Bắt kịp malware cao cấp?

Bắt kịp malware cao cấp?.Bảo vệ hệ thống trước “cặp bạn tâm giao quỷ quyệt” worm và virus đòi hỏi phải kiểm tra kỹ càng ổ đĩa.Các doanh nghiệp vẫn đang tìm kiếm cách thức hiệu quả hơn trong trận chiến trước malware như virus, Trojan và bot. Đáng tiếc, lập trình viên “mũ đen” vẫn tiếp tục không ngừng pha chế thêm nhiều mã mới nguy hiểm. Do đó các công ty cũng cần update thêm nhiều vũ khí bảo mật và kế hoạch phòng chống bảo vệ mới.Virus thường được chỉnh sửa từ các mã host hợp pháp...
Nội dung trích xuất từ tài liệu:
Bắt kịp malware cao cấp?Bắt kịp malware cao cấp?Bảo vệ hệ thống trước “cặp bạn tâm giao quỷ quyệt” worm và virus đòi hỏiphải kiểm tra kỹ càng ổ đĩa.Các doanh nghiệp vẫn đang tìm kiếm cách thức hiệu quả hơn trong trận chiếntrước malware như virus, Trojan và bot. Đáng tiếc, lập trình viên “mũ đen”vẫn tiếp tục không ngừng pha chế thêm nhiều mã mới nguy hiểm. Do đó cáccông ty cũng cần update thêm nhiều vũ khí bảo mật và kế hoạch phòng chốngbảo vệ mới.Virus thường được chỉnh sửa từ các mã host hợp pháp và phát tán qua e-mailhay tin nhắn tức thời. Chúng khó viết hơn worm và Trojan, vì viết ra đượcmã virus là phải đảm bảo có sức phá hoại khiến các file chỉnh sửa mới khôngbị phá hoại. Microsoft Windows và Windows File Protection (được giới thiệu lần đầu tiên với tên gọi System File Protection trong Windows Me) bảo vệ được khoảng 99% file hệ thống mặc định trước các chỉnhsửa không rõ nguồn gốc. Nếu một virus chỉnh sửa file đưa ra, Windows sẽthay thế bản copy đã sửa bằng một bản copy lành lặn trong một vài giây sauđó.Windows Resource Protection sắp tới của Windows Vista thậm chí còn đượcnâng cấp chức năng tốt hơn, bảo vệ được nhiều file hơn và ngăn chặn cácchỉnh sửa ngay từ ban đầu. Đối phó với biện pháp này, hầu hết chương trìnhmalware ngày nay tự tạo ra file mới trong hoạt động phá hoại của mình.Muốn loại bỏ virus đòi hỏi phải xoá sạch từng con từ các file đã bị nhiễmđộc, thường khó hơn là chỉ cần phát hiện ra chúng như các chương trình anti-viurus thông thường vẫn làm.Còn với worm, bot, spyware, và Trojan thì lại khác. Đơn giản bạn chỉ cần xácđịnh và loại bỏ các file nhiễm độc độc lập mới. Tôi thường xuyên sử dụngchức năng Autorun của Sysinternals hay SilentRunner.vbs để xác định vị trívà kiểu chương trình không rõ nguồn gốc. Trong vòng nửa thế kỷ trước, vớihầu hết virus đã biết, việc loại bỏ malware trở nên dễ dàng, trừ phi máy tínhbị tấn công bởi một chương trình rootkit.Nhưng bây giờ, một loạt cặp sâu mới xuất hiện làm phức tạp thêm quá trìnhxác định, như Downloader.Agent.awf. Được biết đến giống kiểu spawner haytwin, các cặp sâu (và virus) này sẽ chỉnh sửa môi trường của máy tính bịnhiễm độc. Khi hệ thống cố gắng thực thi một file hợp pháp, file độc hại sẽtranh chạy đầu tiên.Sau khi thực thi, chương trình malware Download.Agent.awf đọc mã đăng kýHKLM (hay HKCU) Run của máy tính bị nhiễm độc để xác định các chươngtrình tự động cài đặt trước đó. Rồi copy chương trình thực thi nguyên gốcsang một khu vực mới và thay thế file ban đầu với file copy đặt lại tên củasâu. Khi máy tính thực thi khoá đăng ký Run, nó sẽ chạy cặp chương trìnhthay thế, sau đó mới tiếp tục đến chương trình nguyên gốc ban đầu.Điều này khiến chương trình dò tìm vàloại bỏ trở nên phức tạp. Các sâu sẽxuất hiện như đã được biết từ trướchoặc như một chương trình thực thi càiđặt sẵn được nhận ra một cách phổbiến. Vì thế khi tìm kiếm các mã độc hại, bạn không thể tin tưởng đơn giảnvào tên file và khu vực lưu trữ. Bạn phải kiểm chứng từng hàm băm toàn vẹntrong file trước một bản copy vô hại hoặc một giá trị đã biết.Với sự tái xuất hiện của các cặp malware và mối đe doạ ngày càng tăng từcác Trojan rootkit, các nhân viên điều tra pháp lý cần xem xét kỹ máy tínhnhiễm độc đáng ngờ với phương thức out-of-band (như boot mở rộng chẳnghạn) và kiểm chứng tính toàn vẹn của tất cả các chương trình cài đặt.Để được trung thực hơn, bất kỳ chương trình bảo mật máy tính cá nhân nàocũng thực sự nên có phương án dự phòng mở rộng kèm theo. Nhưng khi hầuhết malware không làm được điều này, thật dễ dàng trở nên lười biếng vớicác shorcut.Tôi thường sử dụng đĩa boot Linux (như Live distros) để thực hiện các cuộckiểm tra out-of-band. Đĩa boot yêu thích nhất hiện nay của tôi là Live distros,dành cho các chuyên gia phân tích pháp lý là Ubuntu, Knoppix, vàBackTrack.Nhưng Linux Live distros không thể chạy phần mềm Windows 32-bit dùngđể kiểm tra tính pháp lý của một máy tính Windows. Cũng như thế, mặc dùchúng có thể thường xuyên đọc các phần vùng NTFS, nhưng hầu hết lạikhông thể ghi được (như loại bỏ một chương trình malware, ngắt hoạt độngcủa một dịch vụ hay cơ chế tự động hoá…). Thậm chí chúng không hiểunhiều thành phần mở rộng của Windows (như EFS, Compression,…). Trongnhiều trường hợp, nếu muốn boot nhanh một shell Windows 32-bit out-of-band để làm một số việc có phần hơi gian lận thì rất khó.Khách hàng doanh nghiệp của Microsoft với cơ chế tái bảo hiểm phần mềmđã có Windows Preinstallation Environment (WinPE) từ Windows XP. Mụcđích ban đầu của chương trình này là hỗ trợ cài đặt nhanh chóng hệ điềuhành. WinPE và giao diện “dòng lệnh” trở thành người trong cuộc thú vị vớihình thức kiểm tra out-of-band trong các hệ thống bị nhiễm độc. WindowsVista có WinPE 2.0, thành viên ...