BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP. HCM
KHOA CÔNG NGHỆ

BÀI TIỂU LUẬN BẢO VỆ MÁY TÍNH
Đề tài: Hiện nay xuất hiện nhiều virus máy tính.Bằng
kiến thức đã biết về Virus, hãy nghiên cứu một
Virus cụ thể (Các phần: Tổng quan về virus và
hệ thống. Khảo sát Virus (tên cụ thể). Thiết kế
chương trình chống Virus.).

GV hướng dẫn: Nguyễn Xuân Lô
SV thực hiện: Nhóm 3


NỘI DUNG
I.

TỔNG QUAN VỀ VIRUS MÁY TÍNH

1. Giới thiệu
2. Phân loại
3. Các khái niệm về các loại virus máy tính
4. Các hình thức lây nhiễm của virus máy tính
5. Cách phòng chống virus và tác hại của nó
II. KHẢO SÁT VỀ VIRUS W32.CONFIGKER.WORM
1. Giới thiệu về virus configker
2. Tác động
3. Triệu chứng
4. Hoạt động
5. Phòng chống

III. KẾT LUẬN


TỔNG QUAN VỀ VIRUS MÁY TÍNH
GIỚI THIỆU(1)
Trong khoa học máy tính, virus máy tính (thường được người
sử dụng gọi tắt là virus) là những chương trình hay đoạn mã được
thiết kế để thâm nhập bất hợp pháp vào máy tính.Virus có thể tự
nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác
(file, ổ đĩa, máy tính,...).
Trước đây, virus thường được viết bởi một số người am hiểu
về lập trình muốn chứng tỏ khả năng của mình nên thường virus
có các hành động như: cho một chương trình không hoạt động
đúng, xóa dữ liệu, làm hỏng ổ cứng,... hoặc gây ra những trò đùa
khó chịu.
Những virus mới được viết trong thời gian gần đây không còn
thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân
bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông
tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin
tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác
nhằm có lợi cho người phát tán virus.


GIỚI THIỆU(2)
Chiếm trên 90% số virus đã được phát hiện là nhằm vào
hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản
bởi hệ điều hành này được sử dụng nhiều nhất trên thế
giới. Do tính thông dụng của Windows nên các tin tặc
thường tập trung hướng vào chúng nhiều hơn là các hệ
điều hành khác.

Nhưng cũng có quan điểm cho rằng Windows có tính
bảo mật không tốt bằng các hệ điều hành khác (như Linux)
nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành
khác cũng thông dụng như Windows hoặc thị phần các hệ
điều hành ngang bằng nhau thì lượng virus xuất hiện có lẽ
cũng tương đương nhau.


PHÂN LOẠI(1)
Virus Boot:
• Khi máy tính của bạn khởi động, một đoạn chương trình
nhỏ trong ổ đĩa khởi động của bạn sẽ được thực thi.
Đoạn chương trình này có nhiệm vụ nạp hệ điều hành
(Windows, Linux hay Unix...). Sau khi nạp xong hệ điều
hành, bạn mới có thể bắt đầu sử dụng máy. Đoạn mã
nói trên thường được để ở vùng trên cùng của ổ đĩa
khởi động, và chúng được gọi là "Boot sector".
• Virus Boot là tên gọi dành cho những virus lây vào Boot
sector. Các Virus Boot sẽ được thi hành mỗi khi máy bị
nhiễm khởi động, trước cả thời điểm hệ điều hành được
nạp lên.


PHÂN LOẠI (2)
Virus File
• Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ điều
hành Windows, như các file có đuôi mở rộng .com, .exe, .bat, .pif, .sys...
• Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được kích
hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn để lây vào. Có
lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại

không gọi là virus File?". Câu trả lời nằm ở lịch sử phát triển của virus máy tính.
Như bạn đã biết qua phần trên, mãi tới năm 1995 virus Macro mới xuất hiện và rõ
ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File)
nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File.


PHÂN LOẠI (3)
Virus Macro
• Là loại virus lây vào những file văn bản (Microsoft Word), file bảng
tính (Microsoft Excel) hay các file trình diễn (Microsoft Power Point)
trong bộ Microsoft Office. Macro là tên gọi chung của những đoạn mã
được thiết kế để bổ sung tính năng cho các file của Office.
• Chúng ta có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi
lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp
người sử dụng giảm bớt được công lặp đi lặp lại những thao tác
giống nhau. Có thể hiểu việc dùng Macro giống như việc ta ghi lại
các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó bằng
một yêu cầu duy nhất.


CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (1)
1.Trojan Horse
Thuật ngữ này dựa vào một điển tích, đó là cuộc chiến giữa
người Hy Lạp và người thành Tơ-roa. Thành Tơ-roa là một
thành trì kiên cố, quân Hy Lạp không sao có thể đột nhập
vào được. Người Hy Lạp đã nghĩ ra một kế, giả vờ rút lui,
sau đó để lại thành Tơ-roa một con ngựa gỗ khổng lồ. Sau
khi ngựa được đưa vào trong thành, đêm xuống, những
quân lính từ trong bụng ngựa xông ra và đánh chiếm thành

từ bên trong.
Trojan là một đoạn mã chương trình hoàn toàn không có
tính chất lây lan. Đầu tiên, kẻ viết ra Trojan bằng cách nào
đó lừa đối phương sử dụng chương trình của mình hoặc
ghép Trojan đi kèm với các virus (đặc biệt là các virus dạng
Worm)để xâm nhập, cài đặt lên máy nạn nhân.


CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY TÍNH
(2)
Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng
trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu... để
gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tay xoá
dữ liệu nếu được lập trình trước.
2. Phần mềm quảng cáo bất hợp pháp - Adware và phần mềm
gián điệp - Spyware:
Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang
web mặc định (home page), các trang tìm kiếm mặc định (search
page)… hay liên tục tự động hiện ra (popup) các trang web quảng
cáo khi bạn đang duyệt web.
Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình
“ghé thăm” những trang web có nội dung không lành mạnh, các
trang web bẻ khóa phần mềm… hoặc chúng đi theo các phần
mềm miễn phí không đáng tin cậy hay các phần mềm bẻ khóa
(crack, keygen).


CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (3)
3.Botnet

• Là những máy tính bị bắt cóc và điều khiển bởi người khác
thông qua Trojan, virus...Hậu quả của nó để lại không
nhỏ: mất tài khoản. Nếu liên kết với một hệ thống máy tính
lớn, nó có thể tống tiền cả một doanh nghiệp.
4.Keylogger
•

Là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có
thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ
thống máy tính và đôi khi được dùng để đo năng suất làm
việc của nhân viên văn phòng. Các phần mềm kiểu này rất
hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp
một phương tiện để lấy mật khẩu hoặc các khóa mật mã và
nhờ đó qua mắt được các thiết bị an ninh.


CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (4)
• Tuy nhiên, các phần mềm keylogger được phổ biến rộng
rãi trên Internet và bất cứ ai cũng có thể sử dụng cho
mục đích lấy trộm mật khẩu và chìa khóa mã hóa.
5.Phishing
• Là một hoạt động phạm tội dùng các kỹ thuật lừa đảo.
Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm,
chẳng hạn như mật khẩu và thông tin về thẻ tín dụng,
bằng cách giả là một người hoặc một doanh nghiệp
đáng tin cậy trong một giao dịch điện tử. Phishing
thường được thực hiện bằng cách sử dụng thư điện tử
hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại.



CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY
TÍNH (5)
6.Rootkit
•

Là một bộ công cụ phần mềm dành cho việc che dấu các
tiến trình đang chạy, các file hoặc dữ liệu hệ thống. Rootkit
có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những
năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các
phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được
đường truy nhập một hệ thống trong khi tránh bị phát hiện.

• Người ta đã biết đến các rootkit dành cho nhiều hệ điều hành
khác nhau chẳng hạn Linux, Solaris và một số phiên bản
của Microsoft Windows. Các rootkit thường sửa đổi một số
phần của hệ điều hành hoặc tự cài đặt chúng thành
các driver hay các môdule trong nhân hệ điều hành (kernel
module).


CÁC KHÁI NIỆM VỀ CÁC LOẠI VIRUS MÁY TÍNH (6)
7.Phần mềm tống tiền (Ransomware)
• Là loại phần mềm sử dụng một hệ thống mật mã để mã hóa dữ
liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.
8.Cửa hậu (Backdoor)
• Trong một hệ thống máy tính, cửa hậu là một phương pháp vượt
qua thủ tục chứng thực người dùng thông thường hoặc để giữ
đường truy nhập từ xa tới một máy tính, trong khi cố gắng không
bị phát hiện bởi việc giám sát thông thường. Cửa hậu có thể có

hình thức một chương trình được cài đặt (ví dụ Back Orifice hoặc
cửa hậu rookit Sony/BMG rootkit được cài đặt khi một đĩa bất kỳ
trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một
máy tính chạy Windows), hoặc có thể là một sửa đổi đối với một
chương trình hợp pháp - đó là khi nó đi kèm với Trojan.


CÁC HÌNH THỨC LÂY NHIỄM CỦA VIRUS
MÁY TÍNH
1. Virus lây nhiễm theo cách cổ điển
2. Virus lây nhiễm qua thư điện tử
2.1. Lây nhiễm vào các file đính kèm theo thư điện
tử (attached mail)
2.2. Lây nhiễm do mở một liên kết trong thư điện tử
2.3. Lây nhiễm ngay khi mở để xem thư điện tử
3.Virus lây nhiễm qua mạng Internet


CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI
CỦA NÓ(1)
1 Sử dụng phần mềm diệt virus
• Bảo vệ bằng cách trang bị thêm một phần mềm diệt
virus có khả năng nhận biết nhiều loại virus máy tính và
liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết
được các virus mới.
• Trên thị trường hiện có rất nhiều phần mềm diệt virus.
• Trong nước (Việt Nam): Bkav, CMC.
• Của nước ngoài: Avira, Kaspersky, AVG, ESET.
• Và phát hành bởi Microsoft: Microsoft Security
Essentials.



CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI
CỦA NÓ(2)
2. Sử dụng tường lửa
• Tường lửa (Firewall) không phải một cái gì đó quá xa vời
hoặc chỉ dành cho các nhà cung cấp dịch vụ internet (ISP)
mà mỗi máy tính cá nhân cũng cần phải sử dụng tường
lửa để bảo vệ trước virus và các phần mềm độc hại. Khi sử
dụng tường lửa, các thông tin vào và ra đối với máy tính
được kiểm soát một cách vô thức hoặc có chủ ý. Nếu một
phần mềm độc hại đã được cài vào máy tính có hành động
kết nối ra Internet thì tường lửa có thể cảnh báo giúp người
sử dụng loại bỏ hoặc vô hiệu hoá chúng. Tường lửa giúp
ngăn chặn các kết nối đến không mong muốn để giảm nguy
cơ bị kiểm soát máy tính ngoài ý muốn hoặc cài đặt vào các
chương trình độc hại hay virus máy tính.
•


CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI
CỦA NÓ(3)
• Sử dụng tường lửa bằng phần cứng
• Sử dụng tường lửa bằng phần mềm
3. Cập nhật các bản sửa lỗi của hệ điều hành
• Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các
lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có thể lợi
dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát tán
virus và các phần mềm độc hại. Người sử dụng luôn cần cập
nhật các bản vá lỗi của Windows thông qua trang web Microsoft

Update (cho việc nâng cấp tất cả các phần mềm của hãng
Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho
Windows). Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự
động (Automatic Updates) của Windows. Tính năng này chỉ hỗ
trợ đối với các bản Windows mà Microsoft nhận thấy rằng chúng
hợp pháp.


CÁCH PHÒNG CHỐNG VIRUS VÀ TÁC HẠI
CỦA NÓ(3)
• Cho dù sử dụng tất cả các phần mềm và phương thức trên
nhưng máy tính vẫn có khả năng bị lây nhiễm virus và các
phần mềm độc hại bởi mẫu virus mới chưa được cập nhật kịp
thời đối với phần mềm diệt virus. Người sử dụng máy tính
cần sử dụng triệt để các chức năng, ứng dụng sẵn có trong
hệ điều hành và các kinh nghiệm khác để bảo vệ cho hệ điều
hành và dữ liệu của mình. Một số kinh nghiệm tham khảo như
sau:
o Phát hiện sự hoạt động khác thường của máy tính
o Bảo vệ dữ liệu máy tính
o Sao lưu dữ liệu theo chu kỳ
o Tạo các dữ liệu phục hồi cho toàn hệ thống


KHẢO SÁT VỀ VIRUS W32.CONFIGKER.WORM
GIỚI THIỆU(1)

Conficker, còn được biết đến với tên Downup,Downadup
và Kido, là một loại sâu máy tính nhắm đến hệ điều
hành Microsoft Windows, được phát hiện lần đầu tiên vào

tháng 10 năm 2008. Biến thể đầu tiên của sâu này lan
truyền qua Internet nhờ khai thác một lỗ hổng trong chồng
mạng của Windows 2000, Windows XP, Window
Vista, Windows Server 2003, Windows Server
2008, Windows 7 Beta, và Windows Server 2008 R2 Beta
vừa được khám phá vào tháng trước. Loại sâu này gây khó
khăn một cách đáng ngạc nhiên cho các nhà điều hành
mạng và cơ quan thực thi luật pháp vì nó sử dụng phối hợp
nhiều loại kỹ thuật phần mềm độc hại (malware) tiên tiến với
nhau.


GIỚI THIỆU(2)
• Win32/Conficker lây nhiễm vào các máy tính khác qua
mạng bằng cách khai thác một lỗ hổng trong dịch vụ
Windows Server (svchost.exe).Nếu khai thác thành công
lỗ hổng này, nó có thể cho phép thực thi mã từ xa khi
chia sẻ tập tin được kích hoạt. Tùy thuộc vào các biến
thể cụ thể, nó cũng có thể lây lan qua ổ đĩa di động và
bằng cách khai thác các mật khẩu yếu. Nó vô hiệu hóa
một số dịch vụ hệ thống quan trọng và sản phẩm bảo
mật và tải về tập tin tùy ý.
• Trung tâm an ninh mạng Bách Khoa BKIS tại Việt Nam
đã thông báo rằng họ tìm thấy bằng chứng rằng
Conficker có nguồn gốc từ Trung Quốc.


GIỚI THIỆU(2)
Theo một thống kê, tại Việt Nam có
khoảng 73.000 máy tính bị nhiễm

Conficker C, đứng thứ 5 trên thế giới.
Còn OpenDNS, một công ty cung cấp
tên miền, cho rằng các khách hàng
của họ tại Việt Nam bị ảnh hưởng
nặng nề nhất (với 13,3% tổng số máy
lây nhiễm do hãng này theo dõi trên
khách hàng), tiếp đến
là Brasil, Philippines và Indonesia.


TÁC ĐỘNG(1)
• Conficker được cho là loại sâu máy tính lây nhiễm nhiều
nhất kể từ con SQL Slammer năm 2003. Đầu tiên sâu
này lan nhanh giữa các máy tính để bàn chạy hệ điều
hành Windows chưa cài đặt bản vá của Microsoft cho lỗ
hổng bảo mật MS08-067.
• Đến tháng 1 năm 2009, con số máy tính bị nhiễm ước
tính khoảng từ 9 triệu máy cho đến 15 triệu máy. Hãng
phần mềm diệt virus Panda Security báo cáo rằng trong
2 triệu máy tính được phần mềm ActiveScan phân tích,
có khỏang 115.000 (6%) máy bị nhiễm Conficker.


TÁC ĐỘNG(2)
• Intramar, một mạng máy tính của Hải quân Pháp, đã bị
nhiễm Conficker vào ngày 15 tháng 1 năm 2009. Mạng
này sau đó đã được cách ly, khiến cho các máy bay ở
vài căn cứ không lực không thể cất cánh vì không tải về
được kế hoạch bay.
• Bộ Quốc phòng Anh báo cáo rằng một số hệ thống lớn

và máy tính của họ đã bị lây nhiễm. Sâu này đã lây qua
các văn phòng điều hành, máy tính NavyStar/N* đặt trên
một số tàu chiến của Hải quân Hoàng gia và tàu ngầm
Hải quân Hoàng gia, và các bệnh viện trong thành
phố Sheffield cũng báo cáo có hơn 800 máy tính bị
nhiễm.


TÁC ĐỘNG(3)
• Ngày 2 tháng 2 năm 2009, Bundeswehr, lực lượng vũ
trang Cộng hòa Liên bang Đức, đã báo cáo có khoảng
một trăm máy tính của họ bị nhiễm.
• Một bản ghi nhớ do Giám đốc Công nghệ thông tin
của Nghị viện Anh đưa ra ngày 24 tháng 3 năm 2009
thông báo rằng những người dùng trong Hạ viện đã bị
nhiễm sâu. Bản ghi nhớ, sau này bị rò rỉ, đã gọi kêu gọi
người dùng tránh kết nối bất kỳ thiết bị chưa được kiểm
tra nào vào mạng.


TRIỆU CHỨNG(1)
• Một số dịch vụ của Microsoft Windows như tự động cập
nhật (Automatic Updates), Background Intelligent
Transfer Service (BITS), Windows Defender và Error
Reporting Services bị tắt.
• Trình điều khiển tên miền phản ứng rất chậm khi có yêu
cầu từ máy khách.
• Nghẽn mạng nội bộ.
•


Các web site liên quan đến phần mềm diệt virus hay
dịch vụ cập nhật của hệ Windows(Windows Update) đều
không truy cập được[.