dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)


Lược sử về virus máy tính:

Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus:
• Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính.
• Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus.
• Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.
• Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay.
• Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây là loại "stealth virus" đầu tiên.
• Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS.
• Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
• Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).
• Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome).
• Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.
• Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus.
• Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus_ là các cảnh báo giả về virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư này để tạo ra sự luân chuyển.
• Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point.
• Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính.
• Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.
• Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút.
• Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích.
• Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ.
• Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm:
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công.
• .bat: Microsoft Batch File (Tệp xử lí theo lô)
• .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)
• .cmd: Command file for Windows NT (Tệp thực thi của Windows NT)
• .com: Command file (program) (Tệp thực thi)
• .cpl: Control Panel extension (Tệp của Control Panel)
• .doc: Microsoft Word (Tệp của chương trình Microsoft Word)
• .exe: Executable File (Tệp thực thi)
• .hlp: Help file (Tệp nội dung trợ giúp người dùng)
• .hta: HTML Application (Ứng dụng HTML)
• .js: JavaScript File (Tệp JavaScript)
• .jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)
• .lnk: Shortcut File (Tệp đường dẫn)
• .msi: Microsoft Installer File (Tệp cài đặt)
• .pif: Program Information File (Tệp thông tin chương trình)
• .reg: Registry File
• .scr: Screen Saver (Portable Executable File)
• .sct: Windows Script Component
• .shb: Document Shortcut File
• .shs: Shell Scrap Object
• .vb: Visual Basic File
• .vbe: Visual Basic Encoded Script File
• .vbs: Visual Basic File
• .wsc: Windows Script Component
• .wsf: Windows Script File
• .wsh: Windows Script Host File
• .{*}: Class ID (CLSID) File Extensions

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Các hình thức lây nhiểm của virus máy tính:
●Virus lây nhiễm theo cách cổ điển
Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.
●Virus lây nhiễm qua thư điện tử
Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.
Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn.
Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.
Phương thực lây nhiễm qua thư điển tử bao gồm:
→Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó ngưòi dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)
→Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.
→Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này cũng thường khai thác các lỗi của hệ điều hành.
→Virus lây nhiễm qua mạng Internet
Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay.
Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:
• Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB...) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm...
• Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó.
• Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Winidow Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này.
Biến thể:
Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó.
Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán.

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Sâu máy tính(worm):
Là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử). Worm có thể di chuyển từ máy tính này sang máy tính khác mà không nhờ vào bất kì tác động nào của người dùng và nó có khả năng tự nhân bản chính nó trong hệ thống của bạn, do đó máy tính của bạn có thể gửi đi không những một mà hàng trăm, thậm chí hàng nghìn bản copy của nó ra ngoài và gây ra sự tàn phá kinh khủng. Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của worm là phá các mạng (network) thông tin, làm giảm khả năng hoạt động hay ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus, họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt.
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet. Tuy vậy, có lẽ worm tồn tại lâu nhất là virus happy99, hay các thế hệ sau đó của nó có tên là Trojan. Các worm này sẽ thay đổi nội dung tệp wsok32.dll của Windows và tự gửi bản sao của chính chúng đi đến các địa chỉ cho mỗi lần gửi điện thư hay message.
Dẫn chứng: Storm Worm bắt đầu nổi lên và phát tán rộng rãi trên mạng Internet theo con đường email chứa tệp tin đính kèm độc hại.Nếu người dùng lỡ tay mở tệp tin đính kèm hoặc nhắp chuột vào đường liên kết đó thì Storm Worm sẽ ngay lập tức đột nhập vào PC của họ. Chức năng chính của con sâu máy tính này là "bắt cóc" PC người dùng để phục vụ cho các mục đích đen tối khác của bọn tin tặc. Xuất hiện lần này là một biến thể hoàn toàn mới của Storm Worm. Lần này bên cạnh tệp tin đính kèm độc hại, Storm Worm còn ẩn mình trong các liên hết hoặc trang web độc hại, Dmitri Alperovitch - chuyên gia nghiên cứu của Secure Computing - cho biết. Đối tượng tấn công chủ yếu lần này của Storm Worm là blogger và các diễn đàn. Con sâu máy tính này sẽ tự động chèn vào các bài viết trên blog hoặc bài viết trên diễn đàn một đường liên kết đến một trang web độc hại.Secure Computing xếp Storm Worm vào mức độ nguy hiểm cao. Hình thức phát tán kiểu này thực sự nguy hiểm bởi người dùng nghĩ rằng các đường liên kết trên blog hoặc các bảng thông báo diễn đàn đều là những đường liên kết an toàn. Người dùng sẽ không mấy để ý và sẵn sàng nhắp chuột nếu họ quan tâm.
Do vậy việc bảo vệ máy tính bằng cách cài đặt các phần mềm diệt virus được cập nhật worm mới nhất là rất quan trọng. Ngoài ra bạn nên chắc chắn rằng phần mềm anti-virus của mình đã có tính năng diệt virus trên email hay các file được tải về từ internet. Như vậy bạn đã bảo vệ được máy tính của bạn ngay cả khi nó tiếp xúc với máy tính. Bạn cũng nên cài đặt một hệ thống chống sử dụng và truy cập vào máy tính trái phép (tường lửa là một công cụ tốt). Một tường lửa chắc chắn sẽ bảo vệ máy tính tránh được các tấn công từ bên ngoài muốn xâm nhập vào máy tính và nó cũng hỗ trợ thêm chức năng ngăn ngừa các chương trình worm lây lan qua email.

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Trojan Horse:
Là một chương trình nguy hiểm thường trong diện mạo như là một chương trình hữu ích (ví dụ như chương trình thay đổi màn hình desktop, thêm các biểu tượng lạ trên màn hình), nó có thể sẽ gây hậu quả nghiêm trọng bằng cách xóa file và phá hủy toàn bộ thông tin hệ thống của máy bị nhiễm. Trojan cũng có thể tạo ra các Backdoor trên máy tính giúp cho những kẻ tấn công có thể xâm nhập vào hệ thống, làm hư hại các thông tin cá nhân. Trojan không phát tán bằng cách làm cho các file khác bị nhiễm cũng như không tự nhân bản.
Khi các virut này kết hợp với nhau ta gọi đó là mối đe dọa hỗn hợp. Chúng tổng hợp các đặc tính của virut, worm,Trojan Horse và các đoạn code gây tổn thương máy chủ và mạng Internet. Bằng nhiều phương pháp và kỹ thuật, các cuộc tấn công nhanh chóng lan tỏa và gây thiệt hại trên diện rộng. Những đặc trưng sự pha trộn này là: Gây ra thiệt hại, truyền “bệnh” theo nhiều phương pháp, tấn công từ nhiều hướng. Kể từ khi những con virut đầu tiên ra đời thì đây được xem như là loại virut nguy hiểm nhất với đa số các virut không cần sự can thiệp con người mà tự động phát triển. Đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền. Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại virus cực kỳ nguy hiểm. Nó có thể hủy ổ cứng, hủy dữ liệu.
Cách bảo vệ máy tính:
Bạn đừng tưởng mình đã có chương trình chống virus, scan trojan là an toàn có thể thoát khỏi trojan, rất khó để thoát khỏi trojan. Nhưng chẵng lễ không bảo vệ, không, vẫn có nhiều cách chống trojan thông thường, tuy đơn giản nhưng rất hiệu quả .
+ Sử dụng những chương trình chống virus, trojan mới nhất của những hãng đáng tin cậy ( AVP, Mscafe .. .)
+ Mỗi khi bạn tắt máy, trojan cũng tắt và nó sẽ khởi động lại ngay khi máy đang load windows. Nó không tự dưng chạy mà nó phảI sửa file win.ini, system.ini hay lưu vao trong registry. Vì thế bạn phảI luôn lôn kiểm tra những file này. Công cụ sử dụng tốt nhất trong win là msconfig. Bạn chỉ cần vào RUN và gõ : MSCONFIG. Thường thì nhiều trojan hay được lưu trong thư mục \windows hay \windows\system
+ Nhiều trojan không thể dấu được khi bạn nhấn Ctrl+Alt+Del
+ Sử dụng những chương trình scan port xem máy mình có mở cổng nào lạ không, nếu nó không nằm trong những cổng thông thường thì bạn biết chắc rằng máy bạn đã bị nhiễm trojan.
+ Không download file từ những nguồn không rõ hay nhận mail của người lạ. Tốt nhất là dùng chương trình check mail ngay trên server, thấy an toàn rồi mới load về.
+ Sử dụng một số chương trình có thể quan sát máy của bạn và lập firewall như lockdown, log monitor, PrcView . . . .
+ trước khi chạy file lạ nào, kiểm tra nó trước.

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Phần mềm gián điệp (spyware):
Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di chứng". Thường một số chương trình diệt virus có kèm trình diệt spyware nhưng diệt khá kém đối với các đợt "dịch".
Chức năng: Chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có nhận thức của chủ máy. Một cách điển hình, Spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các chương trình Freeware (phần mềm miễn phí) và Shareware (phần mềm chia sẻ) mà người ta có thể đưa về từ Internet. Một khi đã cài đặt, spyware điều phối hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác(như của những tay hacker). Spyware cũng thu thập tin tức về địa chỉ email và ngay cả mật khẩu cũng như là số thẻ tín dụng.
Phần mềm gián điệp cũng là một trong các biến thể của phần mềm quảng cáo. Phần lớn các spyware thường vô hại, tuy nhiên, ngày nay bắt đầu xuất hiện nhiều những spyware đính kèm virus, sâu(worm) hoặc ngựa thành Troa(Trojan horse) có thể gây tổn hại nghiêm trọng cho một hoặc một hệ thống máy tính.
Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, spyware còn đánh cắp từ máy chủ các tài nguyên của bộ nhớ (memory resource) rồi nó gửi thông tin về chủ của các spyware qua Internet. Vì spywre dùng tài nguyên của bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn đến hư máy hay máy không ổn định.
Bởi vì là một chương trình độc lập nên spyware có khả năng điều khiển các phím bấm (keystroke), đọc các tin tức trong hard-disk, kiểm soát các chương trình khác như là chương trình chat hay các chương trình soạn thảo văn bản, cài đặt các spyware mới, đọc cookies thay đổi trang chủ mặc định (home page) trên web browses, cung cấp liên tục các thông tin về chủ của spyware, người mà nó có thể dùng cho quảng cáo hoặc tiếp thị hay bán tin tức cho các chỗ khác
Dấu hiệu máy bị spyware: Bất kỳ một trong các dấu hiệu sau đây xảy ra cũng có thể là máy của bạn đã bị spyware
• Nhận email với với giấy biên nhận trả tiền điện thoại có thêm số trả phụ trội mà bạn chẳng bao giờ gọi tới số đó, như bắt đầu bằng 900
• Khi gõ tìm một địa chỉ trên Internet Explorer và nhấn Enter để bắt đầu tìm kiếm thì trang “Search” thường dùng bị thay bởi một trang Search lạ.
• Các Program (chương trình) chống Spyware không hoạt động được. Nó có thể báo lỗi mất những file cần thiết, ngay cả sau khi cài đặt trở lại thì các chương trình chống Spyware cũng không hoạt động được.
• Thấy những tên địa chỉ lạ trong danh sách Favorites mặc dù bạn chưa hề đặt nó vào trong mục này.
• Máy tự dưng chạy chậm hơn thường nhật. Nếu là Windows 2K hay XP hãy thử chạy Task Manager và nhấn bản processes thì thấy những process không quen biết dùng gần như 100% CPU.
• Một cái "seach toolbar" (băng tìm kiếm) hay "browser toolbar" xuất hiện mặc dù bạn không hề ra lệnh để cài đặt nó và không thể xoá chúng hay là chúng xuất hiện trở lại sau khi xoá.
• Bạn nhận một pop-up quảng cáo khi mà cái "browser" chưa hề được chạy và ngay cả khi máy chưa nối kết với Internet hay là bạn được các quảng cáo có đề tên bạn trong đó.
• Trang chủ bị thay đổi một cách kỳ lạ. Bạn đổi lại nó nhưng nó lại bị sửa…
• Ở thời điểm mà bạn không hề làm gì với internet mà vẫn thấy đèn gửi/nhận chớp sáng trên dial-up hay board band modem giống như là khi đang tải một phần nhu liệu nào về máy. Hay là các biểu tượng network/modem nhấp nháy nhanh khi bạn không hề vào internet.
• Dấu hiệu cuối cùng, mọi thứ hình như trở về bình thường. Những Spyware mạnh thường không để dấu tích gì cả. Nhưng hãy kiểm lại máy của mình ngay cả trong trường hợp này.
Phòng ngừa:
 Trong các bản giao kèo về quyền xử dụng (License Agreement) của các công ty cho download đôi khi có nói rõ rằng họ sẽ cài spyware chung với phần mềm. Những cái giao kèo này thường ít được chúng ta đọc hoàn tất một cách kỹ lưỡng và cũng bởi vì các lưu ý về cài đặt spyware thường nằm trong những đoạn khó thấy (chữ nhỏ xíu). Do đó trước khi download về máy bất kỳ một nhu liệu nào hãy đọc kỹ các khế ước này.
 Hãy dùng phần mềm chống Spyware. Kiểm nghiệm (scan) thường xuyên để loại bỏ spyware. Khởi động lại máy và chạy kiểm lại lần nữa sau mỗi lần lại được Spyware mới để chống sự tái nhiễm (tickler). Vài lần trong tuần.
 Phải có chương trình chống virus và tường lửa (firewall) cho máy.
 Coi chừng các dịch vụ peer-to-peer chia sẻ chung các tập tin (peer-to-peer files sharing service). Hầu hết các ứng dụng thông dụng sẽ có spyware trong các thủ tục cài đặt. Tránh download các phần mềm độc hại mà chúng ta không biết ngoại trừ chúng được cung cấp từ các nhà sản xuất lớn hay các trang website "tốt".
 Coi chừng các cookies; các dữ liệu thu thập bởi các cookies có thể trùng lặp với các thông tin ở một nơi nào đó để cung cấp những thông tin của bạn một cách đáng ngạc nhiên.
 Hãy sửa mức an toàn của IE cao lên (ít nhất là mức medium). Hãy để mức không cho phép cài đặt tất cả các "ActiveX control" mà bạn chưa yêu cầu.
 Spyware có thể đến từ các nguồn HTML e-mail. Hãy xoá thẳng (delete) tay những email mà bạn không biết rõ xuất xứ và không hề có liên lạc, hoặc email có địa chỉ quen thuộc nhưng chủ đề rất lạ (do hackers gửi đi). Nếu dùng Outlook 2003, dùng Tools -> Options -> Security tab -> chọn "change Automatic Download Settings". Kiểm chắc rằng bạn đã chọn "Don't download pictures or other content automatically in HTML email".
 Hiểu biết về các loại spyware nhằm giúp bạn tránh được chúng tốt hơn.

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Phần mềm quảng cáo (adware):
Phần mềm quảng cáo bất hợp pháp (Advertising software) hay còn gọi là Adware: những phần mềm tự động đưa ra các trang quảng cáo trên máy tính của bạn mà không cần biết bạn có đồng ý xem hay không.
Ra đời muộn hơn virus máy tính tới 12 năm (1995), các Adware ban đầu được biết đến như là các phần “kèm thêm” của nhà sản xuất trong các phần mềm miễn phí – Freeware và phần mềm dùng thử trước khi mua – Shareware. Người sử dụng muốn dùng các phần mềm Freeware, Shareware này thì phải chấp nhận các pop-up quảng cáo, các biểu mẫu thu thập thị hiếu khách hàng của chúng như là một phần tất yếu của phần mềm. Sau đó Adware nhanh chóng được một số công ty phát triển như những công cụ quảng cáo và thu thập thông tin có hiệu quả cao trên mạng Internet. Đến năm 2002, lần đầu tiên Adware xuất hiện dưới dạng những phần mềm độc lập phát tán trên Internet, không đi kèm theo các phần mềm Freeware và Shareware như trước. Và cũng kể từ đó, Adware đã thực sự trở thành những “dịch bệnh” cho người sử dụng Internet trên khắp thế giới.
Theo kết quả khảo sát vào cuối tháng 12 năm 2004 của Trung tâm An ninh mạng Đại học Bách Khoa Hà Nội - BKIS ở Việt Nam thì có tới 88% người được hỏi trả lời rằng máy tính của họ đã từng bị quấy rối bởi Adware. Còn theo kết quả khảo sát của America Online và National Cyber-Security Alliance tháng 10 năm 2004 thì có tới 80% số người được hỏi nói rằng máy tính của họ bị nhiễm Adware.
Bạn có thể bị lừa cài đặt adware khi vào trang web lạ - nguyên nhân phổ biến nhất gây ra việc nhiễm Adware
Adware không phải là những virus máy tính. Điểm khác nhau cơ bản giữa chúng là trong khi virus có thể tự nó lây lan sang máy khác còn adware lại không có cơ chế này, adware không tự động tìm kiếm và lây lan sang các máy khác. Chúng chỉ có thể tìm cách lây vào máy tính của bạn theo một trong những con đường sau:

* Đi theo các phần mềm miễn phí, dùng thử, các phần mềm bẻ khóa (crack, keygen): khi bạn cài đặt hoặc chạy các phần mềm này, Adware sẽ cài đặt lên máy tính của bạn.
* Khi bạn vô tình ghé thăm một trang web lạ, các đoạn mã lệnh ActiveX hay JAVA applets, VBScript trên web đó sẽ được trình duyệt của bạn thực thi và đó là cơ sở để Adware cài vào máy tính của bạn. Một số Adware có thể nguỵ trang chui trong một ActiveX mới do chúng tự đặt ra trên trang web, trình duyệt Internet của bạn khi gặp ActiveX này sẽ hiện lên thông báo hỏi xem bạn có muốn cài đặt ActiveX đó hay không? Phần lớn người sử dụng sẽ không biết hoặc cũng chẳng để ý nó là cái gì, nên câu trả lời luôn là “có”, và chỉ đợi có thế là Adware sẽ nghiễm nhiên cài đặt lên máy tính của bạn vì bạn đã đồng ý cơ mà!
Sự hiếu kì của người sử dụng cũng là điểm yếu dễ bị Adware khai thác để lây nhiễm. Bạn vô tình vào một trang web, một đoạn hướng dẫn yêu cầu bạn làm theo một số bước để xem được một đoạn phim, một hình ảnh vui nhộn.., bạn sẽ làm gì? Nếu bạn tặc lưỡi "cứ thử mở xem sao!" thì thật là nguy hiểm vì chỉ cần một click chuột thôi, bạn đã tự mở cửa cho chúng chui vào máy của mình.
Bạn là người rất cẩn thận đối với các bảng thông báo, không bao giờ làm theo các hướng dẫn cài đặt trên trang web…? Điều này vẫn là chưa đủ để phòng chống Adware. Nếu trình duyệt trên máy tính của bạn có lỗi, chỉ cần bạn lạc vào trang web của chúng thôi, chúng đã có thể âm thầm cài đặt lên máy của bạn, không cần hỏi xem bạn có muốn cài chúng hay không. Điều này thực ra cũng rất dễ hiểu, trong cuộc sống thường nhật, đôi khi bạn hay tôi cũng bước nhầm chân vào những chốn lừa đảo, và trên mạng thì cũng vậy thôi, đôi khi chúng ta sẽ ghé thăm nhầm vào những website như vậy và xem ra việc này còn dễ xảy ra hơn trong cuộc sống.
* Một số virus cũng có thể chứa Adware bên trong bản thân nó. Khi virus lây lan qua các máy, nó cũng kéo theo các Adware và cài đặt lên máy của nạn nhân.
Khi máy tính của bạn bị nhiễm adware, bạn có thể thấy các trang quảng cáo (popup) tự động hiện lên, các trang chủ, trang web tìm kiếm, trang web bạn thường xuyên vào nay lại được chuyển sang một trang web không rõ ở đâu ra. Trình duyệt Internet của bạn cũng tự nhiên có thêm những nút bấm (Toolbars)…. Lúc này, tuy bạn có khó chịu với những hiện tượng bất thường của máy tính, nhưng lại nghĩ nó cũng không ảnh hưởng gì đến công việc của mình lắm. Thực ra bạn lại không biết rằng đằng sau đó, các spyware có thể đang âm thầm đánh cắp các thông tin cá nhân quan trọng của bạn và gửi ra ngoài cho chủ của chúng. Không chỉ có thế, khi một adware đã cài đặt thành công lên máy tính của bạn, chúng thường thay đổi mức độ bảo mật (security level) trên máy tính của bạn xuống mức thấp nhất để phục vụ cho hoạt động của mình. Điều này sẽ làm cho máy tính của bạn trở nên yếu ớt và là món mồi ngon để các adware hay thậm chí là cả các virus khác xâm nhập.
Đến đây bạn đã nhìn nhận được phần nào về tác hại và sự nguy hiểm của adware cũng như cách thức lây nhiễm của chúng. Chúng là những phần mềm được viết ra với mục đích xấu và cũng giống như virus, chúng luôn luôn phát triển ngày càng tinh vi hơn. Chúng ta không thể đợi đến lúc adware lây vào máy tính rồi mới xử lý mà ngay bây giờ, chúng ta phải tự tạo cho mình phương thức phòng chống hữu hiệu. Lời khuyên của tôi dành cho bạn là “Bạn phải chặn adware trên chính những con đường lây lan của chúng”:
• Không chạy những chương trình miễn phí không rõ nguồn gốc, những chương trình bẻ khoá (crack, keygen..) tải từ Internet về
• Không vào các trang web không rõ nguồn gốc (đây là nguyên nhân phổ biến nhất gây ra việc nhiễm Adware). Cũng giống như trong cuộc sống, bạn sẽ không đi vào những chỗ có vẻ nguy hiểm và không biết đấy là đâu.
• Cập nhật các bản sửa lỗi cho các trình duyệt Internet trên máy của mình (vd: Internet Explorer..).
• Sử dụng những chương trình diệt virus và adware để tiêu diệt chúng. Quan trọng hơn là phải thường xuyên cập nhật bản mới nhất cho các chương trình diệt virus này

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Botnet:
Một trong những phương thức tấn công DDoS hiệu quả và phổ biến nhất hiện nay là hoạt động dựa trên hàng trăm máy tính bị chiếm quyền điều khiển (tức các zombie). Những zombie này thường bị kiểm soát và quản lý qua các mạng IRC, sử dụng được gọi là các botnet.
Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot. Các chương trình tự động phản ứng khi gặp sự kiện ngoài mạng nội bộ cũng được gọi là robot. Một kiểu robot cụ thể (hay bot như tên tắt vẫn thường được gọi) là IRC bot. IRC bot sử dụng các mạng IRC như một kênh liên lạc để nhận lệnh từ người dùng từ xa. Ví dụ cụ thể như, người dùng là một kẻ tấn công, còn bot là một Trojan horse. Một lập trình viên giỏi có thể dễ dàng tạo ra một số bot riêng của mình, hoặc xây dựng lại từ các bot có sẵn. Chúng có thể dễ dàng ẩn nấp trước những hệ thống bảo mật cơ bản, sau đó là phát tán đi nhanh chóng trong thời gian ngắn.
Trong hầu hết các trường hợp tấn công bởi bot, nạn nhân chủ yếu là người dùng máy tính đơn lẻ, server ở các trường đại học hoặc mạng doanh nghiệp nhỏ. Lý do là bởi máy tính ở những nơi này không được giám sát chặt chẽ và thường để hở hoàn toàn lớp bảo vệ mạng. Những đối tượng người dùng này thường không xây dựng cho mình chính sách bảo mật, hoặc nếu có thì không hoàn chỉnh, chỉ cục bộ ở một số phần. Hầu hết người dùng máy tính cá nhân kết nối đường truyền ADSL đều không nhận thức được các mối nguy hiểm xung quanh và không sử dụng phần mềm bảo vệ như các công cụ diệt virus hay tường lửa cá nhân.
Khả năng sử dụng bot và các ứng dụng của chúng cho máy tính bị chiếm quyền điều khiển hoàn toàn phụ thuộc vào sức sáng tạo và kỹ năng của kẻ tấn công.
- Các kiểu bot khác nhau:
Nhiều kiểu bot đã được xây dựng và cho phép download được cung cấp nhan nhản khắp Internet. Mỗi kiểu có những thành phần đặc biệt riêng. Chúng ta sẽ xem xét một số bot phổ biến nhất và thảo những thành phần chính và các yếu tố phân biệt của chúng.
• GT-Bot:
Tất cả các bot GT (Global Threat) đều dựa trên kiểu client IRC (Là tên viết tắt của Internet Relay Chat. Đó là một giao thức được thiết kế cho hoạt động liên lạc theo kiểu hình thức tán gẫu thời gian thực (ví dụ RFC 1459, các bản update RFC 2810, 2811, 2812, 2813) dựa trên kiến trúc client-server.) phổ biến dành cho Windows gọi là mIRC. Cốt lõi của các bot này là xây dựng tập hợp script (kịch bản) mIRC, được dùng để điểu khiển hoạt động của hệ thống từ xa. Kiểu bot này khởi chạy một phiên client nâng cao với các script điều khiển và dùng một ứng dụng thứ hai, thông thường là HideWindows để ẩn mIRC trước người dùng máy tính đích. Một file DLL bổ sung sẽ thêm một số thành phần mới vào mIRC để các script có thể chi phối nhiều khía cạnh khác nhau trên máy tính bị chiếm quyền điều khiển.
• Agobot:
Agobot là một trong những kiểu bot phổ biến nhất thường được các tay bẻ khoá (craker) chuyên nghiệp sử dụng. Chúng được viết trên nền ngôn ngữ C++ và phát hành dưới dạng bản quyền GPL. Điểm thú vị ở Agobot là mã nguồn. Được modul hoá ở mức cao, Agobot cho phép thêm chức năng mới vào dễ dàng. Nó cũng cung cấp nhiều cơ chế ẩn mình trên máy tính người dùng. Thành phần chính của Agobot gồm: NTFS Alternate Data Stream (Xếp luân phiên dòng dữ liệu NTFS), Antivirus Killer (bộ diệt chương trình chống virus) và Polymorphic Encryptor Engine (cơ chế mã hoá hình dạng). Agobot cung cấp tính năng sắp xếp và sniff lưu lượng. Các giao thức khác ngoài IRC cũng có thể được dùng để điều khiển kiểu bot này
• DSNX:
Dataspy Network X (DSNX) cũng được viết trên nền ngồn ngữ C++ và mã nguồn dựa trên bản quyền GPL. Ở kiểu bot này có thêm một tính năng mới là kiến trúc plug-in đơn giản.
• SDBot:
SDBot được viết trên nền ngôn ngữ C và cũng sử dụng bản quyền GPL. Không giống như Agobot, mã nguồn của kiểu bot này rất rõ ràng và bản thân phần mềm có một lượng giới hạn chức năng. Nhưng SDBot rất phổ biến và đã được phát triển ra nhiều dạng biến thể khác nhau.
- Các ứng dụng phổ biến nhất của bot:
• Tấn công từ chối dịch vụ phân tán (DDoS):
Tấn công DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch vụ tràn). Mục đích của hình thức này là gây tràn mạng đích, sử dụng tất cả băng thông có thể. Kẻ tấn công sau đó sẽ có toàn bộ lượng băng thông khổng lồ trên mạng để làm tràn website đích. Đó là cách phát động tấn công tốt nhất để đặt được nhiều máy tính dưới quyền kiểm soát. Mỗi máy tính sẽ đưa ra băng thông riêng (ví dụ với người dùng PC cá nhân nối ADSL). Tất cả sẽ được dùng một lần, và nhờ đó, phân tán được cuộc tấn công vào website đích. Một trong các kiểu tấn công phổ biến nhất được thực hiện thông qua sử dụng giao thức TCP (một giao thức hướng kết nối), gọi là TCP syn flooding (tràn đồng bộ TCP). Cách thức hoạt động của chúng là gửi đồng thời cùng lúc một số lượng khổng lồ yêu cầu kết nối TCP tới một Web Server (hoặc bất kỳ dịch vụ nào khác), gây tràn tài nguyên server, dẫn đến tràn băng thông và ngăn không cho người dùng khác mở kết nối riêng của họ. Quả là đơn giản nhưng thực sự nguy hiểm! Kết quả thu được cũng tương tự khi dùng giao thức UDP (một giao thức không kết nối).
Giới tin tặc cũng bỏ ra khá nhiều thời gian và công sức đầu tư nhằm nâng cao cách thức tấn công của chúng. Hiện nay, người dùng mạng máy tính như chúng ta đang phải đối mặt với nhiều kỹ thuật tinh vi hơn xa so kiểu tấn công DDoS truyền thống. Những kỹ thuật này cho phép kẻ tấn công điều khiển một số lượng cực kỳ lớn máy tính bị chiếm quyền điều khiển (zombie) tại một trạm từ xa mà đơn giản chỉ cần dùng giao thức IRC.
• Spamming (phát tán thư rác):
Botnet là một công cụ lý tưởng cho các spammer (kẻ phát tán thư rác). Chúng đã, đang và sẽ được dùng vừa để trao đổi địa chỉ e-mail thu thập được, vừa để điều khiển cơ chế phát tán thư rác theo cùng một cách với kiểu tấn công DDoS. Thư rác được gửi tới botnet, sau đó phân phối qua các bot và từ đó phát tán tới máy tính đang bị chiếm quyền điều khiển. Tất cả spammer đều lấy tên nặc danh và mọi hậu quả thì máy tính bị phá hoại gánh chịu.
• Sniffing và Keylogging:
Các bot cũng có thể được sử dụng một cách hiệu quả để nâng cao nghệ thuật cổ điển của hoạt động sniffing. Nếu theo dõi lưu lượng dữ liệu truyền đi, bạn có thể xác định được con số khó tin lượng thông tin được truyền tải. Đó có thể là thói quen của người dùng, trọng tải gói TCP và một số thông tin thú vị khác (như mật khẩu, tên người dùng). Cũng tương tự như vậy với keylogging, một hình thức thu thập tất cả thông tin trên bàn phím khi người dùng gõ vào máy tính (như e-mail, password, dữ liệu ngân hàng, tài khoản PayPal,…).
• Ăn cắp nhận dạng:
Các phương thức được đề cập ở trên cho phép kẻ tấn công điều khiển botnet để thu thập một lượng thông tin cá nhân khổng lồ. Những dữ liệu có thể được dùng để xây dựng nhân dạng giả mạo, sau đó lợi dụng để có thể truy cập tài khoản cá nhân hoặc thực hiện nhiều hoạt động khác (có thể là chuẩn bị cho nhiều cuộc tấn công khác) mà người gánh chịu hậu quả không ai khác chính là chủ nhân của các thông tin đó.
• Sở hữu phần mềm bất hợp pháp:
Đây là hình thức cuối cùng, nhưng chưa phải là kết thúc. Các máy tính bị tấn công theo kiểu bot có thể được dùng như một kho lưu trữ động tài liệu bất hợp pháp (phần mềm ăn cắp bản quyền, tranh ảnh khiêu dâm,…). Dữ liệu được lưu trữ trên ổ cứng trong khi người dùng ADSL không hề hay biết.
Còn rất nhiều, rất nhiều kiểu ứng dụng khác nữa được phát triển dựa trên botnet (như trả tiền cho mỗi lần kích chuột để sử dụng một chương trình, phishing, hijacking kết nối HTTP/HTTPS…), nhưng liệt kê ra được hết có lẽ sẽ phải mất hàng giờ. Bản thân bot chỉ là một công cụ với khả năng lắp ghép và thích ứng dễ dàng cho mọi hoạt động đòi hỏi đặt quyền kiểm soát đơn lên một số lượng lớn máy tính.
- Hoạt động của kẻ tấn công có thể chia thành bốn giai đoạn: Tạo (phụ thuộc lớn vào kỹ năng và đòi hỏi của kẻ tấn công), Cấu hình, Tấn công (sử dụng nhiều kỹ thuật khác nhau để phát tán bot, cả trực tiếp và gián tiếp), Điều khiển (gồm một số hoạt động thực hiện sau khi bot đã được cài đặt lên máy đích trong một thư mục chọn)
- Các yếu tố của một cuộc tấn công: Đầu tiên kẻ tấn công sẽ phát tán bot (ví dụ bot là một trojan horse,…) vào nhiều máy tính khác nhau, các máy này trở thành zoombie (máy tính bị chiếm quyền điều khiển) và kết nối tới server để nghe thêm nhiều lệnh sắp tới. Server có thể là máy công cộng ở một trong các mạng hay cũng có thể là máy chuyên dụng do kẻ tấn công cài đặt lên một trong các máy bị chiếm quyền điều khiển. Các bot chạy trên máy tính bị chiếm quyền điều khiển, hình thành một botnet.
- Phòng chống:
Bây giờ chúng ta sẽ xem xét một số phương thức bảo vệ trước khả năng xâm phạm và phá hoại của kiểu tấn công bot, dưới góc nhìn của cả người dùng và nhà quản trị.
 Các chiến lược bảo vệ cho người dùng PC:
Như đã đề cập tới ở trên, tấn công bot chủ yếu được thực hiện qua các loại sâu, lướt trên mạng để tìm kiếm lỗ hổng thâm nhập được. Do đó, bước đầu tiên là phải cập nhật thường xuyên, download các bản vá và bản update hệ thống cho cả hệ điều hành cũng như các ứng dụng truy cập Internet. Sử dụng chương trình update tự động là một ý kiến hay. Bạn cũng nên cẩn thận khi mở các file đính kèm đáng ngờ trong e-mail. Cũng sẽ là khôn ngoan khi loại bỏ hỗ trợ hình thức ngôn ngữ kịch bản như ActiveX và JavaScript (hoặc ít nhất là kiểm soát việc sử dụng của chúng). Cuối cùng, yếu tố cơ sở là bạn phải dùng ít nhất một chương trình diệt virus, trojan và luôn luôn update phiên bản mới nhất của chúng. Dẫu vậy, nhiều bot được cấu hình lần tránh khởi sự kiểm soát của các chương trình diệt virus. Vì thế, bạn nên dùng thêm phần mềm tường lửa cá nhân, nhất là khi sử dụng máy tính nối mạng liên tục 24 giờ/ngày.
Dấu hiệu chính khi có hiện diện của bot là tốc độ máy và tốc độ kết nối mạng trở nên cực kỳ chậm. Một cách kiểm tra các kết nối đáng ngờ đơn giản và hiệu quả là sử dụng công cụ netstat
 Chiến lược bảo vệ cho người quản trị:
Các quản trị viên thường phải cập nhật liên tục thông tin về những lỗ hổng mới nhất, cũng như đọc thường xuyên về tài nguyên bảo mật trên Internet mỗi ngày. Một số công cụ hỗ trợ Bugtraq, đưa ra bản mô tả tóm tắt danh sách thư là một ý kiến hay. Các quản trị viên cũng nên cố gắng tuyền truyền, nâng cao nhận thức cho người dùng của mình về vấn đề bảo mật và các chính sách bảo mật.
Nghiên cứu nhật ký thường trình (bản ghi log) do IDS và nhiều hệ thống tường lửa, mail server, DHCP, proxy server tạo ra cũng rất cần thiết. Điều này có thể giúp phát hiện ra lưu lượng bất thường, một dấu hiệu của sự hiện diện bot và nhờ đó có biện pháp ngăn chặn kịp thời. Sau khi lưu lượng bất thường được chú ý, một siffer sẽ đến để nhận dạng mạng con và máy tính tạo ra nó. Tất cả các biện pháp dường như đều quen thuộc và không mấy khó khăn, nhưng mọi người thường quên, hoặc bỏ qua chúng.
Bạn cũng có thể sử dụng một số kỹ thuật phức tạp hơn như honeybot. Honeybot là các máy được xây dựng với mục đích hấp dẫn kẻ tấn công. Vai trò của chúng là trở thành máy tính nạn nhân, giúp người quản trị định vị chính nguồn của vấn đề và nghiên cứu phương thức tấn công.
Nhưng kết luận cuối cùng thì, cho dù công cụ hỗ trợ là gì đi chăng nữa, biện pháp phòng chống và bảo vệ tốt nhất trước các cuộc tấn công botnet là bản thân người dùng và nhận thức của họ.

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Keylogger:
Keylogger hay "trình theo dõi thao tác bàn phím" là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp.
Về sau, khi keylogger phát triển cao hơn nó không những ghi lại thao tác bàn phím mà còn ghi lại cả các hình ảnh hiển thị trên màn hình (screen) bằng cách chụp (screen-shot) hoặc quay phim (screen-capture) thậm chí còn ghi nhận cách con trỏ chuột trên máy tính di chuyển.
Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa.
- Phân loại keylogger:
Keylogger bao gồm 2 loại: keylogger phần cứng (tuỳ theo từng hãng sản xuất mà chúng được cấu hình sẵn vào trong máy tính theo các phương thức khác nhau) và keylogger phần mềm (do người lập trình viết ra và máy tính của bạn có thể có hoặc không). Trong đồ án này ta nghiên cứu về loại keylogger phần mềm.
Theo những người lập trình, keylogger viết ra với chỉ có một loại duy nhất là giúp các bạn giám sát con cái, người thân xem họ làm gì với PC, với Internet, khi chat với người lạ. Nhưng cách sử dụng và chức năng của keylogger hiện tại trên thế giới khiến người ta thường hay phân loại keylogger theo mức độ nguy hiểm:
• Loại 1: keylogger loại bình thường, chạy công khai, có thông báo cho người bị theo dõi, đúng với mục đích giám sát
• Loại 2: keylogger nguy hiểm, chạy ngầm, hướng đến mục đích do thám nhiều hơn là giám sát (nguy hại đến các thông tin cá nhân như là tài khoản cá nhân, mật khẩu, thẻ tín dụng vì người dùng không biết)
• Loại 3: keylogger loại rất nguy hiểm, ẩn dấu hoàn toàn theo dõi trên một phạm vi rộng, mục đích do thám rõ ràng.
- Cách hoạt động của keylogger:
• Thành phần của keylogger:
Thông thường, một chương trình keylogger sẽ gồm có ba phần chính:
* Chương trình điều khiển (Control Program): dùng để theo điều phối hoạt động, tinh chỉnh các thiết lập, xem các tập tin nhật ký cho Keylogger. Phần này là phần được giấu kỹ nhất của keylogger, thông thường chỉ có thể gọi ra bằng một tổ hợp phím tắt đặt biệt.
* Tập tin hook, hoặc là một chương trình monitor dùng để ghi nhận lại các thao tác bàn phím, capture screen (đây là phần quan trọng nhất)
* Tập tin nhật ký (log), nơi chứa đựng/ghi lại toàn bộ những gì hook ghi nhận được.
• Cách thức cài đặt vào máy:
Các loại keylogger từ 1 - 3 thông thường khi cài đặt vào máy cũng giống như mọi chương trình máy tính khác, đều phải qua bước cài đặt. Đầu tiên nó sẽ cài đặt các tập tin dùng để hoạt động vào một thư mục đặc biệt (rất phức tạp), sau đó đăng ký cách thức hoạt động rồi đợi người dùng thiết lập thêm các ứng dụng. Sau đó nó bắt đầu hoạt động.

Ngoài ra còn có một loại keylogger có thể vào thẳng máy của người dùng bỏ qua bước cài đặt, dùng tính năng autorun để cùng chạy với hệ thống. Một số loại tự thả (drop) mình vào các chương trình khác, để khi người dùng sử dụng các chương trình này keylogger sẽ tự động chạy theo.
• Cách hoạt động:
Trong một hệ thống (Windows, Linux, Mac…), khi bấm 1 phím trên bàn phím, bàn phím sẽ chuyển nó thành tính hiệu chuyển vào CPU. CPU sẽ chuyển nó tới hệ điều hành để hệ điều hành dịch thành chữ hoặc số cho chính nó hoặc các chương trình khác sử dụng.
Nhưng khi trong hệ thống đó có keylogger, không những chỉ có hệ điều hành theo dõi mà cả hook file/monitor program của keylogger theo dõi nó sẽ ghi nhận và dịch lại các tính hiệu ghi vào tập tin nhật ký. Đồng thời nó còn có thể theo dõi cả màn hình và thao tác chuột.
- Keylogger chỉ là một chương trình công cụ, và nó tốt hay xấu tùy theo mục đích sử dụng. Nếu dùng để giám sát con cái, người thân xem họ làm gì với PC, với internet, khi chat với người lạ thì keylogger là tốt. Nhưng cách sử dụng keylogger nhằm đánh cắp các thông tin cá nhân (tài khoản cá nhân, mật khẩu, thẻ tín dụng) thì keylogger là một chương trình rất xấu.
- Phòng, tránh và chống keylogger:
• Phòng keylogger:
Keylogger thường bị vào máy qua hai con đường chính: được cài đặt hoặc bị cài đặt.
 Phòng ngừa “được cài đặt”:
Phương pháp sau chỉ có tác dụng với chủ máy (người nắm quyền root/administrator) Cách tốt nhất là không cho ai sử dụng chung máy tính. Bảo mật máy bằng cách khóa lại bằng các chương trình bảo vệ, hoặc mật khẩu khi đi đâu đó. Nếu phải dùng chung nên thiết lập quyền của người dùng chung đó thật thấp (guest đối với Windows XP, user đối với Linux) để kiểm soát việc cài đặt chương trình của họ.
 Phòng ngừa “bị cài đặt”:
Bị cài đặt là cách để nói đến các trường hợp keylogger vào máy không do người nào đó trực tiếp đưa vào trên máy đó mà do trojan, virus, spyware cài đặt vào máy nạn nhân mà nạn nhân không hề hay biết. Các biện pháp phòng ngừa:
* Không tùy tiện mở các tập tin lạ, không rõ nguồn gốc ( đặc biệt chú ý các tập tin có đuôi *.exe, *.com, *.bat, *.scr, *.swf, *.zip, *.rar, *.js, *.gif…). Tốt nhất là nên xóa đi, hoặc kiểm tra (scan) bằng một chương trình antivirus và một chương trình antispyware, vì nhiều chương trình antivirus chỉ có thể tìm thấy virus, không thể nhận biết spyware.
* Không vào các trang web lạ, đặc biệt là web “tươi mát” vì có thể các trang web này ẩn chứa một loại worm, virus, hoặc là mã độc nào đó có thể âm thầm cài đặt.
* Không click vào các đường link lạ do ai đó cho bạn.
* Không cài đặt các chương trình lạ (vì nó có thể chứa virus, trojan)
* Không download chương trình từ các nguồn không tin cậy. Nếu bạn có thể, xem xét chữ ký điện tử, để chắc chắn chương trình không bị sửa đổi.
* Hạn chế download và sử dụng cracked-program.
* Luôn luôn tự bảo vệ mình bằng các chương chình chuyên dùng chống virus, chống spyware (antivirus, antispyware) và dựng tường lửa (firewall) khi ở trong Internet.
* Thường xuyên cập nhật đầy đủ các bản cập nhật bảo mật của hệ điều hành.
• Tránh keylogger:
Khi nghi ngờ nó có keylogger mà không có điều kiện kiểm tra.
 Diệt tập tin hook, chương trình theo dõi:
Sử dụng một chương trình task manager (có thể gọi ra bằng tổ hợp phím tắt Ctrl+Alt+Del trên Windows) xem các chương trình đang chạy. Nếu bạn thấy process nào lạ (đặc biệt đối với Windows XP là các tập tin được chạy dưới User name không phải là System) chưa thấy bao giờ hãy tắt (end, kill) nó đi. Lưu ý, cách này có thể làm treo hệ thống nếu đó là một tập tin cần cho nó; vì vậy người dùng cần có kinh nghiệm.
 Che mắt keylogger:
Keylogger hoạt động trên nguyên tắc theo dõi bàn phím (monitoring keyboard) chỉ có rất ít có khả năng theo dõi chuột (dù có theo dõi được cũng không chính xác lắm) và không có khả năng capture clipboard. Vì vậy dù hệ thống có keylogger (trừ các keylogger có khả năng quay phim) có thể được vượt qua bằng cách:

* Sử dụng On-Screen Keyboard (bàn phím trên màn hình) (trong windows gọi ra bằng Start/Run/osk) để nhập cách dữ liệu nhạy cảm (mật khẩu, thẻ tín dụng) bằng cách click chuột. Vì đây là cách nhập liệu nằm ngoài vùng theo dõi của các tập tin hook (vì không qua bàn phím) nên keylogger sẽ không ghi nhận đuợc thông tin gì. Cách này dễ dùng nhưng người khác có thể trông thấy thông tin được nhập vào ( tiếng lóng thường dúng là đá pass) từ đó bạn mất password.
* Sử dụng Copy và Paste (chép và dán): tìm một đoạn văn bản nào đó có các từ nằm trong đoạn thông tin muốn dấu (ví dụ: mật khẩu là password bạn hãy tìm một đoạn văn có các từ p, a, s, w, o, r, d ( ví dụ to day Is a hot day, peter feel bad he want a cool drink or a ice-cream) copy từng chữ một và dán nó thành chữ password rồi gửi đi. Cách này có ưu điểm là dễ dùng nhưng khá rắc rối.
* Sử dụng type và Click (bấm và nhấn): vì bản thân một keylogger thông thường không thể theo dõi các bấm chuột. Ví dụ muốn đánh một đoạn thông tin là password, đầu tiên hãy đánh một số từ có trong nó: psr rồi sử dụng chuột (không dùng bàn phím) chen ngang vào p và s đánh chữ a giữa s và r đánh chữ swo sau r là chữ d. Dòng thông tin nhập vào password nhưng trong tập tin nhật ký log keylogger ghi lại được là psraswod. Cách này khá hay nhưng không phù hợp với các thông tin dài vì dễ gây quên.
• Chống keylogger:
 Phương pháp đơn giản:
Nhanh hiệu quả nhất là diệt trừ toàn bộ các chương trình đang theo dõi bàn phím đi. Một số chương trình như là Keylogger Killer của Totto quét các process tìm các chương trình theo dõi cùng lúc quá nhiều ứng dụng (keylogger dùng cách này thường bằng một tập tin *.dll) rồi đề nghị bạn tắt nó đi. Thế nhưng một số chương trình tốt (như các chương trình giúp gõ bàn phím Unikey, Vietkey) cũng dùng cách này nên có thể gây diệt lầm.
 Phương pháp nâng cao:
Sử dụng một chương trình chống spyware chuyên dùng. Các chương trình này sẽ tự động quét, phân tích các chương trình đang chạy cũng như trên máy để từ đó nhận biết các chương trình keylogger và tự động diệt. Một số chương trình còn có chế độ bảo vệ thời gian thực (Real-Time Protection) giúp bảo vệ bạn chống ngay khi spyware chuẩn bị cài vào máy.
Nhưng điểm gây khó khăn nhất của cách dùng này là đa số các chương trình sử dụng tốt đều phải trả tiền (ví dụ như Spyware Doctor của Pctools, McAfee Antispyware của McAfee, Bitdefender…)
Tuy thế vẫn có một số chương trình miễn phí và khá tốt như Ad-Aware SE, Spybot S&D, Spyblaster tuy rằng nó lâu lâu vẫn bắt hụt một số chương trình đặc biệt, nhưng nếu dùng kết hợp (cùng lúc cả hai hoặc cả ba) thi hiệu quả hầu như là hoàn toàn.

__________________
Chuồn chuồn bay thấp thì cao
Bay cao thì thấp, bay vừa thì...thôi

dungdd.it

mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)

Thư rác (spam):
Thư rác, thư linh tinh, hay là spam hay spam mail, là các thư điện tử vô bổ thường chứa các loại quảng cáo được gửi một cách vô tội vạ và nơi nhận là một danh sách rất dài gửi từ các cá nhân hay các nhóm người và chất lượng của loại thư này thường thấp. Đôi khi, nó dẫn dụ người nhẹ dạ, tìm cách đọc số thẻ tín dụng và các tin tức cá nhân của họ.
- Đặc điểm của spam:
* Người dùng hộp thư có thể có cảm giác bị "tra tấn" bằng các thư điện tử quảng cáo. Các spam thì vô hại nhưng mỗi ngày nhiều người có thể vì các spam mail này mà bị đầy cả hộp thơ. Trong năm 2003 khi các phần mềm chống spam chưa phổ biến và cỡ của các hộp thư điện tử còn giới hạn thì đã có rất nhiều người dùng email phải nhận cả trăm spam trong một ngày mà chỉ có đúng vài nội dung khác nhau. Tại sao các spam lại lặp đi lặp lại một cái thư quảng cáo cả chục lần cho một hộp thư? Một lý do là các hãng quảng cáo muốn dùng hiệu ứng tâm lý. Khi hình ảnh sản phẩm nào đó cứ đập vào mắt người đọc mãi thì đến lúc cần mua một thứ có chức năng tương tự (hay cùng loại) thì chính hình ảnh thương hiệu của cái spam mail sẽ hiện đến trong óc người đó trước tiên. Lý do khác là kích thích sự tò mò của người dùng email muốn đọc thử một spam xem có nội dung gì bên trong.
* Spam mail không có "độc tính", hiểu theo nghĩa có hại cho máy tính, mà chỉ đôi khi làm người chủ hộp thư khó chịu hoặc đôi khi làm cho các thư từ khác quan trọng