Giới thiệu về Malware

[DDos]

Malware (phần mềm độc hại) là phần mềm được thiết kế để xâm nhập vào hệ thống máy tính và có khả năng phá hủy hệ thống không cần sự cho phép hay nhận biết của người dùng.

​

1. Virus​

Virus là đoạn code mà nó chạy trên một máy tính không cần sự cho phép của người dùng, nó lây nhiễm tới các máy tính khi đoạn code được truy cập và thực thi. Dưới đây là một vài loại virus:

• Boot sector: Đây là loai virus khởi đầu nó sẽ load vào khu vực đầu tiên của ổ cứng, khi máy tính được boot, virus sẽ load vào bộ nhớ.
• Macro: thường được đặt trong một file tài liệu hoặc đính kèm vào một email và gửi tới người dùng trong một hy vọng rằng người dùng sẽ mở tài liệu đó, do vậy virus được thực thi.
• Program: lây nhiễm file được thực thi.
• Polymorphic: Virus có khả năng thay đổi trong mỗi thời gian nó được thực thi trong một nỗ lực để tránh xa sự phát hiện của phần mềm diệtvirus.
• Armored: Loại virus này có khả năng tự bảo vệ mình khỏi phần mềm diệt virus bằngcách dùng thủ thuật tới những chương trình diệt virus vào một suy nghĩ rằng nó đã được load trên một vị trí khác so với vị trí thực tế của nó.
• Stealth: sử dụng một vài công nghệ ẩn giấu để tránh gây sự chú ý bởi phần mềm diệt virus.
• Multipartite: Đây là loại virus lai giữa boot sector và program virus mà nó tấn công khu vực boot hoặc file hệ thống sau đó sẽ tấn công tới các khu vực khác.

Một vài biểu hiện của máy tính nếu bị nhiễm virus:

• Máy tính chạy chậm hơn so với bình thường
• Máy tính bị khóa hoặc không trả lời (stop responding) liên tục
• Máy tính tự động khởi động lại hoặc bị lỗi (crashes)
• Ổ cứng không thể truy cập các ứng dụng hoạt động không phù hợp
• Xuất hiện những âm thanh lạ, những tin nhắn báo lỗi không bình thường
• Hiển thị hoặc file in ra bị biến dạng
• Xuất hiện icon mới hoặc icon cũ tự mất, cặp đôi phần mở rộng của file. Ví dụ: txt.vbs...
• Phần mềm diệt virus không chạy hoặc không thể cài đặt
• File bị lỗi hoặc folder được tạo ra một cách tự động

Ngăn ngừa virus:

• Chạy và cập nhật các phần mềm diệt virus
• Quét toàn bộ hệ thông định kỳ
• Cập nhật hệ điều hành
• Sử dụng tường lửa

2. Worms​

Worms là tương tự như virus ngoại trừ nó có khả năng tự tái tạo, sao chép (sefl-repicate).

Ngăn ngừa sâu:

• Chạy và cập nhật các phần mềm diệt virus
• Quét toàn bộ hệ thông định kỳ

​

3. Trojan horses​

Ban đầu, Trojan horses được thiết kế để thực hiện những chức năng được mong muốn nào đó nhưng thực tế là thực hiện một chức năng độc hại.

Ngăn ngừa trojan horses:

• Chạy và cập nhật các phần mềm diệt virus
• Quét toàn bộ hệ thông định kỳ
• Chạy chương trình quét trojan định kỳ

​

4. Spyware​

Spyware là một phần mềm mà nó hỗ trợ trong việc thu thập thông tin về một người hoặc một tổ chức nào đó không cần sự đồng ý của họ.

Một vài biểu hiện của máy tính nếu bị nhiễm spyware:

• Trang chủ mặc định của trình duyệt web bị thay đổi: Một trang web nào đó luôn xuất hiện mọi thời gian bạn thực hiện một tìm kiếm
• Pop-up windows xuất hiện
• Đèn LEB trên adapter mạng nhấp nháy thường xuyên khi máy tính không thực hiện bất kỳ một hoạt động truyền/nhận dữ liệu nào
• Tường lửa và phần mềm diệtvirus tự động tắt
• Chương trình mới, icon mới xuất hiện
• Những vấn đề lạ xuất hiện bên trong windows
• Trình điều khiển java xuất hiện ngẫu nhiên.

Ngăn ngừa spyware:

• Chạy và cập nhật các phần mềm diệt virus
• Quét toàn bộ hệ thông định kỳ
• Điều chỉnh việc cài đặt trình duyệt web

​

5. Rootkits​

Rootkits là một loại của phầnmềm được thiết kế để dành quyền kiểm soát ở cấp độ quản trị thông qua một hệ thống máy tính không bị phát hiện.

Ngăn ngừa rootkit:

• Chạy và cập nhật các phần mềm diệt virus
• ử dụng phần mềm phát hiện rootkit

6. Spam​

Spam là việc lợi dụng hệ thống tin nhắn điện tử như email, tin nhắn nhanh gây phiền nhiễu tới người dùng.

Ngăn ngừa spam:

• Sử dụng bộ lọc spam
• Tạo whilelists và blacklists
• Loại bỏ địa chỉ email khỏiwebsite của công ty
• Đào tạo người dùng, nhân viên công ty
• Đóng open mail relays.

​

 

Hiện nay ransomware và các mã độc trên điện thoại đang là xu hướng bùng phát.

Sắp tới có thể là IOT.

 

Polymorphic: Virus có khả năng thay đổi trong mỗi thời gian nó được thực thi trong một nỗ lực để tránh xa sự phát hiện của phần mềm diệtvirus.
có tài liệu gì thế về polymorphic ko ạ

 

Polymorphic: Virus có khả năng thay đổi trong mỗi thời gian nó được thực thi trong một nỗ lực để tránh xa sự phát hiện của phần mềm diệtvirus.
có tài liệu gì thế về polymorphic ko ạ

Nó là virus siêu đa hình đấy bạn, loại này không thể diệt bằng tay.

 

Polymorphic: Virus có khả năng thay đổi trong mỗi thời gian nó được thực thi trong một nỗ lực để tránh xa sự phát hiện của phần mềm diệtvirus.
có tài liệu gì thế về polymorphic ko ạ

Bạn có thể lên virustotal tải một số mẫu siêu đa hình về olly phân tích sẽ hiểu cơ chế của loại này. Tất nhiên phải cần sự chày cối

 

Bạn có thể lên virustotal tải một số mẫu siêu đa hình về olly phân tích sẽ hiểu cơ chế của loại này. Tất nhiên phải cần sự chày cối

Mình đang bắt đầu tìm hiểu về phần này. Mod cho mình hỏi là khi phân tích virus, dùng máy ảo thì có đủ đảm bảo an toàn không ah? Ngoài ra mình còn phải lưu ý thêm gì nữa ah?

 

Mình đang bắt đầu tìm hiểu về phần này. Mod cho mình hỏi là khi phân tích virus, dùng máy ảo thì có đủ đảm bảo an toàn không ah? Ngoài ra mình còn phải lưu ý thêm gì nữa ah?

Bạn nên dùng máy ảo virtualbox nhé. Hiện tại vẫn chưa phát hiện lỗ hổng nào từ máy ảo virtualbox ra máy thật, trên máy ảo VMWare thì đã phát hiện

 

bài viết rất hay, thanks chủ thớt