Nguyên lý hoạt động của các dòng virus phá hủy hệ thống và các phương pháp phòng chống

Phần lây lan infectionPhần điều kiện kích hoạt trigger Phần thân payload Tổng Quan Về Virus  Cấu trúc chung của virus Cơ chế kiểm tra điều kiện để thực hiện phần thân: • sau một số lần

T ng Quan V Virus ổng Quan Về Virus ề Virus

Tổng Quan Về Virus

 Bugware: phần mêm gặp lỗi do lập trình gây lên tác hại.

 Trojan horse: gắn với một phần mềm hợp lệ, chạy ngầm,

không tự lây lan

 Software bombs: chỉ phá hoại một lần, không tự lây lan.

 Replicators: tự nhân bản làm cạn tài nguyên.

 Virus: tự lây lan trên máy tính riêng lẻ, không tự lây sang

máy khác

 Worm: tự lây lan từ PC này sang PC khác qua mạng

1 Các khái niệm cơ bản

Tổng Quan Về Virus

 Thế nào là Virus?

• Virus máy tính là những chương trình hay đoạn mã.

• Được tạo ra một cách cố ý, hay vô ý.

• Có khả năng tự nhân bản.

• Gây ra những tác động không mong muốn làm ảnh

hưởng tới công việc

2 Virus

Số liệu thống kê Virus 2010

Top 13 quốc gia có máy chủ lưu trữ code độc hại

Tổng Quan Về Virus

2 Virus

Tổng Quan Về Virus

 Đặc điểm của Virus máy tính:

• Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó

• Tự nhân bản khi ứng dụng chủ được kích hoạt

• Có một thời kỳ nằm chờ (giống như ủ bệnh) Trong thời gian này không gây hậu quả

• Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.

2 Virus

File chưa bị nhiễm File bị nhiễm

Tổng Quan Về Virus

 Hình thức thể hiện của Virus:

 Các ứng dụng trên máy bất ngờ hoặc từ từ chạy chậm lại

 Những biến đổi không thể lý giải về dung lượng của các

đuôi EXE, COM, BAT, SYS, OVL

 Những động thái bất thường của máy tính, nhất là khi bạn đang chạy một chương trình mà bình thường không

có vấn đề gì

 Một chương trình nào đó không thể cài chính xác dữ liệu từ đĩa nguồn

2 Virus

Phát hiện

Virus được xác định

là mối đe dọa lây nhiễm cho các hệ thống

Công ty

Phần mềm chống Virus được phát triển

để bảo vệ và chống lại Virus

Loại bỏ

Người dùng cài đặt bản cập nhật chống Virus và loại bỏ các mối đe dọa

Tại sao người ta lại tạo ra Virus máy

Phá hoại Khủng bố mạng lưới Phân phát các thông điệp chính trị

Kẻ tấn công

Hệ thống có thể công kích

Tổng Quan Về Virus

2 Virus

Phần lây lan (infection)

Phần điều kiện kích hoạt (trigger)

Phần thân (payload)

Virus

Tổng Quan Về Virus

Cách hoặc những cách virus dùng để lây lan

• Tìm kiếm những đối tượng phù hợp.

• Kiểm tra xem đối tượng đã bị lây nhiễm chưa?

=> Lây nhiễm cho đối tượng.

2 Virus

 Cấu trúc chung của virus

Phần lây lan (infection)

Phần điều kiện kích hoạt (trigger)

Phần thân (payload)

Tổng Quan Về Virus

 Cấu trúc chung của virus

Cơ chế kiểm tra điều kiện để thực hiện phần thân:

• sau một số lần lây nhiễm

• vào một ngày giờ nhất định

• kích hoạt ngay ở lần thực thi đầu tiên

=> Đã đến thời điểm phá hoại

Tất cả những gì virus thực hiện trên máy tính

đã bị lây nhiễm (trừ phần lây lan)

Kiểm tra đk => kích hoạt phá hoại

2 Virus

red khai thác lỗi MS

IIS web server

red khai thác lỗi MS

IIS web server

Nguyên Lý Hoạt Động Virus

Nguyên Lý Hoạt Động

 Khi PC khởi động, ROM sẽ thực thi quá trình kiểm tra khi khởi động (POST) => bình thường, thì nạp Boot Sector vào RAM

 Boot virus được thiết kế để thay thế cho đoạn mã chuẩn của Boot Sector (đĩa mềm), Master Boot Record(ổ đĩa cứng)

1 BOOT VIRUS (B-Virus)

Master Boot Record

Boot Sector Boot Virus

SB virus (Single Boot

virus)

- Kích thước virus

nằm trọn trong một

sector

- Đoạn boot sector

chuẩn được lưu lại

tại một ví trí xác

định trên đĩa

B-VIRUS

DB virus (Double Boot virus)

- Có nhiều chức năng hơn SB virus nên kích thước lớn hơn một sector

- đoạn mã nằm trong boot sector chỉ có nhiệm vụ tải thân virus vào thường trú.

Nguyên Lý Hoạt Động

1 BOOT VIRUS (B-Virus)

Master Boot Record

Boot Sector Boot Virus

Master Boot Record

Nguyên Lý Hoạt Động

1 BOOT VIRUS (B-Virus)

 Các Kỹ Thuật chính:  Kiểm tra tính tồn tại duy nhất:

đảm bảo mỗi đĩa chỉ lây nhiễm một lần.

 Thường trú trong bộ nhớ: thường

trú trong bộ nhớ trong giúp tăng khả năng lây lan cũng như tồn tại.

 Lây lan: chiếm ngắt 13h để thực

hiện đọc, ghi sang đĩa đảm bảo tính lây lan.

 Phá hoại: không bắt buộc nên rất

đa dạng.

 Ngụy trang: giúp giảm khả năng

phát hiện bằng cách điểu khiển boot sector chuẩn.

Đã tồn tại trong

bộ nhớ? Thoát

Tạo boot sector giả

Lưu boot chuẩn lại

Chuyển virus vào

thường trú

Đặt lại các ngắt

Lây lan

+ _

Nguyên Lý Hoạt Động

2 FILE VIRUS (F-Virus)

 Có số lượng và chất lượng vượt trội so với B-Virus.

 Được chia thành 2 loại:

 Transient File Virus (TF-Virus): không thường trú,

không chiếm ngắt, lây qua các file đối tượng

 Reside File Virus (RF-Virus): Có thường trú, có

chiếm ngắt (phổ biến là ngắt 21h)

Nguyên Lý Hoạt Động

 Các Kỹ Thuật chính:

 Kiểm tra tính tồn tại duy nhất: Cũng giống như boot virus,

để giảm khả năng bị phát hiện, trước khi lây lan file virus bắt buộc phải kiểm tra sự tồn tại của mình trên đối tượng sắp lây

Chèn giữa

.EXE file

File header

Start of Progam End of Program

IP

F-Virus

Nối file

Nguyên Lý Hoạt Động

 Các Kỹ Thuật chính:

2 FILE VIRUS (F-Virus)

 Các hàm API nằm trong các file liên kết động (Dynamic Link Library - DLL).

 Bộ vi xử lý có bồn mức đặc quyền Ring 0, Ring 1, Ring 2

và Ring 3

3 WINDOW VIRUS

Nguyên Lý Hoạt Động

 Các kỹ thuật chính:

 Tìm địa chỉ cơ sở của kernell32.dll

 Tìm kiếm PE Header của kernell32

 mapping file

 Thay đổi thuộc tính file

 Kiểm tra tính tồn tại duy nhất

3 WINDOW VIRUS

Nguyên Lý Hoạt Động

 Macro là công cụ cho phép ghi lại các thao tác (các lệnh) của người sử dụng dưới dạng 1 danh sách các lệnh Khi ta gọi tới 1 macro (chạy macro), nó sẽ thực hiện lại các thao tác đó 1 cách tự động

 Bản chất Virus Macro là một hoặc một số macro (được viết bằng WordBasic, VisualBasic…) có khả năng kích hoạt và tiến hành lây lan khi người dùng xử lý file

 Đối tượng là những file template được nạp ngầm định khi khởi động các file word (nomarl.dot) hay excel

4 VIRUS MACRO

Macro lây nhiễm kích hoạt tài liệu

 Ngụy trang: sử dụng kỹ thuật đa hình (polymorphism),

đổi tên sau mỗi lần lây nhiễm và lưu trữ chúng vào file win.ini giúp MS office có thể tìm thấy chúng

 Vô hiệu hóa Anti-Virus không thường trú: bắt đầu

xuất hiện với kỹ thuật đơn gian là xóa các file cơ sở của Anti-Virus không thường trú

Nguyên Lý Hoạt Động

4 VIRUS MACRO

 Các Kỹ Thuật chính:

 Lây nhiễm: ví dụ lây nhiễm của Virus Concept

Từ file văn bản bị nhiễm sang file nomarl.dot của wod

Từ file nomarl.dot sang các file văn bản thông thường

AAAZAO: Bản sao của macro AutoOpen

AAAZFS: Bản sao của macro FileSaveAs

AutoOpen: Macro sẽ tự động thực thi file file văn bản đã bị lây nhiễm được người sử dụng mở ra

FileSaveAs: Macro thay đổi hộp thoại FileSaveAs để ghi các file văn bản cùng các macro của virus dưới dạng template nhưng vẫn giữ phần mở rộng là doc

PayLoad: phần thân của virus

Nguyên Lý Hoạt Động

5 TROJAN

Nguyên Lý Hoạt Động

 Các kỹ thuật chính:

 Phương pháp lây nhiễm:

• Trojan lây nhiễm từ ICQ (I Seek You): ICQ cho phép

gửi file ảnh và âm thanh, các Trojan được dấu trong các file đó.

• Trojan lây nhiễm từ file đính kèm trong mail: đa số

các Trojan được lây lan qua mail.

5 TROJAN

Nguyên Lý Hoạt Động

 Là một chương trình độc lập

 Có khả năng tự nhân bản giống Virus

 Có khả năng lây lan cực nhanh qua mạng

 Worm đầu tiên là Morris Worm của một sinh viên đại học Cornell viết ra năm 1988 lây lan khoảng 10% số PC thời điểm đó

 Tự lây lan qua mạng: các worm có thể tự gửi mình qua

mail với các địa chỉ nhận trong address book của outlook

6 WORM

 Ngày nay, khái niệm Worm đã được mở rộng để bao gồm

cả các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USB hay các dịch vụ gửi tin nhắn tức thời (chat), đặc biệt là các virus khai thác các

lỗ hổng phần mềm để lây lan

6 WORM

Phòng Chống Virus

Đảm bảo file thực thi được gửi

đến tổ chức là được phê duyệt

Không boot máy tính với ổ

đĩa bootable đã bị nhiễm

Hiểu biết về mối đoe dọa

Virus mới nhất

Kiểm tra CD và DVD có

bị nhiễm hay không

Đảm bảo cửa sổ pop-up

blocker được bật và sử dụng

tường lửa internet

Chạy clean up ổ đĩa, quét registry

và chạy chống phân mảnh 1 lần trong tuần

Bật tường lửa nếu OS sử dụng Windows XP

Chạy chương trình chống phần mềm gián điệp và phần mềm quảng cáo 1 lần trong tuần

Chặn tất cả các file có phần mở rộng dài hơn phần mở rộng của file Thận trọng với những file được gửi thông qua dòng tin nhắn tức thời

Phòng Chống Virus

Phương Pháp

1 Cài đặt phần mềm anti-Virus để có thể phát hiện và loại bỏ sự xâm nhiễm

2 Cài đặt phần mềm chống spyware thời gian thực

3 Đảm bảo chương trình chống mã độc luôn hoạt động

4 Thực hiện quét máy tính hàng ngày

5 Vô hiệu quá chức năng autorun

6 Vô hiệu hóa tính năng xem trước hình ảnh trong Outlook

7 Không kích vào các đường dẫn trên email hay trong tài liệu đính kèm

Thank You !

Nhóm: K_Thông – AT8B

Học Viện Kỹ Thuật Mật Mã