TROJAN, BACKDOOR

VIRUS VÀ WORM

Khoa Công nghệ thông tin và Truyền thông

Trường Đại học Cần Thơ
Phần B
VIRUS VÀ WORM
VIRUS VÀ WORM
•  Virus và worm là gì.

•  Các virus.

•  Phương pháp phát hiện virus.

•  Phòng chống virus.

•  Tổng kết.
VIRUS VÀ WORM LÀ GÌ?
•  Virus và worm đều là các phần mềm độc hại.
•  Virus và worm có thể tự lây nhiễm và sửa đổi hệ
thống để cho phép hacker truy cập vào.
•  Virus và worm có thể mang Trojan và backdoor.
•  Virus lây nhiễm vào một chương trình thực thi và sử
dụng chương trình này để lây lan.
•  Worm tương tự như virus nhưng có thể tự sao chép
và di chuyển từ máy bị nhiễm sang máy khác.
 THỐNG KÊ VỀ VIRUS VÀ WORM
Ethical Hacking a n d C o u n te rm e a s u re s Exam 3 1 2 -5 0 C ertified Ethical H acke
V iru ses a n d W o rm s

7 5 .0 0 0 .0 0 0

6 0 .0 0 0 .0 0 0

4 5 .0 0 0 .0 0 0

3 0 .0 0 0 .0 0 0

1 5 .0 0 0 .0 0 0

0
2008 2009 2010 2011 2012

FIGURE 7 .1 : V iru s a n d W o rm S ta tis tic s

VIRUS
•  Virus là chương trình máy tính có thể tự nhân bản
bằng cách tự gắn nó vào chương trình khác, boot
record của máy tính hoặc các tài liệu có hỗ trợ lập
trình script.

•  Virus thông thường được lây nhiễm qua các tập tin
mà nạn nhân tải về trên mạng, các đĩa bị nhiễm hoặc
các tập tin đính kèm trong email.
 to a n o th e r p ro g ra m , c o m p u te r b o o t s e c to r o r d o c u m e n t

J V iru se s a re g e n e ra lly tra n s m itte d th ro u g h file d o w n lo a d s , in fe c te d d is k /fla s h

d riv e s a n d as e m a il a tta c h m e n ts

CÁC ĐẶC TÍNH CỦA VIRUS

V iru s C h a r a c te r is tic s

Infects Other Program Alters Data

V
%

Corrupts Files and %

Transforms Itself
Programs
m #

F* Encrypts Itself
m
Self Propagates
1 f§ 1

C o p y rig h t © b y EC-Cauactl. A ll R ights R eserved. R e p ro d u c tio n is S tric tly P ro h ib ite d .

VÒNG ĐỜI CỦA VIRUS

Loại bỏ Kết hợp

Thiết kế
Phần mềm chống
Phát triển và Người dùng cần
Virus phải được
viết code Virus loại bỏ các mối phát triển
đe dọa từ Virus

Nhân rộng Kích hoạt Phát hiện

Virus bắt đầu Nó được kích Virus là mối
sao chép và lây hoạt bởi người nguy hiểm cần
lan dùng được phát hiện
 HOẠT ĐỘNG CỦA VIRUS: GIAI ĐOẠN
LÂY NHIỄM

Trước khi nhiễm Sau khi nhiễm

File sạch File đã nhiễm

virus

•  Trong giai đoạn lây nhiễm, virus nhân bản nó và gắn

bản sao vào một tập tin thực thi .exe trong hệ thống.
HOẠT ĐỘNG CỦA VIRUS: GIAI ĐOẠN
TẤN CÔNG

•  Virus được lập trình để khi có sự kiện nào đó xảy ra

thì nó sẽ tự kích hoạt và tấn công hệ thống.
•  Một số virus tự kích hoạt khi chúng được chạy, một
số khác sẽ tự kích hoạt khi một sự kiện nào đó xảy
ra, ví dụ như: người dùng thực hiện một tác vụ nào
đó, vào một ngày, một thời điểm nào đó…
HOẠT ĐỘNG CỦA VIRUS: GIAI ĐOẠN
TẤN CÔNG

File chưa phân mảnh trước khi bị tấn công

File đã bị phân mảnh do sự tấn công của Virus

TẠI SAO NGƯỜI TA TẠO RA VIRUS

Gây thiệt hại cho đối thủ

Lợi ích kinh tế

Kẻ tấn công
Dự án nghiên cứu

Trò đùa

Phá hoại

Khủng bố mạng
Hệ thống có thể
Phân phát các thông điệp chính trị công kích
 DẤU HIỆU BỊ VIRUS TẤN CÔNG

Bộ xử lí tốn
nhiều thời Không có Không thể tải
gian và tài Nhãn ổ đĩa được hệ
tiếng bíp máy
nguyên bị thay đổi thống
tính
Hoạt động bất thường
Nếu hệ thống hoạt động theo cách
Máy tính bị Sự cảnh báo thức chưa từng thấy, bạn có thể
chậm khi của chương nghị ngờ bị Virus tấn công
chương trình trình chống
bắt đầu chạy Virus

Máy tính Ổ cứng bị Lỗi thật sự

Cửa sổ trình
thường xuyên File và thư truy cập duyệt “đóng Tuy nhiên không phải tất cả
bị đóng băng mục bị mất thường băng” các trục trặc có thể là do Virus tấn
hoặc gặp phải xuyên công
lỗi
WORM MÁY TÍNH

Worm máy tính là chương trình độc hại có thể

tái tạo thực thi và lây lan thông qua kết nối
mạng một cách độc lập mà không tương tác
với con người
Nếu hệ thống hoạt động theo cách
Hầu hết Worm được thứctạo chỉ
chưacótừng
thểthấy,
tái tạo vàthể
bạn có lây
nghịthụ
lan thông qua mạng, tiêu ngờtài
bị Virus tấn công
nguyên máy tính;
tuy nhiên một vài Worm mang payload tàn phá hệ
thống

Kẻ tấn công sử dụng Worm payload để cài đặt

Tuy nhiên không phải tất cả
Backdoor vào máy tính bị
cácnhiễm
trục trặcvàcótạo
thể botnet;
là do Virus tấn
những botnet này có thểcông
sử dụng để mang tấn
công đến một không gian mạng nào đó
WORM KHÁC VIRUS NHƯ THẾ NÀO?

Worm là 1 dạng đặc biệt của Virus có thể tự nó tái tạo

và sử dụng bộ nhớ, nhưng không thể tự nó tấn công
chương trình khác

Worm lợi dụng file hoặc tính năng vận chuyển thông tin
trên hệ thống máy tính và lây lan tự động thông qua
mạng nhưng Virus thì không làm như vậy
 PHƯƠNG PHÁP PHÁT HIỆN VIRUS

Quá trình phát

hiện virus và loại
bỏ như sau:

Theo dõi quá Xác định các

Phát hiện
trình sử dụng hướng lây
Phát hiện các payload virus
các tiện ích như nhiễm và cô lập
cuộc tấn công bằng cách tìm
handle.exe, nó. Sau đó, cập
dựa theo các kiếm các hành
listdlls.exe, nhật các định
dấu hiệu (trình động thay đổi,
fport.exe, nghĩa virus và
bày ở trên) thay thế, hoặc
netstat.exe và quét lại toàn bộ
xóa các tập tin
pslist.exe hệ thống.
PHÒNG CHỐNG VIRUS
Tường lửa (firewall) kiểm soát dữ liệu ra vào máy tính và cảnh báo
những hành vi đáng ngờ

Phần mềm chống virus

Cập nhật các bản sửa lỗi

Trình duyệt an toàn hơn

Suy nghĩ kỹ trước khi cài đặt một phần mềm nào đó

Sử dụng máy tính với quyền user

Sao lưu hệ thống

 ĐỐI PHÓ VỚI VIRUS VÀ WORM
Đảm bảo file thực thi được
gửi đến tổ chức đã được
phê duyệt
Không boot máy tính với
ổ đĩa bootable đã bị
nhiễm
Hiểu biết về mối đe
dọa Virus mới nhất
Kiểm tra CD và DVD có bị
nhiễm hay không
Đảm bảo cửa sổ pop-up
blocker được bật và sử dụng
tường lửa internet
Chạy clean up ổ đĩa, quét
registry và chạy chống phân
mãnh 1 lần trong tuần
Bật tường lửa nếu OS
sử dụng Windows
Chạy chương trình
Anti virus 1 lần trong
tuần
Chặn tất cả các file có
phần mở rộng dài hơn
phần mở rộng của file
Thận trọng với những file
được gửi thông qua dòng tin
nhắn tức thời
TỔNG KẾT
•  Hiểu được virus và worm là gì, chúng lây lan và
phá hoại như thế nào.
•  Hiểu sự khác nhau giữa virus và worm
•  Tìm hiểu các cách thức phòng-chống-ứng phó
với sự lây nhiễm của virus và worm