Tiểu luận môn an toàn thông tin Tìm hiểu về Virus, Worm, Trojan, Zombie

Trong trường hợp phát hiện có các phần mềm độc hại xâm nhập, ngoài việc sử dụng các chương trình diệt virus hiện đang có trên thị trường, việc hiểu biết cơ chế, các đặc điểm phổ biến của

BÁO CÁO ỨNG DỤNG TRUYỀN THÔNG VÀ AN

NINH THÔNG TIN

Tìm hiểu về Virus, Worm, Trojan, Zombie

GV: Th c sỹ Tô Nguy n Nh t Quang ạc sỹ Tô Nguyễn Nhật Quang ễn Nhật Quang ật Quang

Giáo viên : Tô Nguyễn Nhật Quang

Nhóm sinh viên thực hiện:

MỤC LỤC

ĐẶT VẤN ĐỀ 4

CHƯƠNG 1 VIRUS 5

I Lịch sử Virus máy tính 5

II Khái niệm 6

III Phân loại virus máy tính 8

IV Các kỹ thuật của virus máy tính 10

V Cách thức lây lan của virus máy tính 14

VI Phòng chống virus 22

PHẦN II TROJAN 26

I Lịch sử hình thành Trojan 26

II Khái niệm về Trojan 26

III Phân loại Trojan 26

IV Một số trojan phổ biến 29

V Cách phòng chống 31

PHẦN 3 WORM 34

I Lịch sử hình thành 34

II Khái niệm 34

III Phân loại worm 35

IV Một số loại worm phổ biến 36

VI Cách phòng chống 49

PHẦN 4 ZOMBIE 52

I Lịch sử hình thành 52

II Khái niệm 54

III Làm thế nào để trở thành một zombie 54

IV Zombie và Spam 55

V Khi Zombie tấn công 56

VI.Cách phòng chống 57

TÀI LIỆU THAM KHẢO 61

ĐẶT VẤN ĐỀ

Mặc dù các phần mềm độc hại (malware) đã xuất hiện từ khá lâu trên thế giới và trong nước ta, song đối với người sử dụng và cả những làm công tác tin học, các phần mềm độc hại vẫn là vấn đề nan giải, nhiều khi nó gây các tổn thất về mất mát dữ liệu trên đĩa, gây cáctổn thất về mất mát dữ liệu trên đĩa, gây các sự cố trong quá trình vận hành máy Sự nan giải này có nhiều lý do: Thứ nhất, số lượng các phần mềm độc hại xuất hiện khá đông đảo, mỗi phần mềm độc hại có một đặc thù riêng và một cách phá hoại riêng Để tìm hiểu cặn kẻ

về virus,trojan,worm không thể trong một thời gian ngắn được, điều này làm nản lỏng những người lập trình muốn tìm hiểu về virus Thứ hai, hầu như rất ít các tài liệu về tin học được phổ biến, có lẽ người ta nghĩ rằng nếu có các tài liệu đề cập tới virus một cách tỉ mỉ,

hệ thống thì số người tò mò, nghịch ngợm viết virus sẽ tăng lên nữa

Vì các lý do trên, việc phòng chống các phần mềm độc hại vẫn là biện pháp tốt nhất Trong trường hợp phát hiện có các phần mềm độc hại xâm nhập, ngoài việc sử dụng các chương trình diệt virus hiện đang có trên thị trường, việc hiểu biết cơ chế, các đặc điểm phổ biến của phần mềm độc hại là những kiến thức mà những người công tác tin học nên biết để có các xử lý phù hợp

Nội dung của bài báo cáo này đưa ra một số lý thuyết cơ bản đối với mảng kiến thức hệ thống, các nguyên tắc thiết kế, hoạt động của loại phần mềm độc hại nói chung, áp dụng trong phân tích một vài virus, trojan, worm phổ biến Trên cơ sở đó, đề cập tới phương pháp phòng tránh, phát hiện các phần mềm độc hại Các kiến thức này cộng với các phần mềm diệt virus hiện có trên thị trường có tác dụng trong việc hạn chế sự lây lan, phá hoại của virus nói chung

- Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.

- Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay

- Năm 1986: Virus “The Brain”, virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tạiPakistan bởi Basit và Amjad Chương trình này nằm trong phần khởi động (boot sector)của một đĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ đĩa mềm Đây là loại “Stealth virus” đầu tiên

- Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus “VirDem” Nó

có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS

- Năm 1987: Virus đầu tiên tấn công vào command.com là virus “Lehigh”

- Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học, công ty trong các quốc gia vào thứ 6 ngày 13 Đây là loại virus hoạt động theo đồng hồ của máy tính (Giống boom logic)

- Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton

- Năm 1991: Virus đa hình ra đời đầu tiên là virus “Tequilla” Loại này biết tự thay đổi hình thức của nó, gây ra khó khăn cho các chương trình chống virus

- Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy Loại virus này có thể làm hư hệ điều hành chủ Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho cácứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook…

- Năm 2002: Tác giả của virus Melissa, David L.Smith, bị xử 20 tháng tù

- Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đoạn khác của phần mềm gián điệp (spyware) Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ Và có lẽ virus sẽ không hề thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình

II Khái niệm

Virus là một phần mềm có thể sao chép chính nó Nó không đứng một mình mà phải gắn vào một tập tin hoặc một chương trình khác Khi một chương trình bị nhiễm virus máy tính được thực hiện hoặc một tập tin bị nhiễm được mở ra, loại virus chứa trong nó sẽ được thực thi Khi thực thi, virus có thể làm hại máy tính và sao chép chính nó để lấy nhiểm sang máy khác trong hệ thống

Có nhiều người nhầm tưởng virus chỉ tồn tại trên máy tính và chỉ xuất hiện trên hệ điều hành phổ biến là Windows Tuy nhiên thật ra không phải vậy Hiện nay virus không chỉ tồn tại trên hệ điều hành Windows mà tại bất kỳ hệ điều hành (thông dụng) nào đều đã

có sự xuất hiện của virus Linux, UNIX, MacOS và ngay cả hệ điều hành Sysbian dành chođiện thoại di động đều đã có những virus lây nhiễm Tuy nhiên, do tính phổ biến là cao nhấtnên không có gì khó hiểu mà hệ điều hành Windows trở thành hệ điều hành mà nhiều virus

đã và đang xuất hiện nhiều nhất

Một số đuôi mở rộng có khả năng bị virus tấn công

.bat: Microsoft Batch File (Tệp xử lý theo lô)

.chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML) cmd: Command file for Windows NT (Tệp thực thi của Windows NT) com: Command file (program) (Tệp thực thi)

cpl: Control Panel extension (Tệp của Control Panel)

.doc: Microsoft Word (Tệp của chương trình Microsoft Word)

.exe: Executable File (Tệp thực thi)

.hlp: Help file (Tệp nội dung trợ giúp người dùng)

.hta: HTML Application (Ứng dụng HTML)

.js: Javascript File (Tệp Javascript)

.jse: Javascript Encoded Scirpt File (Tệp mã hóa Javascript)

.lnk: Shortcut File (Tệp đường dẫn)

.msi: Microsoft Installer File (Tệp cài đặt)

.pif: Program Information File (Tệp thông tin chương trình)

.reg: Registry File

.src: Screen Saver (Portable Executable File)

.sct: Window Script Compoment

.shb: Document Shortcut File

.shs: Shell Scrap Object

.vb: Visual Basic File.

.vbe: Visual Basic Encoded Script File

.vbs: Visual Basic File

.wsc: Windows Script Component

.wsf: Window Script File

.wsh: Windows Script Hot File

{*}: Class ID (CLSID) File Extensions

Tuy nhiên bạn nên tránh ngộ nhận Không phải bắt buộc những file mang đuôi mở rộng như trên đều là virus, nó chỉ là những phần mở rộng có nhiều khả năng bị virus tấn công màthôi

III Phân loại virus máy tính

Dựa vào đối tượng lây lan là file hay đĩa, ta chia virus thành hai nhóm chính:

+ B – virus (boot virus): virus chỉ tấn công lên các Boot sector hay Master boot

+ F – virus (file virus): virus chỉ tấn công lên các file thi hành được (dạng có thể thi hành bằng chức năng 4Bh của DOS hơn là những file dạng COM hay EXE)

Dù vậy, cách phân chia này không phải là duy nhất, mà cũng không hẳn chính xác Vì sau này, các F-virus vẫn phá hoại hay chèn mã phá hoại vào Boot sector, cũng như B – virus chèn đoạn mã vào file Tuy nhiên, những hiện tượng này chỉ nhằm phá hoại chứ không coi

đó là đối tượng để lây lan Dạng tổng quát của một virus có thể biểu diễn bằng sơ đồ sau:

Như đã giới thiệu về định nghĩa virus, đoạn mã này một lúc nào đó phải được trao quyền điều khiển Như vậy, rõ ràng virus phải khai thác một sơ hở nào đó mà máy “tự nguyện” trao quyền điều khiển lại cho nó.

Bên cạnh đó chúng ta cũng có thể phân chia virus dựa vào phương pháp tìm đối tượng lấy nhiễm có 2 loại:

- Virus thường trú

- Virus không thường trú

Hoặc phân loại theo phương pháp lây nhiễm:

- Ghi đè

- Ghi đè bảo toàn

- Dịch chuyển

- Song hành

- Nối thêm

- Chèn giữa

- Định hướng lại lệnh nhảy

- Điền khoảng trống

IV Các kỹ thuật của virus máy tính

1 Kỹ thuật lây nhiễm

Là kỹ thuật cơ bản cần phải có của mỗi virus Có thể đơn giản hoặc phức tạp tùy từng loại virus

- Kỹ thuật lây nhiễm Boot Record/ Master Boot của đĩa: thay thế BR hoặc MB trên phân vùng hoạt động với chương trình virus

- Kỹ thuật lây nhiễm file thi hành: chương trình virus sẽ được chép vào file chủ bằng cách nối thêm, chèn giữa, điền vào khoảng trống, ghi đè…

Thuật toán thường dùng để lây nhiễm 1 file COM:

 Mở file

 Ghi lại thời gian/ngày tháng/thuộc tính

 Lưu trữ các byte đầu tiên (thường là 3 byte)

 Tính toán lệnh nhảy mới

 Đặt lệnh nhảy

 Chèn thân virus chính vào

 Khôi phục thời gian/ngày tháng/thuộc tính

 Đóng file

2 Kỹ thuật định vị trên vùng nhớ

- Phân phối một vùng nhớ để thường trú, chuyển toàn bộ chương trình virus tới vùng nhớ này, sau đó chuyển quyền điều khiển cho đoạn mã tại vùng nhớ mới với địa chỉ segment: offset mới

- Là một kỹ thuật quan trọng đối với các chương trình virus dạng mã máy (virus Boot, virus file) Virus macro và virus Script thực chất là các lệnh của chương trình ứng dụng nên không cần tiến hành kỹ thuật này

3 Kỹ thuật kiểm tra sự tồn tại

- Mỗi virus chỉ nên lây nhiễm/kiếm soát một lần để đảm bảo không làm ảnh hưởng đến tốc độ làm việc của máy tính

- Virus phải kiểm tra sự tồn tại của chính mình trước khi lây nhiễm hoặc thường trú

+Kiểm tra trên đối tượng lây nhiễm.

+Kiểm tra trên bộ nhớ

- Kỹ thuật kiểm tra thường là:

+Dò tìm đoạn mã nhận diện trên file hoặc bộ nhớ

+Kiểm tra theo kích thước hoặc nhãn thời gian của file

5 Kỹ thuật mã hóa

- Nhắm che giấu mã lệnh thực sự của chương trình virus Thủ tục mã hóa cũng chính

là thủ tục giải mã

6 Kỹ thuật ngụy trang

- Nhằm giấu giếm, ngụy trang sự tồn tại của virus trên đối tượng chủ

- Những virus sử dụng kỹ thuật này thường chậm bị phát hiện và có khả năng lây lan mạnh

7 Kỹ thuật phá hoại

- Đa dạng

- Phá hoại dữ liệu trên máy tính

- Phá hỏng một phần máy tính.

8 Kỹ thuật chống bẫy

- Chọn file trước khi lây nhiễm theo một số tiêu chí nào đó nhằm tránh những file bẫycủa chương trình Antivirus

+Không lây nhiễm các file có số trong tên file

+Không lây nhiễm những chương trình sử dụng nhiều mã lệnh đặc biệt

+Không lây nhiễm các file có tên liên tục (Ví dụ aaaa.com…)

+Không lây nhiễm các file liên tục có cùng kích thước

+Không lây nhiễm các file ở thư mục gốc

+Không lây nhiễm các file có lệnh nhảy và lệnh gọi zero

9 Kỹ thuật tối ưu

- Gồm các kỹ thuật viết mã và thiết kế nhằm tối ưu chương trình về tốc độ và kích thước

- Là kỹ thuật chống lại phương pháp dò tìm đoạn mã mà các chương trình antivirus thường sử dụng để nhận dạng một virus đã biết bằng cách tạo ra các bộ giải mã khác biệt.

12 Kỹ thuật biến hình

- Cũng là một kỹ thuật chống lại các kỹ thuật nhận dạng của chương trình antivirus bằng cách sinh ra một đoạn mã mới hoàn toàn

- Là một kỹ thuật khó, phức tạp

13 Kỹ thuật chống mô phỏng và theo dõi

- Một số chương trình antivirus hiện đại sử dụng phương pháp heuristic để phát hiện virus dựa trên hành vi của chương trình Kỹ thuật này nhằm chống lại sự phát hiện của chương trình antivirus như vậy

- Thông thường là chèn thêm những đoạn mã lệnh “rác” không ảnh hưởng đến logic của chương trình xen kẻ giữa mã lệnh thực sự

V Cách thức lây lan của virus máy tính

1 Tạo khóa khởi động:

Virus nhiễm vào máy tính, tức là nó có thể “sống” trong máy tính ấy Các virus khi muốn tiếp tục hoạt động để lây lan thì bắt buộc chúng phải tìm cách để sau khi bạn tắt máy,vào lần bật máy sau thì virus ấy sẽ được kích hoạt và tiếp tục làm việc

Để làm được điều này, các virus thường tự ghi các giá trị vào một số địa chỉ nhất định trongregistry để trong lần khởi động sau của hệ điều hành thì virus ấy sẽ tiếp tục được gọi

1.1 Khởi động hợp pháp

Trong registry có một số địa chỉ mà Windows tạo ra để bạn dễ dàng đưa chương trình mình chạy sau khi máy được khởi động Điều này cũng tương tự với một số file Sở dĩ

chúng ta có thể gọi nó đây là cách “hợp pháp” là vì những giá trị (Chứa thông tin về file sẽ được khởi động) này thì chương trình quản lý những chương trình khởi động cùng hệ thống có sẵn trong Windows là System Configuration Utility có thể quản lý chúng.

Để khởi động chương trình này, bạn chọn Start\Run Nhập vào giá trị: msconfig và chọn

OK Bạn chọn thẻ Startup để có thể quản lý các ứng dụng khi khởi động Còn thẻ Services

để quản lý các chương trình dịch vụ khởi động cùng hệ thống Cách này worm, Trojan cũngthường sử dụng

Sau đây là 2 phương thức khác nhau cùng một vài đoạn code trên VB6 thế hiện việc này

 Ghi file trong Regedit theo các địa chỉ sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Mcrosoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Chú ý: Với phương pháp ghi key như sau sẽ bị một số phần mềm chống virus nhận dạng vàchặn lại nên rất hiếm gặp kiểu ghi key này (Ngoại trừ các virus trên VBScript vẫn sử dụng)

 Phương pháp sử dụng thư mục khởi động:

C:\Documents and Settings\User name\Start Menu\Programs\Startup

Trong đó User name là tên sử dụng trong hệ thống

Set reg = CreateObject("WScript.Shell")

reg.regwrite

"HKEY_LOCAL_MAHINE\Software\Microsoft\Windows\CurrentVersion\Run\Start",

App.Path + "\" + App.EXEName + ".exe"

Sửa đổi Key trong Regedit:

Giá trị mặc định: explorer.exe (Hay C:\Windows\explorer.exe)

Với C:\Windows là thư mục cài đặt hệ điều hành

Đường dẫn ghi ở 2 key này sẽ được Windows khởi động ngay cả trong SafeMode Đây cũng chính là lý do mà một số virus vẫn hoạt động ngay cả khi bạn làm việc trên SafeModecủa hệ điều hành

Ý nghĩa của các key

Khi Windows khởi động qua màn hình chào Welcome, Windows sẽ tiếp tục đọc giá trị ở key Userinit để tìm chương trình khởi động tiếp theo.Với giá trị là file userinit.exe thông thường,thì file userinit.exe này sẽ được chạy Sau đó file này tiếp tục gọi explorer.exe và chúng ta có môi trường làm việc trên explorer.exe.Vấn đề lớn sẽ xảy ra nếu hệ điều hành không thể khởi động có đường dẫn tương ứng với giá trị tại key Userinit Lúc này file explorer.exe không gọi và chúng ta sẽ bị Log Out trở lại màn hình Welcome.Hiện tượng này đã xảy ra với nhiều người dùng.

Các virus khi ghi giá trị là đường dẫn của mình vào key Userinit thường ghi thành dạng như sau:

Đường dẫn key: HKEY_LOCAL_MAHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\WinLogon\Userinit

Giá trị: C:\Windows\System32\userinit.exe,Đường dẫn virus

Với C:\Windows là thư mục cài đặt hệ điều hành

Điều này có nghĩa rằng, cả userinit.exe và cả virus đều được chạy Và như thế hệ điều hành vẫn sẽ không có hiện tượng gì bất ổn mà virus vẫn được khởi động Đây là một giải pháp

an toàn

Tuy nhiên không phải Virus nào cũng làm vậy, một số virus đã ghi key này với giá trị chínhcủa đường dẫn virus Điều này đồng nghĩa với việc chỉ có virus đó được kích hoạt khi khởi động với key Userinit Lúc này, nếu virus không gọi file explorer.exe thì hệ thống sẽ ngừnghoạt động

Đây là một vấn đề lớn mà rất đông người dùng máy tính gần đây mắc phải

Một số key khác

Windows thực hiện các lệnh trong khu vực

HKEY_CLASSES_ROOT\exefile\shell\open\command “%1” %* của Registry Lệnh nhúng ở đây sẽ mở khi bất kỳ file chạy nào được thực thì.

Nếu các khóa không có giá trị “\”%1\”%*” như trên và bị thay đổi một số thứ kiểu như

“\”somefilename.exe %1\” %*” thì chúng sẽ tự động gọi một file đặc tả

2 Lây nhiễm:

2.1 Email:

Lây truyền qua email là phương thức cơ bản nhất của virus sử dụng mạng internet để truyềnnhiễm Dù là một phương pháp đã tồn tại khá lâu, nhưng đến hiện nay đây vẫn là một phương thức được rất nhiều virus sử dụng

Sau đây là một đoạn mã minh hoạt quá trình gửi email từ một máy đã bị lây nhiễm qua email của những người khác thông qua việc liệt kê danh sách email những người đã từng cóliên hệ với máy nạn nhân trên Outlook Explorer (OE)

2.2 Qua các thiết bị lưu trữ

Trước kia phương thức lây truyền virus qua đĩa mềm khá phổ biến, cùng với việc đĩa mềm ngày càng ít được sử dụng và được thay thế bằng ổ đĩa USB thì phương thức lây truyền quađĩa mềm dần được thay thế bằng phương pháp lây truyền qua đĩa USB

Cũng có một số tự nhân bản vào đĩa CD,DVD rồi chờ đợi những nạn nhận khác nhau

Set out = Wscript.CreateObject(“Outlook.Application”)

Set MAPI = out.GetNameSpace(“MAPI”)

Set a = MAPI.AddressLists(1)

For X = 1 To a.AddressEntries.Count

Set Mail = St.CreateItem(0)

Mail.To = St.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(X)

Mail.Subject = “Tên nội dung Mail” ‘Ví dụ : This is card Valentine

Mail.Body = “Nội dung email” ‘Ví dụ : This is my lover

Mail.Attachments.Add = AppVirus ‘Đây là phần file đính kèm

Mail.Send

Next

St.Quit

Sau đây là các bước một virus thường làm để lây truyền qua đĩa USB.

1 Tìm ổ đĩa USB (Xem cố tồn tại không)

- Liệt kê tất cả ổ đĩa

- Kiểm tra xem trong các ổ đĩa đó, ổ đĩa nào là đĩa giao tiếp qua USB

2 Sau khi thực hiện bước này, có 2 cách lây nhiễm vào USB chủ yếu như sau:

- Virus tự nhân bản mình vào một địa chỉ nhất định trên USB, rồi tạo file autorun.inf trong USB nhằm kích hoạt mình nếu người sử dụng nào đó bất cẩn khi sử dụng USB đó

- Virus sẽ liệt kê toàn bộ thư mục có trong USB Tại mỗi thư mục đó virus sẽ

tự nhân bản mình giả dạng 1 thư mục con của thư mục đó (Thường thì các virus này sẽ biểu tượng giống hình một thư mục thông thường)

Ở cách 2 virus sẽ tạo file autorun.inf có cấu trúc như sau:

[Autorun]

Open=Đường dẫn virus trong đĩa USB

Trên đây chỉ là cấu trúc cơ bản Cấu trúc này có thể có sự khác biệt, ví dụ trong trường hợp sau:

Dù file ở dưới quy định nhiều thuộc tính hơn, nhưng về chức năng cơ bản thì không đổi Chức năng của file này là tạo cho đĩa USB có chế độ Autorun Ở chế độ này, khi người dùng mở USB theo cách thông thường như nháy đúp vào ổ đĩa USB thì thay vì đĩa USB đó được mở sẽ tự động chạy file có đường dẫn lưu trữ tại khóa có giá trị OPEN Chúng ta rất khó nhận ra sự khác biệt giữa việc Open bình thường của đĩa USB với việc Autorun này

Lý do là các virus được kích hoạt trong đĩa USB sẽ mở thư mục của đĩa USB ra

2.3 Mạng nội bộ

Virus sẽ tìm tất cả các thư mục trong cùng mạng nội bộ (của máy nạn nhân) xem có thư mục nào chia sẽ và cho phép sửa chữa chúng hay không Sau đó chúng sẽ tự sao chép và chờ đợi một ai đó vô ý chạy chúng

2.4 Qua cách dịch vụ IM

Trước đây đã có nhiều virus lây lan bằng các dịch vụ nhắn tin (chủ yếu là IRC, MSN hay Skype) nhưng dạo này người dùng Việt Nam mới để ý đến chúng do cơ dịch virus nội lây qua dịch vụ IM của Yahoo! mà khởi đầu là virus GaixinhYM Cơn dịch này bắt đầu từ

2006 và đến nay thì vẫn chưa hoàn toàn kết thúc Hàng trăm virus nội xuất hiện có cùng hình thức lây nhiễm qua dịch vụ nhắn tin này

2.5 Web

Thở sơ khai, Internet chưa có hình ảnh như hôm nay Do nhu cầu trình diễn và nhiều ứng dụng trên trang web ngày càng mạnh, người ta đã xây dựng nên các công cụ để phục vụ mục đích ấy, ActiveX hay các script xuất hiện vì các lý do ấy Tuy nhiên, những công cụ này tạo những lỗ hổng bảo mật nguy hiễm Các virus Việt Nam đã sử dụng 1 lỗ hỗng về mãVBscript của trình duyệt Internet Explorer để lây nhiễm

2.6 Qua file

Đây là cách lây nhiễm virus đã tồn tại rất lâu Cách thức lây nhiễm cơ bản là virus sẽ thay đổi nội dung file của bạn mà sau đó khi bạn hay người khác làm việc với file ấy thì họ sẽ nhiễm virus.

Trước đây phần lớn virus file chỉ tìm cách lây nhiễm vào các file định dạng exe, pif, com

và virus Macro thay đổi cấu trúc file văn bản.Nhưng theo tôi nhận thấy, gần đây đã có một

số virus nhiễm vào file thông minh hơn.Các virus marco hiện nay đã gần như hết đất sống, khi các công cụ diệt virus và của chính hãng cung cấp phần mềm soạn thảo ngày càng chú

Lúc này, file virus tạo là file thực thi chứ không phải là 1 file văn bản như ban đầu Kẻ viếtvirus đã rất thông minh khi để biểu tượng (Icon) của virus chính là biểu tượng của các filevăn bản tương ứng Điều này làm người dùng nhầm lẫn file này chính là file văn bản mà

vô tình kích hoạt và nhiễm virus

VI Phòng chống virus

Một mô hình phòng thủ hiệu quả và chắc chắn là thiết lập nhiều tuyến phòng vệ, nào là phòng vệ bên ngoài với tường lửa cứng (tích hợp trong router), tường lửa mềm (phần mềm trong máy tính), phần mềm chống virus, phần mềm chống spyware rồi phải cập nhật bản sửa lỗi những lỗ hổng bảo mật của hệ điều hành và của những phần mềm cài đặt trên máy tính Tuy nhiên, nhiều người dùng gia đình không đủ khả năng (tài chính, kiến thức) để thực hiện điều này Vậy tuyến phòng vệ nào là cần thiết và phù hợp?

Tường lửa (firewall) kiểm soát dữ liệu ra vào máy tính của bạn và cảnh báo những hành vi

đáng ngờ; là công cụ bảo vệ máy tính chống lại sự xâm nhập bất hợp pháp bằng cách quản

lý toàn bộ các cổng của máy tính khi kết nối với môi trường bên ngoài (mạng Lan,

Internet ) Tường lửa có sẵn trong Windows XP chỉ giám sát được dòng dữ liệu vào máy tính chứ không kiểm soát được dòng dữ liệu ra khỏi máy tính Người dùng gia đình thường

ít có kinh nghiệm về bảo mật và virus, tường lửa sẽ không phát huy tác dụng vì người dùng không thể xử lý các cảnh báo Hơn nữa, việc cài đặt tường lửa sẽ làm cho máy tính hoạt động chậm đi

Phần mềm chống virus Có rất nhiều sản phẩm phần mềm diệt virus được giới thiệu, từ

những bộ phần mềm "tất cả trong một" đến những phần mềm độc lập và miễn phí Chúng đều có những điểm mạnh yếu riêng nhưng đáng buồn là không phần mềm nào có thể bảo vệmáy tính của bạn một cách toàn diện Một số bạn đọc không cài đặt phần mềm chống virus

vì thấy hệ thống trở nên chậm chạp Họ chấp nhận mạo hiểm (hoặc không biết) những rủi

ro khi đánh đổi sự an toàn của máy tính để lấy tốc độ Một vài bạn đọc lại cho rằng máy tính sẽ an toàn hơn, được bảo vệ tốt hơn nếu cài đặt nhiều phần mềm chống virus Điều nàycũng không tốt vì sẽ xảy ra tranh chấp giữa các phần mềm khi chúng tranh giành quyền kiểm soát hệ thống

Cập nhật bản sửa lỗi Lỗ hổng bảo mật của phần mềm là "điểm yếu" virus lợi dụng để

xâm nhập vào máy tính của bạn Thật không may là những điểm yếu này lại khá nhiều và người dùng cũng không quan tâm đến việc này Hãy giữ cho hệ điều hành, trình duyệt web

và phần mềm chống virus luôn được cập nhật bằng tính năng tự động cập nhật (auto

update); nếu tính năng này không hoạt động (do sử dụng bản quyền bất hợp pháp), hãy cố gắng tải về từ website của nhà sản xuất bằng cách thủ công Bạn sẽ tăng cường tính năng phòng thủ hiệu quả cho hệ thống và tránh tình trạng virus "tái nhiễm" sau khi diệt

Trình duyệt an toàn hơn Nếu so sánh, bạn dễ dàng nhận thấy Internet Explorer là trình

duyệt web có nhiều lỗ hổng bảo mật nhất dù Microsoft liên tục đưa ra những bản sửa lỗi

Sử dụng những trình duyệt thay thế như Mozilla Firefox, Opera hoặc cài đặt thêm một

trong những trình duyệt này để tận dụng những ưu điểm của mỗi phần mềm và tăng tính bảo mật khi lướt web

Suy nghĩ kỹ trước khi cài đặt Nhiều bạn đọc thích táy máy, tải về và cài đặt nhiều phần

mềm khác nhau để thử nghiệm Điều này dẫn đến việc chúng ta không kiểm soát được những phần mềm sẽ làm gì trên máy tính Thực tế cho thấy cài đặt quá nhiều phần mềm sẽ

"bổ sung" thêm những lỗ hổng bảo mật mới, tạo điều kiện cho tin tặc dễ dàng xâm nhập vào máy tính của bạn, góp phần làm đổ vỡ hệ thống phòng thủ mà bạn dày công tạo dựng

Sử dụng máy tính với quyền user Với Windows NT/2000/XP, việc đăng nhập và sử

dụng máy tính với tài khoản mặc định thuộc nhóm Administrators là một hành động mạo hiểm vì virus sẽ được "thừa hưởng" quyền hạn của tài khoản này khi xâm nhập vào hệ thống, máy tính của bạn có thể trở thành zombie và tấn công máy tính khác Tài khoản thuộc nhóm Users sẽ không được phép thay đổi các thiết lập liên quan đến hệ thống, bạn sẽ tránh được nhiều nguy cơ bị phá hoại và những phiền toái, cả khi virus xâm nhập vào máy tính

Sử dụng máy tính với quyền User sẽ khiến người dùng gặp nhiều khó khăn trong quá trình cài đặt ứng dụng và thực hiện một số tác vụ liên quan đến hệ thống nhưng chúng tôi vẫn khuyến khích bạn đọc tự giới hạn quyền sử dụng trên máy tính của mình Hơn nữa, bạn không cần cài thêm phần mềm phòng chống spyware Tài nguyên hệ thống không bị chiếm dụng, máy tính hoạt động nhanh hơn

Sao lưu hệ thống Bạn có thể bỏ qua bước này nếu tin rằng máy tính của mình luôn chạy

tốt Hãy thực hiện việc sao lưu vào thời điểm máy tính hoạt động ổn định, đã cài đặt những phần mềm cần thiết Bạn có thể đưa hệ thống trở lại trạng thái đã sao lưu chỉ với vài thao tác đơn giản khi cần thiết Để tạo tập tin ảnh của phân vùng đĩa cứng, bạn có thể sử dụng một trong những phần mềm như Drive Image của PowerQuest, Norton Ghost của

Symantec, DriveWorks của V Communications, Acronis True Image của Acronis

Việc sao lưu sẽ rất hữu ích với những bạn đọc thích táy máy, thử nghiệm tính năng phần mềm, thường xuyên truy cập vào những website "đen" Bạn sẽ tiết kiệm rất nhiều thời gian

thay vì phải đi xử lý những sự cố do virus gây ra hoặc phải cài lại HĐH và những phần mềm cần thiết.

PHẦN II TROJAN

I Lịch sử hình thành Trojan

Ngựa Trojan ra đời trong truyền thuyết Hy Lạp cổ đại vào thế kỷ thứ XII, khi quân

Hy Lạp không thể tấn công nổi thành địch Họ đã giả vờ tặng quân địch một chú ngựa khổng lồ Sau khi chú ngựa gỗ đã được đem vào thành, nữa đêm quân Hy Lạp trong bụng chú ngựa gỗ chui ra và tấn công tiêu diệt quân địch một cách bất ngờ, nhờ mưu này mà họ

đã hạ được thành giặc

Trong tin học, khái niệm Trojan ra đời từ khi CDC (Cult of the Dead Cow) tạo ra Back Orifice, một Trojan nổi tiếng nhất từ trước đến sau này, có cổng xâm nhập là 31337

II Khái niệm về Trojan

Trojan là các chương trình hoạt động nhằm chống lại hoặc gây tổn hại đến người dùng máy tính Chúng có vẻ ngoài hợp pháp nhưng luôn có mặt xấu bên trong Các chươngtrình này thường làm việc bí mật và người dùng thường không nhận ra sự hoạt động của chúng Chúng có thể giới hạn quyền của người dùng tới mức tối đa Tất cả Trojan đều đượccác hacker dùng cho mục đích riêng nào đó của họ Hầu hết trong số này là để thiết lập quyền điều khiên RAT (Remote Administration Tools)

Không giống như virus, Trojan thường không tự nhân bản mà chỉ chạy ngầm trong máy tính của nạn nhân Có Trojan trong máy tính bạn là một hiểm họa và thực thi chúng gây ra nhưng lỗi khác nhau, thông thường nhất và ít hại nhất là làm chậm tốc độ máy tính của bạn, nghiêm trọng hơn là chúng có thể làm mất quyền sửa registry, làm treo máy hay format lại đĩa

III Phân loại Trojan

1 Loại điều khiển từ xa (RAT)

2 Keyloggers

3 Trojan lấy cắp password.

4 FPT trojan

5 Trojan phá hoại

6 Trojan chiếm quyền kiểu leo thang

1 Trojan điều khiển từ xa

RAT đóng vai trò quan trọng như một server trên máy tính của bạn và tạo điều kiện cho hacker kết nối với máy tính thực hiện các lệnh khác nhau Dù bạn có hiểu biết về các loại Trojan thì bạn cũng khó có thể nhận ra được nó có tồn tại trong máy tính của bạn hay không bởi vì các Trojan phát triển liên tục hàng ngày và càng trở nên hiệu quả hơn Những Trojan tốt có thể tạo điều kiện cho các hacker quyền điều khiển thậm chí cao hơn chính bảnthân bạn và chúng tự động kích hoạt mỗi khi bạn khởi động máy tính

Sử dụng Trojan loại này khá đơn giản, chúng thường gồm 2 file server và client, mỗi khi tải chúng về, bạn chỉ cần đọc mục Help của chúng là có thể biết cách sử dụng Các tính năng của Trojan loại này càng ngày càng cao hơn, ví dụ như Trojan Girl-friend có thể ngăn không cho nạn nhân tắt máy tính, hiển thị text lên màn hình, biễu diễn âm thanh, hình ảnh, download, upload file từ server, thâm chí là chat cùng với nạn nhân… Nhưng mỗi khi

sử dụng chúng, thường bạn ngụy trang chúng dưới 1 file ảnh và giấu cái đuôi exe của chúng đi

Cách thức làm việc của Trojan RAT

RAT Trojan thường ẩn náu trong các chương trình lớn Mỗi khi bạn chạy chương trình này, Trojan sẽ tự động được kích hoạt Mỗi RAT thường chạy server dưới một cổng riêng biệt, cổng này cho phép hacker thâm nhập vào máy tính của bạn và làm mọi thứ mà anh ta cảm thấy thích Các Trojan khi đã xâm nhập vào trong máy tính thường tạo ra 1 file thực thi nào đó hoặc ghi thêm dòng lệnh tự kích hoạt vào trong file win.in Có thể bạn biết được file đó là Trojan nhưng cũng không thể vô hiệu hóa nổi nó bằng những cách thông

thường Bạn không thể xóa nó đi và cũng không thể vào registry để xóa vì chúng thường làm mất chức năng edit registry của hệ điều hành Đó là chưa kể đến nhiều loại Trojan lạ cóthể kích hoạt dưới dạng những tên file bạn không hề nghĩ đó là Trojan mà cứ tưởng là file thực thi của hệ điều hành.

Người ta có thể sử dụng RAT để điều khiển, quản lý từ xa máy tính của chính bản thân họ, nhưng luôn phải cẩn thận vì RAT có thể gây ra những tác hại mà chính ta cũng không biết trước

Ví dụ về loại này: Back Orifice, Girlfriend, Net Bus, Remote Anything

2 Keyloggers

Hoạt động của loại này khá đơn giản, chúng ghi lại mọi diễn biến trên bàn phím baogồm cả các password như password account internet, password hòm thư, password FTP và lưu trong máy bạn hoặc gửi về một địa chỉ email nào đó của hacker

Keyloggers thường nhỏ gọn và sử dụng rất ít bộ nhớ nên rất khó để nhận ra chúng

Ví dụ về loại này: Kuang Keylogger

3 Trojan ăn trộm password

Trojan này ăn cắp password lưu trong máy bạn như password ICQ, IRC, Hotmail, Yahoo, account internet hoặc tất cả password trên để gửi về cho hacker qua email

Ví dụ Trojan loại này: Barri, kuang, barok

4 FTP Trojan

Loại này mở cổng 21 trên máy, hacker có thể truy cập vào máy của bạn mà không cần mật khẩu và có thể tải file trên máy của bạn về

5 Trojan phá hoại

Chúng hầu như không có mục đích gì ngoài việc phá hoại máy tính của bạn Loại này có thể phá hủy toàn bộ đĩa cứng, mã hóa các file Bạn không nên sử dụng loại Trojan này, vì chúng rất nguy hiểm và khó có thể kiểm soát được chúng.

6 Trojan chiếm quyền kiểu leo thang đặc quyền

Thường được sử dụng đối với những người quản trị kém cỏi Chúng có thể được

“gắn” vào trong một ứng dụng hệ thống Một khi người quản trị hệ thống chạy chúng, chúng sẽ tạo cho hacker quyền cao hơn trong hệ thống Những Trojan này có thể được gửi tới những người dùng có ít quyền và cho họ quyền xâm nhập hệ thống

Còn có một số loại Trojan nữa trong đó bao gồm cả những chương trình tạo ra để chỉ chơi đùa, như chúng có thể ra một thông báo đại loại như máy tính của bạn đã dính virus và ổ cứng của bạn sẽ bị format, password của bạn đã bị mất… nhưng kì thực đây có khi chỉ là trò đùa vô hại của nhóm lập trình viên chương trình đó

IV Một số trojan phổ biến

1 Trojan Tini

- Bất kỳ một máy tính nào nếu bị nhiễm Trojan này đều cho phép Telnet qua Port

7777 không cần bất kỳ thông tin xác thực nào

- Để Trojan này nhiễm vào hệ thống thì chỉ cần chạy một lần hoặc Enter file đó là

OK mọi thứ đã hoàn tất và đợi những thông tin Telnet tới port 7777

- Trên máy 192.168.1.33 đã chạy file tini.exe giờ tôi đứng trên bất kỳ máy nào cũng

có thể dùng lệnh: Telnet 192.168.1.33 7777 là có thể console vào được máy đó

-e chạy một chương trình nào đó.

Trên ví dụ này tôi chạy với câu lệnh

- Nc.exe –L –p 8800 –t –e cmd.exe