Mô tả và phân loại Virus

Mô tả và phân loại Virus Có rất nhiều chương trình diệt virus đã thử định nghĩa và phân loại virus. Tuy nhiên dù có gây hại hay không thì virus cũng là một sản phẩm trí tuệ của con người. Chính vì vậy nó đa dạng một cách đáng kinh ngạc. Tuy nhiên tôi cũng thử tổng hợp các mô tả và định nghĩa của Sophos để mọi người tham khảo và hiểu rõ thêm các virus quanh ta Access macro virus Đối tượng lây nhiễm: MS Access 97 hoặc mới hơn trên các hệ điều hành. Ngôn ngữ sử dụng: Ngôn ngữ VBA macro. Cách thức lây nhiễm: Lây nhiễm khi mở một tệp Access database khác khi database đã nhiễm virus đang mở. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "AM97/", "A97M" hay "AM". AppleScript worm Mô tả: AppleScript là tệp batch mặc định trên hệ điều hành Macintosh. Một thành phần chính của các ứng dụng cài trên máy Macintosh thường có thể viết bằng AppleScript. AppleScript worm là một đoạn script sử dụng các hàm AppleScript phân tán sang các máy khác hay tạo một email application để tự gửi chính nó đi. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "AplS/". Batch file worm Đối tượng lây nhiễm: Lây trên các máy tính nối mạng sử dụng DOS, Windows 95/98/Me hay Windows NT/2000. Cách thức lây nhiễm: Batch file worms phát tán bằng cách tìm kiếm các vùng chia sẻ trên các máy ở xa qua mạng mà nó có thể tự copy sang. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Bat/". Companion virus Đối tượng lây nhiễm: Các hệ điều hành. Cách thức lây nhiễm: Companion virus sẽ tự đổi tên nó hoặc tệp tin mục tiêu của nó nhằm đánh lừa người sử dụng chạy tệp virus thay vì chạy một chương trình khác. Ví dụ, một companion virus tấn công một tệp có tên GAME.EXE nó sẽ đổi tên tệp gốc thành GAME.EX đồng thời tự sao chép nó thành một tệp với tên GAME.EXE. Hoặc nó có thể sử dụng cách khác đơn giản hơn là tự đổi tên nó thành tệp có tên GAME.COM việc này gây ra khi người sử dụng đánh lệnh 'GAME' từ dấu nhắc command, hệ điều hành sẽ thực hiện tệp GAME.COM trước thay vì chay GAME.EXE. Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này. Corel Script virus Đối tượng lây nhiễm: Corel SCRIPT files chạy trên các hệ điều hành nào. Ngôn ngữ sử dụng: Ngôn ngữ Corel SCRIPT macro. Cách thức lây nhiễm: Khi một script đã nhiễm VR chạy sẽ lây sang các Corel SCRIPT files khác. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "CSC/". Boot Sector virus Đối tượng lây nhiễm: Boot Sector (còn gọi là Boot Record) của đĩa cứng và boot sector đĩa mềm. Boot Sector viruses có thể lây trên bất cứ máy PC nào thuộc họ Intel-compatible cho phép khởi động từ ổ mềm. Các hệ điều hành bảo mật cao hơn như Windows NT vẫn có thể bị lây nhiềm nhưng khả năng nhân bản của virus cũng bị hạn chế hơn. Ngôn ngữ sử dụng: Intel 80x86 Assembler. Cách thức lây nhiễm: Nạp lên bộ nhớ khi máy PC đã nhiễm khởi động và sẽ lây sang đĩa mềm khi sử dụng tại các máy PC này. Một PC khác khi khởi động bằng các đĩa mềm có VR cũng sẽ bị nhiễm VR. DOS executable file virus Đối tượng lây nhiễm: Các tệp khả thi trên DOS. Cách thức lây nhiễm: Nhiễm vào các tệp khả thi. Một số viruses có thể thường trú và lây sang các chương trình khác khi chương trình được chạy. Một số VR thì có thể quét tìm kiếm các tệp trên đĩa để lan. Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này. Dropper Mô tả: Các tệp này được tạo ra để thả virus, worm hay Trojan vào hệ thống. Các tệp này thường chứa một loại virus, worm hay Trojan. Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này. Excel formula virus Đối tượng lây nhiễm: MS Excel 5 hay mới hon trên các HĐH. Ngôn ngữ sử dụng: Ngôn ngữ Excel formula. Cách thức lây nhiễm: Khi một văn bản chứa VR được mở formula sheet virus sẽ tự copy nó thành một tệp tai thư mục XLSTART. Nhờ vậy nó này sẽ lại tự động nạp vào văn bản khác khi một văn được mở. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "XF/" or "XF97/". Excel macro virus Đối tượng lây nhiễm: MS Excel 5 hoặc mới hơn trên mọi hệ điều hành sử dụng. Ngôn ngữ sử dụng: Ngôn ngữ VBA3 macro. Cách thức lây nhiễm: Khi một văn bản chứa VR được mở macros virus sẽ được copied thành một têp tại thư mục XLSTART. Nhờ vậy nó này sẽ lại tự động nạp vào văn bản khác khi một văn được mở. Một số viruses như XM97/Papa có thể sử dụng các chương trình gửi mail như Outlook để gửi các tệp nhiễm VR đến các địa chỉ trong sổ địa chỉ Outlook. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "XM”, "XM97/" or "X97M". JavaScript worm Đối tượng lây nhiễm: Các tệp JavaScript scripting, HTML có chứa scripts, Microsoft Outlook và Internet Explorer. Ngôn ngữ sử dụng: JavaScript Cách thức lây nhiễm: Sử dụng các hàm của IRC, Outlook hay Windows networking để gửi các bản sao tệp lây nhiễm hoặc chính nó qua mạng. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "JS/". Linux executable file virus Đối tượng lây nhiễm: Các dạng tệp Linux Platform ELF (Executable and Linkable Format). Cách thức lây nhiễm: Lây lan qua các tệp khả thi bằng nhiều phương thức khác nhau. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Linux/". Linux worm Đối tượng lây nhiễm: Các máy tính nối mạng chạy Linux. Cách thức lây nhiễm: Linux worms tận dụng các tính năng flaws trong code của mạng nhằm chiếm quyền truy nhập tới các máy tính ở xa chạy Linux. Khi đã nắm được quyền truy nhập chúng bắt đầu tìm kiếm các máy mới để lây nhiễm, các triệu chứng ban đầu thường làm tăng thông lượng truyền trên mạng. Chúng có thể phát tán rất nhanh qua các máy tính nối thường xuyên với internet. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Linux/" hay "Unix".

doc6 trang | Chia sẻ: tlsuongmuoi | Lượt xem: 2140 | Lượt tải: 1download
Bạn đang xem nội dung tài liệu Mô tả và phân loại Virus, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Mô tả và phân loại Virus Có rất nhiều chương trình diệt virus đã thử định nghĩa và phân loại virus. Tuy nhiên dù có gây hại hay không thì virus cũng là một sản phẩm trí tuệ của con người. Chính vì vậy nó đa dạng một cách đáng kinh ngạc. Tuy nhiên tôi cũng thử tổng hợp các mô tả và định nghĩa của Sophos để mọi người tham khảo và hiểu rõ thêm các virus quanh ta Access macro virus Đối tượng lây nhiễm: MS Access 97 hoặc mới hơn trên các hệ điều hành. Ngôn ngữ sử dụng: Ngôn ngữ VBA macro. Cách thức lây nhiễm: Lây nhiễm khi mở một tệp Access database khác khi database đã nhiễm virus đang mở. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "AM97/", "A97M" hay "AM". AppleScript worm Mô tả: AppleScript là tệp batch mặc định trên hệ điều hành Macintosh. Một thành phần chính của các ứng dụng cài trên máy Macintosh thường có thể viết bằng AppleScript. AppleScript worm là một đoạn script sử dụng các hàm AppleScript phân tán sang các máy khác hay tạo một email application để tự gửi chính nó đi. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "AplS/". Batch file worm Đối tượng lây nhiễm: Lây trên các máy tính nối mạng sử dụng DOS, Windows 95/98/Me hay Windows NT/2000. Cách thức lây nhiễm: Batch file worms phát tán bằng cách tìm kiếm các vùng chia sẻ trên các máy ở xa qua mạng mà nó có thể tự copy sang. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Bat/". Companion virus Đối tượng lây nhiễm: Các hệ điều hành. Cách thức lây nhiễm: Companion virus sẽ tự đổi tên nó hoặc tệp tin mục tiêu của nó nhằm đánh lừa người sử dụng chạy tệp virus thay vì chạy một chương trình khác. Ví dụ, một companion virus tấn công một tệp có tên GAME.EXE nó sẽ đổi tên tệp gốc thành GAME.EX đồng thời tự sao chép nó thành một tệp với tên GAME.EXE. Hoặc nó có thể sử dụng cách khác đơn giản hơn là tự đổi tên nó thành tệp có tên GAME.COM việc này gây ra khi người sử dụng đánh lệnh 'GAME' từ dấu nhắc command, hệ điều hành sẽ thực hiện tệp GAME.COM trước thay vì chay GAME.EXE. Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này. Corel Script virus Đối tượng lây nhiễm: Corel SCRIPT files chạy trên các hệ điều hành nào. Ngôn ngữ sử dụng: Ngôn ngữ Corel SCRIPT macro. Cách thức lây nhiễm: Khi một script đã nhiễm VR chạy sẽ lây sang các Corel SCRIPT files khác. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "CSC/". Boot Sector virus Đối tượng lây nhiễm: Boot Sector (còn gọi là Boot Record) của đĩa cứng và boot sector đĩa mềm. Boot Sector viruses có thể lây trên bất cứ máy PC nào thuộc họ Intel-compatible cho phép khởi động từ ổ mềm. Các hệ điều hành bảo mật cao hơn như Windows NT vẫn có thể bị lây nhiềm nhưng khả năng nhân bản của virus cũng bị hạn chế hơn. Ngôn ngữ sử dụng: Intel 80x86 Assembler. Cách thức lây nhiễm: Nạp lên bộ nhớ khi máy PC đã nhiễm khởi động và sẽ lây sang đĩa mềm khi sử dụng tại các máy PC này. Một PC khác khi khởi động bằng các đĩa mềm có VR cũng sẽ bị nhiễm VR. DOS executable file virus Đối tượng lây nhiễm: Các tệp khả thi trên DOS. Cách thức lây nhiễm: Nhiễm vào các tệp khả thi. Một số viruses có thể thường trú và lây sang các chương trình khác khi chương trình được chạy. Một số VR thì có thể quét tìm kiếm các tệp trên đĩa để lan. Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này. Dropper Mô tả: Các tệp này được tạo ra để thả virus, worm hay Trojan vào hệ thống. Các tệp này thường chứa một loại virus, worm hay Trojan. Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này. Excel formula virus Đối tượng lây nhiễm: MS Excel 5 hay mới hon trên các HĐH. Ngôn ngữ sử dụng: Ngôn ngữ Excel formula. Cách thức lây nhiễm: Khi một văn bản chứa VR được mở formula sheet virus sẽ tự copy nó thành một tệp tai thư mục XLSTART. Nhờ vậy nó này sẽ lại tự động nạp vào văn bản khác khi một văn được mở. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "XF/" or "XF97/". Excel macro virus Đối tượng lây nhiễm: MS Excel 5 hoặc mới hơn trên mọi hệ điều hành sử dụng. Ngôn ngữ sử dụng: Ngôn ngữ VBA3 macro. Cách thức lây nhiễm: Khi một văn bản chứa VR được mở macros virus sẽ được copied thành một têp tại thư mục XLSTART. Nhờ vậy nó này sẽ lại tự động nạp vào văn bản khác khi một văn được mở. Một số viruses như XM97/Papa có thể sử dụng các chương trình gửi mail như Outlook để gửi các tệp nhiễm VR đến các địa chỉ trong sổ địa chỉ Outlook. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "XM”, "XM97/" or "X97M". JavaScript worm Đối tượng lây nhiễm: Các tệp JavaScript scripting, HTML có chứa scripts, Microsoft Outlook và Internet Explorer. Ngôn ngữ sử dụng: JavaScript Cách thức lây nhiễm: Sử dụng các hàm của IRC, Outlook hay Windows networking để gửi các bản sao tệp lây nhiễm hoặc chính nó qua mạng. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "JS/". Linux executable file virus Đối tượng lây nhiễm: Các dạng tệp Linux Platform ELF (Executable and Linkable Format). Cách thức lây nhiễm: Lây lan qua các tệp khả thi bằng nhiều phương thức khác nhau. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Linux/". Linux worm Đối tượng lây nhiễm: Các máy tính nối mạng chạy Linux. Cách thức lây nhiễm: Linux worms tận dụng các tính năng flaws trong code của mạng nhằm chiếm quyền truy nhập tới các máy tính ở xa chạy Linux. Khi đã nắm được quyền truy nhập chúng bắt đầu tìm kiếm các máy mới để lây nhiễm, các triệu chứng ban đầu thường làm tăng thông lượng truyền trên mạng. Chúng có thể phát tán rất nhanh qua các máy tính nối thường xuyên với internet. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Linux/" hay "Unix". Macintosh file virus Đối tượng lây nhiễm: Các máy tính Macintosh. Cách thức lây nhiễm: Lây nhiễm lên các tệp chạy trên Macintosh dưới nhiều hình thức. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Mac/". Macintosh worm Đối tượng lây nhiễm: Các máy tính Power Macintosh. Cách thức lây nhiễm: Lợi dụng chức năng QuickTime AutoPlay để copy chính nó ra các đĩa mềm người sử dụng cho vào. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Mac/". Macromedia Flash infector Đối tượng lây nhiễm: Các tệp Macromedia Flash sử dụng cho Flash 5 player. Cách thức lây nhiễm: Thông thường nhân bản bằng cách tự copy sang script khi tệp Flash bắt đầu chạy. Cách đặt tên: Chưa có chuẩn nào cho cách đặt tên loại VR này. MapBasic program Đối tượng lây nhiễm: MapInfo. Ngôn ngữ sử dụng: MapBasic. Cách thức lây nhiễm: Lây nhiễm trên các ứng dụng MapInfo để có thể lan sang các tệp MapInfo Map khác. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "MPB/". Mid infecting Đối tượng lây nhiễm: Mọi loại file. Mô tả: Đây là dạng viruses lây nhiễm vào giữa tệp tin thay vì cách truyền thống là lây nhiễm vào entry point (điểm bắt đầu chạy). Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Mid/". mIRC or pIRCH script worm Đối tượng lây nhiễm: Các hệ thống chạy IRC. Ngôn ngữ sử dụng: IRC Script. Cách thức lây nhiễm: Các file này thường sửa tệp SCRIPT.INI để làm cho IRC phân tán các bản sao của chúng. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "mIRC/" or "pIRC/". Office macro virus Đối tượng lây nhiễm: MS Office 97 (hoặc sau đó) trên mọi hệ điều hành sử dụng. Ngôn ngữ sử dụng: VBA5 hoặc hơn. Cách thức lây nhiễm: Lây nhiễm từ 2 Office components hoặc nhiều hơn. Phần lớn chạy trên Word và Excel thi thoảng cả PowerPoint và Project files. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "OF97/". PalmOS based executable virus Đối tượng lây nhiễm: PalmOS Palm resource (PRC) files. Cách thức lây nhiễm: Các viruses này tìm các tệp Palm resource files để lây nhiễm. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Palm/". PowerPoint macro virus Đối tượng lây nhiễm: MS PowerPoint 97 (hoặc hơn). Ngôn ngữ sử dụng: ngôn ngữ VBA5 hoặc hơn. Cách thức lây nhiễm: virus chạy khi một số action thực hiện và lây nhiễm sang tệp PowerPoint khác hoặc lên main template (Presentation.pot). Một presentations mới được tạo từ template đã nhiễm vr cũng sẽ bị nhiễm. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "PM97/" hoặc "PP97M". Trojan Mô tả: Trojans có tên nguyên thủy là Trojan Horses được biết đến như các chương trình có ác ý được ẩn dấu mục đích thực dưới các dạng games hay phần mềm nâng cấp. Rất nhiều dạng Trojans ngày nay không còn như vậy nữa, vì thế định tên này cũng không hoàn toàn sát nghĩa nữa. Ví dụ một chương trình game bỗng nhiên xóa files, ghi vào thông tin hệ thống .... Cách thức lây nhiễm: không tự nhân bản. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Troj/". Unix worm Đối tượng lây nhiễm: Các máy tính nối mạng sử dụng Unix. Cách thức lây nhiễm: Unix worms lợi dụng các đặc tính flaws trong networking code để gây tràn bộ đệm nhằm chiếm quyền truy nhập máy tính từ xa chạy Unix. Khi đã chiếm được quyền truy nhập chúng sẽ bắt đầu tìm kiếm các máy mới để lan. Chúng phát tán rất nhanh nhất là qua các máy nối thường xuyên với. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Unix/". Visual Basic Script worm Đối tượng lây nhiễm: Các tệp Visual Basic scripting, HTML có chứa scripts, Microsoft Outlook và Internet Explorer. Ngôn ngữ sử dụng: Visual Basic Script Cách thức lây nhiễm: Sử dụng các hàm của IRC, Outlook hay Windows networking để gửi các bản sao tệp lây nhiễm hoặc chính nó qua mạng. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "VBS/". Win16 executable file virus Đối tượng lây nhiễm: MS Windows 3.0 và 3.1 Cách thức lây nhiễm: Lây trên các tệp khả thi theo nhiều cách. thức khác nhau. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "Win/". Win32 executable file virus Đối tượng lây nhiễm: MS Windows 95/98/Me, NT hay 2000 PE (Portable Executable) files. Cách thức lây nhiễm: Lây trên các tệp khả thi theo nhiều cách. thức khác nhau. Some viruses such as W32/ExploreZip also use Outlook or other programs to distribute infected files by email. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "W32/"(earlier versions used "Win32"). Win32 worm Đối tượng lây nhiễm: Các máy tính nối mạng chạy Windows 95/98/Me và Windows NT/2000. Cách thức lây nhiễm: Win32 worms phát tán sử dụng Windows networking APIs, các hàm MAPI hay các email clients như Microsoft Outlook. Chúng thường tạo các thư điện tử có gắn worm program hoặc chính bản thân chúng trong thư. Một message tạo bởi worm thường gợi ý người đọc mở tệp gửi kèm để xem một thông tin thú vị hoặc quan trong. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "W32/" hay "Win32". Word macro virus Đối tượng lây nhiễm: Các phiên bản MS Word trên các hệ điều hành. Ngôn ngữ sử dụng: Word Basic macro Ngôn ngữ sử dụng (sử dụng trong Word 6 hay 95). Cách thức lây nhiễm: Lây nhiễm khi văn bản được mở macros VR sẽ tự copy sang tệp global template (thường là NORMAL.DOT). Khi văn bản khác được mở macros lại tự động nạp vào. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "WM/" hay "Winword". Word macro Trojan Đối tượng lây nhiễm: MS Word 97 hoặc mới hơn trên các hệ điều hành. Ngôn ngữ sử dụng: VBA5 hoặc mới hơn. Mô tả: Word 97 macro Trojans là một văn bản mà khi mở sẽ làm một số thao tác không mong đợi với hệ thống của bạn như xóa files hay thay đổi system security. Cách thức lây nhiễm: Không tự nhân bản. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "WM97/" hay "W97M". Word macro worm Đối tượng lây nhiễm: MS Word 97 hay mới hơn trên các hệ điều hành. Ngôn ngữ sử dụng: VBA5 hay mới hơn. Cách thức lây nhiễm: Sử dụng các chương trình mail như MS Outlook để tự động gửi các tệp đã bị nhiễm VR đến danh sách tên lấy từ sổ địa chỉ của chương trình. Nhiều worms còn có thể lây lan giống như Word 97 macro viruses. Cách đặt tên: Thông thường tên được dặt thêm tiền tố "WM97/" hay "W97M". Windows Scripting Host virus Đối tượng lây nhiễm: Các máy chạy HĐH Windows 95/98/Me và Windows NT/2000/XP. Mô tả: Windows Scripting Host là một dạng framework lớp dưới cho JavaScript, Visual Basic Script và ActiveX components thực hiện. Một virus, worm hay Trojan có thể sử dụng nhiều đối tượng của này framework. Cách thức lây nhiễm: Nhân bản theo nhiều cách. Cách đặt tên: Nếu là virus, worm hay Trojan sử dụng các đối tượng của Windows Scripting Host framework thường được đặt tên với tiếp đầu ngữ "WSH/".      

Các file đính kèm theo tài liệu này:

  • docMô tả và phân loại Virus.doc
Tài liệu liên quan