1. Trang chủ
  2. » Giáo án - Bài giảng

Virus và cách phòng chống

21 482 4
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Virus và cách phòng chống
Tác giả Fred Cohen, Robert Morris
Trường học Đại Học Miền Nam California
Thể loại bài viết
Năm xuất bản 2005
Thành phố California
Định dạng
Số trang 21
Dung lượng 271 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

 1996 - Boza virus Khi hãng Microsoft chuyển sang hệ điều hành Windows95 và họ cho rằng virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện virus lây trên hệ điều hà

Trang 3

Lịch sử VIRUS và c ác dòng VIRUS

 Năm 1949: John von Neuman (1903-1957)

phát triển nền tảng lý thuyết tự nhân bản của

một chương trình cho máy tính

 Vào cuối thập niên 1960 đầu thập niên 1970

đã xuất hiện trên các máy Univax 1108 một

chương trình gọi là "Pervading Animal" tự nó

có thể nối với phần sau của các tập tin tự

hành Lúc đó chưa có khái niệm virus

 Năm 1981: Các virus đầu tiên xuất hiện trong

hệ điều hành của máy tính Apple II

 Năm 1983: Tại Đại Học miền Nam

California, tại Hoa Kỳ, Fred Cohen lần đầu

đưa ra khái niệm computer virus như định

nghĩa ngày nay

Trang 4

1986 - Brain virus

Trong thời gian này cũng có 1 số

virus khác xuất hiện, đặc biệt

WORM virus (sâu virus)

tháng 11 năm 1988, Robert Morris

đưa virus vào mạng máy tính quan

trọng nhất của Mỹ, gây thiệt hại lớn

Từ đó trở đi người ta mới bắt đầu

nhận thức được tính nguy hại của

Trang 5

1989 - AIDS Trojan Xuất hiện Trojan hay còn gọi là "con ngựa thành Troie", chúng không phải

là virus máy tính, nhưng luôn đi cùng với khái niệm virus

1991 - Tequila virus Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy tính.

1992 - Michelangelo virus Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ năm

92 này tạo thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực kỳ phức tạp

1995 - Concept virus Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những tiền bối của nó

1996 - Boza virus Khi hãng Microsoft chuyển sang hệ điều hành Windows95 và họ cho rằng virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện virus lây trên hệ điều hành Windows95

1999 - Melissa, Bubbleboy virus Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới

2000 - DDoS, Love Letter virus Có thể coi là một trong những vụ việc virus phá hoại lớn nhất

từ trước đến thời điểm đó

2001 - Winux Windows/Linux Virus, Nimda, Code Red virus Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên các hệ điều hành Linux chứ không chỉ Windows

2002 - Sự ra đời của hàng loạt loại virus mới

2003 - Các virus khai thác lỗ hổng phần mềm Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ của các virus khai thác lỗ hổng phần mềm để cài đặt, lây nhiễm lên các máy tính từ xa - đây cũng chính là xu hướng phát triển hiện nay của virus trên thế giới

2004 - Cuộc chạy đua giữa Skynet và Beagle Đây là 2 họ Virus xuất hiện tại Đức

2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting

Trang 7

Đặc điểm của virus máy tính

 Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.

 Tự nhân bản khi ứng dụng chủ được kích hoạt.

 Có một thời kỳ nằm chờ (giống như ủ bệnh) Trong thời gian này không gây hậu quả.

 Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.

Trang 8

Hình thức thể hiện của virus

ứng dụng trong các file có

đuôi EXE, COM, BAT, SYS, OVL.

đang chạy một chương trình mà bình thường không có

vấn đề gì.

từ đĩa nguồn

Trang 9

VIRUS hoạt động như thế nào

Trang 10

Virus trốn ở đâu?

 Trong rãnh ghi của đĩa mềm Đây là một chương trình nhỏ hoạt động mỗi khi máy tính được khởi động Chương trình này thường hiển thị trên màn hình thông điệp "Non-system disk or disk error" (không có đĩa hệ thống hoặc đĩa lỗi)

 Đính kèm trong bất cứ một chương trình nào: chia sẻ, tên miền công cộng hoặc thương mại.

 Nhúng (embeded) trong file ẩn của hệ thống như IO.SYS và

MSDOS.SYS trên đĩa hoặc ổ khởi động.

 Vùng lưu trữ riêng trên ổ cứng.

Trang 11

Virus phát tán như thế nào?

 Virus lây nhiễm theo cách cổ điển:Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.

 Virus lây nhiễm qua thư điện tử: Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống Virus lây nhiễm vào các file đính kèm theo thư điện tử (attached mail) Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.

Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus Cách này cũng thường khai thác các lỗi của hệ điều hành.

 Virus lây nhiễm qua mạng Internet : Virus lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa

Trang 12

Khi nào virus kích hoạt?

 Vào một số lần máy tính khởi động (ví dụ như virus Stoned, kích hoạt vào theo chu kỳ 8 lần khởi động)

 Vào một ngày nhất định trong năm (virus Michelangelo hoạt động vào các ngày 6/3, đúng ngày sinh của danh họa Italy)

 Một ngày nhất định trong tuần (virus Sunday)

 Một ngày nhất định trong tháng (virus Thứ 6 ngày 13, Thứ 7 ngày 14)

 Tất cả các ngày, trừ một ngày cụ thể (virus Israeli hay Suriv03, không hoạt động vào các thứ 6 ngày 13)

 Chỉ xảy ra đúng một ngày duy nhất (virus Century kích hoạt vào ngày 1/1/2000, viết số 0 lên tất cả những đĩa có kết nối, xoá dữ liệu, ứng dụng, thư mục, bảng phân bổ file…)

 Chỉ hoạt động trong một chu kỳ nhất định sau khi lây nhiễm (virus Plastique chỉ hoạt động trong 1 tuần)

 Kích hoạt ngay sau khi lây nhiễm vào một lượng file nhất định (virus MIX/1 kích hoạt sau khi lây vào 6 file)

 Kích hoạt sau một số lần gõ bàn phím nhất định (virus Devil's Dance kích hoạt sau 2.000 lần người sử dụng gõ phím; đến lần thứ 5.000 sẽ phá huỷ dữ liệu trên đĩa cứng và in ra thông điệp mang tên nó)

 Vào một khoảng thời gian nhất định trong ngày (virus Teatime chỉ hoạt động từ 15h10 đến 15h13, và

cứ sau 11 lần người sử dụng gõ phím nó lại phá một ít dữ liệu)

Trang 13

Phân loại virus

Khi máy tính bắt đầu khởi động (Power on), các thanh ghi phân đoạn đều được đặt về 0FFFFh, còn mọi thanh ghi khác đều được đặt về 0 Như vậy, quyền điều khiển ban đầu được trao cho đoạn mã tại 0FFFFh: 0h, đoạn mã này thực ra chỉ là lệnh nhảy JMP FAR đến một đoạn chương trình trong ROM, đoạn chương trình này thực hiện quá trình POST (Power On Self Test - Tự kiểm tra khi khởi động)

Quá trình POST sẽ lần lượt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo các Chip điều khiển DMA, bộ điều khiển ngắt, bộ điều khiển đĩa Sau đó nó sẽ dò tìm các Card thiết bị gắn thêm để trao quyền điều khiển cho chúng tự khởi tạo rồi lấy lại quyền điều khiển Chú ý rông đây là đoạn chương trình trong ROM (Read Only Memory) nên không thể sửa đổi, cũng như không thể chèn thêm một đoạn mã nào khác

Sau quá trình POST, đoạn chương trình trong ROM tiến hành đọc Boot Sector trên đĩa A hoặc Master Boot trên đĩa cứng vào RAM (Random Acess Memory) tại địa chỉ 0:7C00h và trao quyền điều khiển cho đoạn

mã đó bông lệnh JMP FAR 0:7C00h Ðây là chỗ mà B-virus lợi dụng để tấn công vào Boot Sector (Master Boot), nghĩa là nó sẽ thay Boot Sector (Master Boot) chuẩn bông đoạn mã virus, vì thế quyền điều khiển được trao cho virus, nó sẽ tiến hành các hoạt động của mình trước, rồi sau đó mới tiến hành các thao tác như thông thường: Ðọc Boot Sector (Master Boot) chuẩn mà nó cất giấu ở đâu đó vào 0:7C00h rồi trao quyền điều khiển cho đoạn mã chuẩn này, và người sử dụng có cảm giác rông máy tính của mình vẫn hoạt động bình thường

Khi DOS tổ chức thi hành File khả thi (bông chức năng 4Bh của ngắt 21h), nó sẽ tổ chức lại vùng nhớ, tải File cần thi hành và trao quyền điều khiển cho File đó F-virus lợi dụng điểm này bông cách gắn đoạn mã của mình vào file đúng tại vị trí mà DOS trao quyền điều khiển cho File sau khi đã tải vào vùng nhớ Sau khi F-virus tiến hành xong các hoạt động của mình, nó mới sắp xếp, bố trí trả lại quyền điều khiển cho File

để cho File lại tiến hành hoạt động bình thường, và người sử dụng thì không thể biết được

Trang 14

 Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng Một

số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng

 Botnet: Loại này thường dùng để nhắm vào các hệ thống điều khiển máy tính từ xa, nhưng hiện giờ lại nhắm vào người dùng Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ thuật lập trình cao

 Phishing: là một hoạt động phạm tội dùng các kỹ thuật lừa đảo Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử Phishing thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại

 Rootkit: là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang chạy, các file hoặc dữ liệu hệ thống Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện

liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại

 Cửa hậu (Backdoor): trong một hệ thống máy tính, cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường Cửa hậu có thể có hình thức một chương trình được cài đặt , hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với Trojan

 Virus lây qua passport: Loại virus này lây qua các thẻ RFID cá nhân để thay đổi nội dung của thẻ, buộc tội người dùng và có thể ăn cắp passport Vì sóng RFID không lây qua kim loại nên khi không cần dùng, bạn nên để trong hộp kim loại

 Virus điện thoại di động: chỉ riêng hệ thống PC đã đủ làm người dùng đau đầu, nay lại có virus điện thoại di động Loại này

Trang 15

Danh sách các đuôi tệp có khả năng

di truyền và bị lây nhiễm

Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công.

 bat: Microsoft Batch File (Tệp xử lí theo lô)

 chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)

 com: Command file (program) (Tệp thực thi)

 cpl: Control Panel extension (Tệp của Control Panel)

 doc: Microsoft Word (Tệp của chương trình Microsoft Word)

 exe: Executable File (Tệp thực thi)

 hlp: Help file (Tệp nội dung trợ giúp người dùng)

 js: JavaScript File (Tệp JavaScript)

 jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)

 lnk: Shortcut File (Tệp đường dẫn)

 msi: Microsoft Installer File (Tệp cài đặt)

 pif: Program Information File (Tệp thông tin chương trình)

 reg: Registry File

 scr: Screen Saver (Portable Executable File)

 shs: Shell Scrap Object

 vb: Visual Basic File

 vbe: Visual Basic Encoded Script File

 vbs: Visual Basic File

Trang 17

Sử dụng phần mềm diệt virus

Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều

loại virus máy tính và liên tục cập nhật dữ liệu

để phần mềm đó luôn nhận biết được các virus mới.

Trên thị trường hiện có rất nhiều phần

mềm diệt virus Một số hãng nổi tiếng viết các phần mềm virus được nhiều người sử dụng có

Trang 18

Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng Internet thông qua một modem có chức năng này Thông thường

ở chế độ mặc định của nhà sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép hiệu lực (bật)

Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa bằng các phần mềm

Windows ngày nay đã được tích hợp sẵn tính năng tường lửa bằng

phần mềm, tuy nhiên thông thường các phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so với tường lửa phần mềm sẵn có của Windows Ví dụ bộ phần mềm ZoneAlarm

Security Suite của hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại, chống spam, và tường lửa

Sử dụng tường lửa

Trang 19

Cập nhật các bản sửa lỗi của hệ điều

hành

Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát tán virus và các phần mềm độc hại Người sử dụng luôn cần cập nhật các bản vá lỗi của Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất cả các phần mềm của hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho Windows) Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa)

tự động (Automatic Updates) của Windows Tính năng này chỉ

hỗ trợ đối với các bản Windows mà Microsoft nhận thấy rằng chúng hợp pháp

Trang 20

Vận dụng kinh nghiệm sử dụng máy

tính

cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay đổi khác thường của máy tính Ví dụ đơn giản: Nhận thấy sự hoạt động chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt động khác của tường lửa) Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ

sự xuất hiện của virus Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất cho phần mềm diệt virus hoặc thử sử dụng một phần mềm diệt virus khác để quét toàn hệ thống

qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động là gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý Tuy nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng

Windows thường cho phép các tính năng autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính) Cần loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry

Trang 21

Bảo vệ dữ liệu máy tính

hiện nay để bảo vệ dữ liệu Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các thiết

bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa

quang ), hình thức này có thể thực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của

dữ liệu của bạn

lại các tiện ích sẵn có của hệ điều hành (ví dụ System

Restore của Windows Me, XP ) mà có thể cần đến các phần mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản sao lưu hệ thống bằng các phần mềm ghost, các phần mềm

Ngày đăng: 11/06/2013, 01:26

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình thức thể hiện của virus - Virus và cách phòng chống
Hình th ức thể hiện của virus (Trang 8)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w