mail được gửi đi mỗi năm, trong đó 40 tỷ là thư rác
d.Virus Ukuran:
Ảnh:
Suremail.
Trang 16"Giữa tháng 7, thấy xuất hiện hiện tượng file dữ liệu FoxPro và SQL của nhiều đơn vị ngành Tàichính, tiền tệ bị phá hỏng Nguyên nhân đều do virus W32.Ukuran.Worm gây ra", Trung tâm BKIS chobiết.
Virus Ukuran có xuất xứ từ Indonesia, khi máy tính bị lây nhiễm, các file dữliệu DBF, LDF, MDF, BAK của FoxPro và SQL sẽ bị ghi đè bởi các dữ liệu rác (những con số ngẫunhiên) Theo thống kê từ hệ thống giám sát của BKIS, đã có khoảng 50.500 máy tính tại Việt Nam bịnhiễm sâu này
"Do tính chất nguy hiểm của loại 'bọ máy tính' này, người sử dụng cần cập nhật ngay phiên bảndiệt virus mới nhất để ngăn chặn kịp thời trước khi chúng xâm nhập, tránh những hậu quả đáng tiếc xảyra", chuyên gia về sâu máy tính của BKIS Vũ Ngọc Sơn khuyến cáo
Trong 30 ngày qua, nhiều người cũng hoang mang vì một hiện tượng tương đối phổ biến là cácthư mục (folder) trên máy bỗng dưng biến mất Rắc rối này là do virus W32.SkyNetY.Worm Cácchuyên gia của BKIS khẳng định thực chất các folder vẫn còn trên máy, không biến mất mà chỉ bị ẩn đi
Nếu gặp phải hiện tượng trên, cần bình tĩnh vì dữ liệu vẫn còn và có thể khôi phục lại được.Danh sách 10 virus lây nhiều nhất trong tháng:
Trang 17Shark 2 là tên phiên bản mới của công cụ tạo "ngựa thành Troy" khá nguy hiểm mà hãng bảo
mật PandaLabs vừa cảnh báo đến người dùng sau khi phân tích hàng loạt diễn đàn hacker trên Internet
Shark 2 được phát triển và cập nhật liên tục, trên mỗi diễn đàn đều có những phiên bản khác
nhau như 2.1, 2.2 hay 2.3.2 Điều nguy hiểm nhất mà Shark 2 có thể làm là hỗ trợ các script kiddies tạo
ra những mã độc mà không cần am tường về kỹ thuật lập trình Giao diện của Shark 2 cũng đơn giản,script kiddies chỉ cần chọn lựa loại mã độc hay trojan với chức năng tương ứng để xuất ra và sử dụng
Các tùy chọn chức năng của Shark 2 khi tạo trojan cũng khá đa dạng Loại trojan được tạo sẽ mở cửa
hậu để dẫn lối cho các cuộc tấn công kế tiếp, cấu hình mã độc để tự động chạy mỗi khi hệ thống của nạn nhân khởi động, hiển thị các thông báo lỗi, thực thi các tập tin tùy ý, làm ngưng trệ các dịch vụ, tác
vụ của hệ thống.
Tất nhiên là ngoài những tùy chọn kể trên thì không thể thiếu các khả năng mà hầu như trojannào cũng có là: chụp màn hình hoạt động, âm thanh, thao tác phím gõ Điều hướng nạn nhân truy cậpvào các website giả mạo (phishing) hoặc tải về thêm các trojan khác, đánh cắp thông tin tài khoản ngânhàng, email Theo các chuyên gia phân tích bảo mật của PandaLabs, sở dĩ Shark 2 nguy hiểm là vìnhững "đứa con" của nó có thể được cấu hình để làm ngưng hoạt động chính bản thân chúng - khi pháthiện có công cụ sửa lỗi Do đó, sẽ rất khó khăn khi cho việc dò tìm chúng trên hệ thống Người dùng Internet ngày càng trở thành miếng mồi ngon cho những hacker hoặc thậm chí là các scriptkiddies sử dụng những công cụ tạo trojan Sau Pinch lại đến Shark 2, chắc chắn sẽ có những phiên bản
kế tiếp hoặc những công cụ mới tạo ra các trojan nguy hiểm hơn Chương trình chống virus liệu có đủ để
đương đầu với các hiểm họa này? Tốt nhất cho một hệ thống vẫn là: chương trình chống virus, rootkit, tường lửa và sử dụng internet với mức độ cảnh giác cao
f Cài phần mềm chơi game tự động 'dễ' dính Trojan:(cập nhật /5/9/2007) ()
Theo Trung tâm BKIS, có tới 102 Trojan đánh cắp mật khẩu game online xuất hiện trong vòng 1tháng qua, nâng tổng số loại mã độc này góp mặt tại Việt Nam lên 258
Khi cài phần mềm chơi game tự động cần tìm hiểu rõnguồn
Ảnh: Hoàng Hà.
Không chỉ ghi lại thao tác bàn phím (keylogger) để lấy cắp mật khẩu, các Trojan này còn lục lọitrong bộ nhớ của máy tính, tìm trò chơi trực tuyến đang chạy và "cuỗm lấy" thông tin tài khoản (game