gắn virus vào phần nội dung mail
vì các đoạn Script có khả năng hoạt động nếu như một máy dùng trình duyêt IE cho phép chạy ActiveX vì vậy virus cũng có thể lây theo đường này gắn virus vào file gắn kèm ( Attach files)
Virus xây dựng các file dính kèm bằng những thủ thuật sau :
để tránh bị lộ diện virus tạo file bằng 2 phần đuôi
ví dụ aaaa.doc.exe
chính vì vậy mà virus tạo ra file này như thế nào :
tìm trong thư mục my documents và lấy tên của các file tìm thấy
ví dụ : bbbb.doc nó sẽ lưu tên này vào phần dữ liệu , nếu như khi cần gởi thì nó sẽ tạo ra file bbbb.doc.exe để dính kèm vào thư , sau đó tiến hành việc mã hóa theo chuẩn MINE hay Base64 các đoạn mã này do virus tự làm
Gởi mail
Để gởi mail virus có thể tự xây dựng cho mình một cơ cấu SMTP riêng hoặc dựa trên các hàm MAPI trong thu viện MAP32DLL , như MAPILogon, MAPISendMail, MAPISendDocument
VII)Kỹ thuật phá hoại :
1) Các virus ngoải những cách phá hoại thông thường còn có khả năng gây ra tấn công theo kiểu ngăn chặn dịch vụ DOS , ví dụ chúng cho một server nào đó mở một port và điều khiển các máy bị nhiễm truy cập vào server này làm cho số nối kết đến máy chủ vượt quá cho phép
2) Mở một port cho phép truy cập vào máy bị nhiễm
3) Có khả năng cho phép điều khiển từ xa
4) Có thể tấn công máy in vì tưởng rằng máy in cũng là một máy tính nào đó
VIII ) Những khả năng nào khiến cho bạn bị nhiễm Virus hoặc Trojan
A) Do chính bạn
1) Khi bạn truy cập vào một số trang web mà các trang này bị nhiễm virus hoặc Tojan rồi
2) Download những file đã bị nhiễm
3) Nhận mail đã bị nhiễm
4) Nhận một số file từ một người đang chat với bạn
5) Mua disk CD ở ngoài đã bị nhiễm
6) Bạn cho Phép một người khác đem file bị nhiễm vào máy mình
7) Do một số chương trình bạn đang dùng đã được chính hãng gài vào
Do Người khác cố ý
1) Do máy bạn đã được hacker viếng thăm
2) Do người yêu bạn gài vào theo dõi bạn mà bạn không biết
3) Do người bạn thân của bạn
4) Do người bán máy cho bạn gài vào
5 )Do những hãng sản xuất phần cứng gài vào trong các driver
6) Do hãng sản xuất ra phần mền
7) Do hãng sản xuất HĐH
Do KTV bạn mời đến sữa máy cho bạn gài vào
Bạn sẽ không bao giờ có thể thoát được nếu như có một đối tượng nào đó cố ý gài vài
IX) Cách Thức Remove Trojan
Dựa vào đặc điểm của Trojan ta có cách remove nó như sau :
Vì trojan hoạt động cần phải được kích hoạt nên ta tìm cách không cho nó kích hoạt , vỉ vậy muốn diệt được trojan cần phải kiểm tra tất cả những vị trí sau :
Trong các Autostart Folder :
ví dụ file khởi động của trojan là trojan.exe thì
C:\Windows\Start Menu\Programs\startup\trojan.exe
+ Trong file C:\windows\Win.ini tại dòng lệnh
load=Trojan.exe
hoặc run=Trojan.exe
+ Trong file c:\windows\system.ini sau dòng lệnh shell
Shell=Explorer.exe trojan.exe
Trojan sẽ tự động chạy khi file Explorer.exe chạy
+ Trong Autoexec.bat
c:\....\Trojan.exe
+ Explorer Startup
c:\explorer.exe,c:\...\trojan.exe
+ Tạo một khóa trong Registry :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"trojan"="c:\...\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce]
"trojan"="c:\...\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
"trojan"="c:\...\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]
"trojan"="c:\...\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"trojan"="c:\...\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce]
"trojan"="c:\...\Trojan.exe"
- Trong Registry Shell Open với key là "%1 %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command]
trojan.exe "%1 %*"
del tất cả các dòng lệnh có file mà trojan boot ở đây ví dụ là file trojan.exe
- Trong 1 số ứng dụng mà cho phép một số chương trình co the chay :
ví dụ ICQ
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\]
- Trong ActiveX
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName]
StubPath=C:\...\Trojan.exe
nếu như nó lây nhiễm qua một mIRC thì vào cửa sổ của nó
1.đánh /unload -rs script.ini
sẽ nhìn thấy : *** Unloaded script.ini
2. đánh command.com /c attrib.exe -s -r script.ini
3.đánh /write -c script.ini
4.đánh /remove script.ini
sẽ nhìn thấy : *** Removed 'c:\mirc\script.ini'.
5.đánh //say $exists(script.ini)
nếu $false lặp lại bước 2 đến bước 4
6.đánh /sreq ask
7.đánh /creq ask
8.đábg /dccserver off
9. Thay đổi tất cả các pass của bạn
Gắn Virus vào Email
4/
5
Oleh
Unknown