Bài giảng An toàn mạng máy tính - Bài 2: Các phần mềm gây hại

ển từ xa (RAT)
Mỗi RAT thường chạy server dưới một cổng
riêng biệt cho phép hacker thâm nhập vào máy
bị nhiễm trojan và tiến hành điều khiển từ xa.
Thường vô hiệu hoá việc chỉnh sửa registry nên
khó xoá trojan này.
Đôi khi có thể sử dụng trong việc quản lý máy
tính từ xa.
Phổ biến có Back Orifice, Girlfriend, Netbus…
ATMMT - TNNQ 15
3.2. Keyloggers
Keylogger bao gồm hai loại, 
một loại keylogger phần cứng
và một loại là phần mềm.
Nhỏ gọn, sử dụng ít bộ nhớ
nên khó phát hiện.
Hoạt động đơn giản, chủ yếu là
ghi lại diễn biến của bàn phím
rồi lưu lại trên máy hoặc gởi về
cho hacker qua email.
ATMMT - TNNQ 16
3.2. Keyloggers
Nếu dùng để giám sát con cái, người thân xem
họ làm gì với PC, với internet, khi chat với người
lạ thì keylogger là tốt. 
Khi sử dụng keylogger nhằm đánh cắp các
thông tin cá nhân (tài khoản cá nhân, mật khẩu, 
thẻ tín dụng) thì keylogger là xấu. 
ATMMT - TNNQ 17
3.2. Keyloggers
Một keylogger thường gồm ba phần chính:
Chương trình điều khiển: điều phối hoạt động, tinh
chỉnh các thiết lập, xem các tập tin nhật ký. Thông
thường chỉ có thể gọi bằng tổ hợp phím tắt. 
Tập tin hook, hoặc là một chương trình monitor dùng
để ghi nhận lại các thao tác bàn phím, capture screen.
Tập tin nhật ký (log), nơi chứa đựng toàn bộ những gì
hook ghi nhận được. 
Ngoài ra, tùy theo loại có thể có thêm phần chương
trình bảo vệ (protect), chương trình thông báo
(report)…
ATMMT - TNNQ 18
3.2. Keyloggers
ATMMT - TNNQ 19
3.2. Keyloggers
ATMMT - TNNQ 20
3.3. Trojan ăn trộm password
Ăn cắp các loại mật khẩu lưu trên máy bị
nhiễm như mật khẩu của ICQ, IRC, 
Hotmail, Yahoo… rồi gởi về cho hacker 
qua email.
Các loại trojan phổ
biến là Barri, 
Kuang, Barok.
ATMMT - TNNQ 21
3.4. FTP Trojan
Loại này mở cổng 21 trên máy bị nhiễm
nên mọi người đều có thể truy cập máy
này để tải dữ liệu.
ATMMT - TNNQ 22
3.5. Trojan phá hoại
Mục đích chính là phá hoại
Phá huỷ đĩa cứng, mã hoá các file
Rất nguy hiểm, khó kiểm soát
ATMMT - TNNQ 23
3.6. Trojan chiếm quyền
kiểu leo thang đặc quyền
Thường được gắn vào một ứng dụng hệ
thống nào đó và sẽ cho hacker quyền cao
hơn quyền đã có trong hệ thống khi ứng
dụng này chạy.
ATMMT - TNNQ 24
4. Một số Trojan phổ biến
KGB SPY
Là loại trojan mạnh, được sử dụng rộng rãi. 
Version được cập nhật liên tục.
Có thể theo dõi các phím nhấn, màn hình…
Có các tab trong chương trình: 
- General options - Advanced options
- Password - Screenshot
- Email Delivery - FPT Delivery
- Filters - Alert Notifications
- Invisibility
ATMMT - TNNQ 25
4. Một số Trojan phổ biến 
KGB SPY
ATMMT - TNNQ 26
4. Một số Trojan phổ biến 
KGB SPY
ATMMT - TNNQ 27
4. Một số Trojan phổ biến 
Blazing Tool Perfect Keylogger
Là một trojan mạnh, được sử dụng rộng
rãi trên internet.
Cho phép nhận thông tin từ máy bị nhiễm
trojan từ email hoặc fpt server.
Có thể lưu lại các phím nhấn, các link 
web, nội dung chat…
ATMMT - TNNQ 28
4. Một số Trojan phổ biến 
Blazing Tool Perfect Keylogger
ATMMT - TNNQ 29
4. Một số Trojan phổ biến 
007 Spy Software
ATMMT - TNNQ 30
4. Một số Trojan phổ biến 
007 Spy Software
ATMMT - TNNQ 31
4. Một số Trojan phổ biến 
Stealth Keylogger
ATMMT - TNNQ 32
4. Một số Trojan phổ biến 
DJI RAT
ATMMT - TNNQ 33
4. Một số Trojan phổ biến 
NET BUS
ATMMT - TNNQ 34
4. Một số Trojan phổ biến 
HackerzRAT
ATMMT - TNNQ 35
5. Phòng chống Trojan
Hạn chế sử dụng chung máy tính, cài đặt
mật khẩu bảo vệ.
Không mở các tập tin lạ không rõ nguồn
gốc, chú ý các file có phần mở rộng là
exe, com, bat, scr, swf, zip, rar, gif…
Không vào các trang web lạ.
Không click vào các đường link lạ.
Không cài đặt các phần mềm lạ.
ATMMT - TNNQ 36
5. Phòng chống Trojan
Không download chương trình từ các
nguồn không tin cậy.
Luôn luôn tự bảo vệ mình bằng các
chương chình chuyên dùng chống virus, 
chống spyware và dựng tường lửa khi
đăng nhập Internet. 
Thường xuyên cập nhật đầy đủ các bản
cập nhật bảo mật của hệ điều hành. 
ATMMT - TNNQ 37
5. Phòng chống Trojan
Quét các port đang mở với các công cụ như 
Netstat, Fport, TCPView…
Quét các tiến trình đang chạy với Process 
Viewer, What’s on my computer, Insider…
Quét những thay đổi trong Registry với 
MsConfig, What’s running on my computer…
Quét những hoạt động mạng với Ethereal, 
WireShark…
Chạy các phần mềm diệt Trojan.
ATMMT - TNNQ 38
5. Phòng chống Trojan
ATMMT - TNNQ 39
5. Phòng chống Trojan
Trojan Hunter
ATMMT - TNNQ 40
5. Phòng chống Trojan 
Spyware Doctor
ATMMT - TNNQ 41
5. Phòng chống Trojan 
TCPView
ATMMT - TNNQ 42
5. Phòng chống Trojan 
CurrPorts Tool
ATMMT - TNNQ 43
5. Phòng chống Trojan 
Process Viewer
ATMMT - TNNQ 44
5. Phòng chống Trojan 
What’s running
ATMMT - TNNQ 45
6. Một số cổng
đi cùng các Trojan thông dụng
ATMMT - TNNQ 46
6. Một số cổng
đi cùng các Trojan thông dụng
Satanz Backdoor|666 
Silencer|1001 
Shivka-Burka|1600 
SpySender|1807 
Shockrave|1981 
WebEx|1001 
Doly Trojan|1011 
Psyber Stream 
Server|1170 
Ultors Trojan|1234 
VooDoo Doll|1245 
FTP99CMP|1492 
BackDoor|1999 
Trojan Cow|2001 
Ripper|2023 
Bugs|2115 
Deep Throat|2140 
The Invasor|2140 
Phineas Phucker|2801 
Masters 
Paradise|30129 
Portal of Doom|3700 
WinCrash|4092 
ICQTrojan|4590 
Sockets de Troie|5000 
Sockets de Troie 
1.x|5001 
Firehotcker|5321 
Blade Runner|5400 
Blade Runner 1.x|5401 
Blade Runner 2.x|5402 
Robo-Hack|5569 
DeepThroat|6670 
DeepThroat|6771 
GateCrasher|6969 
Priority|6969 
Remote Grab|7000 
NetMonitor|7300 
NetMonitor 1.x|7301 
NetMonitor 2.x|7306 
NetMonitor 3.x|7307 
NetMonitor 4.x|7308 
ICKiller|7789 
ATMMT - TNNQ 47
6. Một số cổng
đi cùng các Trojan thông dụng
Portal of Doom|9872 
Portal of Doom 
1.x|9873 
Portal of Doom 
2.x|9874 
Portal of Doom 
3.x|9875 
Portal of Doom 
4.x|10067 
Portal of Doom 
5.x|10167 
iNi-Killer|9989 
Senna Spy|11000 
Hack?99 
KeyLogger|12223
GabanBus|1245 
NetBus|1245 
Whack-a-mole|12361 
Whack-a-mole 
1.x|12362 
Priority|16969 
Millennium|20001 
NetBus 2 Pro|20034 
GirlFriend|21544 
Evil FTP|23456 
Ugly FTP|23456 
Delta|26274 
Back Orifice|31337 
Back Orifice|31338 
DeepBO|31338 
NetSpy DK|31339 
BOWhack|31666 
BigGluck|34324 
The Spy|40412 
Masters Paradise 
1.x|40422 
Masters Paradise 
2.x|40423 
Masters Paradise 
3.x|40426 
Sockets de Troie|50505 
Fore|50766 
Remote Windows 
Shutdown|53001 
Telecommando|61466 
Devil|65000 
The tHing|6400 
ATMMT - TNNQ 48
6. Một số cổng
đi cùng các Trojan thông dụng
NetBus 1.x|12346 
NetBus Pro 20034 
SubSeven|1243 
NetSphere|30100 
Silencer |1001 
Millenium |20000 
Devil 1.03 |65000 
NetMonitor| 7306 
Streaming Audio 
Trojan| 1170 
Socket23 |30303 
Gatecrasher |6969 
Telecommando | 
61466 
Gjamer |12076 
IcqTrojen| 4950 
Priotrity |16969 
Vodoo | 1245 
Wincrash | 5742 
Wincrash2| 2583 
Netspy |1033 
ShockRave | 1981 
Stealth Spy |555 
Pass Ripper |2023 
Attack FTP |666 
GirlFriend | 21554 
Fore, Schwindler| 
50766 
Tiny Telnet Server| 
34324 
Kuang |30999 
Senna Spy Trojans| 
11000 
WhackJob | 23456 
BladeRunner | 5400 
IcqTrojan | 4950 
InIkiller | 9989 
PortalOfDoom | 9872 
ProgenicTrojan | 11223 
Prosiak 0.47 | 22222 
RemoteWindowsShutd
own | 53001 
RoboHack |5569 
Silencer | 1001 
Striker | 2565 
ATMMT - TNNQ 49
7. Bài tập
1. Dưới đây liệt kê một sốWorm phổ biến và port tương ứng. 
Tìm kiếm tài liệu liên quan và mô tả cách hoạt động của 5 
Worm khác nhau trong danh sách.
ATMMT - TNNQ 50
7. Bài tập
2. Dưới đây liệt kê một số Trojan phổ biến và port tương 
ứng. Tìm kiếm tài liệu liên quan và mô tả cách hoạt động 
của 5 Trojan khác nhau trong danh sách.
ATMMT - TNNQ 51
7. Bài tập
3. Xây dựng những quy tắc ACL để chặn các Worm và các 
Trojan (đã nêu trong bài 1 và 2) xâm nhập vào mạng nội bộ.
4. Mô tả chức năng quét Heuristic để tìm Virus.
5. Mô tả sự giống nhau và khác nhau trong cách hoạt động 
giữa các phần mềm McAfee VirusScan và Norton AntiVirus.
6. Tìm kiếm từ các trang web có liên quan danh sách Virus và
Trojan mới xuất hiện trong 2 tuần qua. Nêu một số đặc 
điểm chính của chúng.
7. Giải thích tại sao System Administrator không nên sử dụng 
một tài khoản người dùng có mật khẩu super-user để duyệt 
Web hoặc gởi và nhận E-Mail.
ATMMT - TNNQ 52
7. Bài tập
8. Web 2.0 xuất hiện vào năm 2004, đại diện cho thế hệ thứ
hai của công nghệWeb. Bảng dưới đây mô tả vài kỹ thuật 
tương ứng giữa Web 2.0 và Web 1.0 thế hệ trước:
Web 2.0 có cùng một số vấn đề về bảo mật như Web 1.0 
và còn phát sinh thêm một số vấn đề mới. Tìm các tài liệu 
liên quan và mô tả 5 vấn đề bảo mật trong Web 2.0.
ATMMT - TNNQ 53
7. Bài tập
9. Vào trang  download 
về và cài đặt trên máy tính các phần mềm:
1. Windows Defender
2. Microsoft Security Essentials
– Chạy Windows Defender để quét Spyware, giải thích cơ 
chế hoạt động của phần mềm này.
– Đánh giá Microsoft Security Essentials với một số phần 
mềm tương tự phổ biến nhất hiện nay về:
1. Khả năng chống mã độc hại
2. Tường lửa tích hợp vào IE
3. Hệ thống giám sát mạng để tăng khả năng ngăn chận tấn công 
từ bên ngoài
4. Tiêu tốn tài nguyên, thời gian hoạt động…
ATMMT - TNNQ 54
5. Bài tập
10. Trong hệ điều hành Windows, cookies của trình duyệt IE 
được lưu trữ trên ổ đĩa C trong thư mục Documents and 
Settings. Vào thư mục là tên người dùng, vào thư mục 
Cookies. Chọn và mở ngẫu nhiên một tập tin cookie. Giải 
thích những gì bạn thấy, và trả lời các câu hỏi:
™ Nếu cookie được truyền tới các máy chủWeb dưới dạng 
plaintext, liệt kê và mô tả các mối đe dọa bảo mật tiềm tàng
mà người dùng có thể sẽ gặp.
™ Nếu người dùng được phép chỉnh sửa các tập tin cookie lưu 
trữ trên máy tính cục bộ, liệt kê và mô tả các mối đe dọa 
bảo mật tiềm tàng có thể xảy ra cho các máy chủWeb.
ATMMT - TNNQ 55
5. Bài tập
11. Nêu chức năng và cách sử dụng các công cụ:
™ Netstat
™ Fport
™ TCPView
™ CurrPorts Tool
™ Process Viewer
™ What’s running
™ One file exe maker