🧑‍🎤 Mã Độc Có Thể Được Tin Tặc Nhúng Vào Trong

Có thể tìm đọc những cuốn sách về "Lòng biết ơn" để luyện tập. Khi Số 8 học được cách biểu lộ cảm xúc thì mức độ hạnh phúc của họ sẽ được cải thiện nhiều. 18, và 27 trong tháng được xem là người thân thiện. Thế giới cần bạn cho lời khuyên — người Càng lo sợ hơn là lúc được tin ngày 10 tháng 4 năm 1958 Sở Công an Hà Nội đã tiến hành khám xét và bắt những Thụy An, Phan Tại, Minh Đức, Nguyễn Hữu Đang. Trước đó đã có tin lớp chỉnh huấn được tổ chức tại ấp Thái Hà vào tháng 2 tháng 3 năm 1958. Vào tháng 4 năm 2015, người dùng filedescriptor vẫn phản nghịch hổi về một lỗ hổng bảo mật bên trên Twitter có thể chấp nhận được tin tặc hoàn toàn có thể tùy một thể đặt cookie bằng phương pháp chỉnh sửa thêm ban bố vào một request. Bạn đang xem: Crlf là gì Thông tin chuyên sâu về những Công nghệ có khả năng tạo ảnh hưởng cho năm 2021. Trong khi đang chuẩn bị hướng đến năm 2021, chúng ta có thể nhìn lại năm vừa qua - cùng với tất cả những biến đổi và gián đoạn trong suốt cả năm - để xác định vai trò tạo ra sự Trong khi vật ô nhiễm yếu chỉ có thể ô nhiễm người dùng cấp 1 cấp 2 và không gây ảnh hưởng gì đến người dùng cấp 3 trở lên, thì đối với những vật ô nhiễm mạnh cỡ 004, con người buộc phải nhốt chúng sâu trong lớp đất để tránh việc gây ô nhiễm cho mình. Loại trừ. Một vùng tin tưởng là một danh sách được thiết lập bởi quản trị viên hệ thống, bao gồm các đối tượng và ứng dụng sẽ không được Kaspersky Endpoint Security giám sát hoạt động. Nói một cách khác, nó là một nhóm loại trừ quét. Quản trị viên sẽ tự tạo vùng tin tưởng, dựa vào các tính năng cguWc. Trong tài liệu của NIST có một số khác biệt theo định nghĩa và cách hiểu thông thường về Virus máy tính đang thông dụng. Ngay trong tên của tài liệu đã nêu lên sự khác biệt, các tác giả nói tới “Malware” chứ không sử dụng thuật ngữ “Virus”. Tại Việt Nam hiện nay, thuật ngữ “Virus máy tính” được dùng hết sức rộng rãi và bao hàm tất cả các dạng mã độc hại trên mạng, trong máy tính cá nhân khi nói đến “Virus máy tính”, một cách rất tự nhiên tất cả mọi người đều nghĩ Virus bao gồm cả Worm, Trojan, Keylogger. Trong khi theo định nghĩa của NIST và gần như là của cả cộng đồng IT Virus, Worm, Trojan horse, Adware, Spyware, Backdoor, Botnet, Launcher, Rootkit, chỉ là một dạng của mã độc hại. Sự khác biệt này dẫn tới một số khó khăn, ví dụ như khi trao đổi với các tổ chức quốc tế về an toàn thông tin, trao đổi với hỗ trợ kỹ thuật từ các Trung tâm phòng chống Virus của nước ngoài do không đồng nhất về định nghĩa. Phía Việt nam thông báo “bị Virus tấn công”, đối tác sẽ gửi lại một chỉ dẫn để quét tập tin bị nhiễm trên PC, nhưng thực chất đó là một cuộc tấn công của Worm và phải phòng chống trên toàn bộ mạng. Do vậy bài viết này sẽ tập trung vào việc phân loại và giới thiệu về một số loại mã độc với các chức năng và mục đích hoạt động khác nhau. Virus máy tính Trong khoa học máy tính, Virus máy tính thường được người sử dụng gọi tắt là Virus là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác tập tin, ổ đĩa, máy tính, . Trước đây, Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường Virus có các hành động phá hoại như làm chương trình không hoạt động đúng như mong muốn, xóa dữ liệu, làm hỏng ổ cứng, những Virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm các mã số thẻ tín dụng, tài khoản, tài liệu mật… mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc thực hiện các hành động khác nhằm có lợi cho người phát tán Virus. Chiếm trên 90% số Virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác. Ngày nay ngoài những mẫu Virus thông thường thì đã xuất hiện những biến thể Virus khác với các kỹ thuật tinh vi hơn cụ thể là Virus đa hình polymorphic và siêu đa hình meta-polymorphic. Virus đa hình khác với các loại Virus thông thường ở chỗ Virus thông thường luôn giữ nguyên mã lệnh của mình, chính vì vậy chúng dễ dàng bị phát hiện bởi các phần mềm diệt Virus. Nhưng Virus đa hình có khả năng tự động biến đổi mã lệnh và tạo ra các dạng mã độc khác nhau sử dụng thuật toán dựa trên thời gian và đối tượng lây nhiễm trong mỗi lần lây nhiễm. Khả năng này giúp cho Virus đa hình có thể lẩn tránh khỏi sự truy quét của các phần mềm diệt Virus. Virus siêu đa hình là thế hệ cao hơn của Virus đa hình, chúng cao cấp hơn ở chỗ hình thức lai tạo và kết hợp nhiều kiểu đa hình khác nhau. Khi lây nhiễm chúng sẽ tự động biến đổi, lai tạp và hình thành các thế hệ Virus con từ F1…Fn. Sau mỗi lần lai tạp thì khả năng phát hiện ra chúng càng khó khăn, chính vì vậy Virus siêu đa hình hầu hết qua mắt được các phần mềm diệt Virus không có cơ chế quét sâu và dẫn tới việc quét Virus không triệt để. Một số Virus siêu đa hình như Vetor, Sality… Sâu máy tính Sâu máy tính Worm cũng là một dạng mã độc nhưng có khả năng tự nhân bản, tự tấn công và tự tìm cách lan truyền qua hệ thống mạng thường là qua hệ thống thư điện tử và các lỗ hổng trong hệ điều hành. Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của Worm là phá các mạng thông tin, làm giảm khả năng hoạt động hoặc có thể được dùng để đánh cắp thông tin nhạy cảm từ các mạng này. Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet. Trong năm 2001, sâu mật mã đỏ xuất hiện và tấn công vào các máy Windows để khai thác lỗ hổng trên máy chủ web IIS, sâu này đã tạo ra một kỷ lục về tốc độ lây lan khi chỉ trong một ngày 19-07-2001 đã có hơn máy tính bị nhiễm. Trojan hourse Trojan Horse, đây là loại chương trình cũng có tác hại tương tự như Virus máy tính chỉ khác là nó không tự nhân bản ra. Cách lan truyền duy nhất là thông qua các thư điện tử hoặc thông qua các phần mềm miễn phí có đính kèm Trojan. Thông thường, tính năng chính của Trojan là nhắm đến những nhóm người dùng riêng để thu thập thông tin về hành vi và thói quen sử dụng internet của họ sau đó gửi các thông tin này về cho tin tặc. Để loại trừ loại này người dùng chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại mã độc cực kỳ nguy hiểm, nó có thể hủy ổ cứng, hủy dữ liệu. Phần mềm gián điệp Spyware Spyware hay còn gọi phần mềm gián điệp là một dạng mã độc nhằm theo dõi những hoạt động của người dùng và gửi dữ liệu tới người điều khiển chúng để phục vụ cho mục đích riêng của họ. Ví dụ, những người của những công ty Marketing cố gắng thu thập những tin tức về người dùng để hỗ trợ cho việc bán hàng được tốt hơn. Ngày nay phần mềm gián điệp còn được các công ty hay tổ chức chính phủ sử dụng để theo dõi người dùng thông qua việc nghe lén các cuộc điện đàm hoặc các cuộc hội thảo truyền hình. Spyware thường được cài đặt bí mật vào máy người dùng trong khi họ mở một tập tin văn bản hoặc cài đặt một ứng dụng miễn phí nào đó. Nhiều chương trình Spyware có thể làm chậm kết nối Internet bằng cách chiếm băng thông đường truyền mạng. Chúng cũng có thể làm cho máy tính của nạn nhân bị chậm đi vì chiếm tài nguyên như RAM và chu kỳ làm việc của CPU. Phần mềm tống tiền Ransomware Phần mềm tống tiền hay còn gọi Ransomware là loại phần mềm giả danh một tổ chức chính phủ và sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân, chẳng hạn như khóa máy tính người dùng lại và đòi tiền chuộc thì mới cho sử dụng lại. Phần mềm quảng cáo Phần mềm quảng cáo hay còn gọi Adware thường đính kèm với những mẩu quảng cáo nhỏ, chúng thường được phân phát dưới hình thức phần mềm miễn phí hay phiên bản dùng thử. Và chỉ khi bạn trả tiền cho sản phẩm dùng thử đó, các quảng cáo sẽ biến mất tùy theo chính sách của hãng phần mềm đó. Tuy nhiên, phần mềm gián điệp cũng là một trong các "biến thể" của phần mềm quảng cáo, chúng đuợc bí mật cài vào máy tính người sử dụng khi họ đang duyệt web nhằm thu thập thông tin về hành vi duyệt web của người dùng để gửi đến họ những mẫu quảng cáo thích hợp. Ngày nay bắt đầu xuất hiện nhiều những phần mềm quảng cáo đính kèm Virus máy tính, sâu hoặc Trojan horse,… có thể gây tổn hại nghiêm trọng cho một hoặc một hệ thống máy tính. Downloader Downloader là một dạng mã độc dùng để tải các mã độc khác về máy người dùng. Để tải về được các mã độc, Downloader cần kết nối đến một máy chủ chứa mã độc, điều này khác với thuật ngữ dropper là loại mã độc có chứa sẵn mã độc bên trong nó. Backdoor Backdoor là các đoạn mã độc được gài lên máy nạn nhân cho phép tin tặc kết nối để điều khiển máy tính nạn nhân. Backdoor cho phép kẻ tấn công kết nối đến máy nạn nhân mà không cần chứng thực, từ đó kẻ tấn công có thể thực thi các câu lệnh ngay trên máy nạn nhân. Botnet Bot là những chương trình mã độc được cài lên các máy tính nạn nhân và các máy tính này sẽ nằm trong một mạng lưới được điều khiển bởi tin tặc gọi là mạng Botnet. Tương tự như backdoor, Botnet cũng cho phép kẻ tấn công truy cập và điều khiển hệ thống máy nạn nhân. Tất cả các máy bị nhiễm cùng một loại Botnet sẽ cùng nhận một chỉ thị lệnh từ một máy chủ điều khiển của kẻ tấn công thông qua các kênh như Internet Relay Chat IRC hoặc hệ thống mạng ngang hàng peer-to-peer P2P. Ngày nay khi đã có trong tay một mạng lưới bonet, các tin tặc hoặc tổ chức điều khiển Botnet có thể sử dụng chúng như một công cụ chiến tranh mạng, tiêu biểu là tấn công từ chối dịch vụ vào các mục tiêu cụ thể nhằm làm tê liệt hệ thống mạng của một tổ chức hoặc thậm chí là hệ thống mạng của một quốc gia. Rootkit Rootkit là những đoạn mã độc được thiết kế nhằm che dấu sự tồn tại của những đoạn mã độc khác bên trong nó. Rootkit thường được dùng để kết hợp với một mã độc khác như Backdoor, Keylogger để tin tặc có thể truy cập từ xa vào máy nạn nhân và làm hệ thống gặp khó khăn trong việc phát hiện ra loại mã độc này. Ví dụ như trong hệ thống Windows, Rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành. Với sự xuất hiện của rootkit, các phần mềm độc hại như trở nên “vô hình” trước những công cụ thông thường thậm chí vô hình cả với các phần mềm diệt virus. Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiều trước sự bảo vệ của rootkit – vốn được trang bị nhiều kĩ thuật mới hiện đại. Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhưng kể từ lần xuất hiện “chính thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trở nên phổ biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độc hại khác. Keylogger Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới Hacker. Keylogger có thể ghi lại nội dung của email, văn bản, tài khoản và mật khẩu người dùng, thậm chí cả chụp ảnh màn hình máy tính nạn nhân Một số Keylogger phổ biến như KeySnatch, Spyster,… Hiện nay hầu hết các cuộc tấn công mạng, đặc biệt là hình thức tấn công có chủ đích APT Advanced Persistent Threat đều sử dụng mã độc để lây lan, phát tán vào hệ thống mạng mục tiêu. Mã độc Malware là một loại phần mềm, chương trình, tệp tin độc hại được tạo ra và cài đặt vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc đánh cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân. Trong bài viết này, tác giả sẽ hướng dẫn các cán bộ kỹ thuật hoặc người dùng yêu thích CNTT phát hiện và bóc gỡ mã độc dựa trên mã Hash thường gọi là mã Băm. Mã Hash là gì? Mỗi mã độc, tương tự như các tệp tin, phần mềm thông thường trên máy tính, đều được đặc trưng bởi một giá trị duy nhất, gọi là mã Hash. Mã Hash là một chuỗi kí tự có độ dài cố định, biểu diễn một số theo cơ số 16 hexa. Ứng với mỗi tệp tin khác nhau sẽ có một giá trị Hash khác nhau. Điều này có nghĩa chỉ cần thay đổi 1 byte dữ liệu trong tệp tin, giá trị Hash cũng sẽ khác so với giá trị ban đầu. Hiện nay, có 3 loại mã Hash phổ biến nhất, đó là MD5, SHA-1 và CRC32. Hướng dẫn rà quét, xác định tệp tin độc hại Bài viết này sẽ hướng dẫn rà quét tệp tin độc hại trên máy tính Windows bằng cách chạy một đoạn Script để kiểm tra. Sử dụng công cụ dòng lệnh PowerShell có sẵn trong hệ điều hành Windows, với PowerShell version trở lên để chạy Script này. Nếu phát hiện mã độc trên hệ thống thì kết quả trả về trên giao diện PowerShell sẽ là đường dẫn chỉ đến tệp tin độc hại. Nội dung của đoạn Script như sau Phiên bản PowerShell của các hệ điều hành Windows như sau a. Cài đặt PowerShell đối với Windows 7 và Windows Server 2008 R2 Đối với máy tính chạy hệ điều hành Windows 7 và Windows Server 2008 R2, phiên bản PowerShell mặc định là do đó trước khi thực hiện chạy Script cần phải cài đặt PowerShell phiên bản Các bước cài đặt cơ bản như sau Bước 1 Xác định phiên bản PowerShell hiện tại trên máy tính Mở Windows PowerShell chạy với quyền Administrator bằng cách Chọn Start hoặc cửa sổ Windows ở góc trái bên dưới màn hình → Gõ tìm PowerShell → Chuột phải và chọn Run as administrator. Nhập tài khoản Administrator nếu được yêu cầu. Chạy lệnh sau để xác định phiên bản PowerShell hiện tại Get-Host Select-Object Version Kết quả trả về sẽ là phiên bản PowerShell hiện tại đang chạy trên máy tính Windows. Ví dụ Kết quả sau khi chạy lệnh trên máy chủ Windows Server 2008 R2 Bước 2 Tải và cài đặt .NET Framework trên máy tính Bước này chỉ yêu cầu đối với máy tính Windows 7 Truy cập vào đường dẫn sau đề tải về và cài đặt .NET Framework từ trang chủ chính thống của Microsoft Bước 3 Tải và cài đặt gói phần mềm Windows Management Framework bao gồm PowerShell trên máy Truy cập vào đường dẫn sau đề tải về và cài đặt Windows Management Framework từ trang chủ chính thống của Microsoft Lưu ý Đối với phiên bản 64-bit Windows Server 2008 R2 và Windows 7 64-bit, tải và cài đặt tệp tin Đối với phiên bản 32 bit Windows 7 32-bit, tải và cài đặt tệp tin Trước khi thực hiện cài đặt phải tắt tất cả các cửa sổ PowerShell đang mở. Khởi động lại máy tính sau khi cài đặt xong để phần mềm cài đặt có hiệu lực. Bước 4 Kiểm tra phiên bản PowerShell đã được cài đặt Mở Windows PowerShell chạy với quyền Administrator và chạy lệnh sau Get-Host Select-Object Version Kết quả trả về sẽ là phiên bản PowerShell đã được nâng cấp trên máy Windows. Ví dụ Kết quả sau khi chạy lệnh trên máy chủ Windows Server 2008 R2 b. Rà quét và xác định mã độc dựa trên mã Hash Để rà quét và xác định mã độc dựa trên mã Hash của chúng, ta thực hiện các bước sau Bước 1 Copy đoạn Script ở trên vào một file notepad, đặt tên là Bước 2 Copy các mã Hash MD5 tương ứng của từng tệp tin độc hại nhận được từ các cảnh báo của các hãng bảo mật, cơ quan chuyên trách về ATTT vào file notepad, mỗi giá trị Hash tương ứng với 01 dòng, sau đó lưu và đặt tên file là Khi có các đợt tấn công sử dụng mã độc từ Internet, thì các cơ quan điều phối, chuyên trách về ATTT như VNCERT, Cục ATTT, các Hãng bảo mật trên thế giới, hoặc ban Viễn thông & Công nghệ thông tin của Tổng công ty sẽ có thông báo, khuyến cáo, cung cấp mã Hash của các tập tin độc hại để ngăn chặn. Từ thông tin về mã Hash này, chúng ta có thể chủ động thực hiện rà quét toàn bộ hệ thống thư mục, tệp tin trên máy tính để tìm ra các chương trình, tệp tin có giá trị Hash trùng khớp, đó chính là mã độc. Ví dụ nội dung của 01 file như sau 25376ea6ea0903084c45bf9c57bd6e4f 1e2795f69e07e430d9e5641d3c07f41e 3be75036010f1f2102b6ce09a9299bca 34404a3fb9804977c6ab86cb991fb130 b12325a1e6379b213d35def383da2986 7c651d115109fd8f35fdfc44fd24518 8a41520c89dce75a345ab20ee352fef0 b88d4d72fdabfc040ac7fb768bf72dcd df934e2d23507a7f413580eae11bb7dc fee0b31cc956f083221cb6e80735fcc5 4c400910031ee3f12d9958d749fa54d5 2e0d13266b45024153396f002e882f15 26f09267d0ec0d339e70561a610fb1fd 09e4f724e73fccc1f659b8a46bfa7184 18c2adfc214c5b20baf483d09c1e1824 2cd8e5d871f5d6c1a8d88b1fb7372eb0 e9130a2551dd030e3c0d7bb48544aaea 9888d1109d6d52e971a3a3177773efaa be021d903653aa4b2d4b99f3dbc986f0 Bước 3 Đặt 02 tệp tin và vào thư mục C\ hoặc thư mục khác do người dùng chọn Bước 4 Mở Windows PowerShell chạy với quyền Administrator Chọn Start hoặc cửa sổ Windows ở góc trái bên dưới màn hình → gõ tìm PowerShell → chuột phải và chọn Run as administrator. Nhập tài khoản Administrator nếu được yêu cầu. Bước 5 Thiết lập chính sách thực thi để cho phép chạy Script Set-ExecutionPolicy Unrestricted Chọn Yes hoặc Yes to All để thay đổi chính sách thực thi. Bước 6 Chạy lệnh Script để bắt đầu rà quét tệp tin mã độc Lưu ý Tùy thuộc vào tài nguyên RAM, CPU, Disk của máy tính, các chương trình đang chạy, cũng như số lượng các tệp tin trên mỗi máy tính... mà tốc độ rà quét của đoạn mã Script sẽ khác nhau. Ví dụ, với máy tính chạy hệ điều hành Windows tài nguyên bao gồm 2 bộ xử lý Intel Core i7 GHz, bộ nhớ RAM 8 GB, ổ cứng SSD sẽ rà quét xong 01 ổ đĩa dung lượng 95 GB trong khoảng 15 phút. Ngoài ra, có một số tệp tin và thư mục hệ thống không thể truy cập thậm chí với quyền quản trị, do vậy trong quá trình chạy Script sẽ gặp một số thông báo lỗi liên quan đến quyền truy cập hoặc liên quan đến tệp tin đang được sử dụng bởi ứng dụng, tiến trình khác. Ví dụ Trong trường hợp này chúng ta vẫn để thực thi Script bình thường và đọc kết quả khi hoàn thành. Bước 7 Đọc kết quả trên giao diện PowerShell Nếu phát hiện mã độc trên máy tính thì kết quả sẽ chỉ ra đường dẫn tuyệt đối của tệp tin mã độc này. Cần thực hiện các bước để xử lý, bóc gỡ mã độc như hướng dẫn bên dưới Nếu không phát hiện mã độc trên máy tính thì kết quả của Script sẽ thông báo như sau Bước 8 Thiết lập chính sách giới hạn thực thi Script về lại trạng thái ban đầu Set-ExecutionPolicy Restricted Chọn Yes hoặc Yes to All để thay đổi chính sách thực thi. Hướng dẫn bóc gỡ các tệp tin độc hại ra khỏi máy tính Trong trường hợp phát hiện mã độc, cần thực hiện các bước để xử lý, bóc gỡ các tệp tin độc hại trên máy tính. Do các tệp tin độc hại này đang được thực thi trên máy tính nên cần dừng hoặc tắt tiến trình tương ứng của nó trước khi xóa. Các bước thực hiện cụ thể như sau Bước 1 Tải và chạy phần mềm Process Explorer Process Explorer là một phần mềm nằm trong bộ công cụ Windows Sysinternals được phát triển bởi Microsoft, được sử dụng để theo dõi và quản lý các tiến trình đang hoạt động trên máy tính, cho phép kịp thời phát hiện và gỡ bỏ những tiến trình độc hại được sử dụng bởi các loại mã độc như spyware, adware, virus... Process Explorer cho phép xem thông tin chi tiết về mỗi tiến trình, kể cả những ứng dụng chạy ngầm. Truy cập vào đường dẫn sau đề tải về và chạy phần mềm Process Explorer từ trang chủ chính thống của Microsoft Bước 2 Xác định các tiến trình đang chạy tương ứng của tệp tin độc hại Trên giao diện Process Explorer, chọn Find → chọn Find Handle or DLL→ nhập đường dẫn tuyệt đối của tệp tin độc hại đã tìm thấy ở trên → chọn Search. Kết quả là tại cột Process sẽ hiển thị các tiến trình đang chạy tương ứng của tệp tin độc hại đó. Ví dụ Bước 3 Xác định các registry mà mã độc đã tạo Bước này chỉ xác định và ghi lại đường dẫn. Việc xóa registry sẽ thực hiện trong Bước 6. Dựa trên Process ID, xác định tiến trình độc hại đang chạy trên cửa sổ Process Explorer → kích phải chuột và chọn Properties của tiến trình đó → tại tab Image, trong thư mục AutoStart Location → xác định các registry mà mã độc đã tạo để khởi động tiến trình độc hại cùng với hệ thống. Bước 4 Tạm dừng hoặc tắt tiến trình độc hại được tìm thấy Kích phải chuột vào tiến trình đã xác định ở Bước 2, chọn Suspend hoặc Kill Process để tạm dừng hoặc tắt tiến trình đó. Bước 5 Xóa tệp tin độc hại Sau khi đã tạm dừng hoặc tắt các tiến trình đang chạy tương ứng của tệp tin độc hại, thực hiện truy cập vào đường dẫn và xóa tệp tin. Bước 6 Xóa các giá trị registry mà mã độc đã tạo Dựa trên đường dẫn đến các giá trị registry đã xác định ở Bước 3, truy cập đến các giá trị registry mà mã độc đã tạo và xóa. Trên đây là bài viết hướng dẫn rà quét, xác định và bóc gỡ mã độc trên các máy tính hệ điều hành Windows dựa trên mã Hash của mã độc. Về cơ bản, các bước thực hiện không quá phức tạp, do đó mỗi người dùng có thể tự thực hiện theo từng bước hướng dẫn khi nhận được các thông báo, cảnh báo về các cuộc tấn công mạng sử dụng mã độc từ các Hãng bảo mật, Cơ quan chuyên trách về ATTT hoặc từ thông báo của Ban Viễn thông & Công nghệ thông tin Tổng công ty, từ đó góp phần vào việc đảm bảo cho hệ thống mạng của Tổng công ty hoạt động ổn định, an toàn, giảm thiểu rủi ro mất cắp thông tin và dữ liệu cá nhân trên máy tính của mình. Trong quá trình thực hiện, nếu có bất kỳ vướng mắc xin vui lòng liên hệ Trần Ngọc Lâm – Chuyên viên phòng Kỹ thuật và Mạng viễn thông – CPCITC. Địa chỉ email LamTN1 Điện thoại 0799333121 Vấn đề về an ninh hệ thống thông tin vẫn luôn là mối quan tâm hàng đầu của nhiều người hiện nay. Điều này là do hầu hết các thông tin quan trọng đều được lưu trữ trên máy tính hoặc điện thoại. Tuy nhiên, nguy cơ mã độc nhúng vào các tệp tin trông có vẻ vô hại vẫn là một thách thức đối với các chuyên gia an ninh. Nếu bị tấn công bởi mã độc, hệ thống của bạn có thể bị hỏng hoặc dữ liệu quan trọng có thể bị đánh mất.chuyentinhoc, tim_hieu_ma_doc, ma_doc_co_the-nhung_file_nao Ở phần đầu của chủ đề mã độc chúng ta đã tìm hiểu về ảnh hưởng của mã độc tới vấn đề an ninh mạng trên toàn thế giới, cũng như trên đất nước Việt Nam. Ở phần tiếp theo, chuyên gia an ninh mạng SecurityBox sẽ giải thích khái niệm về mã độc và 12 loại mã độc phổ biến gần đây nhất. 1. Mã độc là gì? Tổng quan về mã độc Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân. Mã độc được phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá hoại virus, worm, trojan, rootkit… Mọi người hay bị nhầm lẫn với 1 khái niệm khác là virus máy tính. Thực tế, virus máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc. Virus máy tính hiểu đơn thuần cũng là một dạng mã độc nhưng sự khác biệt ở chỗ virus máy tính có khả năng tự lây lan. Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phương pháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các loại mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn nhau để hiệu quả tấn công là cao nhất. Sau đây, tôi xin trình bày một số khái niệm về mã độc dựa trên 3 yếu tố chính chức năng, đối tượng lây nhiễm, đặc trưng của mã độc. Xem thêm một số công cụ kiểm tra mã độc website được chuyên gia tin dùng Boot virus Boot virus hay còn gọi là virus boot, là loại virus lây vào boot sector hoặc master boot record của ổ đĩa cứng. Đây là các khu vực đặc biệt chứa các dữ liệu để khởi động hệ thống, nạp các phân vùng. Boot virus được thực thi trước khi hệ điều hành được nạp lên. Vì vậy, nó hoàn toàn độc lập với hệ điều hành. B-virus có nhược điểm là khó viết do không thể sử dụng các dịch vụ, chức năng có sẵn của hệ điều hành và kích thước virus bị hạn chế bởi kích thước của các sector mỗi sector chỉ có 512 byte. Ngày nay gần như không còn thấy sự xuất hiện của Boot Virus do đặc điểm lây lan chậm và không phù hợp với thời đại Internet. Macro virus Đây là loại virus đặc biệt tấn công vào chương trình trong bộ Microsoft Office của Microsoft Word, Excel, Powerpoint. Macro là tính năng hỗ trợ trong bộ công cụ văn phòng Microsoft Office cho phép người sử dụng lưu lại các công việc cần thực hiện lại nhiều lần. Thực tế hiện nay cho thấy virus macro gần như đã “tuyệt chủng”. Mặc định Macros bị vô hiệu hóa trong các file tải về của Microsoft Office Scripting virus Scripting virus là loại virus được viết bằng các ngôn ngữ script kịch bản như VBScript, JavaScript, Batch script. Những loại virus này thường có đặc điểm dễ viết, dễ cài đặt. Chúng thường tự lây lan sang các file script khác, thay đổi nội dung cả các file html để thêm các thông tin quảng cáo, chèn banner … Đây cũng là một loại virus phát triển nhanh chóng nhờ sự phổ biến của Internet. Xem thêm case study phân tích mã độc tống tiền Ransomware File Virus Virus này chuyên lây vào các file thực thi ví dụ file có phần mở rộng .com, .exe, .dll một đoạn mã để khi file được thực thi, đoạn mã virus sẽ được kích hoạt trước và tiếp tục thực hiện các hành vi phá hoại, lây nhiễm. Loại virus này có đặc điểm lây lan nhanh và khó diệt hơn các loại virus khác do phải xử lý cắt bỏ, chỉnh sửa file bị nhiễm. File Virus có nhược điểm là chỉ lây vào một số định dạng file nhất định và phụ thuộc vào hệ điều hành. F-Virus vẫn tồn tại tới ngày nay với những biến thể ngày càng trở nên nguy hiểm, phức tạp hơn. Trojan horse – ngựa thành Tơ roa Tên của loại virus này được lấy theo một điển tích cổ. Trong cuộc chiến với người Tơ-roa, các chiến binh Hy Lạp sau nhiều ngày không thể chiếm được thành đã nghĩ ra một kế, giảng hòa rồi tặng người dân thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa gỗ được đưa vào thành, đêm đến các chiến binh Hy Lạp từ trong ngựa gỗ chui ra đánh chiếm thành. Đây cũng chính là cách mà các Trojan horse gọi tắt là Trojan áp dụng các đoạn mã của Trojan được “che giấu” trong các loại virus khác hoặc trong các phần mềm máy tính thông thường để bí mật xâm nhập vào máy nạn nhân. Khi tới thời điểm thuận lợi chúng sẽ tiến hành các hoạt động ăn cắp thông tin cá nhân, mật khẩu, điều khiển máy tính nạn nhân … Bản chất của Trojan là không tự lây lan mà phải sử dụng phần mềm khác để phát tán. Dựa vào cách hoạt động ta có thể phân chia Trojan thành các loại sau BackDoor, Adware và Spyware. BackDoor Phần mềm BackDoor cửa sau là một dạng Trojan khi thâm nhập vào máy tính nạn nhân sẽ mở ra một cổng dịch vụ cho phép kẻ tấn công điều khiển các hoạt động ở máy nạn nhân. Kẻ tấn công có thể cài các phần mềm BackDoor lên nhiều máy tính khác nhau thành một mạng lưới các máy bị điều khiển – Bot Net – rồi thực hiện các vụ tấn công từ chối dịch vụ DoS – Denial of Service. Xem thêm 12 loại tấn công DDoS Adware và Spyware Đây là loại Trojan khi xâm nhập vào máy tính với mục đích quảng cáo hoặc “gián điệp”. Chúng đưa ra các quảng cáo, mở ra các trang web, thay đổi trang mặc định của trình duyệt home page … gây khó chịu cho người sử dụng. Các phần mềm này cài đặt các phần mềm ghi lại thao tác bàn phím key logger, ăn cắp mật khẩu và thông tin cá nhân … Worm – sâu máy tính Cùng với các loại mã độc máy tính như Trojan, WannaCry, Worm sâu máy tính là loại virus phát triển và lây lan mạnh mẽ nhất hiện nay nhờ mạng Internet. Vào thời điểm ban đầu, Worm được tạo ra chỉ với mục đích phát tán qua thư điện tử – email. Khi lây vào máy tính, chúng thực hiện tìm kiếm các sổ địa chỉ, danh sách email trên máy nạn nhân rồi giả mạo các email để gửi bản thân chúng tới các địa chỉ thu thập được. Các email do worm tạo ra thường có nội dung “giật gân”, hoặc “hấp dẫn”, hoặc trích dẫn một email nào đó ở máy nạn nhân để ngụy trang. Điều này khiến các email giả mạo trở nên “thật” hơn và người nhận dễ bị đánh lừa hơn. Nhờ những email giả mạo đó mà Worm lây lan mạnh mẽ trên mạng Internet theo cấp số nhân. Bên cạnh Worm lây lan theo cách truyền thống sử dụng email, Worm hiện nay còn sử dụng phương pháp lân lan qua ổ USB. Thiết bị nhớ USB đã trở nên phổ biến trên toàn thế giới do lợi thế kích thước nhỏ, cơ động và trở thành phương tiện lây lan lý tưởng cho Worm. Dựa đặc điểm lây lan mạnh mẽ của Worm, những kẻ viết virus đã đưa thêm vào Worm các tính năng phá hoại, ăn cắp thông tin…, Worm đã trở thành “bạn đồng hành” của những phần mềm độc hại khác như BackDoor, Adware… Rootkit Rootkit ra đời sau các loại virus khác, nhưng rootkit lại được coi là một trong những loại virus nguy hiểm nhất. Bản thân rootkit không thực sự là virus, đây là phần mềm hoặc một nhóm các phần mềm máy tính được giải pháp để can thiệp sâu vào hệ thống máy tính nhân của hệ điều hành hoặc thậm chí là phần cứng của máy tính với mục tiêu che giấu bản thân nó và các loại phần mềm độc hại khác. Với sự xuất hiện của rootkit, các phần mềm độc hại như trở nên “vô hình” trước những công cụ thông thường thậm chí vô hình cả với các phần mềm diệt virus. Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiều trước sự bảo vệ của rootkit – vốn được trang bị nhiều kĩ thuật mới hiện đại. Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhưng kể từ lần xuất hiện “chính thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trở nên phổ biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độc hại khác. Botnet Là những máy tính bị nhiễm virus và điều khiển bởi Hacker thông qua Trojan, virus… Hacker lợi dụng sức mạnh của những máy tính bị nhiễm virus để thực hiện các hành vi tấn công, phá hoại, ăn cắp thông tin. Thiệt hại do Botnet gây ra thường rất lớn. Kiến trúc mạng botnet Biến thể Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó. Virus Hoax Đây là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email. Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống. Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ. Ngày nay, sự phát triển mạnh mẽ của Internet đang tạo ra một môi trường hoạt động và lây lan lý tưởng cho các loại phần mềm độc hại. Bên cạnh đó, các hướng dẫn chi tiết, các loại công cụ để tạo virus ngày càng nhiều, xuất hiện tràn lan trên mạng toàn cầu. Đây là những yếu tố thuận lợi cho sự phát triển và lây lan mạnh mẽ của virus, mã độc. Chính vì vậy những phân loại trên đây chỉ mang tính tương đối, các loại virus đang theo xu hướng “kết hợp” lại với nhau, tạo thành những thế hệ virus mới với nhiều đặc tính hơn, khả năng phá hoại cao hơn, nguy hiểm hơn và khó bị phát hiện hơn. Vì vậy các giải pháp quản trị nguy cơ an ninh mạng như SecurityBox sẽ đảm bảo môi trường làm việc an toàn cho người sử dụng máy tính. Trên đây, chuyên gia an ninh mạng SecurityBox vừa chia sẻ cho các bạn về khái niệm mã độc và các loại mã độc phổ biến. Đừng quên like và chia sẻ bài viết này nhé! Tìm hiểu thêm làm gì khi phát hiện website nhiễm mã độc

mã độc có thể được tin tặc nhúng vào trong