Vạch mặt virus - Phần 1

Virut hay nói chung là malware là những phần mềm độc hại hay những đoạn mã độc hại có khả năng lây nhiễm, tự sao chép chính nó, ăn cắp thông tin, giả danh các tiến trình hệ thống
Nội dung trích xuất từ tài liệu:
Vạch mặt virus - Phần 1 Deface Virus V CH M T VIRUS L i gi i thi u: Virus là m t v n ñ muôn th a, luôn luôn m i và ngư i vi t ra Virus luôn là ngư i ñi trư c. Mình vi t và tham kh o ñư c m t ít v cái g i là virus ñ các b n có m t ít cách nhìn v Virus và ñ tìm và v ch m t cái ñó Cám ơn ngư i anh em vovi ñã giúp ñ hoàn thành vi c chuy n th ra file .chmTaiLong 1 DFVr Deface Virus 1. Nói qua v Virus(VR), Rootkit a. Virus b. Rootkit 2. Máy tính c a b n b nhi m virus theo cách nào 3. Các tri u ch ng bi u hi n c a VR, Rootkit a. Các tri u ch ng bi u hi n c a VR b. Các tri u ch ng bi u hi n c a Rootkit 4. Tìm ki m/nh n bi t/phát hi n VR, Rootkit a. Cách nh n bi t và phát hi n VR b. Cách nh n bi t và phát hi n Rootkit 5. Làm th nào ñ t b o v b n thân 6. S d ng câu l nh CMD ñ phát hi n VR a. Câu l nh hi n th file b. Câu l nh xem ti n trình ñang ch y c. Câu l nh t t ti n trình ñang ch y d. Câu l nh t t d ch v ñang ch y e. Câu l nh xóa f. Câu l nh th c thi trong REGEDIT g. M t s l nh hay dùng khácTaiLong 2 DFVr Deface Virus 1. Nói qua v virus(VR), Rootkit a. Virus Virus hay nói chung hơn là malware (= MALicious + softWARE) là nh ng ph n m m ñ c h i hay nh ng ño n mã ñ c có kh năng lây, nhi m, t sao chép chính nó, ăn c p thông tin, gi danh các ti n trình h th ng, n n p, c g ng phá ho i nhân h ñi u hành(OS kernel), làm thay ñ i c u hình h th ng ho c các ng d ng khác ch y trên h th ng c a b n… Malware nói chung ñư c g m có các lo i sau: Trojan horse, virus, worm, spyware(ph n m m gián ñi p), adware(ph n m m qu ng cáo), backdoor, keylog, botnet, và hi n gi còn có ph n m m gi danh các chương trình antivirus (như antivirus2009,…), rootkit(chuyên ñ n n p)…. b. Rootkit • “M t rootkit là m t công c ñư c thi t k ñ t n chính nó và các ti n trình, d li u khác và/ho c ho t ñ ng trên m t h th ng” - G. Hoglund (www.rootkit.com) • M t công c ñư c s d ng ñ b o v các backdoor và các công c khác d a vào vi c phát hi n ra b i các nhà qu n tr • Rootkit không ph i là m t virus, worm • Nhi m v mà ngư i t o rootkit mu n làm là n các process n các services n các drivers n các kernel modules n các c ng TCP/UDP ñang ñư c l ng nghe n các files n các khóa trong regedit Và xu th bây gi thư ng là lai ghép vidu: rootkit+virus, rootkit+worm, rootkit+trojan,… 2. Máy tính c a b n b nhi m virus theo cách nào - Lây nhi m vào máy tính t m t c ng b virus, t CD ho c A. Ho c lây nhi m qua USB (b ng cách t ñ ng kích ho t). Thư ng là khi ta kích ñúp vào USB, ho c kích chu t ph i ch n Open/Explorer. Lây nhi m qua ph n ñính kèm trong email. Các file lây nhi m b ñính kèm thư ng là các file th c thi - (như là .exe, .com, .vbs, .dll, .sh, .bat, .scr, .pif, …). Và các email g i t i thư ng ñư c g i t nh ng ngư i không quen bi t, và chúng có th ch a các ño n mã phá ho i bên trong các form c a .html, mà t ñ ng ñư c th c thi khi ta m email - Lây nhi m khi download nh c trên Bittorrent Lây nhi m qua các trang web (sex, crack…) thư ng là khi download. Các trang web này thư ng ñư c - ñ y t i qua vi c qu ng cáo, ho c ñính kèm vào các web khác và ñ y t i ngư i vi ng thăm. Vi c duy t web cũng b lây nhi m (thư ng là qua các ñ nh d ng .htm và .html) Virus khai thác qua các ñi m y u chưa ñư c vá c a Microsoft(IE, Office, Media,…) - 3. Các tri u ch ng bi u hi n c a VR, Rootkit a. Các tri u ch ng bi u hi n c a VR Máy tính ch y ñ ñ n - Khóa, không cho ch y các chương trình h th ng như (cmd, regedit, task manager, gpedit, run, control - panel, …) ho c các chương trình di t virus không th th c thi ñư c Ho c khi ch y m t chương trình gì thư ng thông báo l i, ch y các file *.exe, *.com, *.bat… ñ u b thay - th b ng các chương trình khác(virus)TaiLong 3 DFVr Deface Virus Hình như có ti n trình nào ñó ñang ch y t n nhi u tài nguyên h th ng, t n RAM CPU hay sao nhưng - chưa tìm ra… n file, thư m c làm ngư i dùng hoang mang không th y d li u c n làm ñâu - Thay ñ i ñ a ch IP làm cho không th vào ñư c m ng - Lây nhi m qua USB s d ng file autorun.inf ñ kích ho t khi ngư i dùng kích ñúp/chu t ph i vào USB, - lây qua m ng LAN, Internet t c lây qua các ñư ng link có ch a virus, các file ñính kèm g i qua email… b. Các tri u ch ng bi u hi n c a Rootkit X y ra hi n tư ng màn hình xanh(BSoD) trên các h th ng ñang n ñ nh bình thư ng - - X y ra các l i khi b n c g ng shutdown ho c reboot l i h th ng - X y ra l i khi k t n i m ng Các chương trình antivirus c nh báo nhưng “móm” - 4. Tìm ki m/nh n bi t/phát hi n VR, Rootkit a. Cách nh n bi t và phát hi n VR Process ñó chi m khá nhi u tài nguyên h th ng (CPU và Memory) - - Process có tên l , ho c có tên g n gi ng v i các process h th ng. M t vài process h th ng hay b “nhái” là explorer.exe, svchost.exe; lsass.exe, winlogon.exe,.... chúng thư ng có tên gi ki u như expl0rer.exe, schost.exe, 1sass.exe, WIN1OGON.exe ch ng h n… - Process b t t r i t ñ ng ñư c ch y l i (t c ko th t t ñư c): Trư ng h p này là do virus g i 1 lúc nhi u process, ph ...