10 loại malware điển hình - Bản có dấu.
10 loai malware dien hinh - Bản không dấu.

Dưới đây là một số thuật ngữ thường được sử dụng:

• Malware: là một phần mềm độc hại được viết ra chuyên để xâm nhập và phá hủy hệ thống  máy tính  mà người dùngkhông hề hay biết.
• Malcode: là một mã lập trình độc hại được giới thiệu  trong suốt giai đoạn phát triển của một ứng dụng phần mềm và thường liên quan tới số lượng  malware.
• Anti-malware: Bao gồm những chương trình  chống lại malware, giúp bảo vệ, phát hiện và gở bỏ malware. Ứng dụng antivirus, anti-spyware và ứng dụng phát hiện malware  là những ví dụ của anti-malware.

1. Virus

Virus máy tính  là một malware  có thể lây nhiễm nhưng phải dựa vào những phương tiện khác để phát tán. Một loại virus  thật sự có thể lan  tràn từ những máy tính  bị nhiễm tới một máy tính  chưa nhiễm bằng cách đính một mã vào file thực thi được truyền qua nhau. Ví dụ, một virus  có thể ẩn trong một file PDF được đính vào một email. Hầu hết virus  đều gồm có 3 thành phần sau:

• Replicator: Khi kích hoạt chương trình  chủ thì đồng thời virus  cũng được kích hoạt, và ngay lập tức chúng sẽ phát tán malcode.
• Concealer: Biện pháp virus  sử dụng để lẩn tránh anti-malware.
• Payload: Lượng malcode của một virus  có thể được sử dụng để hủy chức năng của máy tính  và phá hủy dữ liệu.

Một số mẫu virus  máy tính  gần đây gồm W32.Sens.A, W32.Sality.AM, và W32.Dizan.F. Hầu hết những phần mềm chống virus  chất lượng  sẽ gỡ bỏ virus  khi chúng được đăng ký.

2. Sâu

Sâu máy tính  tinh vi hơn nhiều so với virus. Chúng có thể tự tái tạo màkhông cần tới can thiệp của người dùng. Nếu malware  cần đến Internet  đểphát tán, nó giống sâu hơn virus. Những thành phần chính của sâu baogồm:

• Penetration tool: Là malcode khai thác những lỗ hổng  trên máy tính  của nạn nhân  để dành quyền truy cập.
• Installer:công cụ thâm nhập giúp sâu máy tính  vượt qua hệ thống  phòng thủ đầutiên. Lúc đó, installer đưa và chuyển thành phần chính của malcode vàomáy tính của nạn nhân.
• Discovery tool (công cụ khaithác): Khi đã xâm nhập vào máy, sâu sử dụng cách thức để truy lục nhữngmáy tính khác trên mạng, gồm địa chỉ email, danh sách máy chủ  và cáctruy vấn DNS.
• Scanner: Sâu sử dụng một công cụ kiểm trađể xác định những máy tính  mục tiêu mới trong penetration tool có lỗhổng để khai thác.
• Payload: Lượng malcode tồn tại trênmỗi máy tính  của nạn nhân. Những malcode này có thể từ một ứng dụngtruy cập từ xa hay một key logger được dùng để đánh cắp tên đăng nhậpvà mật khẩu  của người dùng.

Thật không may loại malware  này lại sinh sôi rất nhanh. Khởi đầu  vớisâu Morris vào năm 1988 và hiện nay là sâu Conficker. Hầu hết sâu máytính có thể gỡ bỏ bằng chương trình  quét malware, như MBAM hay GMER.

3. Backdoor

Backdoor giống với những chương trình  truy cập  từ xa mà chúng ta thườngsử dụng. Chúng được coi như malware  khi cài đặt mà không được cho phép,cách mà tin tặc  sử dụng, theo các phương thức sau:

• Khai thác lỗ hổng  trên máy tính  mục tiêu.
• Bẫy người dùng  cài đặt backdoor thông qua một chương trình  khác.

Sau khi được cài đặt, backdoor cho phép tin tặc  toàn quyền kiểm soát từxa những máy tính  bị tấn công. Những loại backdoor, như SubSeven,NetBus, Deep Throat, Back Orifice và Bionet, đã được biết đến vớiphương thức này.

4. Trojan  horse

Theo Ed Skoudis và Lenny Zelter, Trojan  horse là một chương trình  thoạtnhìn có vẻ hữu dụng nhưng trong nó lại ẩn chứa nhiều “tính năng” độchại.

Trojan horse malware  chứa đựng nhiều payload cản trở cài đặt và chạychương trình, như ngăn cản malware  nhận ra malcode. Một số kĩ thuật chegiấu bao gồm:

• Đổi tên malware  thành những file giống với file bình thường trên hệ thống.
• Cản trở cài đặt anti-malware để không thông báo  vị trí của malware.
• Sử dụng nhiều loại mã khác nhau để thay đổi đăng ký của malware  nhanh hơn những phần mềm bảo mật.

Vundo là loại Trojan  horse điển hình. Nó tạo ra nhiều quảng cáo  popupđể quấy rối những chương trình  chống spyware, làm suy giảm khả năngthực thi của hệ thống  và cản trở trình duyệt  web. Đặc biệt, nó cản trởcài đặt chương trình  quét malware  trực tiếp  đĩa CD.

5: Adware/spyware

• Adware là phần mềm tạo ra trình đơn quảng cáo  popup  màkhông có sự cho phép của người dùng. Adware thường được cài đặt bởi mộtthành phần của phần mềm miễn phí. Ngoài việc làm  phiền, adware có thểlàm giảm đáng kể sự thực thi của máy tính.
• Spyware là mộtphần mềm thực hiện đánh cắp thông tin  từ máy tính  mà người dùng  khônghề hay biết. Phần mềm miễn phí  thường có rất nhiều spyware, vì vậytrước khi cài đặt cần đọc kĩ thỏa thuận sử dụng. Một trường hợp đángchú ý nhất về spyware  liên quan tới vụ tai tiếng chống copy  đĩa CD BMGcủa Sony.

Đa số những chương trình  chống spyware  tốt sẽ nhanh chóng tìm ra và gỡbỏ adware/spyware khỏi máy tính. Bạn cũng nên thường xuyên xóa nhữngfile tạm, cookies và history từ chương trình  trình duyệt  Web.

Malware stew

Cho đến nay, tất cả các loại malware  được biết đến khá khác nhau, giúpcó thể phân biệt từng loại. Tuy nhiên, loại malware  stew này khônggiống như vậy. Những người viết nó đã nghiên cứu  làm thể nào để kết hợpnhững đặc tính tốt nhất của nhiều loại malware  khác nhau để nâng cao tỉlệ thành công  của nó.

Rootkit là một ví dụ điển hình của loại malware  này, nó gồm các đặctính của một Trojan  horse và một Backdoor. Khi được sử dụng kết hợp,tin tặc có thể giành quyền kiểm soát máy tính  từ xa mà không bị nghingờ.

Rootkits

Rootkit là loại hoàn toàn khác biệt, chúng thường sửa đổi hệ điều hànhhiện thời thay vì bổ sung những phần mềm ở mức ứng dụng mà những loạimalware khác thường làm. Điều này rất nguy hiểm bởi vì những chươngtrình chống malware  sẽ rất khó phát hiện được chúng.

Có nhiều loại rootkits, trong đó có 3 loại được cho là nguy hiểm nhất, gồm: user-mode, kernel mode và firmware  rootkits.

6. User-mode rootkits

User-mode gồm những đoạn mã giới hạn truy cập  vào tài nguyên  phần mềmvà phần cứng trên máy tính. Hầu hết những mã chạy trên máy tính  sẽ chạytrên chế độ user-mode. Vì truy cập  bị giới hạn, những phá hủy tronguser-mode là không thể phục hồi.

User-mode rootkit  chạy trên máy tính  với quyền admin. Điều đó có nghĩa:

• User-mode rootkits có thể thay đổi tiến trình, file, ổ hệ thống, cổng mạng và thậm chí là dịch vụ  hệ thống.
• User-moderootkit tự duy trì cài đặt bằng cách sao chép những file yêu cầu vào ổcứng máy tính  và tự động khởi chạy mỗi khi hệ thống  khởi động.

Hacker Defender là một user-mode rootkit  điển hình. Loại rootkit  này vànhiều loại khác bị phát hiện và gở bỏ bởi ứng dụng nổi tiếng củaLuckily Mark  Russinovich.

7. Kernel-mode rootkits

Kernel-mode gồm những mã hủy giới hạn truy cập  vào mọi tài nguyên  phầncứng và phần mềm trên máy tính. Kernel-mode thường được dùng để lưu trữnhững chức năng tin cậy nhất của hệ điều hành. Những hủy hoại trongkernel-modecũng không thể phục hồi.

Từ khi rootkit  chạy trong chế độ user-mode bị phát hiện và gỡ bỏ, nhữngngười lập trình rootkit  đã thay đổi tư duy và phát triển kernel-moderootkit. Kernel-mode có nghĩa là rootkit  được cài đặt đồng mức với hệthống và những chương trình  phát hiện rootkit. Vì vậy rootkit  có thểlàm cho hệ thống  không còn đáng tin cậy nữa.

Không ổn định là một dấu hiệu sa sút của một kenel-mode rootkit  màthường dẫn đến những hủy hoại không rõ nguyên nhân  hay treo màn hình.Lúc đó, bạn nên thử GMER, một trong số ít công cụ gỡ bỏ rootkit  có thểtin cậy, để chống lại kernel-mode rootkit  như Rustock.

8. Firmware  rootkits

Firmware rootkit  là loại rootkit  cài đặt tinh vi vì những người pháttriển loại rootkit  này đã nghiên cứu  phương pháp lưa trữ malcode củarootkit trong firmware. Mọi firmware  đều có thể bị thay đổi, từ mã vixử lý cho tới firmware  card  mở rộng PCI. Điều đó có nghĩa:

• Khi tắt máy, rootkit  ghi malcode hiện thời vào những firmware  khác nhau.
• Khi khởi động lai máy tính  rootkit  cũng tự thực hiện cài đặt lại.

Thậm chí, nếu một chương trình  phát hiện và gỡ bỏ được firmwarerootkit, thì lần khởi động máy tính  sau, firmware  rootkit  này hoạt độngtrở lại bình thường.

9: Malicious mobile  code  (Mã độc di động – MMC)

MMC nhanh chóng trở thành phương pháp cài đặt malware  vào máy tính  hiệu quả nhất. Chúng có thể:

• Chiếm quyền máy chủ  từ xa.
• Di chuyển trong mạng.
• Tải và cài đặt trên một hệ thống  cục bộ

MMC gồm Javascript, VBScript, ActiveX  Controls và Flash  Animations. Mụcđích chính rất dễ nhận ra của MMC là cách thức hoạt động, nó làm nộidung trang của trình duyệt  web  trở nên tương tác hơn.

Tại sao MMC lai độc hại? Vì việc cài đặt nó không cần đến sự cho phépcủa người dùng  và gây hiểu lầm cho nguời dùng. Ngoài ra nó thường làbước đệm cho một cuộc tấn công  kết hợp giống như công cụ xâm nhập màTrojan horse malware  sử dụng. Sau đó tin tặc  có thể tiến hành cài đặtthêm nhiều malware.

Cách tốt nhất để chống lại MMC là luôn cập nhật hệ thống  và tất cả chương trình  phụ.

10. Blended threat (Mối đe dọa hỗn hợp)

Malware được cho là một blended threat khi nó gây ra những tổn hại lớnvà phát tán nhanh chóng thông qua những phần kết hợp của nhiều malcodecó mục tiêu riêng. Blended threat xứng đáng là mối lo ngại đặc biêt vìnhiều chuyên gia bảo mật  cho rằng chúng là “những chuyên gia  trong côngviệc của chúng”. Một blended threat điển hình có thể:

• Khai thác và tạo ra nhiều lỗ hổng
• Sử dụng nhiều phương thức tái tạo khác nhau.
• Tự động chạy mã hủy can thiệp của người dùn.

Ngoài ra blended threat malware  có thể gửi một email dạng HTML  nhúngTrojan horse cùng với một file PDF đính kèm chứa một loại Trojan  horsekhác. Một số loại blended threat khá quen thuộc là Nimda, CodeRed vàBugbear. Để gỡ bỏ blended threat khỏi máy tính  cần đến nhiều chươngtrình chống malware, cũng như sử dụng chương trình  quét malware  đượccài đặt chạy trực tiếp  từ đĩa CD. Xian (Theo TechRepublic)

Hiện tại chưa có bình luận nào về bài viết 10 loại malware điển hình!

Bạn có ý kiến gì về bài viết 10 loại malware điển hình này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết 10 loại malware điển hình bạn tại đây.