(Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay

(Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay (Bài thảo luận) Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay

KHOA: HTTTKT VÀ TMĐT

- -BÀI TIỂU LUẬN

Đề tài: Trình bày khái niệm, đặc điểm, cách phân loại, nguyên tắc hoạt động của các loại mã độc và cách phòng chống các loại mã độc hiện nay

HỌC PHẦN : AN TOÀN VÀ BẢO MẬT THÔNG TIN

DANH SÁCH THÀNH VIÊN NHÓM 22

STT HỌ VÀ TÊN MÃ SINH VIÊN

1 Nguyễn Thị Quỳnh Trang 18D140049

MỤC LỤC

MỞ ĐẦU 1

I Khái quát về mã độc 2

1.1 Khái niệm mã độc 2

1.2 Đặc điểm mã độc 2

1.3 Cách phân loại và nguyên tắc hoặt đông của các loại mã độc 3

1.3.1 Boot virus 3

1.3.2 Macro virus 4

1.3.3 Scripting virus 4

1.3.4 File Virus 4

1.3.5 Trojan horse – ngựa thành Tơ roa 5

1.3.6 Worm – sâu máy tính 6

1.3.7 Rootkit 8

1.3.8 Botnet 9

1.3.9 Biến thể 10

1.3.10 Virus Hoax 10

1.3.11 Keylogger 10

1.3.12 Phishing 11

1.3.13 Phần mềm tống tiền (Ransomware) 11

II Cách nhận biết và phòng chống các loại mã độc hiện nay 12

2.1 Cách nhận biết các loại mã độc phổ biến hiện nay 12

2.2 Một số dấu hiệu nhận biết khi máy tính bị nhiễm mã độc 13

2.3 Cách phòng chống các loại mã độc hiện nay 14

2.3.1 Virus máy tính 14

2.3.2 Sâu máy tính 14

2.3.3 Trojan 15

2.3.4 Spyware 15

2.3.5 Backdoor 16

2.3.6 Rootkit 17

2.3.7 Phòng chống botnet 17

2.4 Những ý để tránh phần mềm độc hại 18

III Câu chuyện thực tế về mã độc 21

3.1 Mã độc Gandcrab ransomware 21

3.2 Câu chuyện về mã độc Stuxnet 23

KẾT LUẬN 26

MỞ ĐẦU

Việc sử dụng công nghệ thông tin đã làm thay đổi hoàn toàn cách thức vậnhành của xã hội Mọi việc được tiến hành trơn tru, nhanh chóng, thuận tiện Thờiđại số đã thay đổi cách sống, cách là việc mang lại giá trị tích cực, tạo hiệu quảhơn cho cuộc sống cũng như công việc Tuy nhiên, đi cùng với sự thay đổi tolớn do cuộc cách mạng số đòi hỏi mỗi chúng ta phải thay đổi cách thức bảo vệ

dữ liệu

Thời gian qua, tình hình an toàn thông tin ở nước ta diễn biến rất phức tạp

và Việt Nam được xếp trong top quốc gia bị lây nhiễm mã độc nhiều nhất trênthế giới

Theo thống kê của Spamhaus Project về mối đe dọa tấn công mạng, năm

2019, Việt Nam đứng thứ 3 trong số các quốc gia có số lượng máy tính bị nhiễm

mã độc cao nhất thế giới, với hơn 905.500 máy tính bị tin tặc điều khiển Thiệthại do virus gây ra đối với người dùng tại Việt Nam đã lên tới gần 15 nghìnđồng ̣(tương đương hơn 640 triệu USD)

Theo Cybersecurity Ventures, các vụ tấn công bằng mã độc tống tiền giatăng liên tục, cứ 11 giây lại có một cuộc tấn công và có thể gây tổn thất lên tới

20 tỷ USD vào năm 2021 Tại Việt Nam, từ tháng 3 đến tháng 8 năm 2020 đã có4,2 triệu địa chỉ IP bị lây nhiễm mã độc

Trong tình hình ấy, bảo mật dữ liệu là vấn đề được ưu tiên trong xu hướngchuyển đổi số, do đó những hiểu biết về mã độc cũng như giải pháp chống mãđộc nhận được nhiều sự quan tâm từ các doanh nghiệp, tổ chức, cá nhân

I Khái quát về mã độc

I.1 Khái niệm mã độc

Mã độc hay “Malicious software” là một loại phần mềm được tạo ra vàchèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thốnghoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn vàtính sẵn sàng của máy tính nạn nhân

I.2 Đặc điểm mã độc

 Các chương trình độc hại này có thể thực hiện nhiều chức năng như: ăncắp, mã hóa, xóa dữ liệu nhạy cảm, thay đổi hoặc chiếm đoạt các chức năng tínhtoán lỗi và giám sát hoạt động của máy mà không cần sự cho phép của ngườidùng

 Mã độc chỉ gây thiệt hại sau khi được cấy hoặc đưa vào máy tính mụctiêu và có thể ở dạng mã lệnh thực thi, tập lệnh, nội dung hoạt động và phầnmềm khác Mã độc có mục đích xấu, hoạt động trái phép với người dùng máytính bình thường vì vậy mã độc không bao gồm phần mềm gây ra tác hại vô ý domột số thiếu sót liên quan đến lỗi phần mềm

 Các chương trình được cung cấp chính thức bởi các công ty có thể đượccoi là phần mềm độc hại nếu họ bí mật hành động chống lại lợi ích của ngườidùng máy tính Ví dụ, tại một thời điểm, đĩa nhạc Compact của hãng Sony đã bímật cài đặt một rootkit trên máy tính người mua với đích ngăn chặn sự sao chépbất hợp pháp nhưng đồng thời cũng thu thập thông tin về thói quen nghe nhạccủa người dùng và vô tình tạo ra các lỗ hổng bảo mật Các giải pháp như phầnmềm antivirus, tường lửa…thường được sử dụng để kiểm tra sự tồn tại, các hoạtđộng độc hại cũng như ngăn chặn phần mềm độc hại truy cập vào máy tính

 Con đường lây nhiễm:

+) Qua các thiết bị lưu trữ di động (USB, đĩa DVD, CD, thẻ nhớ, ổ cứng diđộng, điện thoại…)

+) Qua thư điện tử

+) Qua Email, Outlook Express

+) Lây nhiễm vào các tệp tin thực thi

+) Lây nhiễm từ smartphone sang máy tính

I.3 Cách phân loại và nguyên tắc hoặt động của các loại mã độc

Có nhiều cách tiếp cận khác nhau để phân loại mã độc thành một số loạinhật định với các đặc điểm cụ thể như: tính nhân bản, sự nhiễm độc, tàng hình,lệnh và điều khiển (C&C), các kỹ thuật che dấu, tập hợp các hành vi được thểhiện trong quá trình chạy trên hệ điều hành Hơn nữa, ngày càng khó xác địnhcác phần mềm độc hại vì ngày nay tác giả của phần mềm độc hại có thể dễ dàngtiếp cận mã nguồn của một số mẫu phần mềm độc hại và kết hợp các chức năngcủa chúng để tạo ra các mẫu mới có cơ chế tự mở rộng khả năng và nhỏ gọnhơn Mặc dù không có sự thống nhất chung về việc phân loại phần mềm độc hại,các loại phần mềm độc hại dựa trên mục đích và hành vi của chúng có thể đượcphân loại như sau:

I.3.1 Boot virus

Boot virus hay còn gọi là virus boot, là loại virus lây vào boot sector hoặcmaster boot record của ổ đĩa cứng Đây là các khu vực đặc biệt chứa các dữ liệu

để khởi động hệ thống, nạp các phân vùng

Boot virus được thực thi trước khi hệ điều hành được nạp lên Vì vậy, nóhoàn toàn độc lập với hệ điều hành B-virus có nhược điểm là khó viết do khôngthể sử dụng các dịch vụ, chức năng có sẵn của hệ điều hành và kích thước virus

bị hạn chế bởi kích thước của các sector (mỗi sector chỉ có 512 byte)

Ngày nay gần như không còn thấy sự xuất hiện của Boot Virus do đặc điểmlây lan chậm và không phù hợp với thời đại Internet

Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩakhởi động của bạn sẽ được thực thi Đoạn chương trình này có nhiệm vụ nạp hệđiều hành (Windows, Linux hay Unix ) Sau khi nạp xong hệ điều hành, bạn mới

có thể bắt đầu sử dụng máy Đoạn mã nói trên thường được để ở vùng trên cùngcủa ổ đĩa khởi động, và chúng được gọi là "Boot sector" Các Viruss lây vào

Boot sector được gọi là Virus Boot Các Virus Boot sẽ được thi hành mỗi khimáy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên.

I.3.2 Macro virus

Đây là loại virus đặc biệt tấn công vào chương trình trong bộ MicrosoftOffice của Microsoft: Word, Excel, Powerpoint Macro là tính năng hỗ trợ trong

bộ công cụ văn phòng Microsoft Office cho phép người sử dụng lưu lại các côngviệc cần thực hiện lại nhiều lần Thực tế hiện nay cho thấy virus macro gần như

đã “tuyệt chủng”

Marcro virus lây vào những file văn bản (Microsoft Word), file bảng tính(Microsoft Excel) hay các file trình diễn (Microsoft Power Point) trong bộMicrosoft Office Macro là tên gọi chung của những đoạn mã được thiết kế để

bổ sung tính năng cho các file của Office Chúng ta có thể cài đặt sẵn một sốthao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt đượcthực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tácgiống nhau Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại cácthao tác, để rồi sau đó cho tự động lặp lại các thao tác đó bằng một yêu cầu duynhất Ngày nay, trên thực tế các loại virus Macro cũng gần như đã "tuyệt chủng"

và hầu như không ai còn sử dụng đến các macro nữa

I.3.3 Scripting virus

Scripting virus là loại virus được viết bằng các ngôn ngữ script (kịch bản)như VBScript, JavaScript, Batch script Những loại virus này thường có đặcđiểm dễ viết, dễ cài đặt Chúng thường tự lây lan sang các file script khác, thayđổi nội dung cả các file html để thêm các thông tin quảng cáo, chèn banner …Đây cũng là một loại virus phát triển nhanh chóng nhờ sự phổ biến của Internet

I.3.4 File Virus

Virus này chuyên lây vào các file thực thi (ví dụ file có phần mởrộng com, exe, dll) một đoạn mã để khi file được thực thi, đoạn mã virus sẽđược kích hoạt trước và tiếp tục thực hiện các hành vi phá hoại, lây nhiễm Loạivirus này có đặc điểm lây lan nhanh và khó diệt hơn các loại virus khác do phải

xử lý cắt bỏ, chỉnh sửa file bị nhiễm File Virus có nhược điểm là chỉ lây vàomột số định dạng file nhất định và phụ thuộc vào hệ điều hành F-Virus vẫn tồntại tới ngày nay với những biến thể ngày càng trở nên nguy hiểm, phức tạp hơn.

I.3.5 Trojan horse – ngựa thành Tơ roa

Tên của loại virus này được lấy theo một điển tích cổ Trong cuộc chiếnvới người Tơ-roa, các chiến binh Hy Lạp sau nhiều ngày không thể chiếm đượcthành đã nghĩ ra một kế, giảng hòa rồi tặng người dân thành Tơ-roa một conngựa gỗ khổng lồ Sau khi ngựa gỗ được đưa vào thành, đêm đến các chiến binh

Hy Lạp từ trong ngựa gỗ chui ra đánh chiếm thành

Đây cũng chính là cách mà các Trojan horse (gọi tắt là Trojan) áp dụng:các đoạn mã của Trojan được “che giấu” trong các loại virus khác hoặc trongcác phần mềm máy tính thông thường để bí mật xâm nhập vào máy nạn nhân.Khi tới thời điểm thuận lợi chúng sẽ tiến hành các hoạt động ăn cắp thông tin cánhân, mật khẩu, điều khiển máy tính nạn nhân … Bản chất của Trojan là không

tự lây lan mà phải sử dụng phần mềm khác để phát tán

Dựa vào cách hoạt động ta có thể phân chia Trojan thành các loại sau:BackDoor, Adware và Spyware

Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa đối phương sử dụngchương trình của mình hoặc ghép Trojan đi kèm với các virus (đặc biệt là cácvirus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân Đến thời điểm thuậnlợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻtín dụng, mật khẩu để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tayxoá dữ liệu nếu được lập trình trước Bên cạnh các Trojan ăn cắp thông tintruyền thống, một số khái niệm mới cũng được sử dụng để đặt tên cho cácTrojan mang tính chất riêng biệt như sau:

Backdoor: Loại Trojan khi thâm nhập vào máy tính nạn nhân sẽ mở ra

một cổng dịch vụ cho phép kẻ tấn công điều khiển các hoạt động ở máy nạnnhân Kẻ tấn công có thể cài các phần mềm BackDoor lên nhiều máy tính khác

nhau thành một mạng lưới các máy bị điều khiển – Bot Net – rồi thực hiện các

vụ tấn công từ chối dịch vụ (DoS – Denial of Service)

Phần mềm quảng cáo bất hợp pháp Adware và phần mềm gián điệp Spyware: Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web

-mặc định (home page), các trang tìm kiếm -mặc định (search page)… hay liêntục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web.Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình “ghé thăm”những trang web có nội dung không lành mạnh, các trang web bẻ khóa phầnmềm… hoặc chúng đi theo các phần mềm miễn phí không đáng tin cậy hay cácphần mềm bẻ khóa (crack, keygen)

I.3.6 Worm – sâu máy tính

Cùng với các loại mã độc máy tính như Trojan, WannaCry, Worm (sâumáy tính) là loại virus phát triển và lây lan mạnh mẽ nhất hiện nay nhờ mạngInternet

Vào thời điểm ban đầu, Worm được tạo ra chỉ với mục đích phát tán quathư điện tử – email Khi lây vào máy tính, chúng thực hiện tìm kiếm các sổ địachỉ, danh sách email trên máy nạn nhân rồi giả mạo các email để gửi bản thânchúng tới các địa chỉ thu thập được

Các email do worm tạo ra thường có nội dung “giật gân”, hoặc “hấp dẫn”,hoặc trích dẫn một email nào đó ở máy nạn nhân để ngụy trang Điều này khiếncác email giả mạo trở nên “thật” hơn và người nhận dễ bị đánh lừa hơn Nhờnhững email giả mạo đó mà Worm lây lan mạnh mẽ trên mạng Internet theo cấp

số nhân

Bên cạnh Worm lây lan theo cách truyền thống sử dụng email, Worm hiệnnay còn sử dụng phương pháp lân lan qua ổ USB Thiết bị nhớ USB đã trở nênphổ biến trên toàn thế giới do lợi thế kích thước nhỏ, cơ động và trở thànhphương tiện lây lan lý tưởng cho Worm

Dựa đặc điểm lây lan mạnh mẽ của Worm, những kẻ viết virus đã đưa thêmvào Worm các tính năng phá hoại, ăn cắp thông tin…, Worm đã trở thành “bạnđồng hành” của những phần mềm độc hại khác như BackDoor, Adware…

Sâu Internet –Worm là loại virus có sức lây lan rộng, nhanh và phổ biếnnhất hiện nay Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm củaTrojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó

để trở thành một kẻ phá hoại với vũ khí tối tân Tiêu biểu như Mellisa hay LoveLetter Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt hệ thống máy chủ,làm ách tắc đường truyền Internet

Thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán bằngcách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó lây nhiễm

và tự gửi chính nó qua email tới những địa chỉ tìm được Những địa chỉ mà virustìm thấy thường là địa chỉ của bạn bè, người thân, khách hàng của chủ sở hữumáy bị nhiễm Điều nguy hiểm là virus có thể giả mạo địa chỉ người gửi là địachỉ của chủ sở hữu máy hay địa chỉ của một cá nhân bất kỳ nào đó; hơn nữa cácemail mà virus gửi đi thường có nội dung “giật gân” hoặc “hấp dẫn” để dụ dỗngười nhận mở file virus đính kèm Một số virus còn trích dẫn nội dung của mộtemail trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo.Điều này giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa.Những việc này diễn ra mà bạn không hề hay biết Với cách hoàn toàn tương tựtrên những máy nạn nhân khác, Worm có thể nhanh chóng lây lan trên toàn cầutheo cấp số nhân Điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ màMellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính trên toàncầu Cái tên của nó, Worm hay "Sâu Internet" cho ta hình dung ra việc nhữngcon virus máy tính "bò" từ máy tính này qua máy tính khác trên các "cành cây"Internet

Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết racài thêm nhiều tính năng đặc biệt, chẳng hạn như khả năng định cùng một ngàygiờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ

nào đó Ngoài ra, chúng còn có thể mang theo các BackDoor thả lên máy nạnnhân, cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và làm đủmọi thứ như ngồi trên máy đó một cách bất hợp pháp.

Ngày nay, khái niệm Worm đã được mở rộng để bao gồm cả các virus lâylan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USBhay các dịch vụ gửi tin nhắn tức thời (chat), đặc biệt là các virus khai thác các lỗhổng phần mềm để lây lan Các phần mềm (nhất là hệ điều hành và các dịch vụtrên đó) luôn tiềm ẩn những lỗi/lỗ hổng an ninh như lỗi tràn bộ đệm, mà khôngphải lúc nào cũng có thể dễ dàng phát hiện ra Khi một lỗ hổng phần mềm đượcphát hiện, không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗhổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủmáy hoàn toàn không hay biết Từ các máy này, Worm sẽ tiếp tục "bò" qua cácmáy tính khác trên mạng Internet với cách thức tương tự

Với sự xuất hiện của rootkit, các phần mềm độc hại như trở nên “vô hình”trước những công cụ thông thường thậm chí vô hình cả với các phần mềm diệtvirus Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiềutrước sự bảo vệ của rootkit – vốn được trang bị nhiều kỹ thuật mới hiện đại.Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhưng kể từ lần xuất hiện

“chính thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trởnên phổ biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độchại khác

Rootkit là bộ công cụ phần mềm thường được người viết ra nó sử dụng đểche giấu sự tồn tại và hoạt động của những tiến trình hoặc những file mà họmong muốn.

Đặc điểm của Rootkit là có khả năng ẩn các tiến trình, file, và cả dữ liệutrong registry (với Windows) Nếu chỉ dùng những công cụ phổ biến của hệ điềuhành như "Registry Editor", "Task Manager", "Find Files" thì không thể pháthiện ra các file và tiến trình này Ngoài ra nó còn có khả năng ghi lại các thông

số về kết nối mạng, ghi lại các phím bấm (giữ vai trò của keylogger) Cũng cóthể Rootkit được dùng trong những việc tốt, nhưng trong nhiều trường hợp,Rootkit được coi là Trojan vì chúng có những hành vi như nghe trộm, che giấuhoặc bị lợi dụng để che giấu các chương trình độc hại

Dựa vào mức hoạt động của Rootkit trong hệ thống mà có thể chia Rootkitthành 2 loại chính:

Rootkit hoạt động ở mức ứng dụng: Hoạt động cùng mức với các chương

trình thông thường như Word hay Excel, do vậy nó có thể được coi là mộtchương trình ứng dụng Ở mức này Rootkit thường sử dụng một số kỹ thuật nhưhook, code inject, tạo file giả để can thiệp vào các ứng dụng khác nhằm thựchiện mục đích che giấu tiến trình, file, registry…

Rootkit hoạt động trong nhân của hệ điều hành (Kernel): Hoạt động cùng

mức với các trình điều khiển thiết bị (driver) như driver điều khiển card đồ hoạ,card âm thanh Đây là mức thấp của hệ thống, vì vậy, Rootkit có quyền rất lớnvới hệ thống

Đánh vào những lỗ hổng an ninh, những mảng vá cũ hay những server lỗithời hết hạn, các bot nằm ẩn mình trong các máy tính của khách hàng - kết nốisẵn với Botmaster, chỉ đợi lệnh và điều khiển từ Botmaster để tiến hạnh hoạtđộng của mình Sau khi nhận lệnh từ hacker, mỗi Bot có một tài khoản riêng tùytheo sự điều khiển từ phía ngoài Nó có thể tấn công theo nhiêu cách như: TạoSpam, tấn công DdoS, chiếm giữ hệ thống, lừa đảo ăn cắp Bitcoin Dù cách tấncông như nào thì mục đích của nó cũng chỉ là điều khiaarn hoạt động của máytính bị nhiễm , bắt buộc người dùng phải làm theo mệnh lệnh của nó

Nếu ta tấn công lại mạng Bot thì chúng ta cũng không thể đánh sập lại hệthống máy chủ, mà đôi khi chúng ta lại gặp những nạn nhân bị nhiễm khác,giống như hoạt động lặp lại pear to pear vậy Các máy tính bị nhiễm liên kết vớinhau tạo thành mạng Botnet và càng khó khăn hơn khi tìm ra mạng điều hànhphía sau

I.3.9 Biến thể

Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể củachúng Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sựphát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó

I.3.10 Virus Hoax

Đây là các cảnh báo giả về virus Các cảnh bảo giả này thường núp dướidạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báo virus giả

là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email Bảnthân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi đểcảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn vềthiết lập lại hệ điều hành, xóa file làm nguy hại tới hệ thống Kiểu cảnh báo giảnày cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiềungười gọi đến và yêu cầu dịch vụ

I.3.11 Keylogger

Là phần mềm ghi lại chuỗi phím gõ của người dùng Nó có thể hữu ích choviệc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để

đo năng suất làm việc của nhân viên văn phòng Các phần mềm kiểu này rất hữudụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấymật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh.Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất

cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa

I.3.12 Phishing

Là một hoạt động phạm tội dùng các kỹ thuật lừa đảo Kẻ lừa đảo cố gắnglừa lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tíndụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong mộtgiao dịch điện tử Phishing thường được thực hiện bằng cách sử dụng thư điện

tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại

I.3.13 Phần mềm tống tiền (Ransomware)

Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vàomáy tính của người sử dụng khi:

 Tìm và dùng các phần mềm crack

 Bấm vào quảng cáo

 Truy cập web đen, đồi trụy

 Truy cập vào website giả mạo

 Tải và cài đặt phần mềm không rõ nguồn gốc

 File đính kèm qua email spam

Khi đã xâm nhập và kích hoạt trong máy tính của người dùng, Ransomware

sẽ đồng thời thực hiện các tác vụ như sau:

Khóa màn hình máy tính, hiển thị thông báo như hình ví dụ trên

Mã hóa bất kỳ file tài liệu nào mà nó tìm được, tất nhiên là sẽ có mậtkhẩu bảo vệ

Nếu trường hợp 1 xảy ra, người dùng sẽ không thể thực hiện được bất kỳthao tác nào trên máy tính (ngoại trừ việc bật - tắt màn hình) Đồng thời trênmàn hình đó cũng sẽ có hướng dẫn chi tiết và cụ thể việc chuyển khoản, tiền chohacker để lấy lại thông tin cá nhân Còn trường hợp thứ 2 (thông thường là xấu