Ứng dụng và truyền thông an ninh thông tin BÁO CÁO ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Tìm hiểu về Virus, Worm, Trojan, Zombie GV: Thạc sỹ Tô Nguyễn Nhật Quang Giáo viên : Tô Nguyễn Nhật Quang Nhóm sinh viên thực hiện: Trần Cảnh Khánh 08520175 Trần Minh Quân 08520310 Nguyễn Nghĩa Tuấn 08520443 Nguyễn Minh Quân 08520000 Thành phố Hồ Chí Minh 2011 Trường Đại học Công Nghệ Thông Tin Khoa Mạng Máy Tính Và Truyền Thông Ứng dụng và truyền thông an ninh thông tin MỤC LỤC ĐẶT VẤN ĐỀ 1 CHƯƠNG 1. VIRUS 2 I. Lịch sử Virus máy tính 2 II. Khái niệm 3 III. Phân loại virus máy tính 5 IV. Các kỹ thuật của virus máy tính 7 V. Cách thức lây lan của virus máy tính 11 VI. Phòng chống virus 19 22 PHẦN II TROJAN 23 I. Lịch sử hình thành Trojan 23 II. Khái niệm về Trojan 23 III. Phân loại Trojan 23 IV. Một số trojan phổ biến 26 V. Cách phòng chống 28 PHẦN 3 WORM 30 I. Lịch sử hình thành 30 II. Khái niệm 31 III. Phân loại worm 31 IV. Một số loại worm phổ biến 33 VI. Cách phòng chống 46 GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin PHẦN 4 ZOMBIE 48 I. Lịch sử hình thành 48 II. Khái niệm 50 III. Làm thế nào để trở thành một zombie 51 IV. Zombie và Spam 51 V. Khi Zombie tấn công 53 VI.Cách phòng chống 54 TÀI LIỆU THAM KHẢO 56 GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin ĐẶT VẤN ĐỀ Mặc dù các phần mềm độc hại (malware) đã xuất hiện từ khá lâu trên thế giới và trong nước ta, song đối với người sử dụng và cả những làm công tác tin học, các phần mềm độc hại vẫn là vấn đề nan giải, nhiều khi nó gây các tổn thất về mất mát dữ liệu trên đĩa, gây các tổn thất về mất mát dữ liệu trên đĩa, gây các sự cố trong quá trình vận hành máy. Sự nan giải này có nhiều lý do: Thứ nhất, số lượng các phần mềm độc hại xuất hiện khá đông đảo, mỗi phần mềm độc hại có một đặc thù riêng và một cách phá hoại riêng. Để tìm hiểu cặn kẻ về virus,trojan,worm không thể trong một thời gian ngắn được, điều này làm nản lỏng những người lập trình muốn tìm hiểu về virus. Thứ hai, hầu như rất ít các tài liệu về tin học được phổ biến, có lẽ người ta nghĩ rằng nếu có các tài liệu đề cập tới virus một cách tỉ mỉ, hệ thống thì số người tò mò, nghịch ngợm viết virus sẽ tăng lên nữa. Vì các lý do trên, việc phòng chống các phần mềm độc hại vẫn là biện pháp tốt nhất. Trong trường hợp phát hiện có các phần mềm độc hại xâm nhập, ngoài việc sử dụng các chương trình diệt virus hiện đang có trên thị trường, việc hiểu biết cơ chế, các đặc điểm phổ biến của phần mềm độc hại là những kiến thức mà những người công tác tin học nên biết để có các xử lý phù hợp. Nội dung của bài báo cáo này đưa ra một số lý thuyết cơ bản đối với mảng kiến thức hệ thống, các nguyên tắc thiết kế, hoạt động của loại phần mềm độc hại nói chung, áp dụng trong phân tích một vài virus, trojan, worm phổ biến. Trên cơ sở đó, đề cập tới phương pháp phòng tránh, phát hiện các phần mềm độc hại. Các kiến thức này cộng với các phần mềm diệt virus hiện có trên thị trường có tác dụng trong việc hạn chế sự lây lan, phá hoại của virus nói chung. GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin CHƯƠNG 1. VIRUS I. Lịch sử Virus máy tính - Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính. - Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là “Pervading Animal” tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus. - Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II. - Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay. - Năm 1986: Virus “The Brain”, virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một đĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ đĩa mềm. Đây là loại “Stealth virus” đầu tiên. - Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus “VirDem”. Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS. - Năm 1987: Virus đầu tiên tấn công vào command.com là virus “Lehigh”. - Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học, công ty trong các quốc gia vào thứ 6 ngày 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (Giống boom logic). - Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton. - Năm 1991: Virus đa hình ra đời đầu tiên là virus “Tequilla”. Loại này biết tự thay đổi hình thức của nó, gây ra khó khăn cho các chương trình chống virus. GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin - Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook… - Năm 2002: Tác giả của virus Melissa, David L.Smith, bị xử 20 tháng tù. - Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đoạn khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình. II. Khái niệm Virus là một phần mềm có thể sao chép chính nó. Nó không đứng một mình mà phải gắn vào một tập tin hoặc một chương trình khác. Khi một chương trình bị nhiễm virus máy tính được thực hiện hoặc một tập tin bị nhiễm được mở ra, loại virus chứa trong nó sẽ được thực thi. Khi thực thi, virus có thể làm hại máy tính và sao chép chính nó để lấy nhiểm sang máy khác trong hệ thống. Có nhiều người nhầm tưởng virus chỉ tồn tại trên máy tính và chỉ xuất hiện trên hệ điều hành phổ biến là Windows. Tuy nhiên thật ra không phải vậy. Hiện nay virus không chỉ tồn tại trên hệ điều hành Windows mà tại bất kỳ hệ điều hành (thông dụng) nào đều đã có sự xuất hiện của virus. Linux, UNIX, MacOS và ngay cả hệ điều hành Sysbian dành cho điện thoại di động đều đã có những virus lây nhiễm. Tuy nhiên, do tính phổ biến là cao nhất nên không có gì khó hiểu mà hệ điều hành Windows trở thành hệ điều hành mà nhiều virus đã và đang xuất hiện nhiều nhất. GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin Một số đuôi mở rộng có khả năng bị virus tấn công .bat: Microsoft Batch File (Tệp xử lý theo lô). .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML). .cmd: Command file for Windows NT (Tệp thực thi của Windows NT). .com: Command file (program) (Tệp thực thi). cpl: Control Panel extension (Tệp của Control Panel). .doc: Microsoft Word (Tệp của chương trình Microsoft Word). .exe: Executable File (Tệp thực thi). .hlp: Help file (Tệp nội dung trợ giúp người dùng). .hta: HTML Application (Ứng dụng HTML). .js: Javascript File (Tệp Javascript). .jse: Javascript Encoded Scirpt File (Tệp mã hóa Javascript). .lnk: Shortcut File (Tệp đường dẫn). .msi: Microsoft Installer File (Tệp cài đặt). .pif: Program Information File (Tệp thông tin chương trình). .reg: Registry File. .src: Screen Saver (Portable Executable File). .sct: Window Script Compoment. .shb: Document Shortcut File. .shs: Shell Scrap Object. GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin .vb: Visual Basic File. .vbe: Visual Basic Encoded Script File. .vbs: Visual Basic File. .wsc: Windows Script Component. .wsf: Window Script File. .wsh: Windows Script Hot File. . {*}: Class ID (CLSID) File Extensions. Tuy nhiên bạn nên tránh ngộ nhận. Không phải bắt buộc những file mang đuôi mở rộng như trên đều là virus, nó chỉ là những phần mở rộng có nhiều khả năng bị virus tấn công mà thôi. III. Phân loại virus máy tính Dựa vào đối tượng lây lan là file hay đĩa, ta chia virus thành hai nhóm chính: + B – virus (boot virus): virus chỉ tấn công lên các Boot sector hay Master boot. + F – virus (file virus): virus chỉ tấn công lên các file thi hành được (dạng có thể thi hành bằng chức năng 4Bh của DOS hơn là những file dạng .COM hay .EXE). Dù vậy, cách phân chia này không phải là duy nhất, mà cũng không hẳn chính xác. Vì sau này, các F-virus vẫn phá hoại hay chèn mã phá hoại vào Boot sector, cũng như B – virus chèn đoạn mã vào file. Tuy nhiên, những hiện tượng này chỉ nhằm phá hoại chứ không coi đó là đối tượng để lây lan. Dạng tổng quát của một virus có thể biểu diễn bằng sơ đồ sau: GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin Như đã giới thiệu về định nghĩa virus, đoạn mã này một lúc nào đó phải được trao quyền điều khiển. Như vậy, rõ ràng virus phải khai thác một sơ hở nào đó mà máy “tự nguyện” trao quyền điều khiển lại cho nó. Bên cạnh đó chúng ta cũng có thể phân chia virus dựa vào phương pháp tìm đối tượng lấy nhiễm có 2 loại: - Virus thường trú - Virus không thường trú Hoặc phân loại theo phương pháp lây nhiễm: - Ghi đè - Ghi đè bảo toàn - Dịch chuyển - Song hành GV: Thạc sỹ Tô Nguyễn Nhật Quang [...]... Nhật Quang Ứng dụng và truyền thông an ninh thông tin Giờ thì tôi có thể đứng bất kỳ trên máy nào có thể telnet tới máy này qua cổng 8800, và hoàn toàn có thể kiểm soát được máy tính đó qua giao diện command line V Cách phòng chống GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin Nhiều công cụ thương mại của phần mềm chống Virus, cũng như phát hiện các loại spyware, trojan,. .. Trojan 1 Loại điều khiển từ xa (RAT) 2 Keyloggers GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin 3 Trojan lấy cắp password 4 FPT trojan 5 Trojan phá hoại 6 Trojan chiếm quyền kiểu leo thang 1 Trojan điều khiển từ xa RAT đóng vai trò quan trọng như một server trên máy tính của bạn và tạo điều kiện cho hacker kết nối với máy tính thực hiện các lệnh khác nhau Dù bạn có hiểu. .. Email Worms GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin Phương thức lây nhiễm của một worm thường thông qua email Nó lây nhiễm thông qua các file đính kèm hoặc liên kết HTML sẽ điều hướng người đọc đến một trang web độc hại Nếu nạn nhân mở ra, worm sẽ được tải về và lây nhiễm sang các máy tính Worm cũng có khả năng để lấy và sử dụng danh sách địa chỉ của nạn nhân, chẳng... được những ứng dụng nào đang hoạt động kết nối đến internet TCPView là công cụ có sẵn trong Windows, cũng dùng để xem trạng thái hoạt động gói dữ liệu TCP hoặc UDP, bao gồm việc truy cập mạng, trao đổi dữ liệu, địa chỉ nguồn đích của gói tin GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin Tripwire là công cụ dùng để tính bảng Hash cho tập tin Tập tin ban đầu, qua sự tính toán... cũng dùng chương trình để tính toán lại cho tập tin nhận được Nếu hai tập tin không trùng hash thì có thể nó đã bị đính kèm trojan PHẦN 3 WORM I Lịch sử hình thành GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin Thực tế Worm đầu tiên được biết đến đầu trong cuốn tiểu thuyết ”The Shockwave Rider” 1975 của John Brunner’s.Trong cuốn tiểu thuyết đó, Nichlas Haflinger thiết kế ra... viên chương trình đó IV Một số trojan phổ biến 1 Trojan Tini - Bất kỳ một máy tính nào nếu bị nhiễm Trojan này đều cho phép Telnet qua Port 7777 không cần bất kỳ thông tin xác thực nào - Để Trojan này nhiễm vào hệ thống thì chỉ cần chạy một lần hoặc Enter file đó là OK mọi thứ đã hoàn tất và đợi những thông tin Telnet tới port 7777 - Trên máy 192.168.1.33 đã chạy file tini.exe giờ tôi đứng trên bất kỳ... shell\open\Command=pagefile.pif shell\open\Default=1 shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X) shell\explore\Command=pagefile.pif GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin Dù file ở dưới quy định nhiều thuộc tính hơn, nhưng về chức năng cơ bản thì không đổi Chức năng của file này là tạo cho đĩa USB có chế độ Autorun Ở chế độ này, khi người dùng mở USB theo cách thông thường như... Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin HKEY_CLASSES_ROOT\exefile\shell\open\command “%1” %* của Registry Lệnh nhúng ở đây sẽ mở khi bất kỳ file chạy nào được thực thì Có thể có những file khác: HKEY_CLASSES_ROOT\exefile\shell\open\command =”\”%1\” %*” HKEY_CLASSES_ROOT\comfile\shell\open\command =”\”%1\” %*” HKEY_CLASSES_ROOT\batfile\shell\open\command =”\”%1\” %*” HKEY_CLASSES_ROOT\htafile\shell\open\command... đó là Trojan nhưng cũng không thể vô hiệu hóa nổi nó bằng những cách thông GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin thường Bạn không thể xóa nó đi và cũng không thể vào registry để xóa vì chúng thường làm mất chức năng edit registry của hệ điều hành Đó là chưa kể đến nhiều loại Trojan lạ có thể kích hoạt dưới dạng những tên file bạn không hề nghĩ đó là Trojan mà cứ... này: Kuang Keylogger 3 Trojan ăn trộm password Trojan này ăn cắp password lưu trong máy bạn như password ICQ, IRC, Hotmail, Yahoo, account internet hoặc tất cả password trên để gửi về cho hacker qua email Ví dụ Trojan loại này: Barri, kuang, barok 4 FTP Trojan Loại này mở cổng 21 trên máy, hacker có thể truy cập vào máy của bạn mà không cần mật khẩu và có thể tải file trên máy của bạn về 5 Trojan phá . truyền thông an ninh thông tin BÁO CÁO ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN Tìm hiểu về Virus, Worm, Trojan, Zombie GV: Thạc sỹ Tô Nguyễn Nhật Quang Giáo viên : Tô Nguyễn Nhật Quang . KHẢO 56 GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin GV: Thạc sỹ Tô Nguyễn Nhật Quang Ứng dụng và truyền thông an ninh thông tin ĐẶT VẤN ĐỀ Mặc dù các phần mềm độc. Nhật Quang Ứng dụng và truyền thông an ninh thông tin PHẦN 4 ZOMBIE 48 I. Lịch sử hình thành 48 II. Khái niệm 50 III. Làm thế nào để trở thành một zombie 51 IV. Zombie và Spam 51 V. Khi Zombie