1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

ĐẶNG ĐỨC DŨNG
NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM VÀ CÁCH
PHÒNG CHỐNG MAILWARE
TRONG MÁY TÍNH

Chuyên ngành: Khoa học máy tính
Mã số: 60.48.01

Người hướng dẫn khoa học: TS. HOÀNG XUÂN DẬU TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2012
2


ra là tích cực phòng ngừa trên cơ sở có hiểu biết sâu rộng
về các loại Malware và cơ chế lây nhiễm của chúng. Đây
cũng là mục đích của đề tài “Nghiên cứu cơ chế lây nhiễm
và cách phòng chống Malware trong máy tính” của luận
văn, mà trọng tâm phần mềm độc hại ở đây là Virus,
Worm và Trojan.
Nội dung của luận văn bao gồm bốn chương:
 Chương 1: Giới thiệu tổng quan về Malware máy
tính, đưa ra định nghĩa, cách phân loại và lược sử
về các loại Malware máy tính.
4
 Chương 2: Nghiên cứu các hình thức lây nhiễm, đối
tượng lây nhiễm và cơ chế lây nhiễm của Virus,
Worm và Trojan trong máy tính.
 Chương 3: Chỉ ra các tác hại do Virus, Worm,
Trojan gây ra cho máy tính, đồng thời cung cấp các
phương pháp phòng chống và ngăn chặn tác hại của
Virus, Worm và Trojan.
 Chương 4: Đưa ra một chương trình mẫu minh họa
về Virus (mã độc hại kèm theo chương trình diệt).

5
CHƯƠNG 1 – TỔNG QUAN VỀ MALWARE
MÁY TÍNH
Chương 1 giới thiệu tổng quan về các loại Malware
trong máy tính, đưa ra khái niệm về Malware máy tính,
cách phân loại Malware máy tính theo NIST và Peter
Szor, quá trình hình thành và phát triển của Malware từ
trước đến nay.
1.1. Định nghĩa và phân loại Malware máy tính

chế hoạt động đặc thù của từng loại Malware máy tính.
2.1. Các hình thức và đối tượng lây nhiễm của
Malware máy tính
2.1.1. Hình thức lây nhiễm
2.1.1.1. Malware lây nhiễm theo cách cổ điển
2.1.1.2. Malware lây nhiễm qua thư điện tử
2.1.2. Đối tượng lây nhiễm
Các tập tin trên hệ điều hành Windows mang đuôi
mở rộng sau có nhiều khả năng bị Malware tấn công:
 .bat: Microsoft Batch File (tệp xử lý theo lô).
 .chm: Compressed HTML Help File (tệp tài liệu
dưới dạng nén HTML).
 .cmd: Command file for Windows NT (tệp thực thi
của Windows NT).
 .com: Command file (program) (tệp thực thi).
8
 .cpl: Control Panel extension (tệp của Control
Panel).
 .doc: Microsoft Word (tệp của chương trình
Microsoft Word).
 .exe: Executable File (tệp thực thi).
 .hlp: Help file (tệp nội dung trợ giúp người dùng).
 .hta: HTML Application (ứng dụng HTML).
 .js: JavaScript File (tệp JavaScript).
 .jse: JavaScript Encoded Script File (tệp mã hóa
JavaScript).
 .lnk: Shortcut File (tệp đường dẫn).
 .msi: Microsoft Installer File (tệp cài đặt).
 .pif: Program Information File (tệp thông tin
chương trình).

Resident viruses không tìm kiếm các máy chủ mà thay vào
đó, chúng tải vào bộ nhớ để thực thi và kiểm soát chương
trình chủ. Virus này được hoạt động ở chế độ nền và lây
nhiễm vào các máy chủ mới khi các tập tin được truy cập
bởi các chương trình hoặc hệ điều hành ở máy tính khác.
Nonsident viruses bao gồm một mô-đun tìm kiếm
và một mô-đun nhân bản. Các mô-đun tìm kiếm chịu trách
nhiệm cho việc tìm kiếm các tập tin mới để lây nhiễm. Với
mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó sẽ
gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này.
Resident viruses gồm một mô-đun nhân bản hoạt
động tương tự như mô-đun nhân bản của Nonsident
viruses. Tuy nhiên, mô-đun nhân bản này không được gọi
bởi mô-đun tìm kiếm. Virus tải mô-đun nhân bản vào
trong bộ nhớ khi nó được kích hoạt và mô-đun này thực
thi tại thời điểm hệ điều hành thực hiện một hoạt động
nhất định nào đó. 11
2.3.2. Worm
2.3.2.1. Định nghĩa
Là các chương trình có khả năng tự nhân bản, tự
tìm cách lan truyền qua hệ thống mạng (thường là qua hệ
thống thư điện tử).
2.3.2.2. Phân loại
2.3.2.3. Cách thức làm việc của Worm
Yếu tố ban đầu của Worm là một đoạn mã độc hại
có vai trò như một công cụ xâm nhập các lỗ hổng bảo mật
nằm trên máy tính và khai thác chúng. Worm sẽ được

hành. Như vậy, máy tính có rất nhiều nguy cơ bị tấn công
từ Malware. Mỗi loại Malware có một đặc điểm riêng, một
công nghệ riêng, một cơ chế hoạt động đặc thù.
13
Dựa vào các đặc tính riêng biệt của từng loại
Malware cũng như các dấu hiệu nhận biết các loại
Malware khi chúng xâm nhập vào máy tính mà người sử
dụng có thể áp dụng các biện pháp phòng chống và ngăn
chặn kịp thời.
14
CHƯƠNG 3 – TÁC HẠI VÀ CÁC PHƯƠNG
PHÁP PHÒNG CHỐNG MALWARE MÁY TÍNH
Chương 3 chỉ ra các hậu quả mà Malware máy tính
gây ra cho người sử dụng, đồng thời cung cấp các biện
pháp phòng chống Malware một cách hiệu quả.
3.1. Các tác hại của Malware máy tính
 Tiêu tốn tài nguyên của hệ thống.
 Phá hủy dữ liệu.
 Đánh cắp dữ liệu.
 Mã hóa dữ liệu tống tiền.
 Phá hủy hệ thống.
 Gây ra các sự khó chịu khác cho người dùng.
3.2. Các phương pháp phòng chống Malware máy
tính
3.2.1. Phương pháp phòng chống Virus
3.2.2. Phương pháp phòng chống Worm
3.2.3. Phương pháp phòng chống Trojan
3.2.4. Phương pháp tổng hợp phòng chống các loại
Malware
3.2.4.1. Sử dụng phần mềm diệt Virus

Total Security 2012 và được đặt tên là
“Generic.Malware.SDYd!sp.03714E9C”). Chương trình được
lưu trong ổ USB và chạy trên nền Windows.
Chương trình Virus và chương trình diệt Virus được xây
dựng sử dụng phần mềm Microsoft Visual C++ 2010 Express.
17
4.1. Chương trình Virus

Hình 4.1: Các Môđun trong chương trình Virus
Đoạn mã độc hại trong Virus “Love.exe” nhằm
mục đích xâm nhập Windows Registry và thay đổi các
thông số mặc định ban đầu.
18
4.1.1. Giới thiệu sơ lược về Windows Registry

Hình 4.2: Registry
4.1.2. Mô tả cách thức hoạt động của Virus
“Love.exe”
Khi được kích hoạt, Virus “Love.exe” sẽ vô hiệu
hóa hàng loạt các thông số mặc định sẵn có trong hệ điều
hành Windows.
 Sao chép tập tin Virus “Love.exe” và đổi tên thành
tập tin “ducdung.exe” trong USB vào các phân
vùng ổ cứng, ổ USB, thư mục Windows trong ổ C
(C là ổ chứa hệ điều hành). Sau đó, nó thiết lập
thuộc tính ẩn cho tập tin “ducdung.exe” để người sử
dụng không thể phát hiện được sự hiện diện của
Virus trong máy tính.
 Cho phép Virus chạy thường trú trong hệ điều hành
mỗi khi người sử dụng đăng nhập vào máy tính.

 Kích hoạt lại menu ngữ cảnh khi click phải chuột
ngoài màn hình Desktop và trong Explorer.
21
 Cho phép người sử dụng có thể truy xuất vào các ổ
cứng và thư mục bằng cách click đúp vào chúng.
 Cho phép hiển thị các thư mục, tập tin ẩn và phần
đuôi mở rộng của tập tin.
 Cho phép các thành phần trong Folder Options\File
Type (New, Delete, Change, Advanced) được hoạt
động trở lại như bình thường.
 Cho phép người sử dụng có thể sử dụng công cụ
Task Manager trong Windows.
 Cho phép người sử dụng có thể chỉnh sửa (cài đặt,
gỡ bỏ) các ứng dụng và phần mềm trong máy tính.
 Thay đổi trang web mặc định của trình duyệt IE
thành trang web đáng tin cậy của hãng Microsoft:
.
 Cho phép người sử dụng có thể thay đổi lại trang
web mặc định về trang yêu thích trong trình duyệt
IE.
 Cho phép người sử dụng tải các tập tin từ trên
mạng, cập nhật các bản vá lỗi của hệ điều hành, cập
nhật cơ sở dữ liệu cho phần mềm diệt Malware,…
 Cho phép người sử dụng có thể cập nhật Registry.
22
4.3. Kết chương
Chương này mô tả chi tiết cơ chế lây nhiễm và tính
năng của một Virus mẫu và chương trình diệt Virus này do
tác giả tự xây dựng. Virus được lưu trên ổ USB có khả
năng lây nhiễm và tự copy vào máy nạn nhân thông qua

24
Trong tương lai, luận văn có thể được phát triển
theo các hướng sau:
 Nghiên cứu sâu hơn về các phần mềm độc hại, từ
đó có thể nâng cao khả năng phòng chống và ngăn
chặn tác hại do Malware gây ra.
 Xây dựng chương trình rà quét và diệt các Malware
dựa trên chữ ký và tập hành vi.