Mô tả:
Trường CĐ CNTT Hữu Nghị Việt Hàn
Khoa Khoa Học Máy Tính
Tìm hiểu về Virus và Worm
Mô-đun
GVHD
: Lê Tự Thanh
Nhóm 19 : Đặng Ngọc Thông
Võ Minh Thành
Giới thiệu Virus
Virus là một chương trình tự sao chép sản xuất code riêng của mình bằng cách đính
kèm bản sao của chính nó vào các code thực thi khác
Một số Virus ảnh hưởng đến máy tính ngay sau khi code của nó được thực
hiện, một số Virus khác nằm im cho đến khi một hoàn cảnh hợp lý rồi mới được
kích hoạt
Nhóm 19-CCMM03A
Số liệu thống kê Virus và Worm 2010
Top 13 quốc gia có máy chủ
lưu trữ code độc hại
Nhóm 19-CCMM03A
Vòng đời của Virus
Thiết kế
Phát triển
code Virus bằng cách
sử dụng các ngôn
ngữ lập trình hoặc bộ
dụng cụ xây dựng
Nhân rộng
Virus sao chép vào
hệ thống trong một
khoảng thời gian và
sau đó chính nó sẽ
lây lan
Loại bỏ
Người dùng cài
đặt bản cập
nhật chống Virus v
à loại bỏ các mối
đe dọa từ Virus
Kích hoạt
Nó được kích hoạt bởi
người dùng khi
thực hiện một số hành
động như chạy một
chương trình bị nhiễm
Công ty
Phần mềm chống
Virus được phát
triển để bảo vệ
và chống lại Virus
Phát hiện
Virus được xác định
là mối đe dọa lây
nhiễm cho các hệ
thống
Nhóm 19-CCMM03A
Hoạt động của Virus : Giai đoạn lây nhiễm
Trong giai đoạn lây nhiễm, Virus sao chép chính nó và gắn vào một file exe trong hệ thống
Một số Virus lây nhiễm sau khi được chạy và thực thi một tác vụ và lây nhiễm sang những khu vực
khác khi người dùng kích hoạt vào chúng, có thể là một ngày, một khoảng thời gian, hoặc một sự
kiện đặc biệt nào đó
Trước khi nhiễm
File sạch
Sau khi nhiễm
File đã
nhiễm Virus
Nhóm 19-CCMM03A
Hoạt động của Virus : Giai đoạn lây nhiễm
Một số Virus có những sự kiện thực thi để kích hoạt và làm hỏng hệ thống
Một số Virus tạo lỗi tái tạo và thực hiện các hoạt động như xóa tập tin và tăng thời gian của phiên
làm việc
Nó làm hỏng các mục tiêu sau khi đã lây lan thành công như âm mưu của người tạo ra nó
File chưa phân mảnh trước khi bị tấn công
File đã bị phân mảnh do sự tấn công của Virus
Nhóm 19-CCMM03A
Tại sao người ta lại tạo ra Virus máy tính ?
Gây thiệt hại cho các đối thủ cạnh
tranh
Lợi ích tài chính
Kẻ tấn công
Dự án nghiên cứu
Trò đùa
Phá hoại
Khủng bố mạng lưới
Phân phát các thông điệp chính trị
Hệ thống có thể
công kích
Nhóm 19-CCMM03A
Dấu hiệu Virus tấn công
Bộ xử lí tốn
nhiều thời
gian và tài
nguyên
Không có
tiếng bíp
máy tính
Nhãn ổ đĩa
bị thay đổi
Máy tính bị
chậm khi
chương trình
bắt đầu chạy
Máy tính
thường
xuyên bị
đóng băng
hoặc gặp
phải lỗi
Không thể
tải được sự
hoạt động
của hệ
thống
Sự cảnh báo
của chương
trình chống
Virus
File và thư
mục bị mất
ổ cứng bị
truy cập
thường
xuyên
Cửa sổ trình
duyệt “đóng
băng”
Hoạt động bất thường
Nếu hệ thống hoạt động theo
cách thức chưa từng thấy, bạn có
thể nghị ngờ bị Virus tấn công
Dương tính giả
Tuy nhiên không phải tất cả
các trục trặc có thể là do Virus
tấn công
Nhóm 19-CCMM03A
Máy tính bị nhiễm Virus như thế nào ?
Không chạy ứng dụng
anti-Virus cập nhật mới
nhất
Không cập nhật và không
cài các phiên bản bổ sung
mới
Khi người dùng truy cập file
và tải về mà không kiểm tra
nguồn có an toàn hay không
Cài đặt các phần mềm bí
mật
Mở các e-mail có file
đính kèm bị nhiễm
Nhóm 19-CCMM03A
Phân tích Virus :
W32/Total-A là một Virus email-nhận thức gửi đến như là 1 file đính kèm gọi là BinLaden_Brasil.exe
Phần nội dung của email sẽ liên quan đến cuộc xung đột ở Afghanistan
Nhóm 19-CCMM03A
Phân tích Virus :
Các thông báo trống có header MIME được mã hóa để khai thác lỗ hổng
trong IE 5.01/5.5 để chạy một tập tin đính kèm tự động
khi các email được xem
Nếu tập tin đính kèm được thực thi, nó thả các tập tin thư
viện INVICTUS.DLL vào thư mục hệ thống Windows và Virus vào thư
mục Windows, bằng cách sử dụng ngẫu nhiên tên 3 kí tự bao gồm phần trên
chữ ‘A-O'
Virus cũng có thể tạo một bản sao của chính nó trong thư mục C: \, các
file của các bản sao Virus sẽ có thuộc tính ẩn và chỉ đọc
Virus này thêm vào đường dẫn của nó vào dòng "shell =" trong
đoạn [Boot] của System \.ini, chính điều này mà Virus được
chạy tự động mỗi khi máy được khởi động
Virus này làm cho ổ đĩa C: chia sẻ được bằng cách thiết lập các khóa khác
nhau:
Nhóm 19-CCMM03A
Phân tích Virus :
Đặc
biệt,nó thường nhắm
vào các mục tiêu
là netstat.exe và Ic.ex
e
Mỗi khi bạn khởi
động Windows
Explorer, Virus sẽ
chạy và lây
nhiễm file
HH.EXE vàExplorer.
exe
Virus này sẽ tìm
kiếm các chương
trình chống Virus đang
hoạt động và cố
gắng để chấm dứt
chúng
Hộp tin nhắn có
tiêu đề 'Worm/IWorm/W32.BinLad
en' và chứa bên
dưới văn bản
Khẩu hiệu đầy màu
sắc khác
nhau sẽ được hiển
thị trên màn hình
desktop, cùng với
hộp tin nhắn
Trong những
dịp hiếm hoi
mà Virus được
chạy, nó sẽ kích
hoạt 1 visual
payload
Văn bản được cố ý che đậy để che giấu nội dung xúc phạm
Nhóm 19-CCMM03A
Phân tích Virus :
Nhóm 19-CCMM03A
Phân tích Virus :
Virus sẽ cố gắng để tải về
thông tin về người sử
dụng khác từ trang
ICQ từ xa bằng cách tìm
kiếm "trang trắng" cho một
danh sách các từ khóa bao
gồm: "lịch sử", "bạn
bè", “chuyến bay"
Virus sau đó sẽ gửi tới địa
chỉ email mà nó tìm
thấy trong các
trang được tìm thấy
Tiến trình Virus bình thường sẽ
chấm dứt sau 5-10 phút, nhưng cũng
có thể được chấm
dứt bằng cách sử dụng Task
Manager
Biện pháp đối phó: Microsoft đã ban hành một bản vá để bảo vệ lỗ hổng này tại :
Nhóm 19-CCMM03A
Phân tích Virus :
Virus này là một tập đa hình thường trú trong bộ nhớ gắn thêm tập
tin infectors có khả năng EPO (che khuất Entry Point)
Virus này định vị một mức nhất
định của byte từ
điểm nhập cảnh của tập tin
gốc và viết decryptor ban đầu
của nó có
Virus này viết code ban đầu của
nó vào một khoảng trống (không
gian trống rỗng) trong kết
thúc của phần code tập tin ban
đầu và chuyển địa chỉ vào code
Phương
thức lây
nhiễm
Nó gắn thêm code của nó đến
cuối của tập tin và thay đổi điểm
vào địa chỉ của chương trình ban
đầu, do đó nó trỏ nối thêm
chỗ bắt đầu của code Virus
Nhóm 19-CCMM03A
Phân tích Virus :
Trang web độc hại
Trang web độc hại
Trang wed và file bị
thay đổi bởi Virus
Người dùng xuất các
tập tin bị nhiễm vào
máy chủ web
Chuyển
hướng
đến
trang
web
độc hại
Virus
lây
nhiễm
người
dùng
máy
tính
Virus cố gắng thực hiện những hành động sau đây
Cố gắng để lây nhiễm . Ex * và/hoặc các file scr
Cản trở hoạt động bảo vệ tập
tin được cung cấp bởi Windows
Nhúng các lệnh để cho người dùng truy cập
php, asp. htm và file html trong các trang
web trong **, nơi mà Virus đã ở sẵn trước
21
Nhóm 19-CCMM03A
Phân loại Virus
Virus
System hoặc
Boot sector
Virus file
Virus
Multipatite
Virus
Stealth/
Virus
Tunneling
Virus
cluster
Virus
macro
Nó lây nhiễm như thế nào ?
Virus
encrytion
Virus
polymophic
Virus
Metamorphic
Virus
overwriting
File hoặc
Virus Cavity
Virus
sparse
Infector
Virus
Companion/
Camouflage
Virus Shell
Virus file
extension
Virus
Intrusive
Virus Direct
Action hoặc
virus
Transient
Virus
terminate and
stay
resident(STR)
Virus add-on
Nó lây nhiễm như thế nào ?
25
Nhóm 19-CCMM03A
Virus System or Boot sector
Virus boot sector di chuyển MBR đến vị trí khác trên đĩa cứng và sao chép chính nó
vào vị trí ban đầu của MBR
Khi hệ thống khởi động, code Virus được thực thi đầu tiên và sau đó kiểm
soát được thông qua MBR ban đầu
Trước khi lây nhiễm
Sau khi lây nhiễm
code vi
rút
26
Nhóm 19-CCMM03A
Virus File and Multipartite
Virus file
Virus file lây nhiễm các file được
thực thi hoặc diễn giải trong hệ
thống như EXE,
COM. SYS, OVL, OBI, PRG, MN
U và file BAT
Virus File có thể là hành
động trực tiếp (không thường
trú)hoặc thường trú trong bộ nhớ
Vi rút multipartite
Virus multipartite tấn
công cả hai là boot sector
và các file hoặc chương
trình thực thi cùng một lúc
27
Nhóm 19-CCMM03A
Virus Macro
Macro lây nhiễm kích hoạt tài liệu
Kẻ tấn công
Người dùng
Hầu hết các Virus
macro được
viết bằng cách sử
Virus
Macro lây nhiễm các tập dụng ngôn
ngữ macro Visual
tin được tạo ra bởi
Basic cho
Microsoft Word
Ứng dụng (VBA)
hoặc Excel
Virus Macro lây
nhiễm các
mẫu hoặc chuyển đổi
các tài liệu bị nhiễm
vào các file mẫu,
trong
khi duy trì sự xuất hiệ
n các file
tài liệu thông thường
28
Nhóm 19-CCMM03A
- Xem thêm -