Thuyết trình về Virus

Đây là một trong những đề tài bọn mình được giao nghiên cứu trong môn học. Dù chỉ là bài viết của sinh viên nhưng nó được giảng viên trường Đại học công nghê nhận xét khá đầy đủ. Hi vọng nó mang lại lợi ích cho bạn đọc.

M c L c ụ ụ

I Khái quát chung v virus máy tính ề

1 Khái ni m virus máy tính……… 2 ệ

2 M t s khái ni m liên quan……… 3 ộ ố ệ

3 L ch s phát tri n c a virus máy tính……… 5 ị ử ể ủ

4 S li u th ng kê v virus trong th i gian g n ây………16 ố ệ ố ề ờ ầ đ

5 D u ấ hi u ệ và tác h i ạ c a ủ Virus máy tính……… 20

6 M t s lo i virus nguy hi m trong l ch s và cách lây nhi m c a ộ ố ạ ể ị ử ễ ủ

ĐỀ TÀI: TÌM HIỂU VỀ VIRUS MÁY TÍNH VÀ CÁCH

•Trước đây, virus thường được viết bởi một số người

am hiểu về lập trình muốn chứng tỏ khả năng củamình nên thường virus có các hành động như: chomột chương trình không hoạt động đúng, xóa dữliệu, làm hỏng ổ cứng, hoặc gây ra những trò đùakhó chịu

•Những virus mới được viết trong thời gian gần đâykhông còn thực hiện các trò đùa hay sự phá hoại đốimáy tính của nạn nhân bị lây nhiễm nữa, mà đa phầnhướng đến việc lấy cắp các thông tin cá nhân nhạycảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặcđột nhập chiếm quyền điều khiển hoặc các hànhđộng khác nhằm có lợi cho người phát tán virus

•Chiếm trên 90% số virus đã được phát hiện là nhắmvào hệ thống sử dụng hệ điều hành họ Windows chỉđơn giản bởi hệ điều hành này được sử dụng nhiềunhất trên thế giới Do tính thông dụng của Windowsnên các tin tặc thường tập trung hướng vào chúngnhiều hơn là các hệ điều hành khác Cũng có quan

điểm cho rằng Windows có tính bảo mật không tốtbằng các hệ điều hành khác (như Linux) nên cónhiều virus hơn, tuy nhiên nếu các hệ điều hành kháccũng thông dụng như Windows hoặc thị phần các hệđiều hành ngang bằng nhau thì cũng lượng virus xuấthiện có lẽ cũng tương đương nhau.

2. Các khái niệm có liên quan

• Phần mềm ác tính ( malware )

(chữ ghép của maliciuos và software) chỉ chung

các phần mềm có tính năng gây hại như virus, worm

và Trojan horse

• Sâu máy tính ( worm )

là các chương trình cũng có khả năng tự nhân bản tựtìm cách lan truyền qua hệ thống mạng (thường làqua hệ thống thư điện tử) Điểm cần lưu ý ở đây,ngoài gây tác hại cho máy bị nhiễm, nhiệm vụ chính

của worm là phá các mạng (network) thông tin chia

sẻ, làm giảm khả năng hoạt động hay ngay cả hủyhoại các mạng này Nhiều nhà phân tích cho rằngworm khác với virus, họ nhấn mạnh vào đặc tính pháhoại mạng nhưng ở đây worm được là một loại virusđặc biệt

• Trojan Horse

Đây là loại chương trình cũng có tác hại tương tựnhư virus chỉ khác là nó không tự nhân bản ra Nhưthế, cách lan truyền duy nhất là thông qua các thưdây chuyền Để trừ loại này người chủ máy chỉ việctìm ra tập tin Trojan horse rồi xóa nó đi là xong Tuynhiên, không có nghĩa là không thể có hai con Trojanhorse trên cùng một hệ thống Chính những kẻ tạo racác phần mềm này sẽ sử dụng kỹ năng lập trình củamình để sao lưu thật nhiều con trước khi phát tán lên

mạng Đây cũng là loại virus cực kỳ nguy hiểm Nó

có thể hủy ổ cứng, hủy dữ liệu

• Phần mềm gián điệp ( spyware )

Đây là loại virus có khả năng thâm nhập trực tiếpvào hệ điều hành mà không để lại "di chứng".Thường một số chương trình diệt virus có kèm trìnhdiệt spyware nhưng diệt khá kém đối với các đợt

"dịch"

• Phần mềm quảng cáo ( adware )

Loại phần mềm quảng cáo, rất hay có ở trong cácchương trình cài đặt tải từ trên mạng Một số phầnmềm vô hại, nhưng một số có khả năng hiển thịthông tin kịt màn hình, cưỡng chế người sử dụng

• Botnet

Là những máy tính bị bắt cóc và điều khiển bởingười khác thông qua Trojan, virus

Điều đặc biệt nguy hiểm là các botnet được phơi bày

từ các hacker không cần kỹ thuật lập trình cao Nóđược rao bán với giá từ 20USD trở lên cho cáchacker Hậu quả của nó để lại không nhỏ: mất tàikhoản Nếu liên kết với một hệ thống máy tính lớn,

nó có thể tống tiền cả một doanh nghiệp

• Phishing

Là một hoạt động phạm tội dùng các kỹ thuật lừađảo Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạycảm, chẳng hạn như mật khẩu và thông tin về thẻ tíndụng, bằng cách giả là một người hoặc một doanhnghiệp đáng tin cậy trong một giao dịch điện tử.Phishing thường được thực hiện bằng cách sử dụngthư điện tử hoặc tin nhắn, đôi khi còn sử dụng cảđiện thoại

• Rootkit

Là một bộ công cụ phần mềm dành cho việc che giấucác tiến trình đang chạy, các file hoặc dữ liệu hệthống Rootkit có nguồn gốc từ các ứng dụng tương

đối hiền, nhưng những năm gần đây, rootkit đã bị sửdụng ngày càng nhiều bởi các phần mềm ác tính,giúp kẻ xâm nhập hệ thống giữ được đường truynhập một hệ thống trong khi tránh bị phát hiện

xa tới một máy tính, trong khi cố gắng không bị pháthiện bởi việc giám sát thông thường

3. Lịch sử phát triển của virus

1949 Lý thuyết đầu tiên về các chương trình tự sao chép ra đời

1981 Apple II là những virus đầu tiên được phát tán thông qua hệ điềuhành của hãng "Quả táo", lây lan khắp hệ thống của công ty Texas A&M,thông qua các trò chơi ăn cắp bản quyền trên đĩa mềm Những ngườiđầu tiên phát hiện còn gọi nó là Elk Cloner

1983 Fred Cohen, một sinh viên đại học Mỹ, đã đưa ra định nghĩa đầutiên về virus: “Là một chương trình máy tính có thể tác động nhữngchương trình máy tính khác bằng cách sửa đổi chúng bằng phươngpháp đưa vào một bản sao của nó” Fred Cohen luôn là cái tên đượcnhắc đến khi nói về lịch sử virus.

1986 Hai anh em lập trình viên người Pakistan là Basit và Amjad thaythế mã thực hiện (executable code) trong rãnh ghi khởi động của mộtđĩa mềm bằng mã riêng của họ, được thiết kế với mục đích phát tán từmột đĩa mềm 360 K khi cho vào bất cứ ổ đĩa nào Loại đĩa mềm mangvirus này có mác “The Brain” Đây chính là những virus MS-DOS xuấthiện sớm nhất

1987 Lehigh, một trong những virus file đầu tiên xâm nhập các tệplệnh command.com(virus này sau đó tiến hoá thành virus Jerusalem).Một virus khác có tên IBM Christmas, với tốc độ phát tán cực nhanh(500.000 bản sao/tiếng), là cơn ác mộng đối với các máy tính lớn(mainframe) của Big Blue trong suốt năm đó.

1988 Một trong những virus phổ biến nhất, Jerusalem, xuất hiện Đượckích hoạt vào các thứ Sáu ngày 13, virus này tác động file có đuôi exe và.com, xoá tất cả những ứng dụng chạy trong ngày hôm đó Cùng nămnày, virus MacMag and the Scores gây ra đợt bùng phát lớn đầu tiêntrên các máy Macintosh Đây là cuộc khủng hoảng Internet đầu tiênkhiến một số lượng lớn máy tính bị tê liệt Cũng từ đó, Trung tâm điềuphối phản ứng nhanh (CERT) đã ra đời để đối phó với những sự cốtương tự.

1989 Xuất hiện chương trình Trojan có tên AIDS Virus này nổi tiếng vì

có khả năng khống chế giữ liệu giống như con tin Nó được gửi đi dướidạng một chương trình thông tin về bệnh suy giảm hệ miễn dịch Khiđược kích hoạt, AIDS sẽ mã hoá ổ cứng của nạn nhân và yêu cầu người

sử dụng phải nộp tiền nếu muốn được giải mã

1990 Symantec tung ra công cụ Norton AntiVirus, một trong nhữngchương trình diệt virus đầu tiên do một công ty lớn phát triển.

Thị trường trao đổi virus đầu tiên (VX) được tung lên mạng từ Bulgaria.Tại đây, các tin tặc có thể buôn bán mã và giao lưu ý tưởng Cùng nămnày, cuốn Sách đen về virus máy tínhcủa tác giả Mark Ludwig được xuấtbản

1991 Tequila, một trong những virus phát tán dưới nhiều hình dạngđầu tiên được phát hiện Những sâu loại này khiến cho việc xác định và

truy quét chúng trở nên khó khăn do sự thay hình đổi dạng sau mỗi lầnlây nhiễm.

1992 Trong vòng 2 năm, người ta ghi nhận tổng số 1.300 virus đang tồntại, tăng 420% so với tháng 12/1990 Xuất hiện DAME (Dark AvengerMutation Engine), một bộ công cụ cho phép chuyển những virus thôngthường thành những chương trình có khả năng thay đổi hình dạng Sau

đó là VCL (Virus Creation Laboratory), công cụ sáng tác virus thực sự đã

ra đời Sự xuất hiện của virus Michelangelo làm dấy lên những lời cảnhbáo về thiệt hại quy mô lớn trên toàn cầu, mặc dù cuối cùng những gìxảy ra không như người ta lo ngại

1994 Trò lừa qua e-mail đầu tiên xuất hiện trong cộng đồng tin học Trònày cảnh báo người sử dụng về một loại virus có thể xoá toàn bộ ổ cứngngay khi mở e-mail có dòng chủ đề “Good Times” Mặc dù không gâythiệt hại gì mà chỉ có tính chất doạ dẫm, trò lừa này vẫn tiếp tục xuấthiện trong chu kỳ từ 6 đến 12 tháng/lần

1995 Word Concept xuất hiện, tấn công các văn bản Microsoft Word vàtrở thành một trong những virus ghê gớm nhất vào giữa thập kỷ này

1996 Baza, Laroux (virus macro) và một số virus Staog xuất hiện lần đầutiên, tấn công các file trong hệ điều hành Windows 95, chương trìnhbảng tính Excel và cả Linux.

1998 Không được đánh giá là nguy hiểm và chưa phát tán rộng,StrangeBrew là virus đầu tiên lây nhiễm vào file Java Virus này sửa đổicác file CLASS để đưa một bản sao của nó vào giữa mã file để có thể bắtđầu chạy một vùng virus Virus Chernobyl , hay còn gọi là CIH, phát tánrất nhanh qua các file exe Ngay như cái tên nó đã thể hiện, virus này

có sức tàn phá khủng khiếp, không chỉ tấn công file mà cả chip trongmáy bị nhiễm

1999 Virus Melissa (W97M/Melissa) chạy một macro trong văn bảnđính kèm e-mail, gửi tiếp thư này tới 50 người khác sử dụng Outlook.Virus này cũng lây nhiễm vào các văn bản Word và tiếp đó gửi chúng đinhư những nội dung đính kèm Melissa phát tán nhanh hơn bất kỳ virusnào từng xuất hiện trước đó, đạt tổng số 1 triệu máy tính nạn nhân

Bubble Boy là sâu máy tính đầu tiên không dựa vào việc người nhận mail có mở file đính kèm hay không Chỉ cần thư được mở ra, nó vẫn sẽ

W97M.Resume.A, một biến thể mới của Melissa, được tung ra, sử dụngmột macro trong Word để lây lan vào Outlook

Virus Stage, giả dạng một e-mail với nội dung ngộ nghĩnh về những giaiđoạn đời người, lan rộng trên Internet Khác với những virus trước đó,

nó ẩn trong một file đính kèm với một đuôi giả “.txt”, để dễ lừa ngườinhận mở file Cho đến nay, virus này không còn tác động nữa

Các cuộc tấn công từ chối dịch vụ bằng virus của hacker đã đánh bậtkhỏi mạng nhiều website như Yahoo, eBay, Amazon,… trong nhiều giờđồng hồ.

2001 Nimda (vẫn được gọi là Quái vật đa đầu) với sức mạnh kết hợp từ

5 loại virus với phương thức hoạt động khác nhau tấn công hàng trămnghìn máy tính trên thế giới Đây là một trong những virus phức tạpnhất tới nay mà người ta xác định được

Virus mang tên nữ hoàng quần vợt Nga Anna Kournikova , tự sao chépvào danh sách địa chỉ e-mail trong Microsoft Outlook và mặc dù khônggây hại nhiều, vẫn khiến các nhà phân tích lo sợ đây là một sản phẩmđược thiết kế từ công cụ hỗ trợ viết virus, nhờ đó những tin tặc ít kinhnghiệm lập trình nhất cũng có thể chế tác các chương trình phá hoại

Hàng loạt sâu mới xuất hiện với những cái tên như Sircam , CodeRed vàBadTrans Sircam phát tán qua văn bản e-mail Internet CodeRed tấncông những trang web có khiếm khuyết và thậm chí còn lái hướng tấncông tới trang chủ của Phủ Tổng thống Mỹ Trong vòng 12 giờ đầu tiên,virus này đã xâm nhập 359.000 máy tính BadTrans là loại sâu đượcthiết kế để ăn cắp mật khẩu và thông tin thẻ tín dụng.

2002 David L Smith, tác giả của virus Melissa, bị kết án 20 năm tù.Tháng 1, virus LFM-926 xuất hiện trong các file Shockwave Flash (.swf)với thông điệp mời tải phim (Loading.Flash.Movie) Liên tiếp phát hiệnnhững virus sử dụng tên các nhân vật và nghệ sĩ nổi tiếng như Shakira ,Britney Spears và Jennifer Lopez Klez , một ví dụ tiêu biểu của xuhướng gia tăng những loại sâu e-mail, viết đè lên file, tạo ra các bản sao

ẩn của bản gốc và vô hiệu hoá nhiều công cụ phòng chống thôngthường Sâu Bugbear lần đầu tiên xuất hiện vào tháng 9, với tính chấtphức tạp và sử dụng nhiều phương thức lây lan

2003 Tháng Giêng, sâu Slammer ra đời và đến nay vẫn được coi là loạivirus có tốc độ phát tán nhanh nhất: 75.000 máy tính chỉ trong 10 phút,tức là trong phút đầu tiên, trung bình cứ 8,5 giây, con số này lại được

nhân đôi Virus Sobig ra đời và trở thành công cụ ưa thích của cộngđồng spam Những hệ thống máy tính bị nhiễm virus này trở thành trạmtiếp vận phát tán thư không mời Nhiều kỹ thuật spam được sử dụngtrong Sobig giúp nó gửi đi lượng bản sao e-mail khổng lồ.

Tuy nhiên, sự kiện đáng chú ý nhất trong năm nay là Blaster (còn có tênMBlast hay LoveSan), là một trong những loại virus có sức lây lan rấtmạnh, nhắm vào máy tính sử dụng hệ điều hành Windows 2000 và XP.Bắt đầu xuất hiện ngày 11/8, chỉ trong chưa đầy 1 tuần, Blaster đã xâmnhập ít nhất 300.000 máy tính tại nhiều nước, trong đó có Việt Nam Khi xâm nhập vào một máy tính bị lỗi Windows, Blaster tự động tảiđoạn mã từ PC bị nhiễm trước đó để tự nhân bản và tiếp tục phát tán.Sau đó, nó tìm quét những máy tính khác có lỗ hổng tương tự và tấncông Những máy tính đã nhiễm, mỗi khi kết nối Internet được vài phútliền bị shutdown tự động

Cuộc chạy đua giữa hai họ virus cùng có nguồn gốc từ Đức và lây nhiễmnhiều nhất trong năm này, bắt đầu bằng việc các biến thể mới của virusSkynet khi lây nhiễm vào một máy tính sẽ tìm cách loại bỏ các virus họBeagle ra khỏi máy đó và ngược lại Mỗi biến thể của Skynet xuất hiệntrên thế giới thì gần như ngay lập tức sẽ có một biến thể của Beagleđược viết ra để chống lại nó và ngược lại Cuộc chạy đua này kéo dàiliên tục trong mấy tháng đã làm cho số lượng virus mới xuất hiện trongnăm 2004 tăng lên một cách nhanh chóng.

Năm 2004 cũng là năm xuất hiện virus khai thác lỗ hổng của dịch vụLSASS (Local Security Authority Subsystem Service) trên hệ điều hànhWindow 2K, Window XP để lây lan giữa các máy tính - virus Sasser Cũnggiống như virus Blaster, virus Sasser nhanh chóng gây nên một tìnhtrạng hỗn loạn trên mạng khi làm Shutdown tự động hàng loạt máy tính

mà nó lây nhiễm

2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting

Các dịch vụ chatting trực tuyến như Yahoo!, MSN bắt đầu được virus lợidụng như một công cụ để phát tán virus trên mạng Theo thống kê củaBkav thì trong vòng 6 tháng đầu năm này, đã có tới 7 dòng virus lây lanqua các dịch vụ chatting xuất hiện ở Việt Nam Trong thời gian tớinhững virus tấn công thông qua các dịch vụ chatting sẽ còn tiếp tục xuấthiện nhiều hơn nữa khi số người sử dụng dịch vụ này ngày càng tăng

* Trong tương lai không xa, virus sẽ có thêm các bước biến đổi khác, nó

bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằngnhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đoạn kháccủa phần mềm gián điệp (spyware) Đồng thời nó có thể tấn công vàonhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệđiều hành độc nhất như trong trường hợp của Windows hiện giờ Và có

lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn

công: lợi dụng điểm yếu của máy tính cũng như chương trình.

4. Số liệu thống kê về virus trong thời gian gần đây

4.1 Gần 25% lượng PC toàn cầu "ở trần" trước virus

bản đồ bảo mật máy tính thế giới

Mặc dù đa số người dùng chủ động trong việc bảo vệ máy tính của họ với phần mềm chống virus và thậm chí có thể thiết lập một bức tường lửa, nhưng theo thống kê cho thấy, trung bình có 24% lượng PC trên toàn thế giới vẫn không được bảo vệ, dẫn đến lỗ hổng dễ bị tấn công mạng Đáng chú ý là có rất nhiều phần mềm bảo mật miễn phí được cung cấp trên Internet nhưng vẫn có nhiều người không cài đặt vào thiết bị của mình.

4.2 2/3 số máy tính ở Việt Nam bị nhiễm virus và mã đọc

Đó là con số thống kê của Cục ANTT từ khảo sát độc lậpcủa một số tổ chức trong và ngoài nước Theo đó, trongcác cơ quan Nhà nước, phần mềm độc hại vẫn là vấn nạnrất nguy hiểm, khó lường thiệt hại, rủi ro

Những phương thức tin tặc thường hay dùng để tấn côngvào các cơ quan Nhà nước là sử dụng thư giả mạo để lâynhiễm mã độc nhằm thu thập dữ liệu nhạy cảm, tấn côngthay đổi giao diện trang thông tin điện tử

Mới đây đã xuất hiện hình thức mới, đó là sử dụng mạng

xã hội làm công cụ để tấn công mạng Chẳng hạn giả mạonguồn phát tán thông tin, đường link thể hiện là của báo

điện tử nhưng click vào lại không phải như vậy Thực chấtđây là một trong những nguồn phát tán mã độc, virus màngười dùng dễ có xu hướng click chuột vào.

Chỉ cần click chuột, máy tính lập tức bị lây nhiễm mã độc,rồi sau đó lây lan vào cả hệ thống của cơ quan, tổ chức.Đây là nguy cơ mất an toàn, an ninh thông tin mới nhất,nguy hiểm nhất hiện nay, nhất là khi chuyện công chứcdùng mạng xã hội đã rất phổ biến

4.3 Báo cáo tình hình virus và bảo mật trong năm 2015 của

Kaspersky Lab

Trong năm 2013, hầu hết các cuộc tấn công web đượcthực hiện bằng cách sử dụng các nguồn tài nguyên webđộc hại tập trung ở Mỹ và Nga Trong khi vào năm 2014thì Đức là quốc gia có số lượng lưu trữ trang web độc hạinhiều nhất, trừ Mỹ Hà Lan vẫn xếp ở vị trí thứ 3

Những con số về bảo mật đáng chú ý trong năm 2014:

• 6,2 tỉ cuộc tấn công độc hại trên máy tính vàcác thiết bị di động đã bị ngăn chặn bởi các sảnphẩm chống virus của Kaspersky Lab trongnăm 2014, nhiều hơn một tỷ cuộc tấn công sovới năm 2013

• 38% người sử dụng máy tính phải chịu ít nhấtmột cuộc tấn công web qua trong 1 năm

• 44% các cuộc tấn công web bị vô hiệu hóa bởicác sản phẩm Kaspersky Lab được thực hiệnbằng cách sử dụng các nguồn tài nguyên webđộc hại đặt tại Hoa Kỳ (27,5%), Đức (16,6%),

• Những cố gắng để đánh cắp tiền trực tuyếnthông qua tài khoản ngân hàng đã bị chặn trênhầu hết 2.000.000 máy tính của người dùng.

• Tổng cộng 3,7 triệu nỗ lực tấn công lây nhiễmcác máy tính chạy OS X đã bị chặn bởi các sảnphẩm Kaspersky Lab

• Một người dùng Mac trung bình 9 gặp mối đedọa trong năm

5. Tác hại và dấu hiệu của virus

• Dấu hiệu (ở trên hình ảnh)

• ”Pakistani Brain” –là con virus máy tính đầu tiên được viết năm

1968 bởi công ty Brain computer của pakistan Nó được lây nhiễmqua đĩa mềm

•

Virus lây qua mạng Internet đầu tiên được một sinh viên Mỹ(người này là con trai của 1 chuyên gia bảo mật máy tính tại cục anninh quốc gia Mỹ) viết vào năm 1988, có tên là “Morris Worm”.Virus này đã khai thác 1 lỗ hổng trong hệ điều hành Unix và lây lantrên 6000 hệ thống máy tính lớn khi đó.Sau đó tác giả đã bị tòa ánliên bang Mỹ kết tội vì vi phạm đạo luật “Lạm dụng và gian dốimáy tính”

• Năm 1989, một thiếu niên người Bungari đã tạo ra 1 loại virus tànphá dữ liệu có tên là “Dark Anvenger”- là virus đầu tiên có thểthay đổi hình dáng để tránh bị phát hiện

• Năm 1998, một trung úy Đài Loan, tạo ra con virus Chenobyl,được kích hoạt vào đúng ngày kỉ niệm thảm họa Chenobyl sẽ xóatoàn bộ dữ liệu trong ổ cúng nạn nhân

• Năm 1999, David Smith (Mỹ)tạo ra virus “Melissa” lây nhiễm quađường e-mail và các tài liệu word của Microsoft.

• Năm 2000, một sinh viên philipine đã phóng thích loại viruse-mail “I love you”-dụ dỗ người dùng mở các file đính kèm

và cài đặt 1 con “keystroke logger” để đánh cắp mật khẩu vàtiếp cận các máy tính bị lây nhiễm