BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM KHOA CÔNG NGHỆ BÀI TIỂU LUẬN BẢO VỆ MÁY TÍNH Đề tài: Hiện xuất nhiều virus máy tính.Bằng kiến thức biết Virus, nghiên cứu Virus cụ thể (Các phần: Tổng quan virus hệ thống Khảo sát Virus (tên cụ thể) Thiết kế chương trình chống Virus.) GV hướng dẫn: Nguyễn Xuân Lô SV thực hiện: Nhóm NỘI DUNG I TỔNG QUAN VỀ VIRUS MÁY TÍNH Giới thiệu Phân loại Các khái niệm loại virus máy tính Các hình thức lây nhiễm virus máy tính Cách phòng chống virus tác hại II KHẢO SÁT VỀ VIRUS W32.CONFIGKER.WORM Giới thiệu virus configker Tác động Triệu chứng Hoạt động Phòng chống III KẾT LUẬN TỔNG QUAN VỀ VIRUS MÁY TÍNH GIỚI THIỆU(1) Trong khoa học máy tính, virus máy tính (thường người sử dụng gọi tắt virus) chương trình hay đoạn mã thiết kế để thâm nhập bất hợp pháp vào máy tính.Virus tự nhân chép vào đối tượng lây nhiễm khác (file, ổ đĩa, máy tính, ) Trước đây, virus thường viết số người am hiểu lập trình muốn chứng tỏ khả nên thường virus có hành động như: cho chương trình không hoạt động đúng, xóa liệu, làm hỏng ổ cứng, gây trò đùa khó chịu Những virus viết thời gian gần không thực trò đùa hay phá hoại đối máy tính nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hành động khác nhằm có lợi cho người phát tán virus GIỚI THIỆU(2) Chiếm 90% số virus phát nhằm vào hệ thống sử dụng hệ điều hành họ Windows đơn giản hệ điều hành sử dụng nhiều giới Do tính thông dụng Windows nên tin tặc thường tập trung hướng vào chúng nhiều hệ điều hành khác Nhưng có quan điểm cho Windows có tính bảo mật không tốt hệ điều hành khác (như Linux) nên có nhiều virus hơn, nhiên hệ điều hành khác thông dụng Windows thị phần hệ điều hành ngang lượng virus xuất có lẽ tương đương PHÂN LOẠI(1) Virus Boot: • Khi máy tính bạn khởi động, đoạn chương trình nhỏ ổ đĩa khởi động bạn thực thi Đoạn chương trình có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix ) Sau nạp xong hệ điều hành, bạn bắt đầu sử dụng máy Đoạn mã nói thường để vùng ổ đĩa khởi động, chúng gọi "Boot sector" • Virus Boot tên gọi dành cho virus lây vào Boot sector Các Virus Boot thi hành máy bị nhiễm khởi động, trước thời điểm hệ điều hành nạp lên PHÂN LOẠI (2) Virus File • Là virus lây vào file chương trình, phổ biến hệ điều hành Windows, file có đuôi mở rộng com, exe, bat, pif, sys • Khi bạn chạy file chương trình bị nhiễm virus lúc virus kích hoạt tiếp tục tìm file chương trình khác máy bạn để lây vào Có lẽ đọc phần bạn tự hỏi "virus Macro lây vào file, lại không gọi virus File?" Câu trả lời nằm lịch sử phát triển virus máy tính Như bạn biết qua phần trên, tới năm 1995 virus Macro xuất rõ ràng nguyên lý chúng khác xa so với virus trước (những virus File) nên lây vào File, gọi chúng virus File PHÂN LOẠI (3) Virus Macro • Là loại virus lây vào file văn (Microsoft Word), file bảng tính (Microsoft Excel) hay file trình diễn (Microsoft Power Point) Microsoft Office Macro tên gọi chung đoạn mã thiết kế để bổ sung tính cho file Office • Chúng ta cài đặt sẵn số thao tác vào macro, lần gọi macro phần cài sẵn thực hiện, giúp người sử dụng giảm bớt công lặp lặp lại thao tác giống Có thể hiểu việc dùng Macro giống việc ta ghi lại thao tác, để sau cho tự động lặp lại thao tác yêu cầu CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY TÍNH (1) 1.Trojan Horse Thuật ngữ dựa vào điển tích, chiến người Hy Lạp người thành Tơ-roa Thành Tơ-roa thành trì kiên cố, quân Hy Lạp không đột nhập vào Người Hy Lạp nghĩ kế, giả vờ rút lui, sau để lại thành Tơ-roa ngựa gỗ khổng lồ Sau ngựa đưa vào thành, đêm xuống, quân lính từ bụng ngựa xông đánh chiếm thành từ bên Trojan đoạn mã chương trình hoàn toàn tính chất lây lan Đầu tiên, kẻ viết Trojan cách lừa đối phương sử dụng chương trình ghép Trojan kèm với virus (đặc biệt virus dạng Worm)để xâm nhập, cài đặt lên máy nạn nhân CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY TÍNH (2) Đến thời điểm thuận lợi, Trojan ăn cắp thông tin quan trọng máy tính nạn nhân số thẻ tín dụng, mật để gửi cho chủ nhân mạng tay xoá liệu lập trình trước Phần mềm quảng cáo bất hợp pháp - Adware phần mềm gián điệp - Spyware: Gây khó chịu cho người sử dụng chúng cố tình thay đổi trang web mặc định (home page), trang tìm kiếm mặc định (search page)… hay liên tục tự động (popup) trang web quảng cáo bạn duyệt web Chúng thường bí mật xâm nhập vào máy bạn bạn vô tình “ghé thăm” trang web có nội dung không lành mạnh, trang web bẻ khóa phần mềm… chúng theo phần mềm miễn phí không đáng tin cậy hay phần mềm bẻ khóa (crack, keygen) CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY TÍNH (3) 3.Botnet • Là máy tính bị bắt cóc điều khiển người khác thông qua Trojan, virus Hậu để lại không nhỏ: tài khoản Nếu liên kết với hệ thống máy tính lớn, tống tiền doanh nghiệp 4.Keylogger • Là phần mềm ghi lại chuỗi phím gõ người dùng Nó hữu ích cho việc tìm nguồn gốc lỗi sai hệ thống máy tính dùng để đo suất làm việc nhân viên văn phòng Các phần mềm kiểu hữu dụng cho ngành luật pháp tình báo - ví dụ, cung cấp phương tiện để lấy mật khóa mật mã nhờ qua mắt thiết bị an ninh TÁC ĐỘNG(3) • Ngày tháng năm 2009, Bundeswehr, lực lượng vũ trang Cộng hòa Liên bang Đức, báo cáo có khoảng trăm máy tính họ bị nhiễm • Một ghi nhớ Giám đốc Công nghệ thông tin Nghị viện Anh đưa ngày 24 tháng năm 2009 thông báo người dùng Hạ viện bị nhiễm sâu Bản ghi nhớ, sau bị rò rỉ, gọi kêu gọi người dùng tránh kết nối thiết bị chưa kiểm tra vào mạng TRIỆU CHỨNG(1) • Một số dịch vụ Microsoft Windows tự động cập nhật (Automatic Updates), Background Intelligent Transfer Service (BITS), Windows Defender Error Reporting Services bị tắt • Trình điều khiển tên miền phản ứng chậm có yêu cầu từ máy khách • Nghẽn mạng nội • Các web site liên quan đến phần mềm diệt virus hay dịch vụ cập nhật hệ Windows(Windows Update) không truy cập được[ TRIỆU CHỨNG(2) • Các dịch vụ sau bị vô hiệu hóa không chạy:Windows Security Center Service, Windows Update tự động cập nhật dịch vụ, Intelligence Transfer Service, Windows Defender, Error Reporting Service , Windows Error Reporting Service • Một số tài khoản bị khóa việc sửa đổi registry sau đây, tràn ngập mạng với kết nối: HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters "TcpNumConnections" ="0x00FFFFFE" TRIỆU CHỨNG(2) • Người sử dụng để kết nối với trang web dịch vụ trực tuyến có chứa chuỗi kí tự sau: virus, spyware, malware, rootkit, defender, Microsoft, Symantec, Norton, mcafee, trendmicro, Sophos, panda, etrust, networkassociates, computerassociates, f-secure, Kaspersky, jotti, f-prot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate HOẠT ĐỘNG(1) Lây nhiễm ban đầu • Các biến thể A, B, C E khai thác lỗ hổng Dịch vụ Server máy tính chạy Windows, máy tính nguồn bị nhiễm gửi yêu cầu che chắn kỹ thông qua gọi thủ tục từ xa để gây tràn đệm thực thi mã dòng lệnh (shellcode) máy tính đích Trên máy tính nguồn, sâu chạy HTTP server cổng nằm khoảng 1024 đến 10000; mã dòng lệnh đích kết nối ngược lại với HTTP server để tải sâu dạng DLL, sau đính vào svchost.exe Các biến thể B trở sau đính vào tiến trình services.exe Windows Explorer HOẠT ĐỘNG(2) • Biến thể B C thực thi chúng từ xa thông qua ADMIN$ share máy tính nhìn thấy qua NetBIOS Nếu thư mục chia sẻ bảo vệ mật khẩu, chúng cố gắng thực công vét cạn, có khả tạo lưu lượng mạng lớn làm thay đổi quy định khóa tài khoản người dùng • Biến thể B C đặt dạng DLL lên thiết bị tháo lắp (như ổ USB flash), từ chúng lây nhiễm sang máy chủ thông qua chế WindowsAutoRun • Để tự kích hoạt khởi động hệ thống, sâu lưu dạng DLL vào tập tin ngẫu nhiên thư mục hệ thống Windows, sau thêm vào khóa registry để bắt svchost.exe khởi động DLL dịch vụ mạng ẩn HOẠT ĐỘNG(3) Truyền nhận liệu qua mạng • Sâu Conficker có số chế để đẩy kéo liệu thực thi qua mạng Những liệu sâu sử dụng để tự cập nhật lên biến thể hơn, để cài đặt thêm phần mềm độc hại Che chắn • Để ngăn không cho liệu bị xâm nhập, liệu biến thể A băm MD6, mã hóa RC4 dùng hàm băm 512-bit làm khóa sau ký lên hàm băm khóa RSA 1024bit Dữ liệu mở gói thực thi chữ ký phù hợp với khóa công cộng nhúng sâu Biến thể B trở sau tăng kích thước khóa RSA lên 4096 bit HOẠT ĐỘNG(4) Tự bảo vệ • Biến thể C sâu tái tạo điểm System Restore tắt số dịch vụ hệ thống Windows Automatic Update, Windows Security Center, Windows Defender Windows Error Reporting • Các tiến trình trùng với danh sách cho trước gồm công cụ chống virus, chẩn đoán hay vá hệ thống bị theo dõi tắt hẳn Nó sử dụng miếng vá bên nhớ cho DLL resolver hệ thống để khóa việc tra cứu tên máy chủ liên quan đến hãng phần mềm diệt virus dịch vụ Windows Update HOẠT ĐỘNG(5) Kết thúc hoạt động • Biến thể E sâu biến thể sử dụng máy tính bị nhiễm Conficker với mục đích kín đáo Nó tải cài đặt hai gói liệu bổ sung: • Waledac, spambot khác tiếng lan truyền qua tập tin đính kèm qua thư điện tử Waledac hoạt động tương tự sâu Storm năm 2008 tin có tác giả viết nên Tự động phát • Vào ngày 27 tháng năm 2009, nhà nghiên cứu bảo mật Dan Kaminsky khám phá máy chủ nhiễm Conficker có chữ ký có teher tìm quét từ xa Bản cập nhật chữ ký cho số ứng dụng quét mạng máy tính cung cấp có NMap Nessus PHÒNG CHỐNG(1) 1.Kích hoạt tính tường lửa máy tính bạn • Sử dụng sản phẩm tường lửa bên thứ ba bật Microsoft Windows Internet Connection Firewall Nhận cập nhật máy tính • Cập nhật giúp bảo vệ máy tính bạn khỏi virus, worm, mối đe dọa khác họ phát Điều quan trọng để cài đặt cập nhật cho tất phần mềm cài đặt máy tính bạn Đây thường có sẵn từ trang web nhà cung cấp • Bạn sử dụng tính Automatic Updates Windows tự động tải cập nhật bảo mật tương lai Microsoft, máy tính bạn kết nối với Internet PHÒNG CHỐNG(2) 3.Sử dụng up-to-date phần mềm chống virus • Hầu hết phần mềm chống virus phát ngăn chặn lây nhiễm phần mềm độc hại biết đến Để giúp bảo vệ bạn khỏi bị nhiễm trùng, bạn nên luôn chạy phần mềm chống virus, chẳng hạn Microsoft Security Essentials , cập nhật với tập tin chữ ký Hạn chế đặc quyền người dùng máy tính • Bắt đầu với Windows Vista Windows 7, Microsoft giới thiệu User Account Control (UAC), đó, kích hoạt, cho phép người dùng chạy với quyền người sử dụng Kịch hạn chế khả công phần mềm độc hại mối đe dọa có yêu cầu quyền quản trị để chạy PHÒNG CHỐNG(3) Hãy cẩn thận mở file đính kèm chấp nhận chuyển tập tin Hãy thận trọng với e-mail file đính kèm nhận từ nguồn không rõ, nhận bất ngờ từ nguồn biết Sử dụng thận trọng chấp nhận chuyển tập tin từ nguồn biết chưa biết Hãy cẩn thận nhấp vào liên kết đến trang Web Hãy thận trọng với liên kết đến trang web mà bạn nhận từ nguồn không rõ, đặc biệt liên kết đến trang web mà bạn không quen thuộc với, không chắn điểm đến, nghi ngờ Phần mềm độc hại cài đặt máy tính bạn đơn giản cách truy cập trang web với nội dung có hại PHÒNG CHỐNG(4) Tránh tải phần mềm lậu • Các mối đe dọa kèm với phần mềm tập tin có sẵn để tải trang web torrent khác Tải "crack" "vi phạm quyền phần mềm từ trang web mang không nguy bị lây nhiễm phần mềm độc hại, bất hợp pháp Để biết thêm thông tin, xem ' Những rủi ro sử dụng phần mềm lậu " Bảo vệ khỏi công kỹ thuật xã hội Trong kẻ công cố gắng để khai thác lỗ hổng phần cứng phần mềm để thỏa hiệp máy tính, họ cố gắng khai thác lỗ hổng hành vi người để làm PHÒNG CHỐNG(5) • Khi kẻ công cố gắng tận dụng lợi hành vi người để thuyết phục người dùng bị ảnh hưởng để thực hành động lựa chọn kẻ công, gọi "kỹ thuật xã hội ' Về bản, xã hội, kỹ thuật công chống lại giao diện người máy tính mục tiêu Sử dụng mật mạnh • Kẻ công cố gắng để truy cập vào tài khoản Windows bạn cách đoán mật bạn Do đó, điều quan trọng bạn sử dụng mật mạnh mà dễ dàng đoán kẻ công Một mật mạnh có ký tự, kết hợp chữ cái, số, ký hiệu KẾT LUẬN • Đứng trước xu hướng phát triển nhanh mạnh công nghệ thông tin giới nước, tin học hoá vô quan trọng thiết Nó giúp cho quan hành giải công việc cách nhanh chóng sai sót Chính lẽ mà hacker xâm nhập vào máy tính ngày phát triển tinh vi • Việc phòng chống virus biện pháp tốt để tránh việc virus xâm nhập vào hệ thống máy tính Trong trường hợp phát có virus xâm nhập, việc sử dụng cá chương trình diệt virus có mặt thị trường, việc hiểu chế, đặc điểm phổ biến virus kiến thức mà người làm công tác tin học nên biết để có cách xử lý phù hợp [...]... các máy tính để bàn chạy hệ điều hành Windows chưa cài đặt bản vá của Microsoft cho lỗ hổng bảo mật MS08-067 • Đến tháng 1 năm 2009, con số máy tính bị nhiễm ước tính khoảng từ 9 triệu máy cho đến 15 triệu máy Hãng phần mềm diệt virus Panda Security báo cáo rằng trong 2 triệu máy tính được phần mềm ActiveScan phân tích, có khỏang 115.000 (6%) máy bị nhiễm Conficker TÁC ĐỘNG(2) • Intramar, một mạng máy. .. kinh nghiệm khác để bảo vệ cho hệ điều hành và dữ liệu của mình Một số kinh nghiệm tham khảo như sau: o Phát hiện sự hoạt động khác thường của máy tính o Bảo vệ dữ liệu máy tính o Sao lưu dữ liệu theo chu kỳ o Tạo các dữ liệu phục hồi cho toàn hệ thống KHẢO SÁT VỀ VIRUS W32.CONFIGKER.WORM GIỚI THIỆU(1) Conficker, còn được biết đến với tên Downup,Downadup và Kido, là một loại sâu máy tính nhắm đến hệ điều... bản cập nhật máy tính mới nhất • Cập nhật giúp bảo vệ máy tính của bạn khỏi virus, worm, và các mối đe dọa khác như họ được phát hiện Điều quan trọng là để cài đặt bản cập nhật cho tất cả các phần mềm được cài đặt trong máy tính của bạn Đây là những thường có sẵn từ các trang web của nhà cung cấp • Bạn có thể sử dụng tính năng Automatic Updates trong Windows tự động tải về các cập nhật bảo mật tương... ĐỘNG(1) Lây nhiễm ban đầu • Các biến thể A, B, C và E khai thác lỗ hổng trong Dịch vụ Server của các máy tính chạy Windows, trong đó một máy tính nguồn đã bị nhiễm sẽ gửi yêu cầu được che chắn kỹ thông qua gọi thủ tục từ xa để gây ra tràn bộ đệm và thực thi mã dòng lệnh (shellcode) trên máy tính đích Trên máy tính nguồn, sâu này chạy một HTTP server trên một cổng nằm trong khoảng 1024 đến 10000; mã dòng... quá xa vời hoặc chỉ dành cho các nhà cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng tường lửa để bảo vệ trước virus và các phần mềm độc hại Khi sử dụng tường lửa, các thông tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý Nếu một phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp người... động phát hiện • Vào ngày 27 tháng 3 năm 2009, nhà nghiên cứu bảo mật Dan Kaminsky đã khám phá ra rằng các máy chủ nhiễm Conficker có một chữ ký có teher tìm ra được khi quét từ xa Bản cập nhật chữ ký cho một số ứng dụng quét mạng máy tính đã được cung cấp trong đó có NMap và Nessus PHÒNG CHỐNG(1) 1.Kích hoạt tính năng một tường lửa trên máy tính của bạn • Sử dụng một sản phẩm tường lửa của bên thứ ba... KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY TÍNH (6) 7.Phần mềm tống tiền (Ransomware) • Là loại phần mềm sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại 8.Cửa hậu (Backdoor) • Trong một hệ thống máy tính, cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không... kiểm soát máy tính ngoài ý muốn hoặc cài đặt vào các chương trình độc hại hay virus máy tính • CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI CỦA NÓ(3) • Sử dụng tường lửa bằng phần cứng • Sử dụng tường lửa bằng phần mềm 3 Cập nhật các bản sửa lỗi của hệ điều hành • Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để... ĐỘNG(2) • Intramar, một mạng máy tính của Hải quân Pháp, đã bị nhiễm Conficker vào ngày 15 tháng 1 năm 2009 Mạng này sau đó đã được cách ly, khiến cho các máy bay ở vài căn cứ không lực không thể cất cánh vì không tải về được kế hoạch bay • Bộ Quốc phòng Anh báo cáo rằng một số hệ thống lớn và máy tính của họ đã bị lây nhiễm Sâu này đã lây qua các văn phòng điều hành, máy tính NavyStar/N* đặt trên một... ADMIN$ share trên các máy tính có thể nhìn thấy nhau qua NetBIOS Nếu thư mục chia sẻ được bảo vệ bằng mật khẩu, chúng sẽ cố gắng thực hiện tấn công vét cạn, có khả năng tạo ra lưu lượng mạng rất lớn và làm thay đổi quy định khóa tài khoản người dùng • Biến thể B và C đặt một bản sao ở dạng DLL lên bất kỳ thiết bị tháo lắp được (như ổ USB flash), từ đó chúng có thể lây nhiễm sang các máy chủ mới thông qua ... 1.Kích hoạt tính tường lửa máy tính bạn • Sử dụng sản phẩm tường lửa bên thứ ba bật Microsoft Windows Internet Connection Firewall Nhận cập nhật máy tính • Cập nhật giúp bảo vệ máy tính bạn khỏi... 2009, số máy tính bị nhiễm ước tính khoảng từ triệu máy 15 triệu máy Hãng phần mềm diệt virus Panda Security báo cáo triệu máy tính phần mềm ActiveScan phân tích, có khỏang 115.000 (6%) máy bị... vụ Server máy tính chạy Windows, máy tính nguồn bị nhiễm gửi yêu cầu che chắn kỹ thông qua gọi thủ tục từ xa để gây tràn đệm thực thi mã dòng lệnh (shellcode) máy tính đích Trên máy tính nguồn,