Khi nói về chống phần mềm độc hại, ta thường nói tới phần mềm chống virus nhưng không phải lúc nào phần mềm chống virus cũng có hiệu quả. Do đó, việc nâng cao ý thức cảnh giác để phòng ngừa và hơn thế nữa là phân tích, vô hiệu hoá phần mềm độc hại trở thành nhu cầu tất yếu.Vấn đề phân tích, chống phần mềm mã độc đã được vô số các hãng bảo mật trên thế giới tiến hành đầu tư nghiên cứu; từ các hãng lớn như Internet McAfee, Kaspersky, Norton … cho tới các nhóm phát triển phần mềm đơn lẻ. Một số ứng dụng điển hình có thể kể đến như: McAfee Antivirus, Kaspersky Antivirus, Norton Antivirus, Microsoft Security Essentials, AVG AntiVirus … Tuy nhiên, do sự phát triển của phần mềm mã độc luôn đi trước các chương tình diệt virus một bước nên việc nghiên cứu, phân tích mã độc càng trở nên quan trọng và cấp thiết để làm sao hạn chế được tối đa những thiệt hại do phần mềm mã độc gây ra.
Trang 1
Họ tên GVHD: Th.s Lê Tự Thanh
Họ tên SVTH : Nguyễn Văn Giáp
Đà Nẵng, tháng 06 năm 2016
Trang 2MỤC LỤC
MỤC LỤC 1
MỞ ĐẦU 4
CHƯƠNG 1-TỔNG QUAN VỀ MÃ ĐỘC 6
1.1 Khái niệm về Mã độc 6
1.2 Phân loại Mã độc 6
1.2.1 Virus: 6
1.2.2 Compiled Virus 6
1.2.3 Interpreted Virus 6
1.2.4 Worm cũng 7
1.2.5 Trojan Horse: để gây hại như sau: 7
1.2.6 Malicious Mobile Code JavaScript 8
1.2.7 Tracking Cookie 8
1.2.8 Attacker Tool: 8
1.2.9 Rootkits 9
1.2.10 Web Browser Plug-in: 9
1.2.11 Email Generator 9
1.2.12 Attacker Toolkit: 10
1.2.13 Phishing 10
1.2.14 Virus Hoax10 1.3 Lược sử về Mã độc 10
1.4 Vai trò của việc phân tích Mã độc 14
CHƯƠNG 2- PHƯƠNG PHÁP PHÂN TÍCH MÃ ĐỘC 15
2.1 Qui trình phân tích Mã độc 15
2.2 Kiểm tra, phát hiện và lấy mẫu Mã độc 15
2.2.1 Kiểm tra các phần mềm khởi động cùng hệ thống 15
2.2.2 Tiến trình trong Windows 16
2.3 Thiết lập môi trường phân tích an toàn 17
2.4 Phân tích động 18
2.4.1 Sử dụng các công cụ Sandbox 19
2.4.2 Giám sát hoạt động của tiến trình 20
CHƯƠNG 3 – HỆ THỐNG PHÂN TÍCH MÃ ĐỘC 21
3.1 Hệ thống phân tích Mã độc tự động Cuckoo Sandbox 21
3.1.1 Giới thiệu hệ thống 21
3.1.2 Cài đặt hệ thống 22
2.1.2.1 Cài đặt Python 22
2.1.2.2 Cài đặt Pydeep 22
2.1.2.3 Cài đặt MongoDB 22
2.1.2.4 Cài đặt Yara 22 2.1.2.5 Chỉnh sửa quyền cho Tcpdump để Cuckoo có thể thực hiện với
Trang 3quyền không phải quyền quản trị 23
2.1.2.6 Cài đặt Cuckoo Sandbox 23
3.1.3 Sử dụng Cuckoo Sandbox để phân tích Mã độc 23
3.1.3.1 Khởi động virtualbox 23
3.1.3.2 Khởi động Cucko 23
3.1.3.3 Khởi động dịch vụ web 24
KẾT LUẬN 25
TÀI LIỆU THAM KHẢO 26
Trang 4DANH MỤC HÌNH
Hình 2.1 Qui trình phân tích Mã độc 15
Hình 2.2 Kiểm tra các phần mềm khởi động cùng hệ thống 16
Hình 2.3 Quản lý tiến trình và kiểm tra chữ ký file thực thi 17
Hình 3.4 Mô hình hệ thống ảo hóa Một số công cụ ảo hóa thường dùng: 18
Hình 3.1 Sơ đồ hệ thống phân tích mã độc Cuckoo Sandbox 21
Trang 5MỞ ĐẦU
Thế giới đang chứng kiến những thay đổi lớn và có sự phát triển nhanh chóng
về mọi mặt, nhất là trong ngành công nghệ thông tin; phần mềm mã độc cũng khôngnằm ngoài xu hướng đó Từ thời điểm lý thuyết tự nhân bản của phần mềm máytính được John von Neuman (1903-1957) đưa ra (năm 1941) đến khi xuất hiệnvirus đầu tiên phải mất hơn 3 thập kỷ, nhưng với sự bùng nổ của Internet mã độccũng theo đó bùng nổ theo Song song với việc ứng dụng công nghệ thông tin, mãđộc cũng đã và đang len lỏi vào mọi mặt của đời sống, gây ra những thiệt hại vôcùng nghiêm trọng cả về kinh tế lẫn an ninh, quốc phòng
Khi nói về chống phần mềm độc hại, ta thường nói tới phần mềm chống virusnhưng không phải lúc nào phần mềm chống virus cũng có hiệu quả Do đó, việcnâng cao ý thức cảnh giác để phòng ngừa và hơn thế nữa là phân tích, vô hiệuhoá phần mềm độc hại trở thành nhu cầu tất yếu
Vấn đề phân tích, chống phần mềm mã độc đã được vô số các hãng bảo mậttrên thế giới tiến hành đầu tư nghiên cứu; từ các hãng lớn như Internet McAfee,Kaspersky, Norton … cho tới các nhóm phát triển phần mềm đơn lẻ Một số ứngdụng điển hình có thể kể đến như: McAfee Antivirus, Kaspersky Antivirus, NortonAntivirus, Microsoft Security Essentials, AVG Anti-Virus … Tuy nhiên, do sựphát triển của phần mềm mã độc luôn đi trước các chương tình diệt virus một bướcnên việc nghiên cứu, phân tích mã độc càng trở nên quan trọng và cấp thiết để làmsao hạn chế được tối đa những thiệt hại do phần mềm mã độc gây ra
Trên cơ sở kiến thức về an toàn thông tin, lý thuyết về hệ điều hành và nhucầu thực tế, hướng tới xây dựng một chương trình đánh giá an ninh tiến trình nhằm
hỗ trợ quá trình phát hiện mã độc Ngoài ra, đề tài còn có thể được phát triển đểứng dụng phục vụ cho các cơ quan chính phủ (an ninh, quốc phòng…) cũng như các
tổ chức, cá nhân có nhu cầu
Ngoài phần Mở đầu, Kết luận và Phụ lục, nội dung đồ án được chia làm 3chương chính:
Chương 1 Tổng quan về Mã độc: chương này giới thiệu những vấn đề cơ
bản nhất về Mã độc, lịch sử và xu thế phát triển chúng
Chương 2 Phương pháp phân tích Mã độc: chương này mô tả các bước
trong phân tích Mã độc cũng như xây dựng một quy trình phân tích Mã độc
Chương 3 Xây dựng phần mềm hỗ trợ phân tích Mã độc: áp dụng lý
thuyết đã đưa ra trong Chương 3 để xây dựng phần mềm hỗ trợ phân tích Mã độc
Trang 6Giới thiệu hệ thống phân tích Mã độc tự động Cuckoo Sandbox.
Phần Kết luận: trình bày tổng hợp các kết quả nghiên cứu của đồ án và định
hướng nghiên cứu tiếp theo
Đồ án đã đạt được một số kết quả khả quan trong việc nghiên cứu kỹ thuậtphân tích Mã độc, đưa ra được quy trình phân tích đồng thời xây dựng được mộtcông cụ hỗ trợ phân tích hiệu quả Tuy nhiên, đồ án không thể tránh khỏi nhữngthiếu sót, vì vậy tôi rất mong nhận được những ý kiến đóng góp, nhận xét của thầy
cô giáo và bạn đọc để kết quả nghiên cứu được ngày một hoàn thiện hơn
Trang 71.2 Phân loại Mã độc
Có nhiều cách phân loại mã độc khác nhau, dựa vào các tiêu chí khác nhau Tuynhiên, định nghĩa đưa ra bởi NIST là cách định nghĩa phổ biến nhất trong ngànhkhoa học máy tính ngày nay
1.2.1 Virus: Là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản
và lây nhiễm chính nó vào các file, phần mềm hoặc máy tính Như vậy, có thể suy
ra virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc fileứng dụng) để lây lan Các phần mềm diệt virus dựa vào đặc tính này để thực thiviệc phòng chống/diệt virus, để quét các file trên thiết bị lưu hoặc quét các filetrước khi lưu xuống ổ cứng, Điều này cũng giải thích vì sao đôi khi các phầnmềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được”khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ởmáy khác nên không thể thực thi việc xoá đoạn mã độc hại đó được
1.2.2 Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh
bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành Các loại bootvirus (như Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trongnhững năm 80 là virus thuộc nhóm này, compiled virus cũng có thể được pha trộnbởi cả boot virus va file virus trong cùng một phiên bản
1.2.3 Interpreted Virus là một tổ hợp của mã nguồn mà chỉ thực thi được dưới
sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống Một cáchđơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mớiđược thực thi Macro virus, scripting virus là các virus nằm trong dạng này Macrovirus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểmsoát việc tạo và mở file để thực thi và lây nhiễm Chúng ta phân biệt giữa macrovirus và scripting virus như sau: macro virus là tập lệnh thực thi bởi một ứng dụng
cụ thể, còn scripting virus là tập lện chạy bằng một service của hệ điều hành
Trang 8Melisa là một ví dụ xuất sắc về macro virus, Love Stages là ví dụ cho scripting virus.
1.2.4 Worm cũng là một phần mềm có khả năng tự nhân bản và tự lây nhiễm
trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa làworm không cần phải có “file chủ” để chứa nó khi đã nhiễm vào hệ thống Như vậy,
có thể thấy rằng chỉ dùng các phần mềm quét file sẽ không diệt được worm trong hệthống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng.Mục tiêu của worm bao gồm cả việc làm lãng phí nguồn lực băng thông của mạngcũng như phá hoại hệ thống (xoá file, tạo backdoor, thả keylogger, ) Worm có đặctrưng là khả năng tấn công lan rộng cực kỳ nhanh chóng do không cần tác động củacon người (như khởi động máy, sao chép file hay đóng/mở file) Nhìn chung, Worm
có thể chia làm 2 loại:
- Network Service Worm: Lan truyền bằng cách lợi dụng các lỗhổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng
Sasser là ví dụ cho loại sâu này.
- Mass Mailing Worm: Là một dạng tấn công qua dịch vụ mail, tuynhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bámvào vật chủ là email Khi sâu này lây nhiễm vào hệ thống, nóthường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến cácđịa chỉ thu nhặt được Việc gửi đồng thời cho toàn bộ các địa chỉ
thường gây quá tải cho mạng hoặc cho máy chủ mail Netsky, Mydoom là ví dụ cho thể loại này.
1.2.5 Trojan Horse: Là loại mã độc hại được đặt theo sự tích “Ngựa thành
Troa” Trojan horse không tự nhân bản Nó lây vào hệ thống với biểu hiện ban đầurất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã với mục đích gây hại.Trojan có thể lựa chọn một trong 3 phương thức để gây hại như sau:
- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào, bêncạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụnhư gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó làmột phần mềm đánh cắp password)
- Tiếp tục thực thi các chức năng của phần mềm mà nó bám vào,nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như mộttrojan giả lập một cửa sổ login để lấy password) hoặc che giấu cáchành động phá hoại khác (ví dụ như trojan che dấu cho các tiếntrình độc hại khác bằng cách tắt các hiển thị của hệ thống)
- Thực thi luôn một phần mềm gây hại bằng cách núp dưới danh một
Trang 9phần mềm không có hại (ví dụ như một trojan được giới thiệu như
là một trò chơi hoặc một tool trên mạng, người dùng chỉ cần kíchhoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)
1.2.6 Malicious Mobile Code: Là một dạng mã phần mềm có thể được gửi từ
xa vào một hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống
đó Malicious Mobile Code được coi là khác với virus, worm do đặc điểm khôngnhiễm vào file và không tìm cách tự phát tán Thay vì khai thác một điểm yếu bảomật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tậndụng các quyền ưu tiên ngầm định để chạy mã từ xa Các công cụ lập trình nhưJava, ActiveX, JavaScript, VBScript là môi trường tốt cho Malicious mobile code.Một trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụngJavaScript
Kiểu tấn công của Nimda thường được biết đến như một tấn công hỗn hợp
(Blended Atatck) Cuộc tấn công bắt đầu khi người dùng mở một email độc
bằng web-browser Sau khi nhiễm vào máy, Nimda sẽ cố gắng sử dụng sổ địa chỉ
email của máy đó để phát tán tới các máy khác Mặt khác, từ máy đã bị nhiễm,
Nimda cố gắng quét các máy khác trong mạng có thư mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển file nhiễm virus tới các máy đó Đồng thời Nimda cố gắng dò quét để phát hiện ra các máy tính có
cài dịch vụ IIS có điểm yếu bảo mật của Microsoft Khi tìm thấy, nó sẽ copy bảnthân nó vào server Nếu một web client có điểm yếu bảo mật tương ứng kết nốivào trang web này, client đó cũng bị nhiễm (lưu ý rằng bị nhiễm mà không cần
“mở email bị nhiễm virus”) Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân
1.2.7 Tracking Cookie: Là một dạng lạm dụng cookie để theo dõi hành động
duyệt web của người sử dụng một cách bất hợp pháp Cookie là một file dữ liệuchứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client Mục tiêucủa việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ragiao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp(spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá nhân
1.2.8 Attacker Tool: Là những bộ công cụ tấn công có khả năng đẩy các phần
mềm độc hại vào trong hệ thống Các bộ công cụ này giúp kẻ tấn công truy nhập bấthợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại Khi đượctải vào trong hệ thống bằng các đoạn mã độc hại, attacker tool có thể chính làmột phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào
hệ thống sau khi nhiễm Attacker tool thường gặp là backdoor và keylogger
Trang 10Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và
đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP Phần lớn các backdoor chophép kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dòmật khẩu, thực hiện mã lệnh, Backdoor cũng có thể được xem xét dưới 2 dạng:Zoombie và Remote Administration Tool
- Zoombie (có thể đôi lúc gọi là bot): là một phần mềm được cài đặtlên hệ thống nhằm mục đích tấn công hệ thống khác Kiểu thôngdụng nhất của Zoombie là dùng các agent để tổ chức một cuộc tấncông DDoS Kẻ tấn công có thể cài Zoombie vào một số lượng
lớn các máy tính rồi ra lệnh tấn công cùng một lúc Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.
- Remote Administration Tool là các công cụ có sẵn của hệ thốngcho phép thực hiện quyền quản trị từ xa Tuy nhiên hacker cũng
có thể lợi dụng tính năng này để xâm hại hệ thống Tấn công kiểunày có thể bao gồm hành động theo dõi mọi thứ xuất hiện trênmàn hình cho đến tác động vào cấu hình của hệ thống Ví dụ về
công cụ RAT là: Back Orifice, SubSeven,
Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn
bằng bàn phím rồi gửi tới hacker Keylogger có thể ghi lại nội dung của email, củavăn bản, user name, password, thông tin bí mật Một số ví dụ về keylogger:
KeySnatch, Spyster,
1.2.9 Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi
các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn sự tấn công nguyhiểm Ví dụ như trong hệ thống Windows, rootkit có thể sửa đổi, thay thế file, hoặcthường trú trong bộ nhớ rồi thay thế, sửa đổi các lời gọi hàm của hệ điều hành.Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor, càikeylogger Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender
1.2.10 Web Browser Plug-in: là phương thức cài mã độc hại thực thi cùng với
trình duyệt web Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành viduyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi thôngtin ra ngoài Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại
tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại ngầmđịnh mặc dù không được phép của chủ nhân
1.2.11 Email Generator: là những phần mềm cho phép tạo ra và gửi đi một số
lượng lớn các email Mã độc hại có thể gieo rắc các email generator vào trong hệ
Trang 11thống Các phần mềm gián điệp, spam, mã độc hại có thể được đính kèm vào cácemail được sinh là từ email generator và gửi tới các địa chỉ có trong sổ địa chỉ củamáy bị nhiễm.
1.2.12 Attacker Toolkit: là các bộ công cụ có thể được tải xuống và cài vào hệ
thống khi hệ thống đã bị khống chế bởi phần mềm độc hại Các công cụ như các bộ
dò quét cổng (port scanner), bộ phá mật khẩu (password cracker), bộ dò quét góitin (Packet Sniffer) chính là các Attacker Toolkit thường hay được sử dụng
1.2.13 Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã
độc hại Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thốngmáy tính giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính(ví dụ như mật khẩu, số tài khoản, thông tin cá nhân ) Kẻ tấn công phishingthường tạo ra trang web hoặc email có hình thức giống hệt như các trang webhoặc email mà nạn nhân thường hay sử dụng như trang web của Ngân hàng, củacông ty phát hành thẻ tín dụng, Email hoặc trang web giả mạo này sẽ đề nghịnạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được
sử dụng vào các mục đích bất hợp pháp khác
1.2.14 Virus Hoax là các cảnh báo giả về virus Các cảnh bảo giả này thường
núp dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báovirus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt quaemail Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thưgửi để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉdẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống Kiểu cảnhbáo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quánhiều người gọi đến và yêu cầu dịch vụ
Vào cuối thập niên 1960 đầu thập niên 1970, trên các máy Univax 1108 xuấthiện một phần mềm “Pervading Animal” mà tự nó có thể nối với phần sau của tậptin thực thi Lúc đó chưa có khái niệm virus
Năm 1981: Các Mã độc đầu tiên xuất hiện trong hệ điều hành của máy tính
Trang 12Apple II Đây cũng là những virus đầu tiên xuất hiện trên hệ điều hành củahãng Apple, chúng lây lan khắp hệ thống máy tính của công ty Texas A&M, thôngqua các trò chơi không có bản quyền trên đĩa mềm Những người đầu tiên pháthiện đã gọi chúng là Elk Cloner.
Năm 1983: Fred Cohen đưa ra khái niệm đầu tiên về Virus: “Là một phầnmềm máy tính có thể tác động những phần mềm máy tính khác bằng cách sửađổi chúng dùng phương pháp đưa vào một bản sao của nó” Fred Cohen luôn là cáitên đầu tiên được nhắc đến khi nói về lịch sử của Mã độc
Năm 1986: Virus “Brain” được phát hiện, đây là virus đầu tiên được phát hiệntrên máy tính cá nhân Virus này được tạo ra tại Pakistan bởi hai anh em lập trìnhviên là Basit Farooq Alvi và Amjad Farooq Alvi Phần mềm này thay thế các mãthực hiện (Executable code) trong rãnh ghi khởi động (boot sector) của một đĩamềm 360Kb bằng mã riêng của nó, với mục đích làm lây nhiễm tất cả các ổ đĩamềm Đây cũng là Virus MS-DOS xuất hiện sớm nhất
Năm 1987: Lehigh, một trong những Virus file đầu tiên xâm nhập các tập lệnhCommand.com (Virus này sau đó tiến hóa thành Virus Jerusalem) Cũng trongnăm này, Virus IBM Chrismast cũng được phát hiện, với tốc độ lây nhiễm cựcnhanh tới hàng nghìn bản sao trên giờ, đây là cơn ác mộng thực sự đối với cácmáy tính lớn (mainframe) của Big Blue
Năm 1988: Virus Jerusalem, một trong những Virus phổ biến nhất xuất hiện,
nó tấn công đồng loạt các trường đại học và các công ty trên nhiều quốc gia vàođúng thứ 6 ngày 13, Virus này tác động lên các file có đuôi exe và com, đây làloại virus hoạt động theo đồng hồ máy tính Cùng năm này, Virus “MacMag andthe Scores” gây ra đợt bùng phát lớn đầu tiên trên các máy Macintosh Đây cũng
là cuộc khủng hoảng Internet đầu tiên khiến một số lượng lớn máy tính bị tê liệt.Cũng từ đó, trung tâm điều phối phản ứng nhanh (CERT) đã ra đời để đối phó vớinhững sự cố tương tự
Năm 1989: Xuất hiện phần mềm Trojan có tên AIDS Trojan này nổi tiếng vì
có khả năng khống chế dữ liệu giống như con tin Nó được gửi đi dưới dạng một phầnmềm thông tin về bệnh suy giảm miễn dịch AIDS Khi được kích hoạt Trojan AIDS
sẽ mã hóa ổ cứng của nạn nhân và yêu cầu người sử dụng phải nộp tiền nếu muốnđược giải mã
Năm 1990: Symantec phát triển công cụ Norton AntiVirus, một trong nhữngphần mềm diệt Virus đầu tiên do công ty lớn phát triển Cũng trong năm này, thịtrường trao đổi mã độc đầu tiên (VX) được tung lên mạng từ Bulgaria Tại đây, các
Trang 13tin tặc có thể buôn bán mã và giao lưu các ý tưởng về mã độc Cuốn sách về Virusmáy tính của tác giả Mark Ludwig được xuất bản cùng thời gian này.
Năm 1991: Mã độc đa hình (Polymorphic Mã độc) ra đời, đầu tiên là Sâu
“Tequilla” Mã độc dạng này có khả năng tự thay đổi hình thức của nó, gây khó khăncho các phần mềm chống Virus, nó khiến cho việc phát hiện và truy quét trở nên rấtphức tạp
Năm 1992: Trong vòng 2 năm, đã ghi nhận được tổng số hơn 1.300 Mã độcđang tồn tại, tăng 420% so với tháng 12 năm 1990 Xuất hiện DAME (Dark AvengerMutation Engine) - một bộ công cụ cho phép chuyển những mã độc thôngthường thành những phần mềm có khả năng thay đổi hình dạng Sau đó làVCL (Virus Creation Laboratory), một công cụ chế tạo Mã độc thực sự ra đời Sựxuất hiện của Virus MichelLangelo làm dấy lên lời cảnh báo về thiệt hại quy môlớn trên toàn cầu, mặc dù cuối cùng sự phá hoại của Virus này đã không xảy ra như
lo ngại
DOS
Năm 1994: Xuất hiện OneHalf, đây là một virus máy tính đa hình trên nềnNăm 1995: Macro Virus đầu tiên xuất hiện, có tên gọi “Concept”, chúng lâylan qua các ứng dụng MS-Office
Năm 1996: “Ply” - Virus đa hình phức tạp được xây dựng dựa trên công cụhoán vị
Năm 1998: Phiên bản đầu tiên của virus CIH xuất hiện Đây là virus đầu tiênđược biết đến có khả năng xóa nội dung trong ROM BIOS
Năm 1999: Sâu Melissa đã được phát hiện, nhắm vào mục tiêu Microsoft Word
và các hệ thống dựa trên Outlook, nó đã tạo ra mạng lưới lây nhiễm đáng kể.Cũng trong năm này, sâu Kak được phát hiện, đây sâu máy tính dùng mãJavascript và lây lan bằng cách khai thác một lỗi trong Outlook Express
Năm 2000: Sâu ILOVEYOU, còn được gọi là Love Letter hay Love Bug, sâunày được tạo ra bởi một sinh viên ngành khoa học máy tính của Philippines Đượcviết bằng VBScript, nó lây nhiễm hàng triệu máy tính Windows trên toàn thế giớitrong vòng vài giờ phát hành
Năm 2001: Trong năm này, phải kể đến Sâu Nimda (còn được gọi là quái vật
đa đầu) vì nó là sự kết hợp hoàn hảo những điểm mạnh của 5 loại Mã độc khácnhau Ngoài ra còn phải kể đến Virus Anna Kournikova, sâu Sadmind, sâu Sircam,sâu Code Red