tài liệu nghiên cứu về malware và phương pháp phòng chống, Các hình thức tấn công mạng phổ biến, Giải pháp chống tấn công mạng cơ bản, Phân loại một số malware thông dụng.Công nghệ phân tích mã độc - Nhóm công cụ hỗ trợ phát hiện mã độc
Trang 2Nội dung
I: Cơ sở tổng quan về lý thuyết 3
1.Tổng quan về Tấn công mạng 3
- Tấn công mạ ng là gì ? 3
- Các đối tượng bị tấn công 3
- Mục đích tấn công mạng 3
- Hacker 4
Các hình thức tấn công mạng phổ biến 4
Giải pháp chống tấn công mạng cơ bản 6
2 Tìm hiểu về mã độc hại Malware 6
Định nghĩa 6
Phân loại một số malware thông dụng 7
Cách thức lây nhiễm malware 11
3: Tổng quan về mã độc Malware 15
1 Phân tích mã độc malware 15
2 Các loại mã nhận diện chính: 15
3 Công nghệ phân tích mã độc 15
4 Một số quy tắc chính khi phân tích mã độc Malware 17
4 Công nghệ phân tích mã độc 18
1 Nhóm công cụ hỗ trợ phát hiện mã độc 18
2 Công cụ quét Online và sanboxes 18
3 Công cụ Deobfuscation 19
4 Công cụ gỡ rối (Debugging) và dịch ngược (Reverse Engineering) 19
5 Điều tra bộ nhớ 20
6 Phân tích gói tin 20
Trang 37 Phân tích website .20
5: Phương pháp phân tích mã độc 21
+ Môi trường phân tích mã độc 21
6: Security Operation Center – SOC 24
Tài liệu tham khảo 25
I: Cơ sở tổng quan về lý thuyết
1.Tổng quan về Tấn công mạng
- Tấn công mạng là gì ?
Tấn công mạng (hoặc tấn công không gian mạng) Cyber attack (hoặc Cyberattack)
Tấn công mạng là tất cả các hình thức xâm nhập trái phép vào một hệ thống máy tính, website, cơ
sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân hoặc tổ chức thông qua mạng internet với những mục đích bất hợp pháp
Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu (đánh cắp, thay đổi,
mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống (gây gián đoạn, cản trở dịch vụ), hoặc lợi dụng tài nguyên của nạn nhân (hiển thị quảng cáo, mã độc đào tiền ảo)
Tấn công mạng khác với pentest (kiểm thử xâm nhập) Mặc dù cả 2 đều chỉ việc xâm nhập vào một hệ thống, tuy nhiên tấn công mạng là xâm nhập trái phép gây hại cho nạn nhân, còn pentest là xâm nhập với mục đích tìm ra điểm yếu bảo mật trong hệ thống để khắc phục
- Các đối tượng bị tấn công
Có thể là cá nhân, doanh nghiệp, các tổ chức chính phủ hoặc phi chính phủ, cơ quan nhà nước, thậm chí đối tượng có thể là cả một quốc gia Tuy nhiên, đối tượng phổ biến nhất của các cuộc tấn công mạng là các doanh nghiệp Đơn giản vì mục tiêu chính của những kẻ tấn công là vì lợi nhuận
- Mục đích tấn công mạng
Bên cạnh những mục đích phổ biến như trục lợi phi pháp, tống tiền doanh nghiệp, hiện thị quảng cáo kiếm tiền, thì còn tồn tại một số mục đích khác phức tạp và nguy hiểm hơn: cạnh tranh không
Trang 4lành mạnh giữa các doanh nghiệp, tấn công an ninh hoặc kinh tế của một quốc gia, tấn công đánh sập một tổ chức tôn giáo, v.v
Ngoài ra, một số hacker tấn công mạng chỉ để mua vui, thử sức, hoặc tò mò muốn khám phá các vấn đề về an ninh mạng
- Hacker
Những kẻ tấn công mạng được gọi là Cyber-crime (tội phạm mạng) Các hacker đều là những người
có kiến thức cực kỳ chuyên sâu về an ninh mạng, khoa học máy tính, khoa học mật mã, cơ sở dữ liệu… kiến thức của hacker còn được đánh giá là sâu và rộng hơn các kỹ sư CNTT thông thường
Hacker mũ đen và Hacker mũ trắng
Hacker đều thực hiện tấn công các tổ chức với mục đích xấu, nên được gọi là Hacker mũ đen Hacker mũ trắng có mục đích tốt Khi họ xâm nhập thành công vào hệ thống của một tổ chức, họ thường cố gắng liên hệ với tổ chức để thông báo về sự không an toàn của hệ thống
Các hình thức tấn công mạng phổ biế n
- Tấn công bằng phần mềm độc hại (Malware attack)
Tấn công malware là hình thức phổ biến nhất Malware bao gồm spyware (phần mềm gián điệp), ransomware (mã độc tống tiền), virus và worm (phần mềm độc hại có khả năng lây lan nhanh) Thông thường, tin tặc sẽ tấn công người dùng thông qua các lỗ hổng bảo mật, cũng có thể là dụ dỗ người dùng click vào một đường link hoặc email (phishing) để phần mềm độc hại tự động cài đặt vào máy tính Một khi được cài đặt thành công, malware sẽ gây ra:
- Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng (ransomware)
- Cài đặt thêm những phần mềm độc hại khác
- Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware)
- Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống
- Tấn công giả mạo (Phishing attack)
Phishing là hình thức giả mạo thành một đơn vị/cá nhân uy tín để chiếm lòng tin của người dùng, thông thường qua email Mục đích của tấn công Phishing thường là đánh cắp dữ liệu nhạy cảm như thông tin thẻ tín dụng, mật khẩu, đôi khi phishing là một hình thức để lừa người dùng cài đặt
Trang 5- Tấn công trung gian (Man-in-the-middle attack)
Tấn công trung gian (MitM), hay tấn công nghe lén, xảy ra khi kẻ tấn công xâm nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng Khi đã chen vào giữa thành công, chúng có thể đánh cắp dữ liệu của giao dịch đó
Loại hình này xảy ra khi:
Nạn nhân truy cập vào một mạng Wifi công cộng không an toàn, kẻ tấn công có thể “chen vào giữa” thiết bị của nạn nhân và mạng Wifi đó Vô tình, những thông tin nạn nhân gửi đi sẽ rơi vào tay kẻ tấn công
Khi phần mềm độc hại được cài đặt thành công vào thiết bị, một kẻ tấn công có thể dễ dàng xem
và điều chỉnh dữ liệu của nạn nhân
- Tấn công từ chối dịch vụ (DoS và DDoS)
DoS (Denial of Service) là hình thức tấn công mà tin tặc “đánh sập tạm thời” một hệ thống, máy chủ, hoặc mạng nội bộ Để thực hiện được điều này, thường tạo ra một lượng traffic/request khổng
lồ ở cùng một thời điểm, khiến cho hệ thống bị quá tải, từ đó người dùng không thể truy cập vào dịch vụ trong khoảng thời gian mà cuộc tấn công DoS diễn ra
Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): tin tặc sử dụng một mạng lưới các máy tính (botnet) để tấn công nạn nhân Điều nguy hiểm là chính các máy tính thuộc mạng lưới botnet cũng không biết bản thân đang bị lợi dụng để làm công cụ tấn công
- Tấn công cơ sở dữ liệu (SQL injection)
Tin tặc “tiêm” một đoạn code độc hại vào server sử dụng ngôn ngữ truy vấn có cấu trúc (SQL), mục đích là khiến máy chủ trả về những thông tin quan trọng mà lẽ ra không được tiết lộ Các cuộc tấn công SQL injection xuất phát từ các lỗ hổng của website, đôi khi tin tặc có thể tấn công chỉ bằng cách chèn một đoạn mã độc vào thanh công cụ “Tìm kiếm” là đã có thể tấn công website
- Khai thác lỗ hổng Zero-day (Zero day attack)
Lỗ hổng Zero-day (0-day vulnerabilities) là các lỗ hổng bảo mật chưa được công bố, các nhà cung cấp phần mềm chưa biết tới, và dĩ nhiên, chưa có bản vá chính thức Chính vì thế, việc khai thác những lỗ hổng “mới ra lò” này vô cùng nguy hiểm và khó lường, có thể gây hậu quả nặng nề lên người dùng và cho chính nhà phát hành sản phẩm
Trang 6Giải pháp chống tấn công mạng cơ bản
+ Đối với cá nhân
Bảo vệ mật khẩu cá nhân bằng cách: đặt mật khẩu phức tạp, bật tính năng bảo mật 2 lớp – xác nhận qua điện thoại…
- Hạn chế truy cập vào các điểm wifi công cộng
- Không sử dụng phần mềm bẻ khóa (crack)
- Luôn cập nhật phần mềm, hệ điều hành lên phiên bản mới nhất
- Cẩn trọng khi duyệt email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo
- Tuyệt đối không tải các file hoặc nhấp vào đường link không rõ nguồn gốc
- Hạn chế sử dụng các thiết bị ngoại vi (USB, ổ cứng) dùng chung
- Sử dụng một phần mềm diệt Virus uy tín
+ Đối với tổ chức, doanh nghiệp
- Xây dựng một chính sách bảo mật với các điều khoản rõ ràng, minh bạch
- Lựa chọn các phần mềm, đối tác một cách kỹ càng Ưu tiên những bên có cam kết bảo mật
và cam kết cập nhật bảo mật thường xuyên
- Tuyệt đối không sử dụng các phần mềm crack
- Luôn cập nhật phần mềm, firmware lên phiên bản mới nhất
- Sử dụng các dịch vụ đám mây cho mục đích lưu trữ
- Đánh giá bảo mật & Xây dựng một chiến lược an ninh mạng tổng thể cho doanh nghiệ p, bao gồm các thành phần: bảo mật website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hành…
- Tổ chức các buổi đào tạo, training kiến thức sử dụng internet an toàn cho nhân viên
2 Tìm hiểu về mã độc hại Malware
Định nghĩa
- Mã độc hại (Malware) được định nghĩa là “một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống” Định nghĩa này sẽ bao hàm rất nhiều thể loại như: worm, trojan, spy-ware, thậm chí là virus hoặc các
bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như: backdoor, rootkit, key-logger, kali linux, shell
Trang 7Phân loại một số malware thông dụng
1 Virus
Virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính Như vậy virus luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan qua môi trường inetnet, thiết bị ngoại vi Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó
2 Compiled Virus
Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch để nó
có thể thực thi trực tiếp từ hệ điều hành Các loại boot virus như (Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể
là pha trộn bởi cả boot virus va file virus trong cùng một phiên bản
3 Interpreted Virus
Interpreted Virus là một tổ hợp của mã nguồn, mã chỉ thực thi được dưới sự hỗ trợ của một ứng dụng
cụ thể hoặc một dịch vụ cụ thể trong hệ thống virus này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi Macro virus, scripting virus là các virus nằm trong dạng này
Trang 8Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc tạo
và mở file để thực thi và lây nhiễm Sự khác nhau giữa macro virus và scripting virus là: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lệnh chạy bằng một service của hệ điều hành
4 Worm
Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên nó
có khả năng “tự đóng gói”, có nghĩa là worm không cần phải có “file chủ” để mang nó khi nhiễm vào
hệ thống Như vậy các chương trình quét file sẽ không diệt được worm trong hệ thống vì worm không
“bám” vào một file hoặc một vùng nào đó trên đĩa cứng Mục tiêu của worm làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger
Tấn công của worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của con người (như khởi động máy, copy file hay đóng/mở file)
Worm có thể chia làm 2 loại:
- Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng Sasser là ví dụ cho loại sâu này
- Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được Việc gửi đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail Netsky, Mydoom là ví
5 Trojan Horse
Trojan Horse là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa” Trojan horse không tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực chất bên trong có ẩn chứa các đoạn mã với mục đích gây hại
Trojan có thể lựa chọn một trong 3 phương thức để gây hại:
- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp password)
Trang 9- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống)
- Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví
dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)
6 Attacker Tool
Attacker Tool là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc hại vào trong hệ thống Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm
7 Phishing
Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã độc hại Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá nhân )
Kẻ tấn công phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng, Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật
về tài khoản, về mật khẩu, Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác
8 Virus Hoax
Virus Hoax là các cảnh báo giả về virus Các cảnh bảo giả này thường núp dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email
Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chứa
mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy
Trang 10hại tới hệ thống Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi
có quá nhiều người gọi đến và yêu cầu dịch vụ
9 Adware
Adware là một loại phần mềm độc hại tải xuống hoặc hiển thị pop-up quảng cáo trên thiết bị của người dùng Thông thường, Adware không lấy cắp dữ liệu từ hệ thống, nhưng nó buộc người dùng phải xem những quảng cáo mà họ không muốn trên hệ thống Một số hình thức quảng cáo cực kì gây khó chịu cho người dùng đó là tạo ra pop-up trên trình duyệt mà không thể đóng lại được Đôi khi người dùng tự lây nhiễm adware được cài đặt mặc định khi tải về những ứng dụng khác mà không hề hay biết
10 Backdoor
Backdoor là một chương trình bí mật có thể truy cập thiết bị hay hệ thống mạng của người dùng Thông thường, các nhà sản xuất thiết bị hay phần mềm tạo ra backdoor trong sản phẩm của họ hoặc cố ý để nhân viên công ty xâm nhập vào hệ thống thông qua việc thực hành mã hóa Backdoor cũng có thể được cài đặt bởi các phần mềm độc hại khác như virus hoặc rootkit
11 Browser hijacker
Browser hijacker, hay còn được gọi là Hijackware có thể làm thay đổi hành vi trình duyệt web, Các Attacker thường kiếm tiền từ loại phần mềm độc này qua việc nhận phí quảng cáo Họ cũng có thể sử dụng trình duyệt bị tấn công để chuyển hướng người dùng tới các trang web tải phần mềm độc hại hơn vào hệ thống
12 Keylogger
Keylogger là trình theo dõi thao tác bàn phím ghi lại tất cả các phím mà người dùng nhấn vào, bao gồm email, các tài liệu và password đã nhập cho mục đích nhất định Thông thường, những kẻ tấn công thường dùng loại phần mềm độc này để lấy mật khẩu và đột nhập vào hệ thống mạng hoặc account người dùng Tuy nhiên, các nhà tuyển dụng đôi khi cũng sử dụng keylogger để xác định xem nhân viên của họ có bất kì hành vi phạm tội trong hệ thống của công ty
13 Ransomware
Đây là cách gọi tên của dạng mã độc mới nhất và có tính nguy hiểm cao độ đối với nhân viên văn phòng, bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính bị nhiễm làm cho nạn nhân không thể mở được file
Trang 11Các thành viên của Ransomware sử dụng công nghệ mã hóa “Public-key”, vốn là một phương pháp đáng tin cậy nhằm bảo vệ các dữ liệu nhạy cảm Tội phạm mạng đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được Và bọn chúng thường tống tiền người dùng để trao đổi chìa khóa bí mật này Nguy hiểm ở chỗ, chỉ duy nhất chìa khóa bí mật này mới có thể giải mã được và phục hồi dữ liệu
14 Rootkit
Rootkit là một trong những loại malware nguy hiểm nhất bởi chúng cho phép những kẻ tấn công có quyền truy cập cấp admin vào hệ thống mà người dùng không hay biết Khi kẻ tấn công truy cập vào hệ thống, chúng có thể làm bất cứ điều gì với hệ thống, gồm các hoạt động ghi âm, thay đổi cài đặt hệ thống, truy cập dữ liệu và tấn công lên hệ thống khác Các cuộc tấn công nổi tiếng như Stuxnet và Flame
là hai ví dụ điển hình của rootkit
15 Spyware
Phần mềm gián điệp Spyware là những loại phần mềm thu thập thông tin về người dùng mà họ không
hề hay biết hoặc đồng ý Ví dụ, website bật cookies theo dõi trình duyệt web của người dùng có thể được coi là một hình thức của Spyware Các loại phần mềm Spyware khác có thể ăn cắp thông tin của
cá nhân hoặc doanh nghiệp Đôi khi, các cơ quan chính phủ và lực lượng cảnh sát cũng sử dụng phần mềm gián điệp này để điều tra nghi phạm hoặc chính phủ nước ngoài
Cách thức lây nhiễm malware
1 Qua các thiết bị lưu trữ di động
USB, đĩa DVD, CD, thẻ nhớ, ổ cứng di động, điện thoại… là những thiết bị lưu trữ di động phổ biến
Khi chúng ta kết nối các thiết bị số, thiết bị lưu trữ trực tiếp vào máy tính Virus có sẵn trong các thiết bị lưu trữ sẽ tự động sao chép sang máy tính của bạn theo cơ chế sau:
Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk… ), Window mặc định sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước
Tệp autorun.inf thông thường sẽ có nội dung:
Trang 12[autorun]
Open=virus.exe
Icon=diskicon.ico
Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa
là diskicon.ico Những tệp này đều nằm ở thư mục gốc của thiết bị lưu trữ
2 Qua thư điện tử
Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống
Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn
có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm,
có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn
Khi các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó
Phương thức lây nhiễm qua thư điển tử bao gồm:
Lây nhiễm vào các file đính kèmtheo thư điện tử (attached mail) Khi đó người dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc điểm này các virus thường được “trá hình” bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)
Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễ m virus