Tài liệu Tìm hiểu về virus và worm

Trường CĐ CNTT Hữu Nghị Việt Hàn Khoa Khoa Học Máy Tính Tìm hiểu về Virus và Worm Mô-đun GVHD : Lê Tự Thanh Nhóm 19 : Đặng Ngọc Thông Võ Minh Thành Giới thiệu Virus Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính kèm bản sao của chính nó vào các code thực thi khác Một số Virus ảnh hưởng đến máy tính ngay sau khi code của nó được thực hiện, một số Virus khác nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được kích hoạt Nhóm 19-CCMM03A Số liệu thống kê Virus và Worm 2010 Top 13 quốc gia có máy chủ lưu trữ code độc hại Nhóm 19-CCMM03A Vòng đời của Virus Thiết kế Phát triển code Virus bằng cách sử dụng các ngôn ngữ lập trình hoặc bộ dụng cụ xây dựng Nhân rộng Virus sao chép vào hệ thống trong một khoảng thời gian và sau đó chính nó sẽ lây lan Loại bỏ Người dùng cài đặt bản cập nhật chống Virus v à loại bỏ các mối đe dọa từ Virus Kích hoạt Nó được kích hoạt bởi người dùng khi thực hiện một số hành động như chạy một chương trình bị nhiễm Công ty Phần mềm chống Virus được phát triển để bảo vệ và chống lại Virus Phát hiện Virus được xác định là mối đe dọa lây nhiễm cho các hệ thống Nhóm 19-CCMM03A Hoạt động của Virus : Giai đoạn lây nhiễm Trong giai đoạn lây nhiễm, Virus sao chép chính nó và gắn vào một file exe trong hệ thống Một số Virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực khác khi người dùng kích hoạt vào chúng, có thể là một ngày, một khoảng thời gian, hoặc một sự kiện đặc biệt nào đó Trước khi nhiễm File sạch Sau khi nhiễm File đã nhiễm Virus Nhóm 19-CCMM03A Hoạt động của Virus : Giai đoạn lây nhiễm Một số Virus có những sự kiện thực thi để kích hoạt và làm hỏng hệ thống Một số Virus tạo lỗi tái tạo và thực hiện các hoạt động như xóa tập tin và tăng thời gian của phiên làm việc Nó làm hỏng các mục tiêu sau khi đã lây lan thành công như âm mưu của người tạo ra nó File chưa phân mảnh trước khi bị tấn công File đã bị phân mảnh do sự tấn công của Virus Nhóm 19-CCMM03A Tại sao người ta lại tạo ra Virus máy tính ? Gây thiệt hại cho các đối thủ cạnh tranh Lợi ích tài chính Kẻ tấn công Dự án nghiên cứu Trò đùa Phá hoại Khủng bố mạng lưới Phân phát các thông điệp chính trị Hệ thống có thể công kích Nhóm 19-CCMM03A Dấu hiệu Virus tấn công Bộ xử lí tốn nhiều thời gian và tài nguyên Không có tiếng bíp máy tính Nhãn ổ đĩa bị thay đổi Máy tính bị chậm khi chương trình bắt đầu chạy Máy tính thường xuyên bị đóng băng hoặc gặp phải lỗi Không thể tải được sự hoạt động của hệ thống Sự cảnh báo của chương trình chống Virus File và thư mục bị mất ổ cứng bị truy cập thường xuyên Cửa sổ trình duyệt “đóng băng” Hoạt động bất thường Nếu hệ thống hoạt động theo cách thức chưa từng thấy, bạn có thể nghị ngờ bị Virus tấn công Dương tính giả Tuy nhiên không phải tất cả các trục trặc có thể là do Virus tấn công Nhóm 19-CCMM03A Máy tính bị nhiễm Virus như thế nào ? Không chạy ứng dụng anti-Virus cập nhật mới nhất Không cập nhật và không cài các phiên bản bổ sung mới Khi người dùng truy cập file và tải về mà không kiểm tra nguồn có an toàn hay không Cài đặt các phần mềm bí mật Mở các e-mail có file đính kèm bị nhiễm Nhóm 19-CCMM03A Phân tích Virus : W32/Total-A là một Virus email-nhận thức gửi đến như là 1 file đính kèm gọi là BinLaden_Brasil.exe Phần nội dung của email sẽ liên quan đến cuộc xung đột ở Afghanistan Nhóm 19-CCMM03A Phân tích Virus : Các thông báo trống có header MIME được mã hóa để khai thác lỗ hổng trong IE 5.01/5.5 để chạy một tập tin đính kèm tự động khi các email được xem Nếu tập tin đính kèm được thực thi, nó thả các tập tin thư viện INVICTUS.DLL vào thư mục hệ thống Windows và Virus vào thư mục Windows, bằng cách sử dụng ngẫu nhiên tên 3 kí tự bao gồm phần trên chữ ‘A-O' Virus cũng có thể tạo một bản sao của chính nó trong thư mục C: \, các file của các bản sao Virus sẽ có thuộc tính ẩn và chỉ đọc Virus này thêm vào đường dẫn của nó vào dòng "shell =" trong đoạn [Boot] của System \.ini, chính điều này mà Virus được chạy tự động mỗi khi máy được khởi động Virus này làm cho ổ đĩa C: chia sẻ được bằng cách thiết lập các khóa khác nhau: Nhóm 19-CCMM03A Phân tích Virus : Đặc biệt,nó thường nhắm vào các mục tiêu là netstat.exe và Ic.ex e Mỗi khi bạn khởi động Windows Explorer, Virus sẽ chạy và lây nhiễm file HH.EXE vàExplorer. exe Virus này sẽ tìm kiếm các chương trình chống Virus đang hoạt động và cố gắng để chấm dứt chúng Hộp tin nhắn có tiêu đề 'Worm/IWorm/W32.BinLad en' và chứa bên dưới văn bản Khẩu hiệu đầy màu sắc khác nhau sẽ được hiển thị trên màn hình desktop, cùng với hộp tin nhắn Trong những dịp hiếm hoi mà Virus được chạy, nó sẽ kích hoạt 1 visual payload Văn bản được cố ý che đậy để che giấu nội dung xúc phạm Nhóm 19-CCMM03A Phân tích Virus : Nhóm 19-CCMM03A Phân tích Virus : Virus sẽ cố gắng để tải về thông tin về người sử dụng khác từ trang ICQ từ xa bằng cách tìm kiếm "trang trắng" cho một danh sách các từ khóa bao gồm: "lịch sử", "bạn bè", “chuyến bay" Virus sau đó sẽ gửi tới địa chỉ email mà nó tìm thấy trong các trang được tìm thấy Tiến trình Virus bình thường sẽ chấm dứt sau 5-10 phút, nhưng cũng có thể được chấm dứt bằng cách sử dụng Task Manager Biện pháp đối phó: Microsoft đã ban hành một bản vá để bảo vệ lỗ hổng này tại : Nhóm 19-CCMM03A Phân tích Virus : Virus này là một tập đa hình thường trú trong bộ nhớ gắn thêm tập tin infectors có khả năng EPO (che khuất Entry Point) Virus này định vị một mức nhất định của byte từ điểm nhập cảnh của tập tin gốc và viết decryptor ban đầu của nó có Virus này viết code ban đầu của nó vào một khoảng trống (không gian trống rỗng) trong kết thúc của phần code tập tin ban đầu và chuyển địa chỉ vào code Phương thức lây nhiễm Nó gắn thêm code của nó đến cuối của tập tin và thay đổi điểm vào địa chỉ của chương trình ban đầu, do đó nó trỏ nối thêm chỗ bắt đầu của code Virus Nhóm 19-CCMM03A Phân tích Virus : Trang web độc hại Trang web độc hại Trang wed và file bị thay đổi bởi Virus Người dùng xuất các tập tin bị nhiễm vào máy chủ web Chuyển hướng đến trang web độc hại Virus lây nhiễm người dùng máy tính Virus cố gắng thực hiện những hành động sau đây Cố gắng để lây nhiễm . Ex * và/hoặc các file scr Cản trở hoạt động bảo vệ tập tin được cung cấp bởi Windows Nhúng các lệnh để cho người dùng truy cập php, asp. htm và file html trong các trang web trong **, nơi mà Virus đã ở sẵn trước 21 Nhóm 19-CCMM03A Phân loại Virus Virus System hoặc Boot sector Virus file Virus Multipatite Virus Stealth/ Virus Tunneling Virus cluster Virus macro Nó lây nhiễm như thế nào ? Virus encrytion Virus polymophic Virus Metamorphic Virus overwriting File hoặc Virus Cavity Virus sparse Infector Virus Companion/ Camouflage Virus Shell Virus file extension Virus Intrusive Virus Direct Action hoặc virus Transient Virus terminate and stay resident(STR) Virus add-on Nó lây nhiễm như thế nào ? 25 Nhóm 19-CCMM03A Virus System or Boot sector Virus boot sector di chuyển MBR đến vị trí khác trên đĩa cứng và sao chép chính nó vào vị trí ban đầu của MBR Khi hệ thống khởi động, code Virus được thực thi đầu tiên và sau đó kiểm soát được thông qua MBR ban đầu Trước khi lây nhiễm Sau khi lây nhiễm code vi rút 26 Nhóm 19-CCMM03A Virus File and Multipartite Virus file Virus file lây nhiễm các file được thực thi hoặc diễn giải trong hệ thống như EXE, COM. SYS, OVL, OBI, PRG, MN U và file BAT Virus File có thể là hành động trực tiếp (không thường trú)hoặc thường trú trong bộ nhớ Vi rút multipartite Virus multipartite tấn công cả hai là boot sector và các file hoặc chương trình thực thi cùng một lúc 27 Nhóm 19-CCMM03A Virus Macro Macro lây nhiễm kích hoạt tài liệu Kẻ tấn công Người dùng Hầu hết các Virus macro được viết bằng cách sử Virus Macro lây nhiễm các tập dụng ngôn ngữ macro Visual tin được tạo ra bởi Basic cho Microsoft Word Ứng dụng (VBA) hoặc Excel Virus Macro lây nhiễm các mẫu hoặc chuyển đổi các tài liệu bị nhiễm vào các file mẫu, trong khi duy trì sự xuất hiệ n các file tài liệu thông thường 28 Nhóm 19-CCMM03A