BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN oo0oo Đề tài: Các loại mã độc hại cách phòng chống (Demo) Giảng viên hướng dẫn: Vũ Đình Thu Nhóm sinh viên thực hiện: Bùi Ngọc Anh Nguyễn Trọng Trường Hoàng Thị Cúc Vũ Văn Bảo Hà Nội 10-2012 LỜI MỞ ĐẦU PHẦN I - MÃ ĐỘC HẠI LÀ GÌ – SỰ PHÁT TRIỂN CỦA MÃ ĐỘC HẠI 1- Khái niệm mã độc hại - Lịch sử mã độc hại 3- Tình hình phát triển mã độc hại năm gần PHẦN II – CÁC LOẠI MÃ ĐỘC HẠI – CÁCH PHÒNG CHỐNG Virus mã độc hại internet 1.1 Virus 1.2 Các loại virus máy tính - Virus Boot - Virus Filea 10 - Virus Macro 10 - Worm 10 - backdoor 12 - Trojan 12 Có loại trojan chính: 13 * - Trojan truy cập từ xa (RAT – Remote Access Trojan) 13 - Trojan gửi liệu 13 - Trojan hủy hoại 14 - Trojan kiểu Proxy 14 - Trojan FTP 14 - Trojan tắt phần mềm an ninh 14 - Trojan DoS 14 - Zombie 14 - Spyware 15 - Botnet 16 - Rootkit 17 1.3 NHẬN BIẾT MÁY TÍNH BỊ NHIỄM MALWARE 18 1.4 CÁCH PHÒNG TRÁNH MALWARE 19 PHẦN III - TÀI LIỆU THAM KHẢO 22 LỜI MỞ ĐẦU Khi nhu cầu việc sử dụng Internet người ngày tăng lúc mối đe dọa xuất nhiều, bật đe dọa mã độc hại Mã độc hại xuất đâu môi trường thiết bị điện tử đĩa mềm, usb, máy tính đến môi trường Internet webside, tin nhắn, hòm thư điện tử người dùng, phần mềm miễn phí… Khi mã độc hại nhiễm vào máy tính lây lan sang máy tính khác nhanh thiệt hại mã độc hại gây khó lường trước Chính bọn em dã chọn đề tài nghiên cứu “mã độc hại cách phòng chống” PHẦN I - MÃ ĐỘC HẠI LÀ GÌ – SỰ PHÁT TRIỂN CỦA MÃ ĐỘC HẠI 1- Khái niệm mã độc hại Malware (Malicious software) hay gọi mã độc hại (Maliciuos code) tên gọi chung cho phần mềm thiết kế, lập trình đặc biệt để phá hoại hệ thống bạn làm gián đoạn môi trường hoạt động mạng Malware thâm nhập vào hệ thống máy tính mà đồng ý chủ sở hữu Mã độc hại bao gồm nhiều thể loại người gọi chung VIRUS máy tính như: worm, trojan, spy-ware, … Thậm chí virus công cụ để công hệ thống mà hacker thường sử dụng : backdoor, rootkit, key-logge Như xác virus máy tính dạng mã độc hại - Lịch sử mã độc hại Năm 1949 Lý thuyết chương trình tự chép đời từ năm 1949, đến năm 1981 Apple II virus phát tán thông qua hệ điều hành hãng “Quả táo”, lây lan khắp hệ thống công ty Texas A&M, thông qua trò chơi ăn cắp quyền đĩa mềm Những người phát gọi Elk Cloner Tuy nhiên định nghĩa virus lại đời sau vào năm 1983 Fred Cohen, sinh viên đại học Mỹ “Là chương trình máy tính tác động chương trình máy tính khác cách sửa đổi chúng phương pháp đưa vào nó” Fred Cohen tên nhắc đến nói lịch sử virus Kể từ đó, giới loại mã chương trình công hình thành phát triển với tốc độ chóng mặt Đi kèm với ngành công nghiệp sản xuất công cụ phòng ngừa tiêu diệt Ngày nay, giới có nhiều loại virus khác diện hệ thống máy tính toàn cầu Chúng phá hoại gây hậu nặng nề ngành công nghệ thông tin giới 3- Tình hình phát triển mã độc hại năm gần Sự gia tăng đột biến mã độc hại (malware) năm gần dấu hiệu đáng lo ngại cho tổ chức, người dùng máy tính Chỉ tính năm 2008, 2009 người ta phát 30 triệu chương trình phá hoại Trong năm 2010, giới an ninh bảo mật ghi nhận gia tăng đáng kể loại phần mềm độc hại kiểu công "malvertising" (malicious advertising - quảng cáo độc hại, lợi dụng kiểu quảng cáo trực tuyến để chèn mã độc công người sử dụng) Các chương trình mã độc hại ngày phức tạp nguy hiểm, có chương trình lại đơn giản xét từ góc độ kỹ thuật, lại phổ biến Tuy nhiên, chương trình phức tạp nguy hiểm lại tăng lên nhiều so với năm trước đây, nguy hiểm chương trình có khả tự nhân bản, giữ nguyên tính phá hoại đồng thời sử dụng cách thức che dấu diện hệ thống Sự phát triển mạng xã hội tạo môi trường tốt cho chương trình độc hại Điều lí giải đơn giản: người dùng tỏ tin tưởng thành viên mạng xã hội hơn, không e ngại đề phòng so với cách thức giao tiếp khác Mặt khác, mạng xã hội quy tụ nhiều thành phần, trình độ nhận thức, hiểu biết an toàn, bảo mật người dùng mạng thấp Từ đó, thấy chương trình độc hại tìm môi trường phù hợp mạng xã hội 3000 điện thoại Vodafone bị phơi nhiễm virus vào tháng năm 2011, mã độc hại lan truyền thông qua thẻ nhớ bán kèm điện thoại HTC Magic hãng phân phối hãng khác Thị trường điện thoại di động ngày hacker ý đến PHẦN II – CÁC LOẠI MÃ ĐỘC HẠI – CÁCH PHÒNG CHỐNG Virus mã độc hại internet 1.1 Virus Virus đoạn mã có khả tự nhân Virus chứa không chứa chương trình công hay cổng hậu Virus đoạn mã cài máy tính chạy ý muốn người sử dụng Virus máy tính chương trình phần mềm có khả tự chép từ đối tượng lây nhiễm sang đối tượng khác (đối tượng file chương trình, văn bản, máy tính ) Virus có nhiều cách lây lan tất nhiên có nhiều cách phá hoại, đoạn chương trình thường dùng để phục vụ mục đích không tốt Virus máy tính người tạo ra, thực ngày coi virus máy tính mầm mống gây dịch bệnh cho máy tính, người bác sĩ, phải chiến đấu với bệnh dịch tìm phương pháp để hạn chế tiêu diệt chúng Như vấn đề phức tạp xã hội, khó tránh khỏi việc có loại bệnh mà phải dày công nghiên cứu trị được, có loại bệnh gây hậu khôn lường Chính vậy, phương châm "phòng chống" phương châm virus máy tính  Virus máy tính lây lan ? Virus máy tính lây vào máy tính bạn qua email, qua file bạn tải từ Internet hay copy từ usb máy tính khác Virus máy tính lợi dụng lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính bạn cách âm thầm Email đường lây lan virus chủ yếu phổ biến Từ máy tính, virus thu thập địa email máy gửi email giả mạo có nội dung hấp dẫn kèm theo file virus để lừa người nhận mở file Các email virus gửi có nội dung „hấp dẫn‟ Một số virus trích dẫn nội dung email hộp thư nạn nhân để tạo phần nội dung email giả mạo, điều giúp cho email giả mạo “thật” người nhận dễ bị mắc lừa Với cách hoàn toàn tương tự máy nạn nhân khác, virus nhanh chóng lây lan toàn cầu theo cấp số nhân Tại Việt Nam, usb đường lây lan phổ biến thứ hai virus, sau email Khi bạn cắm usb vào máy tính để copy liệu, bạn không ngờ có vài virus ẩn máy tính đó, chờ trực để tự nhân vào usb bạn Bạn mang usb về, cắm vào máy tính mình, mở ổ đĩa để chuyển file vừa copy vào máy, lần bạn virus đợi để lây nhiễm vào máy tính bạn Máy tính bạn bị nhiễm virus bạn chạy chương trình tải từ Internet hay copy từ máy tính bị nhiễm virus khác Lý chương trình bị lây virus thân virus giả dạng nên bạn chạy lúc bạn tự mở cửa cho virus lây vào máy Quá trình lây lan virus diễn cách "âm thầm" (bạn không nhận điều sau thực xong công việc lây lan, chương trình bị lây nhiễm chạy bình thường) hay diễn cách "công khai" (virus thông báo trêu đùa bạn) kết cuối máy tính bạn bị nhiễm virus cần đến chương trình diệt virus để trừ khử chúng Nếu bạn vào trang web lạ, trang web chứa mã lệnh ActiveX hay JAVA applets, VBScript đoạn mã cài đặt Adware, Spyware, Trojan hay chí virus lên máy bạn Vì vậy, tình bạn nên cẩn thận, không vào địa web lạ Tuy nhiên virus phát triển theo trình tự lịch sử tiến hoá từ thấp đến cao Những virus lây vào máy tính bạn mà bạn không hay biết, bạn không mở file đính kèm email lạ, không vào web lạ hay chạy file chương trình khả nghi Đơn giản virus khai thác lỗi tiềm ẩn phần mềm chạy máy tính bạn (ví dụ: lỗi tràn đệm…) để xâm nhập từ xa, cài đặt lây nhiễm Các phần mềm (kể hệ điều hành) chứa đựng lỗi tiềm tàng mà lúc dễ dàng phát Các lỗi phát gây cố không lớn, lỗi nghiêm trọng không lâu sau thường có hàng loạt virus đời khai thác lỗi để lây lan Một tình hay gặp virus lây lan dựa tin nhắn tức thời (VD : tin nhắn Yahoo Messenger, ICQ, Windows Messenger…) virus gửi tin nhắn tới tất thành viên danh sách bạn bè nạn nhân, tin nhắn có nội dung „hấp dẫn‟ gửi kèm với liên kết dẫn đến trang web Trang web nhìn bề bình thường, thực chất bên dựng lên cách có ý để khai thác lỗ hổng trình duyệt Internet (VD : Internet Explorer) Khi bạn nhấn vào liên kết để xem nội dung trang web với trình duyệt chưa vá lỗi, virus âm thầm lây nhiễm vào máy mà bạn không hay biết  Virus phá hoại ? Đây chắn điều băn khoăn bạn chẳng may máy tính bạn bị nhiễm virus virus dùng để phục vụ mục đích không tốt Các virus hệ tàn phá nặng nề liệu, ổ đĩa hệ thống, đơn giản câu đùa vui hay nghịch ngợm đôi chút với hình hay chí nhân thật nhiều để "ghi điểm" Tuy nhiên virus không tồn Các virus ngày thường phục vụ cho mục đích kinh tế phá hoại cụ thể Chúng lợi dụng máy tính bạn để phát tán thư quảng cáo hay thu thập địa email bạn Cũng chúng sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay thông tin nhân quan trọng bạn Cũng chúng sử dụng máy bạn công cụ để công vào hệ thống khác công vào hệ thống mạng bạn sử dụng Đôi bạn nạn nhân thực mà virus nhắm vào, bạn vô tình trở thành "trợ thủ" cho chúng công vào hệ thống khác 1.2 Các loại virus máy tính - Virus Boot Ngày không thấy virus Boot lây máy tính Lý đơn giản virus Boot có tốc độ lây lan chậm không phù hợp với thời đại Internet Tuy nhiên, virus Boot phần lịch sử virus máy tính Khi máy tính bạn khởi động, đoạn chương trình nhỏ ổ đĩa khởi động bạn thực thi Đoạn chương trình có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix ) Sau nạp xong hệ điều hành, bạn bắt đầu sử dụng máy Đoạn mã nói thường để vùng ổ đĩa khởi động, chúng gọi "Boot sector" Virus Boot tên gọi dành cho virus lây vào Boot sector Các Virus Boot thi hành máy bị nhiễm khởi động, trước thời điểm hệ điều hành nạp lên - Virus Filea Là virus lây vào file chương trình, phổ biến hệ điều hành Windows, file có đuôi mở rộng com, exe, bat, pif, sys Khi bạn chạy file chương trình bị nhiễm virus lúc virus kích hoạt tiếp tục tìm file chương trình khác máy bạn để lây vào Có lẽ đọc phần bạn tự hỏi "virus Macro lây vào file, lại không gọi virus File?" Câu trả lời nằm lịch sử phát triển virus máy tính Mãi tới năm 1995 virus Macro xuất rõ ràng nguyên lý chúng khác xa so với virus trước (những virus File) nên lây vào File, gọi chúng virus File Tuy nhiên, bạn lo lắng loại virus thực tế loại virus lây file ngày không xuất lây lan rộng Khi máy tính bạn bị nhiễm virus lây file, tốt bạn nên sử dụng phần mềm diệt virus để quét toàn ổ cứng liên hệ với nhà sản xuất để tư vấn, hỗ trợ - Virus Macro Là loại virus lây vào file văn (Microsoft Word), file bảng tính (Microsoft Excel) hay file trình diễn (Microsoft Power Point) Microsoft Office Macro tên gọi chung đoạn mã thiết kế để bổ sung tính cho file Office Chúng ta cài đặt sẵn số thao tác vào macro, lần gọi macro phần cài sẵn thực hiện, giúp người sử dụng giảm bớt công lặp lặp lại thao tác giống Có thể hiểu nôm na việc dùng Macro giống việc ta ghi lại thao tác, để sau cho tự động lặp lại thao tác yêu cầu - Worm Worm chương trình độc lập có khả tự tạo thân lây nhiễm sang máy tính khác qua mạng Khác với virus, worm thường không sửa đổi chương trình khác máy tính 10 Worm có sức lây lan rộng, nhanh phổ biến Worm kết hợp sức phá hoại virus, đặc tính âm thầm Trojan hết lây lan đáng sợ mà kẻ viết virus trang bị cho để trở thành kẻ phá hoại với vũ khí tối tân Tiêu biểu Mellisa hay Love Letter Với lây lan đáng sợ chúng làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền Internet Thời điểm ban đầu, Worm dùng để virus phát tán cách tìm địa sổ địa (Address book) máy mà lây nhiễm tự gửi qua email tới địa tìm Những địa mà worm tìm thấy thường địa bạn bè, người thân, khách hàng chủ sở hữu máy bị nhiễm Điều nguy hiểm worm giả mạo địa người gửi địa chủ sở hữu máy hay địa cá nhân đó; email mà worm gửi thường có nội dung “giật gân” “hấp dẫn” để dụ dỗ người nhận mở file virus đính kèm Một số trích dẫn nội dung email hộp thư nạn nhân để tạo phần nội dung email giả mạo Điều giúp cho email giả mạo “thật” người nhận dễ bị mắc lừa Những việc diễn mà bạn không hay biết Với cách hoàn toàn tương tự máy nạn nhân khác, Worm nhanh chóng lây lan toàn cầu theo cấp số nhân Điều lý giải vòng vài tiếng đồng hồ mà Mellisa Love Letter lại lây lan tới hàng chục triệu máy tính toàn cầu Cái tên nó, Worm hay "Sâu Internet" cho ta hình dung việc virus máy tính "bò" từ máy tính qua máy tính khác "cành cây" Internet Với lây lan nhanh rộng lớn vậy, Worm thường kẻ viết cài thêm nhiều tính đặc biệt, chẳng hạn khả định ngày đồng loạt từ máy nạn nhân (hàng triệu máy) công vào địa Ngoài ra, chúng mang theo BackDoor thả lên máy nạn nhân, cho phép chủ nhân chúng truy nhập vào máy nạn nhân làm đủ thứ ngồi máy cách bất hợp pháp Ngày nay, khái niệm Worm mở rộng để bao gồm virus lây lan qua mạng chia sẻ ngang hàng peer to peer, virus lây lan qua ổ đĩa USB hay dịch vụ gửi tin nhắn tức thời (chat), đặc biệt virus khai thác lỗ hổng phần mềm để lây lan Các phần mềm (nhất hệ điều hành dịch vụ đó) tiềm ẩn lỗi/lỗ hổng an ninh lỗi tràn đệm, mà lúc dễ dàng phát Khi lỗ hổng phần mềm phát hiện, không lâu sau xuất virus có khả khai thác lỗ hổng để lây nhiễm lên máy tính từ xa cách âm thầm mà người chủ 11 máy hoàn toàn không hay biết Từ máy này, Worm tiếp tục "bò" qua máy tính khác mạng Internet với cách thức tương tự - backdoor backdoor : dùng để phần mềm độc hại, tạo để cài, phát tán mã độc vào máy tính người người dùng Nếu xét khía cạnh chức kỹ thuật, Backdoor giống với hệ thống quản lý điều phối phần mềm Những ứng dụng độc hại tạo để làm yêu cầu mà tin tặc muốn: gửi nhận liệu, kích hoạt, sử dụng xóa file đó, hiển thị thông báo lỗi, tự khởi động lại máy tính … Những chương trình thường sử dụng để liên kết nhóm máy tính bị lây nhiễm để tạo nên mô hình mạng botnet zombie thường gặp Và kẻ đứng đằng sau tổ chức dễ dàng tập trung số lượng lớn lớn máy tính – lúc trở thành công cụ cho tin tặc, nhằm thực âm mưu mục đích xấu Một phận khác Backdoor có khả lây lan hoạt động giống hệt với Net-Worm, phân biệt chúng qua khả lây lan, Backdoor tự nhân lây lan, trái ngược hoàn toàn với NetWorm Nhưng cần nhận lệnh đặc biệt từ phía tin tặc, chúng đồng loạt lây lan sản sinh với số lượng kiểm soát - Trojan Trojan chương trình độc hại lây nhiễm ẩn chứa bên phần mềm hợp lệ Trojan hoạt động độc lập, điều khác với virus worm Trojan phụ thuộc vào hoạt động người dùng, trojan có tự nhân chí tự phân phối nó, máy bị hại phải chạy chương trình chứa trojan Trojan thường phục vụ mục tiêu thực công khác, không phụ thuộc vào lỗ hổng an ninh hệ thống Khác với virus, Trojan đoạn mã chương trình hoàn toàn tính chất lây lan Đầu tiên, kẻ viết Trojan cách lừa đối phương sử dụng chương trình ghép Trojan kèm với virus (đặc biệt virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân Đến thời điểm thuận lợi, Trojan ăn cắp thông tin quan trọng máy tính nạn nhân 12 số thẻ tín dụng, mật để gửi cho chủ nhân mạng tay xoá liệu lập trình trước Bên cạnh Trojan ăn cắp thông tin truyền thống, số khái niệm sử dụng để đặt tên cho Trojan mang tính chất riêng biệt sau: + Backdoor: Loại Trojan sau cài đặt vào máy nạn nhân tự mở cổng dịch vụ cho phép kẻ công (hacker) kết nối từ xa tới máy nạn nhân, từ nhận thực lệnh mà kẻ công đưa + Phần mềm quảng cáo bất hợp pháp - Adware phần mềm gián điệp Spyware: Gây khó chịu cho người sử dụng chúng cố tình thay đổi trang web mặc định (home page), trang tìm kiếm mặc định (search page)… hay liên tục tự động (popup) trang web quảng cáo bạn duyệt web Chúng thường bí mật xâm nhập vào máy bạn bạn vô tình “ghé thăm” trang web có nội dung không lành mạnh, trang web bẻ khóa phần mềm… chúng theo phần mềm miễn phí không đáng tin cậy hay phần mềm bẻ khóa (crack, keygen) * Có loại trojan chính: - Trojan truy cập từ xa (RAT – Remote Access Trojan) Được thiết kế để kẻ công có khả truy cập từ xa chiếm quyền điều khiển máy bị hại Các Trojan thường giấu vào trò chơi chương trình nhỏ người dùng cảnh giác chạy máy tính họ Hiện nay, trojan loại sử dụng nhiều Chức trojan mở cổng máy nạn nhân để hacker quay lại truy cập vào máy nạn nhân Những trojan dễ sử dụng Chỉ cần nạn nhân bị nhiễm trojan hacker có IP nạn nhân hacker truy cập toàn quyền máy nạn nhân Hiện có nhiều tiếng loai : netbus, back orifice - Trojan gửi liệu Lấy gửi liệu nhạy cảm mật khẩu, thông tin thẻ tín dụng, tệp nhật ký, địa email,… Ðọc tất mật lưu cache thông tin máy nạn nhân gửi cho hacker nạn nhân online Vd : barok, kuang, bario 13 Trojan tìm kiếm cụ thể thông tin cài phần mềm đọc trộm bàn phím gửi toàn phím bấm cho tin tặc Vd : kuang keylogger - Trojan hủy hoại Phá xóa tệp tin Loại Trojan giống với virus thường bị phát chương trình chống virus Loại trojan dễ sử dụng Những trojan có nhiệm vụ tiêu diệt tất file máy bạn ( VD file exe, dll, ini ) Những trojan nguy hiễm máy bạn bị nhiễm lần tất liệu hết - Trojan kiểu Proxy Sử dụng máy tính bị hại làm máy chủ Proxy, qua sử dụng máy bị hại để thực hành vi lừa gạt hay đánh phá máy tính khác - Trojan FTP Thiết kế để mở cổng 21 cho phép tin tặc kết nối vào máy tính bị hại sử dụng FTP - Trojan tắt phần mềm an ninh Có thể dừng xóa bỏ chương trình an ninh phần mềm chống virus hay tường lửa mà không để người dùng nhận - Trojan DoS Lây virus từ máy slave để sử dụng máy slave công DoS tới máy đích - Zombie Zombie chương trình độc hại bí mật liên kết với máy tính khác internet để nghe lệnh từ máy tính Các Zombie thường sử dụng công từ chối dịch vụ DDoS để công vào website Kiểu thông dụng Zoombie agent dùng để tổ chức 14 công DDoS Kẻ công cài Zoombie vào số lượng lớn máy tính lênh công lúc Ví dụ Trinoo Tribe Flood Network hai Zoombie tiếng sử dụng công cụ để thực công DDoS Bom Logic: chương trình phần chương trình mà nằm yên đoạn chương trình Logic chương trình kích hoạt Bằng cách giống mìn mằn mặt đất Phương pháp chung để kích hoạt bom Logic ngày tháng Bom Logic kiểm tra ngày hệ thống không làm ngày lập trình trước , ngày bom Logic kích hoạt thực đoạn mã Bom Logic lập trình để chờ thông điệp từ người lập trình Ví dụ với loại bom Logic , kiểm tra Website tuần lần tới gặp thông điệp bom Logic không nhìn thấy thông điệp kích hoạt để thực đoạn mã Bom Logic lập trình để kích hoạt theo nhiều cách khác File sở liệu tăng đến kích thước thu mục người dùng bị xoá Điều nguy hiểm bom Logic kích hoạt lúc với điều kiện kích hoạt Bom Logic khả tự tái tạo , dễ để viết chương trình Bom Logic điều có nghĩa bom Logic không phát tán để xác định nạn nhân Có vài cách bom Logic dùng với mục đích đe dọa nhắm tới nạn nhân có chủ định Bom Logic ban đầu sử dụng để đảm bảo toán phần mềm Nếu toán không thực ngày xác định bom Logic tự động kích hoạt tự động xoá phần mềm Nhiều dạng chương trình độc hại bom Logic xoá liệu khác máy tính - Spyware Các Spyware cài đặt hệ thống giống chương trình khác không người sử dụng biết hoạt động, mục đích hậu mà gây Chức phần mềm gián điệp chuyển cho người tạo chúng yêu cầu xác định, chủ yếu phục vụ mục đích quảng cáo thương mại Các Spyware thường “kẹp” chung với phần mềm miễn phí kêu gọi download mạng, từ phần mềm trao đổi máy với máy qua hệ thống peer-to-peer Kazaa hay The Brigde,… đến sản phẩm nhà sản xuất phần mềm lớn Ngoài ra, kể đến kỹ thuật Spyware vào máy vài trang web bugs - trang web cài 15 sẵn worm, sẵn sàng công vào máy tính Tuy nhiên, Spyware có mục đích giúp trang web đếm số lượt người truy cập vào Khi cài đặt vào máy người sử dụng, Spyware bắt đầu công việc máy kết nối Internet Chủ nhân Spyware nhận thông tin việc sử dụng máy tính đó: từ thói quen duyệt web, địa trang web hay, đến thông số kỹ thuật máy nội dung đĩa cứng, nhờ mà họ biết địa thư điện tử phiền toái mật mã Spyware bị lạm dụng mục đích thương mại Các Spyware xâm nhập máy tính bạn thu thập tất thông tin cá nhân người sử dụng máy Các thông tin bán lại cho công ty khác, người cần chúng Hãy lấy ví dụ từ công ty chuyên gửi spam Có bạn tự hỏi kẻ chuyên gửi thư rác biết nhiều địa email đến không? Đó họ mua chúng công ty bố mẹ Spyware Rồi có bạn tự hỏi không hiểu người ta lại biết bạn thích bóng đá mà gửi cho bạn nhiều yêu cầu tham gia diễn đàn bóng đá mạng? Có thể bạn bất ngờ tất thói quen duyệt web, trang web mà bạn hay thăm viếng, thông tin bạn thường đọc,… Spyware “học thuộc lòng” “mách lẻo” lại cho trang web khác - Botnet Các máy tính bị nhiễm phần mềm malbot điều khiển thông qua kênh IRC hệ thống chat khác Mạng botnet có đến hàng ngàn máy dễ dàng sử dụng để công DdoS đến trang thương mại điện tử Tuy từ "botnet" dùng để nhóm bot bất kỳ, chẳng hạn IRC bot, từ thường dùng để tập hợp máy tính bị công thỏa hiệp chạy chương trình độc hại, thường sâu máy tính, trojan horse hay cửa hậu, hạ tầng sở lệnh điều khiển Một chương trình huy botnet (botnet's originator hay bot hearder) điều khiển nhóm bot từ xa, thường qua phương tiện chẳng hạn IRC, thường nhằm mục đích bất Thông thường, kẻ tạo botnet trước thỏa hiệp loạt hệ thống nhiều công cụ đa dạng (tràn nhớ đệm, ) Các bot tự động quét môi trường chúng tự lan truyền thân cách sử dụng lỗ hổng an ninh mật yếu Nếu bot quét tự lan truyền qua nhiều lỗ hổng an ninh, trở nên giá trị cộng đồng điều khiển botnet 16 Các botnet trở nên phần quan trọng Internet, chúng ngày ẩn kĩ Do đa số mạng IRC truyền thống thực biện pháp cấm truy nhập botnet ngụ đó, người điều khiển botnet phải tự tìm server cho Một botnet thường bao gồm nhiều kết nối, chẳng hạn ADSL, cáp, nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, phủ chí quân Đôi khi, người điều khiển giấu cài đặt IRC server site công ty giáo dục, nơi đường kết nối tốc độ cao hỗ trợ số lớn bot khác Người ta tìm thấy gỡ bỏ vài botnet Internet Cảnh sát Hà Lan tìm thấy botnet gồm 1.5 triệu nút ISP Telenor Na Uy dỡ bỏ botnet 10.000 nút Người ta khởi động hoạt động hợp tác quốc tế lớn nhằm dập tắt botnet - Rootkit Khái niệm rootkit sử dụng để mô tả chế kĩ thuật sử dụng malware (malware phần mềm làm sai chức chương trình ứng dụng gồm: virus, spyware, trojan ) cố gắng ẩn nấp, trốn tránh không bị phát chương trình chống spyware, virus tiện ích hệ thống Thực ra, rootkit tự thân không mang tính hiểm độc chúng sử dụng với chương trình mang tính "phá hoại" như: virus, sâu, phần mềm gián điệp, trojan lại nguy hiểm nhiều Rootkit nguy hiểm nào? Rootkit thực tế chẳng gây ảnh hưởng xấu Mục đính rootkit ẩn nấp, tránh không bị phát Tuy nhiên, rootkit sử dụng để giấu đoạn mã hiểm độc nguy hiểm Một số sâu, virus, trojan phần mềm gián điệp có khả trì hoạt động không bị phát sử dụng rootkit Các malware không bị phát chí hệ thống bảo vệ chương trình chống virus tốt Do đó, Rootkit thực mối đe dọa nghiêm trọng Thực ra, có vài phần mềm gián điệp virus sử dụng rootkit để lẩn trốn Một ví dụ điển hình sử dụng rootkit để xâm nhập hệ thống vụ ăn trộm mã nguồn trò chơi tiếng Half-Life Rootkit sử dụng phổ biến phần mềm gián điệp virus Một điều chắn rootkit kĩ thuật phát triển, chưa có nhiều thực tế, nên mối đe dọa rootkit không lớn so với mối nguy hiểm tiềm tàng kĩ thuật 17 Rootkit thực trở thành phổ biến phần mềm gián điệp chúng dần phổ biến virus sâu Các tác giả viết virus chuyên nghiệp hoạt động với mục đích kinh doanh Chính vậy, họ hoàn toàn có đủ kĩ trình độ để cài đặt rootkit phức tạp vào virus sâu Rootkit làm ẩn trojan thư rác (spam) lâu máy bị nhiễm Đây nguyên nhân dẫn tới bùng nổ rootkit tương lai Những malware sử dụng kĩ thuật rootkit? Vài Rootkit mang ý nghĩa tính chất rootkit biết đến như: Hacker Defender FU Một số phần mềm gián điệp, quảng cáo có sử dụng rootkit: EliteToolbar, ProAgent, and Probot SE Các trojan như: Berbew/Padodor Feutel/Hupigon số sâu như: Myfip.h họ sâu Maslan sử dụng rootkit Tại chương trình diệt virus không phát rootkit trước chúng kịp ẩn nấp? Điều số trường hợp Bởi rootkit thường phát tán mã nguồn mở, điều có nghĩa hacker thay đổi mã rootkit cách nhanh chóng để chương trình diệt virus phát Một số phần mềm chống virus phát rootkit F-Secure Internet Security 2005 có tính "Manipulation Control" Tính có cấu chặn tiến trình hiểm độc "thao tác" gây ảnh hưởng tới tiến trình khác Tuy nhiên, chương trình F-Secure Internet Security 2005 chặn vài rootkit 1.3 NHẬN BIẾT MÁY TÍNH BỊ NHIỄM MALWARE Dưới số dấu hiệu nhận biết máy tính bị nhiễm virus: · Truy xuất tập tin, mở chương trình ứng dụng chậm · Khi duyệt web có trang web lạ tự động xuất · Duyệt web chậm, nội dung trang web hiển thị trình duyệt chậm · Các trang quảng cáo tự động (pop up) 18 · Góc phải hình xuất cảnh báo tam giác màu vàng: “Your computer is infected”, xuất cửa sổ “Virus Alert”… · Các file lạ tự động sinh bạn mở ổ đĩa USB · Xuất file có phần mở rộng exe có tên trùng với tên thư mục Ngoài ra, có nhiều virus chạy ẩn với hệ thống dấu hiệu đặc biệt hay bất thường, nên người sử dụng khó để nhận biết Vì vậy, để đảm bảo an toàn cho máy tính, bạn nên chọn phần mềm diệt virus tốt để cài đặt sử dụng thường xuyên, lâu dài cho máy tính Phần mềm diệt virus tốt phải phần mềm đáp ứng đầy đủ tiêu chí: phần mềm có quyền, cập nhật phiên thường xuyên, có hỗ trợ kỹ thuật trực tiếp từ nhà sản xuất có cố liên quan tới virus 1.4 CÁCH PHÒNG TRÁNH MALWARE Trong thuật ngữ chuyên ngành, người ta sử dụng từ malware để loại phần mềm gây hại virus, worm, trojan horse, spyware adware Dưới cách phòng trừ malware hiệu  Thói quen Online thông minh Nhân tố quan trọng chiến phòng ngừa malware bạn Bạn không cần phải chuyên gia, mà cần không tải cài đặt thứ bạn không hiểu không tin tưởng + Đối với website Một website yêu cầu bạn cài đặt chương trình Nếu không chắn, bạn rời website điều tra phần mềm mà bạn đề nghị cài đặt Nếu kết tốt, bạn quay lại cài đặt sau + Đối với email Đừng tin tưởng thứ chứa đựng email rác Kể nhận email từ người bạn biết có kèm theo link hay file đính kèm, nên cảnh giác Nếu nghi ngờ bạn đề nghị xem hay cài đặt, đừng làm điều 19 + Đối với thiết bị di động Bạn bè, gia đình đồng nghiệp vô tình đưa cho bạn đĩa USB nhiễm virus Đừng vội dùng liệu này, cần phải quét chương trình diệt virus trước + Đối với cửa sổ pop-up Khi lướt web bạn thấy nhiều cửa sổ bung yêu cầu bạn tải đồng ý dùng chương trình quét hệ thống Bạn cần tắt cửa sổ nhớ không bấm vào nội dung bên Có thể tắt Windows Task Manager (bấm Ctrl-Alt-Delete) + Đối với phần mềm Một số chương trình cố gắng cài malware trình cài đặt chúng Vì cài đặt bạn cần để ý tới lựa chọn trước bấm Next, OK hay I Agree Nếu không chắn tắt đi, kiểm tra độ tin tưởng chương trình cài lại việc bình thường + Đối với dịch vụ chia sẻ file trực tuyến Đây môi trường nguy hiểm bạn phải biết rõ làm định dùng dịch vụ Bởi có kiểm soát hiệu quả, nên hacker dễ dàng tạo malware có tên giống phim, album hay chương trình tiếng để thu hút bạn tải  Loại bỏ malware Cần chấp nhận thực tế dù bạn có phòng ngừa kỹ cỡ có ngày bạn bị nhiễm loại malware Đấy malware ngày tinh vi đột nhập vào máy bạn mà bạn lường hết Khi cần tiêu diệt chúng cách dùng chương trình phù hợp: + Một hệ điều hành thường xuyên cập nhật: Hãy sử dụng Windows Update Chương trình có khả tự động thông báo cho bạn cập nhật, chí tự tải cài đặt + Một trình duyệt nên cập nhật Dù cho bạn dùng trình duyệt dùng nhằm cập nhật cách phòng chống malware tân tiến 20 + Trình diệt virus Bạn nên dùng trình diệt virus để bảo vệ máy tính Cập nhật thường xuyên lên kế hoạch quét virus tháng lần Tuy nhiên đừng dùng tới hai trình diệt virus lúc chúng xung đột với + Trình diệt spyware Nhiều chương trình diệt virus có tích hợp tính diệt spyware Nhưng không có, bạn cần cài trình diệt spyware độc lập không xung đột với trình diệt virus Cập nhật thường xuyên + Firewall Firewall hay Tường lửa phần mềm có tác dụng tường che chắn máy tính bạn khỏi công từ bên Nếu không dùng phần mềm hãng thứ ba bạn dùng Windows Firewall có sẵn Cũng đừng chạy hai Firewall lúc + Bộ lọc thư rác Nếu chương trình nhận email bạn không hỗ trợ lọc thư rác bạn dùng thêm phần mềm chuyên dụng Nếu dùng phần mềm bảo mật bạn nên bật chức lọc thư rác lên 21 PHẦN III - TÀI LIỆU THAM KHẢO http://forum.bkav.com.vn/showthread.php?1495-Tan-cong-ma-doc-doipho http://www.quantrimang.com.vn/baomat/virus-spyware/32066_Kinhnghiem-phong-chong-virus-phan-2.aspx http://en.wikipedia.org/wiki/Malware http://vietsciences.free.fr/timhieu/khoahoc/tinhoc/virus_spam_spy.htm 22 [...]... không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ 11 máy hoàn toàn không hay biết Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng Internet với cách thức tương tự - backdoor backdoor : được dùng để chỉ những phần mềm độc hại, được tạo ra để cài, phát tán mã độc vào máy tính người của người... thuật của máy và nội dung của các đĩa cứng, nhờ đó mà họ biết được các địa chỉ thư điện tử và phiền toái hơn là cả các mật mã nữa Spyware bị lạm dụng vì những mục đích thương mại Các Spyware sẽ xâm nhập máy tính của bạn và thu thập tất cả các thông tin cá nhân của người sử dụng máy Các thông tin này sẽ được bán lại cho các công ty khác, những người cũng rất cần chúng Hãy lấy ví dụ từ các công ty chuyên... Rootkit thực sự đã trở thành phổ biến trong các phần mềm gián điệp và chúng cũng sẽ dần phổ biến trong các virus và sâu Các tác giả viết virus bây giờ đã chuyên nghiệp hơn và cũng hoạt động với mục đích kinh doanh nữa Chính vì vậy, họ hoàn toàn có đủ kĩ năng cũng như trình độ để cài đặt các rootkit rất phức tạp vào trong virus và sâu Rootkit có thể làm ẩn các trojan và thư rác (spam) lâu hơn trên những máy... nhân và làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp Ngày nay, khái niệm Worm đã được mở rộng để bao gồm cả các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USB hay các dịch vụ gửi tin nhắn tức thời (chat), đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan Các phần mềm (nhất là hệ điều hành và các dịch vụ trên đó) luôn tiềm ẩn những lỗi/lỗ... Mục đính duy nhất của rootkit là ẩn nấp, và tránh không bị phát hiện Tuy nhiên, rootkit được sử dụng để giấu các đoạn mã hiểm độc thì rất nguy hiểm Một số các sâu, virus, trojan và phần mềm gián điệp vẫn có khả năng duy trì hoạt động và không bị phát hiện khi sử dụng rootkit Các malware sẽ không bị phát hiện thậm chí khi hệ thống được bảo vệ bởi các chương trình chống virus tốt nhất Do đó, Rootkit thực... trình độc hại bí mật liên kết với một máy tính khác ngoài internet để nghe lệnh từ các máy tính đó Các Zombie thường sử dụng trong các cuộc tấn công từ chối dịch vụ DDoS để tấn công vào một website nào đó Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc 14 tấn công DDoS Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc Ví dụ Trinoo và. .. bộ nhớ đệm, ) Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu Nếu một con bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều khiển botnet 16 Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ Do đa số các mạng IRC... trợ một số lớn các bot khác Người ta đã tìm thấy và gỡ bỏ một vài botnet trên Internet Cảnh sát Hà Lan đã tìm thấy một botnet gồm 1.5 triệu nút và ISP Telenor của Na Uy đã dỡ bỏ một botnet 10.000 nút Người ta đã khởi động các hoạt động hợp tác quốc tế lớn nhằm dập tắt các botnet - Rootkit Khái niệm rootkit được sử dụng để mô tả các cơ chế và kĩ thuật được sử dụng bởi malware (malware là các phần mềm... trang web bẻ khóa phần mềm… hoặc chúng đi theo các phần mềm miễn phí không đáng tin cậy hay các phần mềm bẻ khóa (crack, keygen) * Có 7 loại trojan chính: - Trojan truy cập từ xa (RAT – Remote Access Trojan) Được thiết kế để kẻ tấn công có khả năng truy cập từ xa chiếm quyền điều khiển của máy bị hại Các Trojan này thường được giấu vào trong các trò chơi và các chương trình nhỏ để cho người dùng mất cảnh... Proxy, qua đó có thể sử dụng máy bị hại để thực hiện các hành vi lừa gạt hay đánh phá các máy tính khác - Trojan FTP Thiết kế để mở cổng 21 và cho phép tin tặc kết nối vào máy tính bị hại sử dụng FTP - Trojan tắt phần mềm an ninh Có thể dừng hoặc xóa bỏ các chương trình an ninh như phần mềm chống virus hay tường lửa mà không để người dùng nhận ra - Trojan DoS Lây virus từ các máy slave để sử dụng máy slave ... http://forum.bkav.com.vn/showthread.php?1495-Tan-cong -ma- doc- doipho http://www.quantrimang.com.vn/baomat/virus-spyware/32066_Kinhnghiem-phong-chong-virus-phan-2.aspx http://en.wikipedia.org/wiki/Malware http://vietsciences.free.fr/timhieu/khoahoc/tinhoc/virus_spam_spy.htm... thu thập địa email máy gửi email giả mạo có nội dung hấp dẫn kèm theo file virus để lừa người nhận mở file Các email virus gửi có nội dung „hấp dẫn‟ Một số virus trích dẫn nội dung email hộp thư... dàng tạo malware có tên giống phim, album hay chương trình tiếng để thu hút bạn tải  Loại bỏ malware Cần chấp nhận thực tế dù bạn có phòng ngừa kỹ cỡ có ngày bạn bị nhiễm loại malware Đấy malware