Virus lây nhiễm qua thư điện tử
Theo kết quả từ các đợt khảo sát quy mô lớn [29], các nguy cơ tiềm ẩn đối với người dùng email bao gồm: Máy tính bị nhiễm virus hoặc sâu – loại mã độc được phát tán thông qua file đính kèm hoặc nhúng trong nội dung email. Spam – thư rác. ...
Theo kết quả từ các đợt khảo sát quy mô lớn [29], các nguy cơ tiềm ẩn đối với người dùng email bao gồm:
- Máy tính bị nhiễm virus hoặc sâu – loại mã độc được phát tán thông qua file đính kèm hoặc nhúng trong nội dung email.
- Spam – thư rác.
- Web beaconing – quá trình kiểm tra địa chỉ email được kích hoạt khi người nhận mở email.
Cơ chế hoạt động
Virus được viết bằng ngôn ngữ nào đó và sử dụng thư điện tử như phương tiện lây lan. Chúng ta xem xét tổng thể hệ thống như sau:
Mô hình MAPI
Ngoài việc triệu gọi trực tiếp các hàm API, các chương trình virus có thể sử dụng các dịch vụ trong mô hình đối tượng của Outlook để lây lan.
Mô hình đối tượng của Outlook
Ví dụ về virus thư điện tử
Phần này cung cấp thông tin về một số loại virus gần đây (trích dẫn từ [29]) được phát tán qua Microsoft Outlook hoặc được nhúng trong các email HTML nhận bởi Outlook. Hầu hết các virus lợi dụng Outlook theo một số cách thức giống nhau, vì vậy chúng ta chỉ đưa ra đại diện của mỗi loại.
Virus này còn được biết đến với tên Romeo & Juliet, Verona hoặc TROJ_BLEBLA.A. Virus BleBla khai thác một số lỗ hổng trong quá trình xử lý email HTML của Outlook cho phép một virus tự động kích hoạt phần thân payload.exe được gửi kèm khi người dùng mở email. Thực tế nó sử dụng các thành phần Iframe bên trong thông điệp HTML để thực hiện tải hai file, MYJULIET.CHM và MYROMEO.EXE về thư mục TEMP của Windows. Một đoạn mã kịch bản nhỏ sẽ mở file MYJULIET.CHM, sau đó file này kích hoạt file MYROMEO.EXE – đoạn thân thực sự của virus. Quá trình này xảy ra được là nhờ khai thác một lỗi trong Windows.
Biện pháp phòng chống:
Cấu hình để Outlook không chạy các đoạn mã kịch bản trong các email HTML là biện pháp cốt lõi chống lại các loại virus này. Thực hiện các bước sau đây để đưa Outlook vào miền giới hạn và vô hiệu hóa các đoạn mã kịch bản trong miền giới hạn đó:
- Use Tools | Options | Security to set the security zone for Outlook HTML mail to Restricted Sites.
- Click the Zone Settings button, then OK.
- Select Custom, and then click the Settings button.
- On the Security Settings dialog box, choose Disable for all options under these headings:
- ActiveX Controls and plugins
- Scripting
- Click OK three times to save the updated security settings.
Windows Script Host (WSH) là một dịch vụ cho phép ta tạo và chạy các đoạn mã kịch bản rất hữu ích (.vbs – tương tự như các file batch của DOS, nhưng tốt hơn). Virus LoveLetter, còn có tên là Lovebug, I-Worm.Loveletter, ILOVEYOU, là một sâu viết bằng VBScript. Virus này sử dụng các thông điệp của Outlook để phát tán file VBScript.vbs (Tên đầy đủ của file là LOVE-LETTER-FOR-YOU.TXT.vbs). Để được kích hoạt, nó yêu cầu người dùng mở file đính kèm. Khi file được thực thi, nó vận hành các tiến trình nhằm ăn cắp thông tin nhạy cảm (download và sử dụng chương trình WIN-BUGSFIX.exe) và gửi tiếp email virus tới các nạn nhân tiếp theo có trong sổ địa chỉ của máy tính bị nhiễm.
Biện pháp phòng chống:
Để chống lại các loại sâu VBScript, cách hiệu quả nhất là không mở file đính kèm. Tuy nhiên, chúng ta còn có thể hoặc vô hiệu hóa Windows Script Host or hoặc cấm thực thi tự động các file VBS.
Chúng ta làm theo các chỉ dẫn dưới đây để loại bỏ các file có phần mở rộng là VBS trong danh sách các file đã được nhận biết của Windows 2000.
1. Open “My Computer”
2. Select “Tools/Folder Options”
3. Find “VBScript Script File” from the “File Types” tab
4. Select “Delete”
5. In confirmation dialog, select “Yes”.
Virus/sâu Stages tự lây lan giống như virus Loveletter, ngoại trừ việc sử dụng một loại file không phổ biến, đó là Shell Scrap Object [29]. Một scrap là một file (có phần mở rộng là .shs hoặc .shb) được tạo ra khi chúng ta thực hiện kéo thả một phần tài liệu ra ngoài màn hình desktop. Các đối tượng Scrap là các file MS Windows OLE được đóng gói chứa đựng hầu hết mọi thứ [29]. Các file này có thể chứa các đoạn mã có khả năng xóa file, thư mục hoặc chạy chương trình.
Biện pháp phòng chống:
Vô hiệu hóa các đối tượng scrap bằng một hoặc cả hai biện pháp sau:
- Sửa đổi hoặc xóa bỏ cả hai loại file (.shs và .shb) trong hộp thoại File Types.
- Xóa bỏ hoặc đổi tên file shscrap.dll trong thư mục Windows system.
Ví dụ : Virus Worm.ExploreZip
Theo [29], ExploreZip là một Trojan horse, bởi vì trước tiên nó yêu cầu nạn nhân mở hoặc chạy file đính kèm để tự cài đặt virus vào máy tính, tiếp theo thực hiện quá trình lây nhiễm ngầm mà nạn nhân không hay biết. Sau đó chương trình hoạt động giống như sâu Internet.
Trojan ExploreZip thực hiện việc lây lan giữa những người sử dụng qua con đường gửi email có đính kèm file zipped_files.exe. Mở file zipped_files.exe file sẽ kích hoạt chương trình virus. Chương trình thực hiện lây lan bằng cách tự động trả lời các thư mới nhận của máy bị lây nhiễm. Nội dung thư trả lời tương tự như email gốc đã mô tả ở trên.
Biện pháp phòng chống:
Không mở file đính kèm là cách hiệu quả nhất phòng chống loại virus này. Một trong các giải pháp khác được đề xuất trong [29] là không chia sẻ file WIN.INI.
Phòng và chống virus thư điện tử
- Cài đặt các chương trình anti-virus
- Update liên tục SP, livedate
- Không mở email lạ
- Mở thư dưới dạng plain text
- Cryptographic
File bị block by Outlook?
Một số loại virus và mã độc khác
- Phishing
- Spam
- Trojan
- Active content
