Luận văn Tóm tắt Nghiên cứu cơ chế lây nhiễm và cách phòng chống MailWare trong máy tính

1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------------- ĐẶNG ĐỨC DŨNG NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM VÀ CÁCH PHÒNG CHỐNG MAILWARE TRONG MÁY TÍNH Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 Người hướng dẫn khoa học: TS. HOÀNG XUÂN DẬU TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2012 2 MỞ ĐẦU Đã từ lâu, đi kèm với sự ra đời và phát triển mạnh mẽ của các phần mềm máy tính đem lại lợi ích to lớn cho người sử dụng là sự xuất hiện ngày càng nhiều các chương trình độc hại gây hỏng hóc các hệ thống máy tính và các phần mềm có ích. Các chương trình hay phần mềm độc hại (thường được gọi là Malware trong tiếng Anh) có thể xâm nhập hệ thống máy tính của người dùng bằng nhiều cách như qua email hay trao đổi các file sử dụng thẻ nhớ USB. Có nhiều loại Malware khác nhau và tác hại của chúng cũng rất khác nhau, từ mức đơn giản như in một thông báo trêu tức người dùng đến mức tinh vi như phá hoại các file hệ thống và ăn cắp các dữ liệu quan trọng. Thông thường, người dùng không thể nhận biết sự xuất hiện của Malware cho đến khi chúng gây ra những hỏng hóc cho hệ thống máy tính và các phần mềm ứng dụng. Mặc dù Malware máy tính đã xuất hiện từ khá lâu trên thế giới và trong nước, nhưng việc phòng, chống và khắc phục hậu quả do Malware máy tính gây ra vẫn là vấn 3 đề nan giải. Đó một phần là do nhận thức chưa đúng của người dùng về mức độ nghiêm trọng của Malware máy tính. Hơn nữa, do số lượng các loại Malware xuất hiện ngày càng nhiều, mỗi loại Malware có một đặc thù riêng, một cách hoạt động riêng và một cách phá hoại riêng, nếu chúng ta không cập nhật thường xuyên và có giải pháp phòng chống tích cực thì hậu quả sẽ rất khôn lường. Từ các phân tích trên có thể thấy, giải pháp hiệu quả nhất để hạn chế đến tối thiểu thiệt hại do Malware gây ra là tích cực phòng ngừa trên cơ sở có hiểu biết sâu rộng về các loại Malware và cơ chế lây nhiễm của chúng. Đây cũng là mục đích của đề tài “Nghiên cứu cơ chế lây nhiễm và cách phòng chống Malware trong máy tính” của luận văn, mà trọng tâm phần mềm độc hại ở đây là Virus, Worm và Trojan. Nội dung của luận văn bao gồm bốn chương:  Chương 1: Giới thiệu tổng quan về Malware máy tính, đưa ra định nghĩa, cách phân loại và lược sử về các loại Malware máy tính. 4  Chương 2: Nghiên cứu các hình thức lây nhiễm, đối tượng lây nhiễm và cơ chế lây nhiễm của Virus, Worm và Trojan trong máy tính.  Chương 3: Chỉ ra các tác hại do Virus, Worm, Trojan gây ra cho máy tính, đồng thời cung cấp các phương pháp phòng chống và ngăn chặn tác hại của Virus, Worm và Trojan.  Chương 4: Đưa ra một chương trình mẫu minh họa về Virus (mã độc hại kèm theo chương trình diệt). 5 CHƯƠNG 1 – TỔNG QUAN VỀ MALWARE MÁY TÍNH Chương 1 giới thiệu tổng quan về các loại Malware trong máy tính, đưa ra khái niệm về Malware máy tính, cách phân loại Malware máy tính theo NIST và Peter Szor, quá trình hình thành và phát triển của Malware từ trước đến nay. 1.1. Định nghĩa và phân loại Malware máy tính 1.1.1. Định nghĩa Phần mềm độc hại (Malware) là một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống. 1.1.2. Phân loại Luận văn trình bày hai phương pháp phân loại phần mềm độc hại: phân loại phần mềm độc hại của NIST [5] và phân loại phần mềm độc hại của Peter Szor [8]. 1.1.2.1. Phân loại của NIST 1.1.2.2. Phân loại của Peter Szor 6 1.2. Lược sử về Malware máy tính 1.3. Kết chương Thông qua nội dung chương 1, luận văn đề cập đến những kiến thức cơ bản về các mã độc hại trong máy tính, cung cấp cho người sử dụng máy tính sự hiểu biết chung nhất về các loại mã độc hại. Chương đã chỉ ra được cách phân biệt các loại mã độc hại trong máy tính, tiểu sử cũng như hậu quả mà các loại mã độc hại đó mang lại cho người sử dụng máy tính qua các thời kỳ. Từ cơ sở này, luận văn sẽ đi nghiên cứu cách thức hoạt động của chúng ở phần tiếp theo. 7 CHƯƠNG 2 – NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM CỦA MALWARE MÁY TÍNH Chương 2 đề cập đến các phương thức lây nhiễm của Malware vào máy tính, chỉ ra các đối tượng nào trong hệ thống máy tính có khả năng bị Malware tấn công và cơ chế hoạt động đặc thù của từng loại Malware máy tính. 2.1. Các hình thức và đối tượng lây nhiễm của Malware máy tính 2.1.1. Hình thức lây nhiễm 2.1.1.1. Malware lây nhiễm theo cách cổ điển 2.1.1.2. Malware lây nhiễm qua thư điện tử 2.1.2. Đối tượng lây nhiễm Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị Malware tấn công:  .bat: Microsoft Batch File (tệp xử lý theo lô).  .chm: Compressed HTML Help File (tệp tài liệu dưới dạng nén HTML).  .cmd: Command file for Windows NT (tệp thực thi của Windows NT).  .com: Command file (program) (tệp thực thi). 8  .cpl: Control Panel extension (tệp của Control Panel).  .doc: Microsoft Word (tệp của chương trình Microsoft Word).  .exe: Executable File (tệp thực thi).  .hlp: Help file (tệp nội dung trợ giúp người dùng).  .hta: HTML Application (ứng dụng HTML).  .js: JavaScript File (tệp JavaScript).  .jse: JavaScript Encoded Script File (tệp mã hóa JavaScript).  .lnk: Shortcut File (tệp đường dẫn).  .msi: Microsoft Installer File (tệp cài đặt).  .pif: Program Information File (tệp thông tin chương trình).  .reg: Registry File.  .scr: Screen Saver (Portable Executable File).  .sct: Windows Script Component.  .shb: Document Shortcut File.  .shs: Shell Srap Object.  .vb: Visual Basic File.  .vbe: Visual Basic Encoded Script File. 9  .vbs: Visual Basic File.  .wsc: Windows Script Component.  .wsf: Windows Script File.  .wsh: Windows Script Host File.  .{*}: Class ID (CLSID) File Extensions. 2.2. Các biến thể của Malware máy tính 2.3. Các cơ chế lây nhiễm của Malware máy tính 2.3.1. Virus 2.3.1.1. Định nghĩa Virus là một loại mã độc hại có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. 2.3.1.2. Phân loại 2.3.1.3. Tính chất 2.3.1.4. Các công nghệ của Virus 2.3.1.5. Cách thức làm việc của Virus Dựa trên hành vi, Virus được chia thành 2 loại: Nonresident viruses và Resident viruses. Nonresident viruses tìm kiếm các máy chủ có thể bị nhiễm và lây nhiễm sang các mục tiêu này và cuối cùng chuyển điều 10 khiển tới chương trình ứng dụng mà chúng lây nhiễm. Resident viruses không tìm kiếm các máy chủ mà thay vào đó, chúng tải vào bộ nhớ để thực thi và kiểm soát chương trình chủ. Virus này được hoạt động ở chế độ nền và lây nhiễm vào các máy chủ mới khi các tập tin được truy cập bởi các chương trình hoặc hệ điều hành ở máy tính khác. Nonsident viruses bao gồm một mô-đun tìm kiếm và một mô-đun nhân bản. Các mô-đun tìm kiếm chịu trách nhiệm cho việc tìm kiếm các tập tin mới để lây nhiễm. Với mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó sẽ gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này. Resident viruses gồm một mô-đun nhân bản hoạt động tương tự như mô-đun nhân bản của Nonsident viruses. Tuy nhiên, mô-đun nhân bản này không được gọi bởi mô-đun tìm kiếm. Virus tải mô-đun nhân bản vào trong bộ nhớ khi nó được kích hoạt và mô-đun này thực thi tại thời điểm hệ điều hành thực hiện một hoạt động nhất định nào đó. 11 2.3.2. Worm 2.3.2.1. Định nghĩa Là các chương trình có khả năng tự nhân bản, tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử). 2.3.2.2. Phân loại 2.3.2.3. Cách thức làm việc của Worm Yếu tố ban đầu của Worm là một đoạn mã độc hại có vai trò như một công cụ xâm nhập các lỗ hổng bảo mật nằm trên máy tính và khai thác chúng. Worm sẽ được truyền đi thông qua lỗ hổng này. Một khi các đoạn mã độc hại đã được lây nhiễm vào máy, Worm sẽ sử dụng một công cụ được thiết kế để dò tìm, phát hiện các máy tính khác được kết nối vào mạng. Từ đó, nó quét các máy tính trên mạng để xác định vị trí các lỗ hổng, sau đó Worm sẽ sử dụng công cụ xâm nhập để truy cập vào các máy tính này. 2.3.3. Trojan 2.3.3.1. Định nghĩa Trojan là một chương trình nguy hiểm thường trong diện mạo như là một chương trình hữu ích. Trojan không 12 phát tán bằng cách làm cho các file khác bị nhiễm cũng như không tự nhân bản. 2.3.3.2. Phân loại 2.3.3.3. Cách thức làm việc của Trojan Trojan thường gồm hai thành phần là client và server, khi máy tính của người sử dụng bị lây nhiễm Trojan thì chúng sẽ biến thành server và một cổng sẽ bị mở ra, chúng sẽ dùng client để kết nối tới IP của nạn nhân. Server sẽ ẩn trong bộ nhớ và nó tạo nên những thay đổi trong hệ thống. Trojan sẽ tạo thêm đường khởi động vào registry hoặc trong các file autoexec.bat, win.ini hoặc các file hệ thống khác, do vậy mà server sẽ tự khởi động khi Windows làm việc trong các phiên tiếp theo. 2.4. Kết chương Qua chương này, chúng ta thấy Malware có rất nhiều con đường để xâm nhập vào máy tính của người sử dụng, chúng có thể lây nhiễm trên các tập tin của hệ điều hành. Như vậy, máy tính có rất nhiều nguy cơ bị tấn công từ Malware. Mỗi loại Malware có một đặc điểm riêng, một công nghệ riêng, một cơ chế hoạt động đặc thù. 13 Dựa vào các đặc tính riêng biệt của từng loại Malware cũng như các dấu hiệu nhận biết các loại Malware khi chúng xâm nhập vào máy tính mà người sử dụng có thể áp dụng các biện pháp phòng chống và ngăn chặn kịp thời. 14 CHƯƠNG 3 – TÁC HẠI VÀ CÁC PHƯƠNG PHÁP PHÒNG CHỐNG MALWARE MÁY TÍNH Chương 3 chỉ ra các hậu quả mà Malware máy tính gây ra cho người sử dụng, đồng thời cung cấp các biện pháp phòng chống Malware một cách hiệu quả. 3.1. Các tác hại của Malware máy tính  Tiêu tốn tài nguyên của hệ thống.  Phá hủy dữ liệu.  Đánh cắp dữ liệu.  Mã hóa dữ liệu tống tiền.  Phá hủy hệ thống.  Gây ra các sự khó chịu khác cho người dùng. 3.2. Các phương pháp phòng chống Malware máy tính 3.2.1. Phương pháp phòng chống Virus 3.2.2. Phương pháp phòng chống Worm 3.2.3. Phương pháp phòng chống Trojan 3.2.4. Phương pháp tổng hợp phòng chống các loại Malware 3.2.4.1. Sử dụng phần mềm diệt Virus 15 3.2.4.2. Sử dụng tường lửa 3.2.4.3. Cập nhật các bản sửa lỗi của hệ điều hành 3.2.4.4. Vận dụng kinh nghiệm sử dụng máy tính 3.2.4.5. Bảo vệ dữ liệu máy tính 3.3. Kết chương Qua chương này, chúng ta có thể nhận thấy hậu quả mà Malware máy tính gây ra cho người sử dụng rất khôn lường. Chúng không chỉ đơn thuần là phá hoại máy tính, mà còn phá hoại trực tiếp các hoạt động của con người. Chương còn cung cấp các biện pháp phòng chống trước tác hại của Malware máy tính. Người sử dụng cần phải nắm rõ các kiến thức phòng bị, ngăn chặn không cho Malware xâm nhập vào trong máy tính, giảm thiệt hại tới mức tối thiểu trong trường hợp Malware lây nhiễm vào trong hệ thống. Ngoài các công cụ và chức năng diệt trừ Malware của các chương trình trong máy tính, người sử dụng còn phải sử dụng những kinh nghiệm cá nhân để bảo vệ hệ điều hành và dữ liệu của mình. 16 CHƯƠNG 4 – CHƯƠNG TRÌNH MINH HỌA Chương 4 đưa ra một chương trình minh họa mô tả cách thức hoạt động của một Malware máy tính. Trên cơ sở đó, xây dựng chương trình diệt trừ Malware này ra khỏi hệ thống, giúp hệ thống hoạt động một cách ổn định và an toàn. Sau đây, luận văn mô tả cơ chế hoạt động và cách thức tiêu diệt Virus “Love.exe” do tác giả tự viết (Virus này được tải lên mạng để kiểm tra bởi phần mềm diệt Virus: Bitdefender Total Security 2012 và được đặt tên là “Generic.Malware.SDYd!sp.03714E9C”). Chương trình được lưu trong ổ USB và chạy trên nền Windows. Chương trình Virus và chương trình diệt Virus được xây dựng sử dụng phần mềm Microsoft Visual C++ 2010 Express. 17 4.1. Chương trình Virus Hình 4.1: Các Môđun trong chương trình Virus Đoạn mã độc hại trong Virus “Love.exe” nhằm mục đích xâm nhập Windows Registry và thay đổi các thông số mặc định ban đầu. 18 4.1.1. Giới thiệu sơ lược về Windows Registry Hình 4.2: Registry 4.1.2. Mô tả cách thức hoạt động của Virus “Love.exe” Khi được kích hoạt, Virus “Love.exe” sẽ vô hiệu hóa hàng loạt các thông số mặc định sẵn có trong hệ điều hành Windows.  Sao chép tập tin Virus “Love.exe” và đổi tên thành tập tin “ducdung.exe” trong USB vào các phân vùng ổ cứng, ổ USB, thư mục Windows trong ổ C (C là ổ chứa hệ điều hành). Sau đó, nó thiết lập thuộc tính ẩn cho tập tin “ducdung.exe” để người sử dụng không thể phát hiện được sự hiện diện của Virus trong máy tính.  Cho phép Virus chạy thường trú trong hệ điều hành mỗi khi người sử dụng đăng nhập vào máy tính. 19  Vô hiệu hóa menu ngữ cảnh khi click phải chuột ngoài màn hình Desktop và trong Explorer.  Kích hoạt Virus trở lại mỗi khi click đúp vào các phân vùng ổ cứng và thư mục.  Vô hiệu hóa chức năng làm hiện thư mục và tập tin ẩn.  Vô hiệu hóa các thành phần trong File Type của Folder Options: New, Delete, Change, Advanced.  Vô hiệu hóa công cụ Task Manager trong Windows.  Không cho phép người dùng cài đặt, gỡ bỏ các ứng dụng và phần mềm trong máy tính.  Thay đổi trang web mặc định của trình duyệt IE thành trang web chứa mã độc hại.  Không cho phép người sử dụng thay đổi trang web mặc định được xổ ra mỗi khi bật trình duyệt IE.  Không cho phép người sử dụng tải các tập tin từ trên mạng.  Vô hiệu hóa tính năng cập nhật Registry. 20 4.2. Chương trình diệt Virus Hình 4.3: Các Môđun trong chương trình diệt Virus  Xóa các tập tin Virus “Love.exe” và “ducdung.exe” trong các ổ đĩa và trong thư mục C:\Windows của máy tính.  Không cho phép Virus chạy thường trú trong hệ điều hành mỗi khi người sử dụng đăng nhập vào máy tính.  Kích hoạt lại menu ngữ cảnh khi click phải chuột ngoài màn hình Desktop và trong Explorer. 21  Cho phép người sử dụng có thể truy xuất vào các ổ cứng và thư mục bằng cách click đúp vào chúng.  Cho phép hiển thị các thư mục, tập tin ẩn và phần đuôi mở rộng của tập tin.  Cho phép các thành phần trong Folder Options\File Type (New, Delete, Change, Advanced) được hoạt động trở lại như bình thường.  Cho phép người sử dụng có thể sử dụng công cụ Task Manager trong Windows.  Cho phép người sử dụng có thể chỉnh sửa (cài đặt, gỡ bỏ) các ứng dụng và phần mềm trong máy tính.  Thay đổi trang web mặc định của trình duyệt IE thành trang web đáng tin cậy của hãng Microsoft:  Cho phép người sử dụng có thể thay đổi lại trang web mặc định về trang yêu thích trong trình duyệt IE.  Cho phép người sử dụng tải các tập tin từ trên mạng, cập nhật các bản vá lỗi của hệ điều hành, cập nhật cơ sở dữ liệu cho phần mềm diệt Malware,…  Cho phép người sử dụng có thể cập nhật Registry. 22 4.3. Kết chương Chương này mô tả chi tiết cơ chế lây nhiễm và tính năng của một Virus mẫu và chương trình diệt Virus này do tác giả tự xây dựng. Virus được lưu trên ổ USB có khả năng lây nhiễm và tự copy vào máy nạn nhân thông qua tính năng autorun/autoplay của hệ điều hành Microsoft Windows. Virus này cũng có khả năng thay đổi các tham số của Windows Registry gây khó khăn cho người sử dụng và khó khăn cho chương trình rà quét và khôi phục hệ thống. Chương trình diệt Virus mẫu được xây dựng minh họa để loại bỏ Virus mẫu ra khỏi hệ thống và khôi phục lại các tham số làm việc của hệ điều hành Microsoft Windows bị Virus sửa đổi. 23 KẾT LUẬN Nghiên cứu về Malware nói chung và Virus nói riêng đã được thực hiện trong một thời gian tương đối dài, nhưng vẫn rất được quan tâm do các Malware liên tục được cải tiến, cập nhật và đặc biệt là sức tàn phá của Malware ngày càng lớn. Với mục tiêu nghiên cứu sâu về cơ chế lây nhiễm của Malware, trên cơ sở đó đề ra các biện pháp phòng chống hiệu quả, luận văn đã đạt được một số kết quả sau:  Giới thiệu các khái niệm và cách phân loại các phần mềm độc hại đối với máy tính.  Đưa ra các khái niệm, cách phân loại, cách thức hoạt động của Virus, Worm và Trojan trong máy tính.  Đưa ra những giải pháp phòng chống và ngăn chặn các tác hại do Virus, Worm, Trojan gây ra.  Xây dựng một chương trình Virus mẫu và chương trình diệt Virus này để minh họa về cơ chế làm việc của Malware. 24 Trong tương lai, luận văn có thể được phát triển theo các hướng sau:  Nghiên cứu sâu hơn về các phần mềm độc hại, từ đó có thể nâng cao khả năng phòng chống và ngăn chặn tác hại do Malware gây ra.  Xây dựng chương trình rà quét và diệt các Malware dựa trên chữ ký và tập hành vi.