Đề tài Trình bày các loại virus và phần mềm gián điệp (spyware) đã tấn công hệ thống dữ liệu của doanh nghiệp

Đề tài: Trình bày các loại virus và phần mềm gián điệp (spyware) đã tấn công hệ thống dữ liệu của doanh nghiệp I. Thực trạng về các loại virus và phần mềm gián điệp (spyware) hiện nay: 1. Sự cần thiết bảo mật hệ thống dữ liệu của doanh nghiệp: Thế giới thay đổi từng ngày trong việc truyền thông dữ liệu toàn cầu, những kết nối Internet rẻ tiền và tốc độ ngày một nhanh hơn thì việc bảo mật hệ thống là một vấn đề hết sức hữu ích. Nhiều tổ chức tập trung vào việc bảo vệ chống lại các tấn công bên ngoài nhưng lại bỏ qua những hiểm họa thậm chí còn nguy hiểm hơn nhiều: mất cắp dữ liệu bởi ai đó bên trong công ty. Đây là một góc nhìn quan trọng cần phải đề cập đến trong vấn đề bảo mật. Một cách đáng tiếc, những đề phòng bảo mật dùng để ngăn chặn các tấn công DoS, virus, worm, và các tấn công khác lại dường như không thể giải quyết được đến vấn đề sảo quyệt hơn: trộm dữ liệu công ty cho mục đích gián điệp hoặc các mục đích khác. Sự phơi bày các bí mật thương mại trước một đối thủ cạnh tranh hoặc phóng thích các thông tin riêng tư của công ty cho giới truyền thông, trong một số trường hợp, có thể gây ra mất mát rất nhiều so với thời gian ngừng hoạt động của máy móc. Vì vậy, việc bảo mật hệ thống dữ liệu của doanh nghiệp từ nguy cơ bên ngoài cũng như những mối đe doạ từ bên trong là rất cần thiết nhất là đối với các doanh nghiệp thương mại điện tử, lấy thông tin làm nên tảng cho hoạt động kinh doanh của doanh nghiệp. 2. Thực trạng về các loại virus và phần mềm gián điệp 2.1. Thực trạng về các loại virus: Virus máy tính có thể lây vào máy tính của bạn qua email, qua các file bạn tải về từ Internet hay copy từ máy khác về, và cũng có thể lợi dụng các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính của bạn một cách âm thầm. Các virus ngày nay thường phục vụ cho những mục đích kinh tế hoặc phá hoại cụ thể. Chúng có thể chỉ lợi dụng máy tính của bạn để phát tán thư quảng cáo hay thu thập địa chỉ email của bạn. Cũng có thể chúng được sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay các thông tin các nhân quan trọng của bạn. Cũng có thể chúng sử dụng máy bạn như một công cụ để tấn công vào một hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng. Đôi khi bạn là nạn nhân thực sự mà virus nhắm vào, đôi khi bạn vô tình trở thành "trợ thủ" cho chúng tấn công vào hệ thống khác. Trong năm 2010, đã có 57.835 dòng virus xuất hiện mới, nhưng virus lây lan nhiều nhất lại là một dòng virus cũ W32.Conficker.Worm, tính riêng ở Việt Nam đã có tới 58,6 triệu lượt máy tính bị nhiễm virus. Theo đó, trung bình một ngày đã có hơn 160 nghìn máy tính bị nhiễm virus. Các chuyên gia an ninh mạng đánh giá, đây là con số báo động về tình hình virus máy tính tại Việt Nam. Các virus siêu đa hình (Metamorphic virus) tiếp tục đứng trong top 3 những virus lây nhiễm nhiều nhất trong năm và là nỗi ám ảnh với người sử dụng máy tính tại Việt Nam. Với khả năng “thay hình đổi dạng” để lẩn trốn, 2 dòng virus Vetor và Sality đã lan truyền trên 5,9 triệu lượt máy tính. 2.2. Thực trạng về các phần mềm gián điệp Một cách để kiếm thêm thu nhập là thu thập thông tin từ người đã tải về các phần mềm này (như là tên tuổi, địa chỉ và các thị hiếu) rồi đem bán thông tin này cho các hãng chuyên làm quảng cáo. Cách thu thập ban đầu chỉ là dựa vào sự điền vào các mẫu đăng kí (register). Nhưng sau đó, để chủ động hơn, cách thức đọc thông tin được chuyển sang dạng cài lén phần mềm phụ để tự nó đọc thông tin của chủ và gửi thẳng về cho nơi mà phần mềm gián điệp này được chỉ thị. Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, spyware còn sử dụng (đánh cắp) từ máy chủ các tài nguyên của bộ nhớ (memory resource) ăn chặn băng thông khi nó gửi thông tin trở về chủ của các spyware qua các liên kết Internet. Vì spyware dùng tài nguyên của bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn tới hư máy hay máy không ổn định. Bởi vì là một chương trình độc lập nên spyware có khả năng điều khiển các tổ hợp phím bấm (keystroke), đọc các tập tin trên ổ cứng, kiểm soát các ứng dụng khác như là chương trình trò chuyện trực tuyến hay chương trình soạn thảo văn bản, cài đặt các spyware mới, đọc các cookie, thay đổi trang chủ mặc định trên các trình duyệt web, cung cấp liên tục các thông tin trở về chủ của spyware, người mà có thể dùng các tin tức này cho quảng cáo/tiếp thị hay bán tin tức cho các chỗ khác. Và tệ hại nhất là nó có khả năng ăn cắp mật khẩu truy nhập (login password) cũng như ăn cắp các các tin tức riêng tư của người chủ máy (như là số tài khoản ở ngân hàng, ngày sinh và các con số quan trọng khác...) nhằm vào các mưu đồ xấu. II. Một số loại virus và phần mềm gián điệp (spyware) đã tấn công hệ thống dữ liệu của doanh nghiệp Virus: Khái niệm: Có nhiều định nghĩa về virus, song, trong khoa học máy tính định nghĩa, virus máy tính (thường được người sử dụng gọi tắt là virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính,...). Có đặc điểm chung là: Kích thước nhỏ. Có khả năng lây lan, tức là tự sao chép chính nps lên các thiết bj lưu trữ dữ liệu như đĩa cứng, đĩa mềm, băng từ… Hoạt động ngầm: hầu như người sử dụng không thể nhận biết được sự thực hiện của một chương trình virus vì kích thước của nó nhỏ, thời gian thực hiện nhanh và người viết virus luôn tìm cách che dấu sự hiện diện của nó. Virus nằm thường trú ở bộ nhớ bên trong để tiến hành lây lan và phá hoại. Hầu hết các virus đều thực hiện công việc phá hoạt như ghi đè lên dữ liệu, phá hỏng bảng FAT, khống chế bàn phím, sửa đổi cấu hình hệ thống, chiếm vùng trọng nhớ. Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus. Sự phát triển: Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus: Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính. Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus. Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II. Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay. Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây là loại "stealth virus" đầu tiên. Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS. Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh". Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm). Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome). Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton. Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus. Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư này để tạo ra sự luân chuyển. Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point. Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính. Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù. Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút. Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích. Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chỗ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ. Phân loại Virus: Virus Boot Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi động của bạn sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix...). Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được để ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector". Virus Boot là tên gọi dành cho những virus lây vào Boot sector. Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên. Virus File Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ điều hành Windows như các file có đuôi mở rộng .com, .exe, .bat, .pif, .sys...Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn để lây vào. Thực tế các loại virus lây file ngày nay cũng hầu như không còn xuất hiện và lây lan rộng nữa.  Virus Macro Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính (Microsoft Excel) hay các file trình diễn (Microsoft Power Point) trong bộ Microsoft Office. Macro là tên gọi chung của những đoạn mã được thiết kế để bổ sung thêm tính năng cho các file của Office. Chúng ta có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tác giống nhau. Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó bằng một yêu cầu duy nhất. Con ngựa Thành Tơ-roa - Trojan Horse Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây lan. Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình hoặc ghép trojan đi kèm với các virus (đặc biệt là các virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân. Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu....để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình trước. Sâu Internet - Worm Sâu Internet -Worm là loại virus có sức lây lan rộng, nhanh và phổ biến nhất hiện nay. Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc đường truyền Internet. Vào thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó đang lây nhiễm và tự gửi chính nó qua email tới những địa chỉ tìm được. Với sự lây lan nhanh và rộng lớn như , Worm thường được kẻ viết ra chúng cài thêm nhiều tính năng đặc biệt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó. Ngoài ra, chúng còn có thể mang theo các BackDoor thả lên máy nạn nhân, cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và có thể làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp. Ngày nay khái niệm Worm đã được mở rộng để bao gồm cả các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa usb hay các dịch vụ gửi tin nhắn tức thời (chat) và đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan. Các phần mềm (nhất là hệ điều hành và các dịch vụ trên đó) luôn chứa đựng những lỗi tiềm tàng (ví dụ: lỗi tràn bộ đệm…) mà không phải lúc nào cũng có thể dễ dàng phát hiện ra. Khi một lỗ hổng phần mềm được phát hiện, không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ máy hoàn toàn không hay biết. Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng Internet với một cách thức tương tự. 4. Các cuộc tấn công của virus trong các doanh nghiệp: Hệ thống máy tính của hải quan Mỹ bị virus làm tê liệt nhiều giờ: Hãng Tân Hoa đưa tin, Bộ An ninh Nội địa Mỹ thừa nhận virus máy tính ngày 18/8 đã tấn công và làm tê liệt hệ thống máy tính của hải quan Mỹ trong nhiều giờ, gây ách tắc tại các sân bay lớn của Mỹ ở các thành phố New York, San Francisco, Maiami, Los Angeles, Huston, Dalas, Texas... Nhân viên hải quan Mỹ tại các sân bay nói trên buộc phải xử lý tình huống bằng các phương tiện thủ công. Tại sân bay Maiami, hành khách phải chờ đợi 5 giờ để được làm các thủ tục xuất nhập cảnh và hải quan. Các chuyên gia máy tính Mỹ vẫn chưa xác định được địa điểm tin tặc khởi đầu cuộc tấn công nhưng thừa nhận rằng toàn bộ hệ thống dữ liệu hải quan của Mỹ đặt tại Virginia đã bị virus làm tê liệt suốt 5 giờ liền. Sâu SQL Slammer làm đình trệ mạng Internet toàn cầu: Một loại sâu có khả năng tấn công vào phần mềm cơ sở dữ liệu của Microsoft đã lây lan rộng trên Internet vào cuối tuần vừa qua, khiến một số loại máy rút tiền ngưng hoạt động, khiến hầu hết mạng Internet của Hàn Quốc tắc nghẽn và làm chậm giao thông mạng tại Mỹ cũng như mạng Internet toàn cầu nói chung. Loại sâu này, có tên là SQL Slammer, đã lợi dụng một lỗi vừa được phát hiện trong phần mềm CSDL SQL Server của Microsoft vào tháng 7/2002 để phát tán. Mắc dù một bản phần mềm sửa lỗi (patch) đã được cung cấp sau khi lỗ hổng này được phát hiện, vẫn có rất nhiều người quản trị mạng không thể cài được bản sửa lỗi này và để máy chủ của họ trong tình trạng nguy hiểm. Ngân hàng Bank of America của Mỹ cho biết 13.000 máy rút tiền ATM đã từ chối cho rút tiền. Tại Hàn Quốc, nhà cung cấp dịch vụ Internet lớn nhất KT cho biết hầu như tất cả khách hàng của hãng này đã bị ngắt kết nối Internet trong khi cuộc tấn công xảy ra. Những người sử dụng máy tính tại Trung Quốc cho biết các website trên mạng bị""chết cứng"" và tốc độ download giảm xuống rất thấp. Đó là lúc các máy chủ định danh DNS của nước này (các máy chủ chuyên chuyển đổi các địa chỉ trang web sang các địa chỉ số theo giao thức Internet (IP) bị sâu SQL Slammer tấn công. Và chỉ vẹn vẹn với 376 byte mã dòng lệnh, tương đương với nửa số ký tự trong đoạn văn mà bạn đang đọc, sâu SQL Slammer đã có sức mạnh ghê gớm và gây ra một nạn dịch trên quy mô toàn cầu. Spyware: Khái niệm: Phần mềm gián điệp, còn được dùng nguyên dạng Anh ngữ là spyware, là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy. Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người ta có thể tải về từ Internet. Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc). Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và ngay cả mật khẩu cũng như là số thẻ tín dụng. Spyware "được" cài đặt một cách vô tội vạ khi mà người chủ máy chỉ muốn cài đặt phần mềm có chức năng hoàn toàn khác. Spyware là một trong các "biến thể" của phần mềm quảng cáo (adware). Spyware là chữ viết tắt của spy (gián diệp) và software (phần mềm máy tính) trong tiếng Anh; tương tự, adware là từ advertisement (quảng cáo) và software mà thành. Lịch sử phát triển: Giống như virus, người ta chưa hoàn toàn thống nhất ý kiến với nhau về lịch sử của spyware và cũng có ít tài liệu trình bày rõ ràng đầy đủ về đề tài này.Các nguyên do đầu tiên nảy sinh ra phần mềm gián điệp là do việc các cá nhân chế tạo phần mềm miễn phí (và một số các phần mềm chia sẻ) muốn có thêm khoản tài chính để phát triển phần mềm của họ trong khi số tiền chính thức mà họ nhận được từ những người tải về thì lại quá ít.Do đó, một cách để kiếm thêm thu nhập là thu thập thông tin từ người đã tải về các phần mềm này (như là tên tuổi, địa chỉ và các thị hiếu) rồi đem bán thông tin này cho các hãng chuyên làm quảng cáo. Cách thu thập ban đầu chỉ là dựa vào sự điền vào các mẫu đăng kí (register). Nhưng sau đó, để chủ động hơn, cách thức đọc thông tin được chuyển sang dạng cài lén phần mềm phụ để tự nó đọc thông tin của chủ và gửi thẳng về cho nơi mà phần mềm gián điệp này được chỉ thị.Sau này khi đã có các luật lệ cấm tự ý thu thập các thông tin riêng của máy chủ thì các loại phần mềm gián điệp này chuyển hẳn sang hai hướng:    * Tiếp tục cài đặt phần mềm quảng cáo chung với các phần mềm chính qua thủ đoạn hợp pháp hóa, bằng cách chỉ cần thay đổi nội dung của mẫu đăng kí phần mềm (registration form) thành mẫu "thỏa thuận của người tiêu dùng" (User Agreement hay License Agreement) trong đó có ghi một khoản rất nhỏ là người tiêu dùng sẽ đồng ý cho phép cài đặt phần mềm quảng cáo và các loại phần mềm này đã phát triển tới mức nó có thể tự mở một cửa sổ nảy (pop-up windows) mà không cần người chủ máy ra lệnh.    * Hướng phát triển thứ hai là các phần mềm này chuyển sang dạng có ác tính: nó có thể, bằng một cách phi pháp, tìm cách đọc tất cả những thông tin bí mật của máy chủ từ mật mã truy cập, các số thẻ tín dụng cho đến ngay cả việc giành luôn quyền điều khiển bàn phím.Từ "spyware" xuất hiện đầu tiên trên USENET vào năm 1995. Cho đến đầu năm 2000 thì các phần mềm chống gián điệp (antispyware) cũng ra đời. 2.3. Một số Spyware nổi tiếng    * WildTangent: phần mềm này được cài đặt thông qua American Online Instant Messenger (AIM). Theo AOL (American Online) thì nó cần dùng để tạo nối kết giữa các thành viên trong các trò chơi trên Internet. Một khi được cài đặt, nó sẽ lấy các thông tin về tên họ, số điện thoại, địa chỉ thư điện tử cũng như là tốc độ của CPU, các tham số của video card và DirectX. Các thông tin này có thể bị chia sẻ cho các nơi khác chiếm dụng. Nếu bạn không chơi game thì loại bỏ nó bằng cách nhấn nút:         1. Start -> Run -> gõ chữ regedit -> vào nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run         2. Kiếm giá trị "wcmdmgr" trong bảng bên phải rồi xoá nó.         3. Sau đó đóng chương trình này lại và tái khởi động máy.         4. Sau đó xoá luôn thư mục con WT nằm trong thư mục Windows hay WINNT.    * Xupiter: chương trình này sẽ tự nảy các bảng quảng cáo. Nó thêm các chỗ đánh dấu (bookmark) lên trên menu của chương trình duyệt và, nguy hại hơn, nó thay đổi cài đặt của trang chủ. Xupiter còn chuyển các thói quen xài Internet (surfing) về xupiter.com và do đó làm chậm máy. Ngoài ra nó còn đọc cả địa chỉ IP và các tin tức khác.    * DoubleClick: dùng một tệp nhỏ gọi là cookies theo dõi hoạt động trực tuyến của bạn.    * WinWhatWhere: thông báo cho người khác biết về các tổ hợp phím (keystroke) mà bạn gõ.    * Gator và eWallet: ăn cắp tên, quốc gia, mã vùng bưu điện và nhiều thứ khác. Cách thức và mức độ gây hại: - Cài đặt phần mềm: Đối với một số chương trình cài đặt, đặc biệt là những khách hàng sử dụng chung file, Spyware chính là một phần của cài đặt tiêu chuẩn. Download: Là trường hợp khi một trang web hay một trang Pop-up tự động tải và cài đặt Spyware vào máy tính. Trong trường hợp này, máy chỉ báo với bạn về tên của phần mềm đó và hỏi bạn liệu có được cài đặt không. Thậm chí nếu như phần cài đặt an ninh của máy có vấn đề, người sử dụng sẽ không được thông báo gì hết. Trình duyệt Add-on: Đây là những phần mềm hỗ trợ cho trình duyệt web như thanh công cụ, biểu tượng hoạt hình hay hộp tìm kiếm. Cũng có lúc những phần mềm như thế này thức sự hỗ trợ máy tính nhưng cũng có khi chúng có chứa Spyware. Đôi lúc những phần mềm dó thực ra chỉ là những Spyware “trá hình”. Thông thường nhất là khi bạn truy cập vào các Website tục tĩu chúng sẽ cướp mất quyền điều khiểncủa chương trình duyệt Web.Chúng xâm nhập vào máy tính của bạn, và bạn sẽ mất công một chút để “diệt” chúng. Giả làm phần mềm diệt Spyware: Đây là một trong những “chiêu lừa” ngọa mục nhất. Phần mềm kiểu  này sẽ đánh lừa bạn rằng đây chính là một công cụ để dò tìm và loại bỏ Spyware. . Một số cuộc tấn công của spyware vào hệ thống dữ liệu của doanh nghiệp: Lấy cắp mật khẩu tài khoản Ngày 16/5/2010, công an TP Hà Nội cho biết họ đang xem xét khởi tố vụ án lừa đảo bằng công nghệ cao. Đối tượng phạm tội là Nguyễn Hoàng (Thịnh Liệt, Hoàng Mai), nhân viên môi giới của một công ty kinh doanh vàng bạc và đồng phạm Nguyễn Thị Tuyết là người kinh doanh vàng bạc ở quận Hai Bà Trưng, Hà Nội. Hành vi chiếm đoạt tài sản của Hoàng, Tuyết được phát hiện khi công ty nạn nhân nhận thấy những dấu hiệu bất thường trong giao dịch. Họ đã nhanh chóng phong tỏa tài khoản của thủ phạm và trình báo sự việc đến cơ quan chức năng.Qua điều tra, có thể biết được rằng cả Hoàng và Tuyết dùng phần mềm gián điệp cài đặt vào hệ thống máy tính công ty để lấy cắp mật khẩu tài khoản quản trị của sàn vàng, qua đó can thiệp lên các giao dịch đang diễn ra trên sàn vàng của công ty này. Sau khi lấy cắp thành công mật khẩu, Hoàng và Tuyết mở tài khoản mới và nộp tiền vào để giao dịch. Ngày 5.11.2009, Hoàng dùng máy tính xách tay truy cập vào tài khoản quản trị sàn vàng của công ty và đặt lệnh mua 1.000 lượng vàng với giá 24,61 triệu đồng/lượng trên tài khoản của một công ty khác. Sau đó, Hoàng dùng một máy tính khác truy cập vào tài khoản mới của Tuyết để đặt lệnh bán 750 lượng vàng với giá 24,58 triệu đồng/lượng, trong khi giá vàng thế giới lúc đó tương đương là 23,475 triệu đồng/lượng. Giao dịch thành công, Hoàng chiếm được khoản tiền chênh lệch gần 800 triệu đồng. Cơ quan chức năng cho biết, Nguyễn Hoàng và Tuyết quen nhau tại san giao dịch vàng. Hai đối tượng này đã thỏa thuận làm ăn chung và mức đóng góp theo ưu thế của từng bên. Tuyết có tiền nên góp vốn, Hoàng góp chất xám. Ban đầu hai đối tượng này đã thu được nguồn lợi nhất định. Tuy nhiên, đến đầu tháng 9/2009, việc làm ăn chung giữa họ bị thua lỗ gần 500 triệu đồng. Tài khoản của Tuyết bị khóa, không thể tiếp tục giao dịch. Trong lúc khó khăn, Hoàng đã nghĩ ra cách trộm mật khẩu, giao dịch nội gián để cứu vãn tình hình. Vụ tấn công ăn cắp thông tin cá nhân và mật khẩu của những người chơi game PTV Khi game thủ truy nhập vào Priston Tale hoặc vào trang Yahoo Mail, virus có tên PrsKey.A sẽ ghi lại các lệnh gõ trên bàn phím và gửi dữ liệu thu được về cho hacker. PrsKey.A được lập trình để phát tán qua các kênh chia sẻ trên mạng và đồng thời còn sử dụng một số thủ đoạn lừa bịp khác để dụ dỗ người chơi game tải nó về máy tính. Những account của người chơi sẽ được rao bán ở trên mạng. Đến thời điểm này, PrsKey.A chưa phát tán ở mức độ rộng nhưng vụ tấn công cũng gây ra một số vấn đề đối với các quản trị viên Priston Tale trong việc ngăn chặn tình trạng buôn bán account người chơi. Giới chuyên gia bảo mật cho biết các phần mềm tấn công đang được sử dụng ngày càng nhiều vào mục đích ăn cắp tiền trong game của người tham gia thay vì giành điểm cao. Tấn công diễn đàn www.hvaonline.net Rạng sáng ngày 1-5-2006, diễn đàn HVA bị một nhóm hacker tấn công và làm hỏng trọn bộ cơ sở dữ liệu của HVA. Sau đó, toàn bộ bài viết của forum HVA cùng 70000 email thành viên với mật khẩu đã được mã hóa và box kín của ban quản trị đã được rao bán với giá 1.700USD trên 1 trang web khác. Đến chiều tối ngày 7-5 thì forum của HVA vẫn chưa thể hoạt động bình thường, trên trang chủ chỉ có duy nhất dòng thông báo "Diễn đàn HVA tạm ngưng hoạt động. Thông báo chi tiết về việc HVA hoạt động trở lại sẽ được công bố trong thời gian ngắn nhất". Đại diện của HVA cho biết, trong vụ này, hacker đã sử dụng chiêu thức "xflash". Tức là bí mật đặt một banner đã cài sẵn mã tấn công trên một vài website có số lượng người truy cập lớn. Như vậy, mỗi một người truy cập vào các website này đã tự động tải đoạn mã tấn công đó và vô tình trở thành một mũi phát động các lệnh hợp lệ tiến thẳng đến server của HVA. III. Cách phòng chống và khắc phục các loại virus và phần mềm gián điệp đã tấn công doanh nghiệp: 1. Spyware Phần mềm gián điệp luôn "quấy nhiễu" bạn trong khi lướt web, khiến công việc của bạn không được trôi chảy. Hiện có rất nhiều phần mềm giúp diệt spyware, trong đó NoAdware v3.0 là nổi bật hơn cả nhờ tính tiện ích và hiệu quả diệt spyware rất tốt 2.Malware, Viết tắt của malicious software, là một phần mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy tính mà người sử dụng không hề hay biết. Nhiều người dùng máy tính vẫn thường dùng thuật ngữ virus để chỉ chung cho các loại malware, nhưng thực malware bao gồm virus, worm, trojan horse, adware, spyware.1 số phần mềm tiêu diệt và phát hiện malware + Microsoft Process Explorer +HiJackThis +Kaspersky’s Getsysteminfo +Microsoft Baseline Security Analyzer (MBSA) +Secunia’s Scanner +Chương trình Antivirus: BitDefender, Kaspersky, Norton, Avira...... 3.Phần mềm quảng cáo (adware_) Làm thế nào để loại bỏ các tập tin Ezlife Phần mềm quảng cáo? Cần giúp đỡ xóa các tập tin Ezlife Phần mềm quảng cáo? Vào thời điểm khi bạn chỉ phải tự xóa các tập tin Ezlife Phần mềm quảng cáo: Nếu bạn cảm thấy thoải mái chỉnh sửa hệ thống của bạn, bạn sẽ tìm thấy nó khá dễ dàng. Làm thế nào để xóa các tập tin Ezlife Adware Windows XP/Vista/7: Nhấp Windows menu Start của bạn và bấm vào nút "Search". Bật lên shegekitkhebat, "Những gì bạn muốn tìm?" Nhấp vào "Tất cả các file và thư mục." Phần mềm quảng cáo Ezlife tập tin nhập vào hộp tìm kiếm và chọn "Local Hard Drives." Nhấp vào "Tìm kiếm". Một khi tập tin Ezlife Phần mềm quảng cáo được tìm thấy, xóa nó. Đình chỉ Ezlife Phần mềm quảng cáo quá trình: Nhấp vào trình đơn Start, chọn Run. Loại taskmgr.exe vào hộp lệnh Run, và nhấn "OK". Bạn cũng có thể bắt đầu làm việc quản lý bằng cách nhấn phím CTRL + SHIFT + ESC. Nhấp vào tab Processes, và tìm Ezlife Phần mềm quảng cáo quá trình. Một khi bạn đã tìm thấy Ezlife Adware quy trình, nhấp chuột phải vào chúng và chọn "End Process" để giết Ezlife Phần mềm quảng cáo. 4.Phòng ngừa keylogger Keylogger thường bị vào máy qua hai con đường chính: được cài đặt hoặc bị cài đặt.Phòng ngừa “được cài đặt”Phương pháp sau chỉ có tác dụng với chủ máy (người nắm quyền root/administrator) Cách tốt nhất là không cho ai sử dụng chung máy tính. Bảo mật máy bằng cách khóa lại bằng các chương trình bảo vệ, hoặc mật khẩu khi đi đâu đó. Nếu phải dùng chung nên thiết lập quyền của người dùng chung đó thật thấp (guest đối với Windows XP, user đối với Linux) để kiểm soát việc cài đặt chương trình của họ.Phòng ngừa “bị cài đặt”Bị cài đặt là cách để nói đến các trường hợp keylogger vào máy không do người nào đó trực tiếp đưa vào trên máy đó mà do trojan, virus, spyware cài đặt vào máy nạn nhân mà nạn nhân không hề hay biết. Các biện pháp phòng ngừa:+Không tùy tiện mở các tập tin lạ, không rõ nguồn gốc ( đặc biệt chú ý các tập tin có đuôi *.exe, *.com, *.bat, *.scr, *.swf, *.zip, *.rar, *.js, *.gif…). Tốt nhất là nên xóa đi, hoặc kiểm tra (scan) bằng một chương trình antivirus và một chương trình antispyware, vì nhiều chương trình antivirus chỉ có thể tìm thấy virus, không thể nhận biết spyware. +Không vào các trang web lạ, đặc biệt là web “tươi mát” vì có thể các trang web này ẩn chứa một loại worm, virus, hoặc là mã độc nào đó có thể âm thầm cài đặt. + Không click vào các đường link lạ do ai đó cho bạn. + Không cài đặt các chương trình lạ (vì nó có thể chứa virus, trojan) + Không download chương trình từ các nguồn không tin cậy. Nếu bạn có thể, xem xét chữ ký điện tử, để chắc chắn chương trình không bị sửa đổi. + Hạn chế download và sử dụng cracked-program. Luôn luôn tự bảo vệ mình bằng các chương chình chuyên dùng chống virus, chống spyware (antivirus, antispyware) và dựng tường lửa (firewall) khi ở trong Internet. Thường xuyên cập nhật đầy đủ các bản cập nhật bảo mật của hệ điều hành. 5.Phising - Khi duợc yêu cầu cung cấp thông tin quan trọng, tốt hon hết là nên trực tiếp vào website của phía yêu cầu dể cung cấp thông tin chứ không di theo duờng liên kết duợc gửi dến. Cẩn thận hon thì nên email lại (không reply email dã nhận) với phía dối tác dể xác nhận hoặc liên hệ với phía dối tác bằng phone hỏi xem có kêu mình gửi thông tin không cho an toàn. - Với các trang xác nhận thông tin quan trọng, họ luôn dùng giao thức http secure (có s sau http) nên dịa chỉ có dạng [Only registered and activated users can see links] chứ không phải là [Only registered and activated users can see links] thuờng. Ngân hàng kêu ta xác nhận lại hà tiện dùng [Only registered and activated users can see links] “thuờng” thì chắc là ngân hàng… dịa phủ.- Ðể tránh “chết cả dám”, mỗi tài khoản nên dặt mật khẩu khác nhau, và nên thay dổi thuờng xuyên (xem thêm Huớng dẫn dặt và bảo vệ mật khẩu).- Nên thuờng xuyên cập nhật các miếng vá lỗ hổng bảo mật cho trình duyệt (web browser). Cài thêm chuong trình phòng chống virus, diệt worm, trojan và tuờng lửa là không bao giờ thừa. Cuối cùng, và cung là quan trọng nhất là dừng quên kiểm tra thuờng xuyên thông tin thẻ ATM, Credit Card, Tài khoản ngân hàng,… xem “ai còn, ai mất” dể mà còn trở tay kịp thời! Cái này quan trọng lắm á! Nếu bị “lừa” thì dừng quên report thông tin dến tổ chức Anti Phishing Group - Phòng chống Phishing quốc tế ([Only registered and activated users can see links]) dể nhờ họ “trả thù” dùm mình! 6.Rookits Tất cả những kernel-rootkits phổ biến nhất chỉ có thể tự gắn vào system khi mà người sử dụng máy tính đăng nhập vào máy tính với tài khoản có quyền admin và bị dính virus. Do vậy, khi bạn làm việc với tài khoản của người dùng bình thường ( không có quyền admin ) thì rootkits không thể có cơ hội để cài vào máy bạn nữa. Bạn có thể tạo một tài khoản hoạn chế bằng cách vào control panel –> user account và tạo theo hướng dẫn.Lưu ý: bạn vẫn nên để lại một tài khoản với quyền của admin để có thể cài thêm chương trình vào máy của mình (với tài khoản hạn chế bạn không thể cài chương trình vào máy được).Ngoài việc phòng ngừa rootkits bằng cách làm việc với tài khoản hạn chế, bạn còn nên cài thêm phần mềm chống những phần mềm phá hoại để bảo vệ và phát hiện sự xâm nhập một cách nhanh nhất. Có rất nhiều phần mềm diệt virus chuyên dụng ngăn chặn sự cài đặt của rootkits một cách có hiệu quả ngay khi chúng vừa mới xâm nhập vào hệ thống.Ngoài việc luôn sử dụng một chương trình chống virus trên hệ thống, bạn nên sử dụng thêm một vài chương trình đặc biệt được sử dụng vào mục đích đặc biệt là tìm kiếm và phát hiện sự hiện diện của rootkits trên máy của bạn.Dưới đây là một số chương trình rootkits finders thường được sử dụng (free và bạn có thể tìm kiếm, download ngay trên internet):BlacklightRootkit unhookerAnti-rootkitAntivir PE Classic 7 ( vừa diệt virus mà cũng chống rootkits)Còn nếu bạn muốn sử dụng một chương trình cho tất cả thì bạn có thể sử dụng các chương trình sau:Norton Antivirus 2007Kaspersky Antivirus 6.0Hai chương trình trên đòi hỏi bạn phải mua bản quyền và là công cụ diệt virus cùng rootkits rất tốt. 7.Ransomeware Đây là loại phần mềm độc hại (malware) rất nguy hiểm vì cơ hội nhận lại dữ liệu của bạn là rất thấp", ông Vitaly Kamluk, chuyên gia phòng thí nghiệm malware của công ty bảo mật Kaspersky viết trong một bài đăng blog mô tả vụ tấn công. "Nó gần như việc loại bỏ vĩnh viễn dữ liệu từ ổ cứng của bạn".Phiên bản ransomware GpCode cuối cùng được biết đến từ 2 năm trước đây. Các công ty chống virus đã ngay lập tức phân tích mã ransomware để tìm những lỗi có thể cho phép giải mã. Viết mã mã hóa tốt là rất khó khăn, và nhiều phiên bản trước của chương trình đã có sai sót, cho phép các công ty bảo mật giúp đỡ nạn nhân phục hồi ít nhất một số dữ liệu của họ. Nếu người sử dụng chuẩn bị đúng cách, việc bảo vệ chống lại tấn công ransomware rất đơn giản: Chỉ cần đảm bảo bạn thực hiện sao lưu thường xuyên, huấn luyện người sử dụng phục hồi dữ liệu nếu bạn đã từng đối mặt với mối đe dọa ransomeware.Đối với các nạn nhân không cần sao lưu, những người có phản xạ nhanh vẫn có thể bảo vệ dữ liệu. Khi nạn nhân nhận thấy dữ liệu của mình đã bị mã hóa, ngay lập tức họ phải rút phích cắm PC ra khỏi nguồn điện 8.Backdoor và trojan Không sử dụng các phần mềm không tin tưởng (Đôi khi tin tưởng vẫn bị dính Trojans)- Không vào các trang web nguy hiểm, không cài các ActiveX và JavaScript trên các trang web đó bởi có thể sẽ đính kèm Trojans- Tối quan trọng là phải update OS thường xuyên- Cài phần mềm diệt virus uy tín: Tôi hay dùng: Kaspersky Internet Security, Norton Internet Security, và Mcafee Total Security, nhưng nghe nói còn rất nhiều phần mềm diệt Virus và chống Trojan hay khác. Sau khi cài các phần mềm này bạn hãy update nó thường xuyên. 9.Trojan horse Cách hạn chế:- Để hạn chế các dạng này ta có thể dùng một số phần mềm diệt virus.- Ta cũng có thể lên google để search một số trang web để quét xem những link trên trang web đó có an toàn không trước khi click vào.- Cập nhật các bản vá mới nhất cho các trình chống virus.- Nếu đã bị nhiễm thì cách li ra những khu riêng biệt để tránh lây lan qua hệ thống khác.Cách hữu hiệu nhất là đừng bao giờ mở các đính kèm được gửi đến một cách bất ngờ. Khi các đính kèm không được mở ra thì Trojan horse cũng không thể hoạt động. Cẩn thận với ngay cả các thư điện tử gửi từ các địa chỉ quen biết. Trong trường hợp biết chắc là có đính kèm từ nơi gửi quen biết thì vẩn cần phải thử lại bằng các chương trình chống virus trước khi mở nó. Các tệp tải về từ các dịch vụ chia sẻ tệp như là Kazaa hay Gnutella rất đáng nghi ngờ, vì các dịch vụ này thường bị dùng như là chỗ để lan truyền Trojan horse.Tấn công ở tầng ứng dụng:Dựa vào các lỗ hổng của tầng ứng dụng như HTTP, sendmail, postcript, FTP.- Có thể dùng các thiệt bị như IDS/IPS để quét, theo dõi, ghi log và ngăn chặn. Thường xuyên cập nhật các lỗ hổng mới 10.Sâu máy tính Sử dụng các phần mềm phát hiện và diệt virus và worm như:kaspersky,bitdefender,norton,avast!home editon 5.0,comodo antivirus… 11.Bot va Botne Phòng thử chống lại việc lây nhiễm và tấn công của bot chia làm 3 nội dung chính:- Phòng ngừa: người sử dụng, những người quản trị hệ thống nên hiểu cơ chế lây nhiễm và phát tán các bot để có các phòng ngừa. Sử dụng các chương trình phát hiện, tiêu diệt virus, mã độc,…sử dụng hệ thống tường lửa, các hệ thống phát hiện xâm nhập,...- Phát hiện: có thể phát hiện việc xuất hiện của bot bằng cách giám sát các tiến trình, giám sát băng thông và gói tin trong mạng. Xem các cảnh báo, log file từ các hệ thống cảnh báo, tường lửa,…- Xử lý: xử lý khi phát hiện có bot, xử lý khi bị botnet tấn công *Đối với người dùng thông thường (Dạng Home user)Phòng ngừa :- Tuân thủ các chính sách bảo mật - Cập nhật các bản vá các phần mềm trên máy- Tham khảo thông tin cập nhật tại cert.org phần “Home Network Security” đây là những nội dung rất căn bản và hữu ích..- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng [theo CERT, 2001]- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu..- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.- Sử dụng tường lửa và thiết lập các chế độ hợp lý.Phát hiện :- Cổng mặc định của IRC là 6667, cổng này có thể bị thay đổi. Dùng lệnh netstat – an trên cả Windows và Linux để kiểm tra các cổng ra vào mà máy tính đang sử dụng. Ví dụ :C:/windows> netstat – anTCP your.mac hine.ip remote.irc.server.ip :6667 ESTABLISHEDNhư trên thì có nghĩa là có kết nối IRC đến remote.irc.server.ip qua cổng 6667.Các server IRC có thể lắng nghe trên các cổng 6000- 7000A169 4EĐây cũng là cách để phát hiện các phần mềm gián điệp khác.- Giám sát băng thông, gói tin trên mạng, các cổng kết nối. Có thể có một vài dấu hiệu như mạng chậm, tỉ lệ gói tin gửi đi và nhận được khác thường,…- Phần mềm chống virus và phần mềm gián điệp có thể phát hiện ra chúng.- Trong một số trường hợp có thể dùng các chương trình quét trực tuyến của các hang bảo mật lớn. [theo SYMANTEC] Xử lý:- Ngắt kết nối mạng của máy bị nhiễm mã độc, để tránh nguy cơ ảnh hưởng đến các máy cùng mạng.- Cập nhật phần mềm diệt virus, kiểm tra xem nhà cung cấp hệ điều hành, phần mềm có bản vá hay không ?- Nếu các chương trình diệt virus không phát hiện ra có thể dùng các công cụ hiển thị các tiến trình của máy tính để phát hiện và diệt bằng tay.- Nếu trên máy có chứa các thông tin nhay cảm như tài khoản ngân hàng thì cần báo ngay cho nơi quản lý thẻ để tạm ngưng sử dụng hoặc nếu là mật khẩu thì cần đổi lại ngay.- Nếu không xử lý được thì cần nhờ người có kỹ thuật xử lý.* Đối với quản trị hệ thống Phòng chống:- Áp dụng các chính sách bảo mật thông dụng.- Theo hướng dẫn của nhà cung cấp hệ điều hành, phần mềm ứng dụng nâng cấp và cập nhật bản vá.- Theo dõi thông tin về các lỗ hổng bảo mật trên các trang bảo mật uy tín, nhận thông tin bảo mật từ các mailing list bugtraq.- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng.- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu.- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.- Sử dụng tường lửa và thiết lập các chế độ hợp lý.- Cài đặt các phần mềm để giám sát hệ thống, phân tích log file hoạt động và truy nhập của hệ thống.Phát hiện- Sử dụng các kỹ thật như đối với người dùng thông thường.- Thường xuyên giám sát log của hệ thống sử dụng, log của hệ thống giám sát, có cơ chế cảnh báo tự động cho người quản trị như gửi mail,…- Giám sát mạng, dùng tường lửa chặn các cổng không cần thiết. một tiện ích nhỏ cho phép xem các cổng đóng mở ngoài netstat là fport của McAfee:- Phân tích log của phần mềm bắt gói tin có thể phát hiện ra server và kênh bí mật của kẻ tấn công sử dụng, biết được mật khẩu kết nối IRC mã hóa hay không mã hóa.- Tiến hành quét toàn bộ các máy tình nghi có chứa mã độc, rà soát, tìm và dỡ bỏ backdoor, rootkit. Xử lý :- Sử dụng các kỹ thật như đối với người dùng thông thường.- Cô lập các máy bị nhiễm sang một phân mạng riêng biệt.- Lưu trữ và giữ an toàn dữ liệu, logs file của Firewalls, Máy chủ Mail , IDS, DHCP, proxy...- Xử dụng phần mền bắt gói tin để phân tichs cách thức hoạt động của bot, phát hiện các máy bị lây nhiễm, nguồn gốc của nơi phát lệnh,…- Liên hệ các trung tâm xử lý sự cố máy tính, các trung tâm an ninh mạng để cùng phối hợp giải quyết.