Tìm hiểu về Virus máy tính

Bạn có thể đọc cái này để tham khảo Xuất phát từ hoạt động thực tiễn về phòng, chống và khắc phục hậu quả của virus máy tính, việc tìm hiểu các định nghĩa và phân loại virus máy tính là rất quan trọng. Sau đây là quan điểm của NIST-National Institute of Standart and Technology (Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ) về định nghĩa và phân loại trong lĩnh vực “virus máy tính”. Quan điểm này được trình bày trong tài liệu “Guide to Malware Incident Prevention and Handling-Special Publication 800-83” ban hành tháng 11/2005...
Nội dung trích xuất từ tài liệu:
Tìm hiểu về Virus máy tínhBạn có thể đọc cái này để tham khảo Xuất phát từ hoạt động thực tiễn về phòng, chống và khắc phục hậu quả của virusmáy tính, việc tìm hiểu các định nghĩa và phân loại virus máy tính là rất quan trọng.Sau đây là quan điểm của NIST-National Institute of Standart and Technology (Việntiêu chuẩn - công nghệ quốc gia Hoa kỳ) về định nghĩa và phân loại trong lĩnh vực“virus máy tính”. Quan điểm này được trình bày trong tài liệu “Guide to MalwareIncident Prevention and Handling-Special Publication 800-83” ban hành tháng 11/2005 NIST là Viện nghiên cứu của Liên bang Mỹ có trách nhiệm trong việc ban hành cáctiêu chuẩn, các chỉ dẫn và các yêu cầu tối thiểu để đảm bảo an toàn – an ninh cho hệthống thông tin và tài nguyên thông tin. Các tiêu chuẩn, chỉ dẫn của NIST không chỉ cóảnh hưởng tại Mỹ mà còn có ảnh hưởng rất lớn tới tính năng kỹ thuật của hầu hếtcác sản phẩm công nghệ trong lĩnh vực bảo mật thông tin (Information Security). Quan điểm trong tài liệu này có một số khác biệt theo định nghĩa và cách hiểu thôngthường về virus máy tính hiện đang phổ biến ở Việt nam. Ngay trong tên của tài liệuđã nêu lên sự khác biệt, các tác giả nói tới “malware” chứ không sử dụng thuật ngữ“virus”. Tại Việt nam hiện nay, thuật ngữ “virus máy tính” được dùng hết sức rộng rãivà bao hàm tất cả các dạng mã độc hại trên mạng, trong máy tính cá nhân.... Khi nóiđến “virus máy tính”, một cách rất tự nhiên tất cả mọi người đều nghĩ virus bao gồmcả worm (sâu), trojan, keylogger. Trong khi theo định nghĩa của NIST (và gần như làcủa cả cộng đồng IT), virus, worm, trojan,.... chỉ là một dạng của mã độc hại. Sự khácbiệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc tế về antoàn thông tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phòng chống virus củanước ngoài do không đồng nhất về định nghĩa. Phía Việt nam thông báo “bị virus tấncông”, đối tác sẽ gửi lại một chỉ dẫn để quét file bị nhiễm trên PC, nhưng thực chất đólà một cuộc tấn công của worm (sâu) và phải phòng chống trên toàn bộ mạng(network).Bài viết này nhằm mục đích giới thiệu cách định nghĩa, phân loại về mã độc hại củaNIST, với mong muốn chia sẻ một cách nhìn khác với Việt nam trong lĩnh vực “virusmáy tính”Malware Khái niệm rộng nhất được đề cập đến là “Malware” hay “Maliciuos code”, được gọilà là “Mã độc hại” trong các phần sau của tài liệu này. Mã độc hại được định nghĩa là“một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đíchlàm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống” Định nghĩa này sẽ bao hàm rất nhiều thể loại mà chúng ta vẫn quen gọi chung là virusmáy tính ở Việt nam như: worm, trojan, spy-ware, ... thậm chí là virus hoặc các bộcông cụ để tấn công hệ thống mà các hacker thường sử dụng như: backdoor, rootkit,key-logger, ...Theo NIST, mã độc hại được phân loại như sau:Phân loại và định nghĩa về virusVirus Với cách định nghĩa, phân loại này, virus là một loại mã độc hại (Maliciuos code) cókhả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính.Như vậy, theo cách định nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ(đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các chương trình diệt virus dựa vàođặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bịlưu, quét các file trước khi lưu xuống ổ cứng, ... Điều này cũng giải thích vì sao đôi khicác phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không diệtđược” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lạinằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó.Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trìnhbiên dịch để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus như(Michelangelo và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80là virus thuộc nhóm này, compiled virus cũng có thể là pha trộn bởi cả boot virus va filevirus trong cùng một phiên bản.Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ trợ củamột ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống. Một cách đơn giản,virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi.Macro virus, scripting virus là các virus nằm trong dạng này. Macro virus rất phổ biếntrong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc tạo và mởfile để thực thi và lây nhiễm. Sự khác nhau giữa macro virus và scripting virus là:macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lệnchạy bằng một service của hệ điều hành. Melisa là một ví dụ xuất sắc về macro virus,Love Stages là ví dụ cho scripting virus.Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệthống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cầnph ...