Lê Nhật Tân - 1 - Lớp KT13D1 Lời mở đầu * * * Hiện nay, các phần mềm Hệ điều hành (HĐH) như Microsoft (MS) Windows 2000, XP, Vista, Linux Ubuntu, Fedora, RedHat…, các ứng dụng phổ biến như MS Office, Sun OpenOffice, Adobe Photoshop, Autodesk AutoCAD… đều khá hoàn thiện và có cơ chế an toàn khá cao, nên ít xảy ra trục trặc. Nhưng thực tế tỷ lệ máy tính bị trục trặc phần mềm vẫn rất lớn, mà một trong những nguyên nhân chủ yếu là do virus. Đi kèm với sự phát triển của công nghệ máy tính, phần mềm và truyền thông thì càng ngày số lượng người có thể viết và phát triển virus càng nhiều, khả năng lây lan và phát tán càng mạnh, mức độ ảnh hưởng của virus càng lớn, và do đó thiệt hại trực tiếp cũng như gián tiếp do virus gây ra cũng ngày càng mạnh mẽ. Bài phân tích này sẽ giúp quý vị có một cái nhìn sơ lược về việc Phòng chống virus và Khắc phục sự lây nhiễm của virus trên máy tính cá nhân (PC) của mình. Lê Nhật Tân - 2 - Lớp KT13D1 Lời cảm ơn Để có được thành tích như ngày hôm nay, em xin chân thành cảm ơn các thầy cô giáo của Trường THBC KTTH Hà Nội đã dạy dỗ em trong suốt 2 năm học qua. Em xin chân thành cảm ơn cô Lê Văn Huỳnh đã hướng dẫn em thực tập và hoàn thành tốt báo cáo thực tập này. Em cũng xin chân thành cảm ơn anh Vương Hoàng Điệp và các nhân viên của chi nhánh công ty Công Ty TNHH Đầu tư & Phát triển Công Nghệ Hoàng Đạt đã tạo điều kiện, giúp đỡ em thực tập tốt, đã tận tình hướng dẫn, chỉ bảo em trong suốt thời gian thực tập. Lê Nhật Tân - 3 - Lớp KT13D1 A: VÀI NÉT VỀ CƠ QUAN THỰC TẬP Cơ quan thực thập: Công Ty TNHH Đầu tư & Phát triển Công Nghệ Hoàng Đạt Văn Phòng giao dịch: Số nhà 58/59 Hoàng Cầu – Đống Đa Gián Đốc: Vương Hoàng Điệp Công ty Công Ty TNHH Đầu tư & Phát triển Công Nghệ Hoàng Đạt là một công ty chuyên cung cấp về các mặt hàng điện tử, máy vi tính. Ngoài ra công ty còn nhận lắp đặt, sửa chữa và thiết kế máy tính văn phòng và phòng Game. Với phương châm phuc vụ khách hàng tốt nhất, chu đáo, nhiệt tình nên giờ đây công ty đã và đang được rất nhiều nơi tín nhiệm để mua sắm. Khi về thực tập tại đây em được phân công vào phòng IT (information technology) thuộc bộ phận sửa chữa và bảo hành. Tại đây em được anh Vương Hoàng Điệp hướng dẫn và chỉ bảo cho e để em hoàn thành tốt công việc được giao. Tai đây có 3 máy tính được dùng để cài và sửa chữa những phần mềm mà khách hàng yêu cầu. Qua 8 tuần thực tập ở đây em đã cảm nhận được một không khí làm việc rất nghiêm túc và có tính chuyên nghiệp cao. Đội ngũ nhân viên tại đây có chuyên môn cao, rất nhiệt tình với công việc và luôn giành những thiện cảm cho khách hàng ngay cả những khách hàng khó tính nhất cũng phải hài lòng với phong cách phục vụ và làm việc của họ. Lê Nhật Tân - 4 - Lớp KT13D1 B: NỘI DUNG THỰC TẬP 1, Công việc: Tại đây em được giao nhiệm vụ là: +) Hàng ngày làm những công việc phụ giúp cho nhân viên của phòng làm việc và giao trả hàng đã được bảo hành sửa chữa +) Cuối tuần sẽ tiến hành lau chùi và bảo dưỡng máy tính của chi nhánh tại phòng thu ngân và lau dọn phòng sau 1 tuần làm việc. +) Khi không có việc thì trực điện thoại tiếp nhận những thông tin từ khách hàng để nhân viên của phòng tiến hành sửa chữa, bảo hành và tư vấn về cách sử dụng những sản phẩm mà họ đã mua tại chi nhánh. 2, Tự đánh giá về chất lượng và hiệu quả công tác của bản thân: Qua 8 tuần thực tập tại đây am đã hoàn thành tốt được những công việc được giao và có đựơc nhưng kết quả nhất định tuy còn một số vướng mắc do mới ra trường kinh nghiệm làm việc chưa có nhiều và kiến thức còn yếu nên còn vướng mắc trong một số công việc, nhưng do dược sự giúp đỡ của các anh trong phòng và đặc biệt là anh Vương Hoàng Điệp nên em cũng hoàn thành dược công việc đã được giao. Là một người hoạt bát và sôi nổi trong công việc nên em được mọi người tin yêu và quý mến coi em như một đồng nghiệp, em rất tự hào về điều đó. Lê Nhật Tân - 5 - Lớp KT13D1 C: Đề tài thực tập Virus máy tính và cách phòng chống I, Virus máy tính là gì? 1, Các định nghĩa 1.1, Định nghĩa chung Một định nghĩa tốt hơn - Malware là gì? là một thuật ngữ chỉ chung cho các phần mềm không mong muốn có mặt trong máy tính. Nó có thể có nhiều loại, nhiều danh mục. Về bản chất, đối với máy tính thì malware cũng là một phần mềm như tất cả các phần mềm thông thường khác. Tuy nhiên, đối với người sử dụng thì malware thực sự là một nỗi đau đầu, vì các phần mềm này luôn ở trạng thái không mời mà đến, thực hiện các tác vụ gây ra hậu quả xấu cho người sử dụng như đánh cắp thông tin, phá hoại tài liệu và các phần mềm khác, tiêu tốn năng lực xử lý của máy tính, gây ra các trục trặc liên tục cho PC. Nguyên lý lây nhiễm, phát tán của malware trên máy tính cũng tương tự như malware trên các cơ thể sống: chúng tìm mọi cách để lây nhiễm từ tài liệu này sang tài liệu khác, từ máy tính này sang máy tính khác, luôn cố gắng tự nhân bản và phát tán chính nó trong mọi trường hợp có thể được, theo những cách thức mà ngay cả các chuyên gia về phòng chống nhiều lúc cũng phải ngạc nhiên. Tuy nhiên, có một đặc điểm khác của malware máy tính với virus thông thường, đó là nó do con người tạo ra. Vì vậy malware máy tính liên tục biến đổi không ngừng, các biến thể mới xuất hiện rất nhanh và chúng luôn tìm cách tiêu diệt các phần mềm chống malware. Vì vậy không có một loại vắc-xin đặc trị nào có thể “uống một lần” mà phòng tránh được mãi mãi, mà muốn chống được thì máy tính phải được cài đặt các phần mềm có cơ chế phòng chống malware hiệu quả nhất và chúng phải được “uống vắc-xin” thường xuyên, có nghĩa là phải liên tục biến đổi, cập nhật theo sự phát triển của malware. 1.2, Các định nghĩa khác Ngoài virus, ngày nay người ta còn dùng những thuật ngữ khác để chỉ những kẻ không mời mà đến có những cơ chế hoạt động, cách thức lây lan, Lê Nhật Tân - 6 - Lớp KT13D1 mục đích phá hoại tương tự như virus, đó là Sâu (Worm), Spyware, Con ngựa thành Tơ-roa (Trojan Horse) -Virus máy tính là một đoạn chương trình đặc biệt được "gắn lén" vào một chương trình khác sao cho khi chúng ta thực hiên chương trình này thì đoạn chương trình virus sẽ được thực hiện trước. Ðoạn chương trình virus có khả năng lây lan sang các chương trình khác hay từ dĩa này sang dĩa khác và gây tác hại trên máy tính của chúng ta Virus máy tính được chia làm thành 2 loại : + B-virus (Boot sector & partition table virus) : đây là dạng thông thường nhất, virus loại này thường nằm ẩn trong cung mồi dĩa mềm hoặc trên bảng phân khu dĩa cứng. Dấu hiệu phát hiện là thấy tổng số byte của bộ nhớ quy ước thấp hơn 640 Kb + F-virus (File infector virus) : loại này thường nằm trong các file chương trình (.com, .exe). Dấu hiệu phát hiện là kích thước của file tăng lớn hơn thường lệ. Tuy nhiên cũng có nhiều con virus loại này không làm kích thước của file bị nhiễm tăng lên - Sâu: thường bị nhầm lẫn với virus máy tính, sâu là một chương trình độc lập có thể sao chép chính nó thông qua mạng. Khác với virus cần một phần mềm cụ thể để chạy và mã lệnh của virus được thực thi như là một phần của các mã lệnh máy tính thông thường, Sâu máy tính không cần một máy tính cụ thể để chạy, mặc dù nó cũng có thể ẩn náu dưới các tệp cụ thể của máy tính. Một sâu máy tính nổi tiếng là MyDoom, lây lan qua hệ thống mạng ngang hàng P2P Kazaa, nhiệm vụ chủ yếu là tấn công gây tê liệt dịch vụ (DoS). Bản thân hệ thống bị nhiễm có thể không sao, nhưng nó làm bàn đạp để tấn công các hệ thống khác, làm tê liệt hoạt động của các máy chủ. - Spyware: Là một thuật ngữ chỉ đến các phần mềm chuyên dùng để do thám, đánh cắp thông tin. Spyware thường không phá hoại trực tiếp, mà nó ngấm ngầm tìm cách ăn cắp thông tin của người sử dụng, như Username/Password, thói quen truy cập, danh sách các địa chỉ web ưa thích, danh sách địa chỉ của bạn bè, người thân, đối tác . Spyware cũng thường hay làm cơ chế trung gian để cài đặt các phần mềm không mời mà đến vào máy tính, cố tình hướng khách hàng xem những thông tin mà nó muốn quảng cáo . Spyware cũng có họ hàng gần với Adware, một loại phần mềm chuyên tìm cách đăng quảng cáo. Lê Nhật Tân - 7 - Lớp KT13D1 Để diệt Spyware cần có phần mềm Anti-Spyware như Ad-aware. - Con ngựa thành Tơ-roa: lấy nguồn gốc từ con ngựa thành Tơ-roa của thần thoại Hy Lạp, Trojan Horse nhằm chỉ bất cứ phần mềm nào cố gắng mạo danh, lừa đảo để cài đặt vào máy tính của khách hàng nhằm mục đích phá hoại. Nói chung cách thức lừa đảo thì đa dạng, cách thức phá hoại cũng đa dạng, nhưng thường nhằm vào những lúc bất ngờ nhất để phá hoại. Đặc điểm cơ bản của Trojan Horse khác với virus là Trojan Horse không tìm cách tự nhân bản, lây lan chính nó bằng lập trình phần mềm, mà nó tìm cách lây lan bằng cách chào mời người sử dụng bằng những chiêu thức hấp dẫn để chính người dùng tự cài đặt vào máy của mình. -Logic Bombs: Đây là chương trình phá hủy có điều kiện, phụ thuộc vào trạng thái các biến môi trường cụ thể. Nói cách khác là chương trình chờ đợi một sự kiện nào đó để ra tay Có những Trojan mạng bom logic. Chương trình vẫn phục vụ ta một cách bình thường nhưng bắt đầu phá hoại khi ta làm một việc gì đó, hoặc chức năng nào đó, v.v. Bom logic có thể nổ theo nhiều kiểu khác nhau như xóa hoặc ghi sai số liệu, format đĩa, .v.v. - Rootkits : Khái niệm rootkit được sử dụng để mô tả các cơ chế và kĩ thuật được sử dụng bởi malware cố gắng ẩn nấp, trốn tránh không bị phát hiện bởi các chương trình chống spyware, virus và các tiện ích hệ thống. Thực ra, rootkit tự bản thân không mang tính hiểm độc nhưng khi chúng được sử dụng cùng với các chương trình mang tính "phá hoại" như: virus, sâu, phần mềm gián điệp, trojan . thì lại nguy hiểm hơn rất nhiều. 1.3, Lược sử của virus máy tính - Nếu viết đầy đủ về các loại virus đã từng được xuất hiện trong lịch sử thì có thể viết đầy một quyển sách lớn. Nhưng trong khuôn khổ của đề tài, em chỉ xin trích dẫn bài viết “20 năm lịch sử virus máy tính” của tác giả Phạm Khương đăng trên vnExpress Ngày 3/11/1983, cái gọi là virus máy tính đầu tiên ra đời. Kể từ đó, một thế giới các loại mã và chương trình tấn công đã hình thành và phát triển với tốc độ chóng mặt. Đi kèm với nó là cả một ngành công nghiệp sản xuất công cụ phòng ngừa và tiêu diệt. Hậu quả là ngày nay, chúng ta có tới vài chục nghìn họ virus khác nhau đang hiện diện trên hệ thống máy tính toàn cầu. Những dấu mốc lớn: Lê Nhật Tân - 8 - Lớp KT13D1 1949. Lý thuyết đầu tiên về các chương trình tự sao chép ra đời. 1981. Apple II là những virus đầu tiên được phát tán thông qua hệ điều hành của hãng "Quả táo", lây lan khắp hệ thống của công ty Texas A&M, thông qua các trò chơi ăn cắp bản quyền trên đĩa mềm. Những người đầu tiên phát hiện còn gọi nó là Elk Cloner. 1983. Fred Cohen, một sinh viên đại học Mỹ, đã đưa ra định nghĩa đầu tiên về virus: “Là một chương trình máy tính có thể tác động những chương trình máy tính khác bằng cách sửa đổi chúng bằng phương pháp đưa vào một bản sao của nó”. Fred Cohen luôn là cái tên được nhắc đến khi nói về lịch sử virus. 1986. Hai anh em lập trình viên người Pakistan là Basit và Amjad thay thế mã thực hiện (executable code) trong rãnh ghi khởi động của một đĩa mềm bằng mã riêng của họ, được thiết kế với mục đích phát tán từ một đĩa mềm 360 K khi cho vào bất cứ ổ đĩa nào. Loại đĩa mềm mang virus này có mác “© Brain”. Đây chính là những virus MS-DOS xuất hiện sớm nhất. 1987. Lehigh, một trong những virus file đầu tiên xâm nhập các tệp lệnh command.com (virus này sau đó tiến hoá thành virus Jerusalem). Một virus khác có tên IBM Christmas, với tốc độ phát tán cực nhanh (500.000 bản sao/tiếng), là cơn ác mộng đối với các máy tính lớn (mainframe) của Big Blue trong suốt năm đó. 1988. Một trong những virus phổ biến nhất, Jerusalem, xuất hiện. Được kích hoạt vào các thứ Sáu ngày 13, virus này tác động file có đuôi .exe và .com, xoá tất cả những ứng dụng chạy trong ngày hôm đó. Cùng năm này, virus MacMag and the Scores gây ra đợt bùng phát lớn đầu tiên trên các máy Macintosh. Đây là cuộc khủng hoảng Internet đầu tiên khiến một số lượng lớn máy tính bị tê liệt. Cũng từ đó, Trung tâm điều phối phản ứng nhanh (CERT) đã ra đời để đối phó với những sự cố tương tự. 1989. Xuất hiện chương trình Trojan có tên AIDS. Virus này nổi tiếng vì có khả năng khống chế giữ liệu giống như con tin. Nó được gửi đi dưới dạng một chương trình thông tin về bệnh suy giảm hệ miễn dịch. Khi được kích hoạt, AIDS sẽ mã hoá ổ cứng của nạn nhân và yêu cầu người sử dụng phải nộp tiền nếu muốn được giải mã. 1990. Kaspersky tung ra công cụ Norton AntiVirus, một trong những chương trình diệt virus đầu tiên do một công ty lớn phát triển. Lê Nhật Tân - 9 - Lớp KT13D1 Thị trường trao đổi virus đầu tiên (VX) được tung lên mạng từ Bulgaria. Tại đây, các tin tặc có thể buôn bán mã và giao lưu ý tưởng. Cùng năm này, cuốn Sách đen về virus máy tính của tác giả Mark Ludwig được xuất bản. 1991. Tequila, một trong những virus phát tán dưới nhiều hình dạng đầu tiên được phát hiện. Những sâu loại này khiến cho việc xác định và truy quét chúng trở nên khó khăn do sự thay hình đổi dạng sau mỗi lần lây nhiễm. 1992. Trong vòng 2 năm, người ta ghi nhận tổng số 1.300 virus đang tồn tại, tăng 420% so với tháng 12/1990. Xuất hiện DAME (Dark Avenger Mutation Engine), một bộ công cụ cho phép chuyển những virus thông thường thành những chương trình có khả năng thay đổi hình dạng. Sau đó là VCL (Virus Creation Laboratory), công cụ sáng tác virus thực sự đã ra đời. Sự xuất hiện của virus Michelangelo làm dấy lên những lời cảnh báo về thiệt hại quy mô lớn trên toàn cầu, mặc dù cuối cùng những gì xảy ra không như người ta lo ngại. 1994. Trò lừa qua e-mail đầu tiên xuất hiện trong cộng đồng tin học. Trò này cảnh báo người sử dụng về một loại virus có thể xoá toàn bộ ổ cứng ngay khi mở e-mail có dòng chủ đề “Good Times”. Mặc dù không gây thiệt hại gì mà chỉ có tính chất doạ dẫm, trò lừa này vẫn tiếp tục xuất hiện trong chu kỳ từ 6 đến 12 tháng/lần. 1995. Word Concept xuất hiện, tấn công các văn bản Microsoft Word và trở thành một trong những virus ghê gớm nhất vào giữa thập kỷ này. 1996. Baza, Laroux (virus macro) và một số virus Staog xuất hiện lần đầu tiên, tấn công các file trong hệ điều hành Windows 95, chương trình bảng tính Excel và cả Linux. 1998. Không được đánh giá là nguy hiểm và chưa phát tán rộng, StrangeBrew là virus đầu tiên lây nhiễm vào file Java. Virus này sửa đổi các file CLASS để đưa một bản sao của nó vào giữa mã file để có thể bắt đầu chạy một vùng virus. Virus Chernobyl, hay còn gọi là CIH, phát tán rất nhanh qua các file .exe. Ngay như cái tên nó đã thể hiện, virus này có sức tàn phá khủng khiếp, không chỉ tấn công file mà cả chip trong máy bị nhiễm. 1999. Virus Melissa (W97M/Melissa) chạy một macro trong văn bản đính kèm e-mail, gửi tiếp thư này tới 50 người khác sử dụng Outlook. Virus Lê Nhật Tân - 10 - Lớp KT13D1 này cũng lây nhiễm vào các văn bản Word và tiếp đó gửi chúng đi như những nội dung đính kèm. Melissa phát tán nhanh hơn bất kỳ virus nào từng xuất hiện trước đó, đạt tổng số 1 triệu máy tính nạn nhân. Bubble Boy là sâu máy tính đầu tiên không dựa vào việc người nhận e-mail có mở file đính kèm hay không. Chỉ cần thư được mở ra, nó vẫn sẽ tự hoạt động. Tristate là virus macro đa chương trình đầu tiên xuất hiện, tấn công nhiều ứng dụng như Word, Excel và PowerPoint. 2000. Love Bug, còn gọi là virus ILOVEYOU, phát tán qua OutLook (giống như Melissa) trong một file đính kèm VBS và xoá hết các file MP3, MP2, và .JPG. Nó còn ăn cắp và gửi tên người sử dụng và mật khẩu về cho tin tặc. W97M.Resume.A, một biến thể mới của Melissa, được tung ra, sử dụng một macro trong Word để lây lan vào Outlook. Virus Stage, giả dạng một e-mail với nội dung ngộ nghĩnh về những giai đoạn đời người, lan rộng trên Internet. Khác với những virus trước đó, nó ẩn trong một file đính kèm với một đuôi giả “.txt”, để dễ lừa người nhận mở file. Cho đến nay, virus này không còn tác động nữa. Các cuộc tấn công từ chối dịch vụ bằng virus của hacker đã đánh bật khỏi mạng nhiều website như Yahoo, eBay, Amazon,… trong nhiều giờ đồng hồ. 2001. Nimda (vẫn được gọi là Quái vật đa đầu) với sức mạnh kết hợp từ 5 loại virus với phương thức hoạt động khác nhau tấn công hàng trăm nghìn máy tính trên thế giới. Đây là một trong những virus phức tạp nhất tới nay mà người ta xác định được. Virus mang tên nữ hoàng quần vợt Nga Anna Kournikova, tự sao chép vào danh sách địa chỉ e-mail trong Microsoft Outlook và mặc dù không gây hại nhiều, vẫn khiến các nhà phân tích lo sợ đây là một sản phẩm được thiết kế từ công cụ hỗ trợ viết virus, nhờ đó những tin tặc ít kinh nghiệm lập trình nhất cũng có thể chế tác các chương trình phá hoại. Hàng loạt sâu mới xuất hiện với những cái tên như Sircam, CodeRed và BadTrans. Sircam phát tán qua văn bản e-mail Internet. CodeRed tấn . thì bạn có thể đoan chắc là máy tính đã bị nhiễm virus. 2.2, Dấu hiệu máy tính bị nhiễm virus Virus có thể lây nhiễm vào máy tính khi bạn lướt net, mở e-mail,. khởi động lại máy Lê Nhật Tân - 15 - Lớp KT13D1 III, Phòng tránh và tiêu diệt virus máy tính 3.1, Các phân tích sâu về virus máy tính -Loại trừ virus, vì