Trojan và những biến dạng của nó
Chào các bạn,
Dù phong trào gửi trojan ăn cắp pwd đã xẹp xuống, nhưng tôi thấy vẫn còn nhiều bạn thắc mắc về loại virus này. Bằng sự hiểu biết ít ỏi của mình, tôi xin góp một số ý kiến cùng các bạn.
Virus là một đoạn mã chương trình thực thi những hành động cố ý làm ảnh hưởng đến hoạt động bất thường của máy tính. Như vậy ta cần phân biệt virus với bug, dù có thể lợi dụng bug để làm nhiều chuyện "tày đình".
Ngày xưa, virus được chia làm 2 loại boot virus & file virus. Boot virus là loại nhiễm vào boot sector (đĩa mềm) hoặc master boot record (đĩa cứng) nhằm mục đích sẽ thi hành trong quá trình khởi động máy, trước cả HĐH. Còn file virus là loại virus nhiễm vào các tập tin thi hành (dạo đó là .EXE, .COM). Đó là mục tiêu lây nhiễm, còn mục tiêu phá hoại thì... tùy hứng của tác giả. Và điểm đặc trưng của virus là khả năng tự nhân bản.
Virus ngày nay đa dạng hơn, mục tiêu lây nhiễm không chỉ là boot, EXE, COM mà còn DLL, OCX (mã máy), DOC, XLS (macro), HTM, RTF, PDF (script, OLE). Nghĩa là hầu hết mọi tập tin đều là đối tượng lây nhiễm. Và khả năng đề kháng của virus cũng tăng rất nhiều theo thời gian: tàng hình (chống theo dõi), mã hoá, đa hình. Các virus hiện nay ít thường trú vì sẽ dễ bị phát hiện.
Trojan, hay Trojan horse (ngựa thành Tơ-roa - chắc bạn đã nghe nói đến?), là một đoạn chương trình được cài bí mật vào một chương trình khác, chờ thời cơ để hoạt động, tạo sự bất ngờ cho nạn nhân. Như vậy, cái thông báo đòi đăng kí Vietkey của anh Đặng Tuấn cũng có thể xem là trojan (lỡ thay vì đòi đăng kí, nó âm thầm format đĩa cứng thì sao nhỉ?).
Ban đầu, trojan được cài vào một số chương trình lớn cho các mục đích riêng tư, và khó phát hiện. Sau này thì trojan để các cao thủ (?) đùa vui: các con Sub Seven, Girl Friend, The Thing... để điều khiển từ xa máy tính của nạn nhân. Nó có thể dễ dàng xoá tập tin, sửa cấu hình, khởi động lại máy, chào hỏi vài câu hay thậm chí khoá (lock) máy nạn nhân. Các trojan này gồm 2 phần: phần server gửi cho nạn nhân và chỉ cần họ chạy là OK, khi đó phần client do kẻ thả virus giữ, có thể bảo tên nội gián server làm bất cứ chuyện gì (thông qua internet, LAN...). Để làm được nhiều việc như thế, các trojan này có size lên đến vài trăm KB. Các bạn cũng cần lưu ý là một khi phần server được nạn nhân kích hoạt lần đầu, nó tự động đổi tên (hay trích ra một file EXE) nghe rất... Windows (để nạn nhân tưởng đó là một chương trình của HĐH), và tự chạy mỗi khi khởi động máy. Và một chương trình EXE đã chạy thì nó sẽ làm được nhiều việc to tát.
Bây giờ, các bạn trẻ chúng ta thích dùng trojan để ăn cắp password. Nó chẳng cần gồm server và client nữa, mà chỉ là một chương trình bé bé (khoảng 15KB là đủ) để send các password của nạn nhân đến một email nào đó. Không chỉ send các saved password, mà nó có thể send cả thao tác bấm phím (key strokes) nữa. Ta nên biết là các saved password trong Windows (có dạng ******) không được mã hoá và có thể xem dễ dàng (95/98/ME/NT/2K/XP, cho dù với dòng NT thì khó hơn). Đã vậy còn các cookies mà các web mail hay dùng nữa chứ.
Tuy nhiên, để ngăn không cho trojan chạy thì có tắt trong System Information/Start up (9x). Trong họ NT thì có thể tắt ngay process đó. Để phòng trojan, các bạn hãy cẩn thận với những mail có đính kèm. Nếu các tập tin JPG của bạn không có đuôi, nhưng ai đó là gửi cho bạn một "cái hình" có tên THUTHAO.JPG thì bạn phải biết kiểu tập tin này không phải là JPG (mà có thể là .EXE, các đuôi này mặc định không hiện ra, và tập tin đó có tên đầy đủ là THUTHAO.JPG.EXE). Và những kẻ khá hơn thì có thể thay icon của file EXE này thành icon file JPG. Nhưng không sao, bạn hãy save file này rồi click phải lên nó để xem properties là rõ ngay.
Đối với các bạn bình thường thì xem mã hay dịch ngược lại cũng không cho kết quả gì, vì chắc chắn rằng các thông tin được mã hoá. Tôi cũng là một người bình thường, và đã thử tìm cái email trong một con trojan, nhưng thất bại.
Hôm đó tôi nhận một mail KI NIEM NHA TRANG - THUY HIEN.JPG. PIF (tôi không hiểu tại sao lại .PIF?), xem source thì rõ ràng là EXE (MZ), trong đó lại có dòng Coded by Weird nữa chứ (Weird là tên một họ virus). NAV và TR của tôi scan không ra (vì gần 2 tháng tôi chả cập nhật gì), nhưng cả BKAV và D2 đều phát hiện đó là một con steal password. Sau khi update TR thì nó bảo là K2 (chắc là Kuang 2, con này tôi nghe nói rồi, nó từng là "đại ca" trong giới chôm pwd). Tìm trong source, rồi lại dis assembler nhưng vẫn không tìm thấy email đâu. Còn ngồi dò thì... source nó hơn 100KB. Còn debug nó để tìm email thì... tôi không dám. Sau đó tôi nhận thêm một con K2 nữa, so sánh 2 con này tôi tìm được vị trí lưu email, nhưng vẫn không thể dịch ngược để xem email là gì (mà xem được thì có ích gì nhỉ?). Có thể search trên net được mô tả chi tiết của con này?
Tôi đã nói trong về các trojan ẩn trong file EXE, rằng là nó dễ bị phát hiện, nhất là các con steal pwd. Và tốt nhất là đừng mở các file EXE lạ (tôi đã nói cách xem một file có phải là EXE), vì lỡ nó không ăn cắp pwd mà nó xoá vài file trên đĩa cứng, hay ghi rác vào FAT thì sao? Còn nếu biết chắc là nó ăn cắp password, hãy thử đặt firewall (dùng ZoneAlarm hoặc LockDown) rồi chạy nó, nếu bạn thích nghiên cứu.
Bây giờ đến loại virus trong html. Tôi xin nói về loại đẳng cấp thấp trước.
Cách đây khoảng 1 tháng, BQT có thông báo về một email giả danh nói về virus Miss World. Trong đó có một cái link (anchor) đến website của VNN, nhưng biến cố onclick của cái link đó (sẽ được thi hành khi bạn click vào link) sẽ mở thêm một trang web khác. Như vậy, khi bạn rê chuột lên link, xem dòng trạng thái thấy rõ là một trang web của VNN, an tâm click vào và... thế là xong! Ngoài ra có thể đánh lừa bạn trong thời gian lâu hơn (đủ để virus làm xong việc), là mở một trang có 2 frame: 1 frame 0% chứa website virus (do đó bạn không thấy trang này, dù nó đang mở), trang kia 100% chứa website bạn tin cậy, VNN chẳng hạn. Và khi bạn đang xem VNN, virus đang hoạt động đấy!
Kĩ thuật về URL có thể không cần (bạn thấy VNN mở ra là tin tưởng rồi!), hoặc là dùng @, hoặc là dùng cái gì đó mà tôi không biết.
Ở đẳng cấp cao hơn, nó sẽ không cần đến cái click của bạn. Thí dụ, ngay khi bạn mở thư là nó sẽ thi hành (biến cố onload của body, hoặc chẳng cần biến cố gì cả). Gây ấn tượng nhất là con đã format đĩa cứng của một số người trong hội hacker (hội nào tôi không rõ). Nguyên tắc hoạt động của nó là nhờ một ActiveX object, nó thêm dòng format vào autoexec.bat (định hướng ra nul, vào là một tập tin có sẵn các dòng Enter, Y để tự động trả lời), đồng thời thêm câu "Xin chờ windows cập nhật cấu hình hệ thống" để trấn an người dùng (khi "cấu hình" xong thì chỉ còn cách đem cái HDD đi ra dịch vụ, hoặc cài lại Windows). Loại này thường không dùng JavaScript mà dùng VBscript, do có thể tận dụng WSH (Windows Script Host). Để biết nó lợi hại cỡ nào, bạn hãy nhớ lại các help của Windows (dạng html) có những link để mở chương trình mà không cần hỏi lại. OK? Cách phòng tránh là cẩn thận với mail dạng HTML, lớn bất thường, và cần có trực giác tốt.
Một cách khác là dùng EXE nhúng vào email nhưng không hiện ở attachment. Như thế này: bạn soạn một mail HTML có hình nền, thì khi dùng outlook nhận sẽ không thấy file hình đó trong attachment. Như vậy OE phân biệt các dạng đính kèm. Tốt, các tay quấy rối sẽ soạn một mail có một background images (hoặc sound), có đính kèm một EXE, rồi lưu lại. Hai file này sẽ được mã hoá, họ xem source, chuyển đổi vị trí 2 file. Nghĩa là giờ đây cái background có nội dung của EXE, họ mở mail, xoá attachment (thực ra là background). Sau đó chèn vào mail một script để đổi tên file (file background này sẽ tự động lưu vào đâu đó với một cái tên gì đó, tùy bản outlook) và cho thi hành hay đăng kí nó vào Startup hoặc Run. Cách phòng chống ư? Cũng giống trên, hãy cảnh giác các email có kích thước trên 20KB (do file được encode để có thể gửi qua mail, kích thước nó tăng lên).
Như vậy, với mọi mail html có kích thước lớn, hãy xem source. Tất nhiên, nếu bạn xem source mà "không hiểu gì cả" thì cũng phải ráng suy đoán. Chúng ta nên có một số kiến thức nhất định.
Tôi đã trình bày xong với các bạn các hiểu biết của tôi về trojan và những biến dạng của nó. Khả năng có hạn, mong các bạn góp ý cho. Ngoài ra, các bạn nào có bài viết bổ ích (không chỉ về Tin học) có thể gửi về cho tôi (tutorvn@yahoo.com hoặc vnstars@yahoo.com) để tôi bổ sung vào website tôi đang làm, sẽ ra mắt phục vụ các bạn một ngày gần đây. Ngoài ra bạn có thể yêu cầu tôi các bài viết các bạn cần, tôi sẽ kiếm tư liệu viết bài cho các bạn, những yêu cầu đó xin ghi trực tiếp trong hộp thư này để các bạn dễ bổ sung, hoặc ai có bài viết thích hợp thì post lên.
Xin chào, và chúc các bạn tránh được virus!
Link: http://www.echip.com.vn/echiproot/weblh/antivrus/trojan.htm
