Đề tài Tìm hiểu virus Hooker

Trường Đại Học Bách Khoa Hà Nội Viện Công Nghệ Thông Tin Và Truyền Thông BÀI TẬP LỚN Môn : Hệ Điều Hành Đề Tài : Tìm hiểu virus Hooker Giáo viên : Đỗ Văn Uy Sinh Viên Thực Hiện : Mã Số Sinh Viên : Lớp : Đào Văn Long 20081576 HTTT-K53 Hà Nội – Tháng 4/2011 1 Mục Lục Tên phần : Trang : Phần 1: Lời nói đầu 3 Phần 2: Nội Dung 4 I. Sơ lược về virus 4 1. Hooker là gì - 2. Lịch sử của virus Hooker 3. Cấu tạo của Hooker 5 II. Cách thức để virus tiếp cận vào máy 7 1. Các dạng lây nhiễm 7 2. Cách lây bám 9 III. Cách thức hoạt động 9 1. Sau khi trojan được kích hoạt chúng sẽ làm những việc như sau - 2. Cách thức ngụy trang 14 2.1.Tiến hành việc lấy thông tin - 2.2.Tiến hành liên lạc với chủ của nó 15 2.3RPC(Remote Procedure Call) - 2.4. Cách thức Config virus Hooker 19 IV. Làm sao để bạn tự bảo vệ mình 20 Phần 3: Tổng Kết 21 2 PHẦN I:GIỚI THIỆU CHUNG Hooker thực chất là một loại Trojan mã nguồn mở.Trojan là một chương trình bất hợp pháp được chứa bên trong một chương trình hợp pháp.Chương trình không hợp pháp này thực hiện những hàm bí mật mà người dùng không biết hay không dùng đến.Về chức năng của Trojan chúng tôi sẽ đề cập đến trong phần sau.Mặt khác Trojan cũng có thể được là những công cụ quản trị từ xa. Ngày nay Trojan luôn luôn là một vấn đề lớn trong vấn đề bảo mật và an toàn trên mạng.Nhiều người không biết Trojan là gì và họ tải xuống những file mà không biết rõ nguồn gốc.Hiện nay có hơn 1000 trojan và có thể nhiều hơn nữa, vì mỗi hacker, mỗi lập trình viên hay mỗi nhóm hacker đều viết Trojan riêng cho mình và những con Trojan này không được công bố lên mạng cho đến khi nó được phát hiện. Trojan: một chương trình máy tính trông có vẻ là hữu dụng nhưng thật ra nó gây phá hủy.Trojan bị phát tán khi mọi người bị lôi kéo bởi một chương trình bởi vì họ nghĩ nó đến từ một nguồn hợp pháp.Trojan cũng có thể chứa trong phần mềm mà bạn tải xuống miễn phí. Khác với virus,Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây lan.Nó chỉ có thể được cài đặt bằng cách người tạo ra nó “lừa” nạn nhân,còn virus thì tự động tìm kiếm nạn nhân để lây lan Phần mềm có chứa Trojan thường là có dạng chương trình tiên ích, phần mềm mới hấp dẫn nhằm dễ thu hút người sử dụng. Trong bài viết này em sẽ trình bày với các bạn về Trojan và Hooker.Những khái niệm cơ bản,cơ chế ly bám ,cách thức mở trộm tài khoản người dùng và làm sao nó có thể xâm nhập vào máy của bạn được? 3 PHẦN II:NỘI DUNG I.Sơ lược về virus Hooker: 1.Hooker là gì? Hooker này là một loại virus nằm trong nhóm Keylogger . Keylogger hay "trình theo dõi thao tác bàn phím" theo cách dịch ra tiếng Việt là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp . Vì vậy Hooker là loại virus nhằm giúp chủ nhân của nó đánh cắp những thông tin trên máy tính nhiễm phải con virus này như tài khoản mail… 2.Lịch sử của virus Hooker : 2.1.Version 1.0: Đây mới chỉ là một chương trình thử nghiệm với khả năng hoạt động rất yếu (chỉ là một keylog đơn giản). Và nó đã được viết lại hoàn toàn trong phiên bản kế tiếp. 2.2.Version 2.0: Bây giờ nó gửi đi một keylog và sao chép mật khẩu dưới tệp (*.pwl). Sau đó nó thiết lập một đăng kí xác định đường dẫn cho người sử dụng. Nó có thể xác định kích thước tối đa của một tập tin log-file. Sau khi gửi file-log đi thì nó xoá file đó và lập file-log mới. Hooker sẽ thêm vào trước các từ mã trong tiêu đề và lưu trữ các tính năng này. 2.3.Version 2.1: Thêm các từ được gửi về sau khi đăng nhập tràn. 2.4.Version 2.2 beta 1: Cố định các lỗi rất lớn trong keylogging và móc nối các chức năng trong keylogdll khiến trojan trở nên ổn định hơn với nhiều chức năng hơn. 2.5.Version 2.2 beta 2: Cố đinh lỗi trong chức năng cho biết ngày giờ của hệ thống. 2.6.Version 2.3 beta 1…4: 4 Nó phát hiện thêm lỗi kết nối RAS và cố định lỗi này. Đôi khi nó cũng xung đột với một vài chủ đề.Khi đó keyloggingDll được chứa trong LZW. 2.7.Version 2.3 beta 5: Hooker gửi đi các keylog. Nếu trong cửa sổ chỉ có “.” điều đó có nghĩa là trojan không thể gửi thư đi (Hooker chỉ cần làm đầy hộp thư với một lượng lớn các thư). 2.8.Version 2.3 beta 6: Chỉ cần một chút thay đổi trong thủ tục gửi mail là hooker có thể bắt đầu trên máy mà không cần rasapi32.dll. 2.9.Version 2.4: Không có thêm phiên bản, đây là bản phát hành.Cố định ít lỗi trong tên người dùng và tên máy chủ phát hiện.Có thêm một vài tính năng:  Keylog đầy đủ: nếu không được kiểm tra Hoocker sẽ chỉ đăng nhập cửa sổ, nơi mà đã được keystrokes.  Nâng cao đăng nhập: nếu không được kiểm tra, Hoocker sẽ không đăng nhập phím khoá mở rộng như shift,alt… Ngoài ra còn cố định lỗi trong kết nối IP 3.Cấu tạo của Hooker : a. Thành phần chính : Một con Hooker thường có ba phần chính : * Chương trình điều khiển (Control Program): dùng để theo điều phối hoạt động, tinh chỉnh các thiết lập, xem các tập tin nhật ký cho Hooker . Phần này là phần được giấu kỹ nhất của Hooker , thông thường chỉ có thể gọi ra bằng một tổ hợp phím tắt đặt biệt. * Tập tin hook, hoặc là một chương trình monitor dùng để ghi nhận lại các thao tác bàn phím, capture screen (đây là phần quan trọng nhất) * Tập tin nhật ký (log), nơi chứa đựng/ghi lại toàn bộ những gì hook ghi nhận được. Ngoài ra, tùy theo loại có thể có thêm phần chương trình bảo vệ (guard, protect), chương trình thông báo (report) cho chủ nhân con virus … b. Một số loại Hook : 5 Trong Windows, khi chúng ta thực hiện các thao tác nhấp chuột, nhấn phím… thì hệ điều hành sẽ chuyển các sự kiện này thành các thông điệp (message) rồi đưa vào hàng đợi (queue) của hệ thống. Sau đó, các thông điệp được trao lại cho từng ứng dụng cụ thể để xử lý. Hook là một kỹ thuật cho phép một hàm có thể chặn, theo dõi, xử lý, hoặc hủy bỏ các thông điệp trước khi chúng “mò” đến được ứng dụng. Hai ví dụ thường gặp của Hook là ứng dụng soạn thảo văn bản tiếng Việt (Unikey, Vietkey…) và ứng dụng tra từ điển trực tiếp trên màn hình (Click’n’See, Lạc Việt MTD, English Study…). Chúng xử lý thông điệp từ bàn phím để đổi văn bản sang tiếng Việt, hoặc xử lý thông điệp từ con chuột để lấy văn vản dưới con trỏ. Chương trình KeyLogger chuyên ăn cắp mật khẩu cũng sử dụng kỹ thuật này , và con Virus Hooker cũng dựa trên nguyên tắc đó Xét về mặt chức năng, Hook có 15 loại ứng với nhóm sự kiện mà nó sẽ xử lý : - WH_CALLWNDPROC - hook quản lý các thông điệp trước lúc hệ thống gởi chúng tới cửa sổ đích - WH_CALLWNDPROCRET - hook quản lý các thông điệp sau khi chúng được xử lý bởi thủ tục cửa sổ đích - WH_CBT - hook nhận những thông báo có ích tới ứng dụng huấn luyện trên cơ sở tính toán (CBT) - WH_DEBUG - hook có ích cho việc debug những thủ tục hook khác - WH_FOREGROUNDIDLE - hook sẽ được gọi khi thread foreground của ứng dụng sẽ trở thành không dùng đến. Hook này có ích cho hoạt động những nhiệm vụ (task) độ ưu tiên thấp trong thời gian không được dùng đến - WH_GETMESSAGE - hook quản lý các thông điệp được post tới hàng thông điệp - WH_JOURNALPLAYBACK - hook post những thông điệp được ghi trước đó bởi thủ tục hook WH_JOURNALRECORD 6 - WH_JOURNALRECORD - hook ghi những thông điệp đầu vào được post tới hàng thông điệp hệ thống. Hook này có ích cho việc ghi các macro - WH_KEYBOARD - hook quản lý các thông điệp keystroke - KEYBOARD_LL Windows NT - hook quản lý những sự kiện nhập vào từ keyboard mức thấp - WH_MOUSE - hook quản lý các thông điệp chuột - WH_MOUSE_LL Windows NT - hook quản lý những sự kiện đầu vào chuột mức thấp - WH_MSGFILTER - hook quản lý các thông điệp được kết sinh như là một kết quả cuả sự kiện đầu vào ở trong dialog box, message box, menu hay scroll bar - WH_SHELL - hook quản lý các thông điệp nhận thông báo hữu ích để shell các ứng dụng - WH_SYSMSGFILTER - đặt một ứng dụng các thông điệp được kết sinh như là kết quả của một sự kiện đầu vào ở trong dialog box, message box, menu hay scroll bar. Thủ tục hook quản lý những thông điệp này cho tất cả các ứng dụng trong hệ thống Ứng với mỗi loại Hook, Windows sẽ có một chuỗi các hàm lọc (filter function) để xử lý. Ví dụ, khi người dùng nhấn phím, thông điệp này sẽ được truyền qua tất cả các hàm lọc thuộc nhóm WH_KEYBOARD II.Cách thức để virus tiếp cận vào máy: 1. Các dạng lây nhiễm : 1.1 Từ ICQ : ICQ là 1 chương trình máy tính cho phép nhắn gửi tin nhắn trực tiếp với nhau qua dạng chữ viết hay tiếng nói , nó giống Instant Messenger của Yahoo hay MS . Nhưng nhiều người lại nghĩ rằng Trojan không thể lây lan trong khi họ đang nói chuyện có thể gửi cho họ một chú Trojan. Có thể bạn biết đến ICQ cho bạn một bug cho phép bạn gửi một file .exe tới người khác nhưng khi đó người nhận nhìn như có vẻ bạn đang gửi một file âm thanh, hình ảnh… 7 Ví dụ: Có người nào đó sẽ thay đổi biểu tượng của file.exe thành file.bmp, và nói với bạn rằng đây là hình của anh. Bạn sẽ download nó về và bum bum bum !!! Nhưng nếu người gửi file đổi tên file.exe thành .bmp thì bạn đã an toàn, vì khi file.exe đổi tên thành .bmp thì file.exe không thể thực hiện. Nhưng khi file gửi đến bạn đúng là một con Trojan được kẹp chung với file hình ảnh và người gửi đã thay đổi icon của file.exe, khi đó Trojan sẽ bắt đầu chay mà bạn không hề nghi ngờ, vì khi đó nó vẫn hiện hình ảnh của một ai đó. Đó là lý do mà hầu hết người dùng nói họ không chạy bất kỳ file nào trong khi họ đã lỡ lầm truyền vào mà không biết. 1.2 Từ IRC: Cũng giống như phương pháp lây truyền từ ICQ phương pháp lây truyền qua IRC cũng là lừa nạn nhân để chạy Trojan trong máy của mình.IRC(Internet Relay Chat) là dạng liên lạc cấp tốc qua mạng Internet 1.3.Từ mail: Trojan được lây lan bằng mail và tốc đọ của nó rất nhanh. Một cách đơn giản và thường dùng là Trojan sẽ lấy địa chỉ mail trong address book để phát tán cho những người bạn của bạn. Vì thế để đè phòng con virus này chúng ta hãy cài ngay chương trình có thể kiểm tra mail trước khi download về và kiểm tra những mail đã được gửi đi. 1.4 Từ truy cập trực tiếp: Trong quá trình sử dụng máy tính thì có thể do lỗi truy nhập mà họ có thể bị dính Trojan, hoặc do một người nào đó đã xâm nhập vào máy của mình và đã làm cho máy của ta bị Trojan tấn công. 1.5. Một số thủ thuật và mánh khóe khác: Trên các máy Microsoft Windows, người tấn công có thể đính kèm một Trojan vào một cái tên có vẻ lương thiện vào trong một thư điện tử với việc dụ người đọc mở tệp đính kèm ra. Trojan thường là các tệp khả thi trên Windows và do đó sẽ có các đuôi như là .exe, .com, .bat, .src. hay .pif. Trong nhiều ứng dụng của Windows đã có cấu hình mặc định không cho phép hiển thị các đuôi này..Do đó, nếu trojan có tên chẳng hạn là “Readme.txt.exe” thì tệp này sẽ hiển thị một 8 cách mặc định thành “Readme.txt” và nó sẽ đánh lừa người dùng rằng đây chỉ là một loại hồ sơ văn bản không thể gây hại. Các biểu tượng cũng có thể được gán với các loại tệp khác nhau và có thể được đính kèm và thư điện tử. Khi người này dùng , mở các biểu tượng thì các Trojan ẩn dấu sẽ tiến hành những tác hại bất ngờ.Hiện nay các Trojan không chỉ xóa các tệp , bí mật điều chỉnh cấu hình của máy tính bị nhiễm mà còn dùng máy này như là một cơ sở để tấn công các máy khác trong mạng. Lợi dụng một số lỗi của trình duyệt web, chẳng hạn như Internet Explorer, để nhúng Trojan vào một trang web, khi người dùng xem trang này sẽ bị nhiễm. Người dùng nên cập nhật các bản vá lỗi thường xuyên và dùng một trình duyệt web có độ bảo mật cao như Firefox 2. Cách lây bám : Ở trên là một số cách thức mà con virus này tiếp cận máy của chúng ta . Để cho nó bám được vào các vật mang tin như trên thì chủ nhân con virus này dùng Godmessage để lưu trojan vào trong mail, trang web. Khi nạn nhân mở mail, hay trang web đó thì sẽ tự động bị nhiễm trojan (Godmessage là một công cụ tạo ActiveX trên trang web. Người dùng IE truy cập tới một trang đã gài sẵn mã ActiveX nguy hiểm, thì ngay lập tức trình duyệt của họ tải về một file dạng nén. Và ở lần khởi động sau, nó sẽ được bung ra và bắt đầu hoành hành) . ActiveX là một đoạn chương trình cho phép nhúng con Hooker vào trong tài liệu hoặc trang web. Khi chúng ta download một tài liệu nào đó , chẳng hạn là file ảnh , nếu người gửi file đổi tên file.exe thành .bmp thì bạn đã an toàn, vì khi file.exe đổi tên thành .bmp thì file.exe không thể thực hiện. Nhưng khi file gửi đến bạn đúng là một con Trojan được kẹp chung với file hình ảnh và người gửi đã thay đổi icon của file.exe, khi đó Trojan sẽ bắt đầu chay mà bạn không hề nghi ngờ, vì khi đó nó vẫn hiện hình ảnh của một ai đó. Đó là lý do mà hầu hết người dùng nói họ không chạy bất kỳ file nào trong khi họ đã lỡ lầm truyền vào mà không biết III.Cách thức hoạt động: 1. Sau khi trojan được kích hoạt chúng sẽ làm những việc như sau - Tìm vị trí an toàn để ẩn thân: Đoạn mã chính có thể tự tạo ra từ 2 đến 3 file và 9 có thể nhiều hơn nữa để tìm một vị trí tốt mà ẩn , những nơi mà chúng thích nhất là... sytem, ...system32, trong đó có một file gọi là kích hoạt thường là các file thi hành với đuôi có thể là .com, .exe, .bat, .inf..., 1 file dùng để lưu các hàm hoặc thư viện hoặc thông tin, nếu như file chứa thư viện thường có đuôi là .dll, còn file chứa thông tin thường có đuôi là .dat hoặc là .tmp. - Giành quyền khởi động : Sau khi ẩn thân an toàn chúng bắt đầu giành quyền khởi động bằng một số cách - đây là những nơi mà win ưu tiên khởi động trước : - Trong các Autostart Folder: ví dụ file khởi động của trojan là trojan.exe thì C:\Windows\Start Menu\Programs\startup\trojan.exe. Trong file C:\windows\Win.ini tại dòng lệnh load=Trojan.exe hoặc run=Trojan.exe - Trong file c:\windows\system.ini sau dòng lệnh shell Shell=Explorer.exe trojan.exe Trojan sẽ tự động chạy khi file Explorer.exe chạy - Trong Autoexec.bat c:\....\Trojan.exe - Explorer Startup c:\explorer.exe,c:\...\trojan.exe - Tạo một khóa trong Registry : [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run] "trojan"="c:\...\Trojan.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunOnce] "trojan"="c:\...\Trojan.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServices] "trojan"="c:\...\Trojan.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServicesOnce] "trojan"="c:\...\Trojan.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 10 Run] "trojan"="c:\...\Trojan.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce] "trojan"="c:\...\Trojan.exe" - Trong Registry Shell Open với key là "%1 %*" [HKEY_CLASSES_ROOT\exefile\shell\open\command] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\com mand] trojan.exe "%1 %*" - Trong 1 số ứng dụng mà cho phép một số chương trình chạy: ví dụ ICQ [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\] - Trong ActiveX [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName] StubPath=C:\...\Trojan.exe - Tiêu diệt các Phần mền antivirus và các firewall tức là những chương trình chống lại nó bằng cách kiểm tra bộ nhớ và phát hiện nếu như 1 số file nào mà giống như list nằm trong file dữ liệu thì remove hoặc ngăn chặn lại . Các tiến trình mà virus tự động kết thúc trong khi thực thi : ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE VET95.EXE NT.98.EXET CA.EXE TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE 11 SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE RAV7.EXE PERSFW.EXEP CFWALLICON.EXE PCCWIN98.EXE PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE LOCKDOWN2000.EXE JEDI.EXE IOMON98.EXE IFACE.EXE ICSUPPNT.EXE ICSUPP95.EXEI CMON.EXE ICLOADNT.EXE ICLOAD95.EXE IBMAVSP.EXE IBMASN.EXE 12 IAMSERV.EXE IAMAPP.EXE FRW.EXEFPROT.EXE FP-WIN.EXE FINDVIRU.EXE F-STOPW.EXE F-PROT95.EXE F-PROT.EXE FAGNT95.EXE ESPWATCH.EXE ESAFE.EXE ECENGINE.EXE DVP95_0.EXE DVP95.EXE CLEANER3.EXE CLEANER.EXE CLAW95CF.EXE CLAW95.EXE CFINET32.EXE CFINET.EXE CFIAUDIT.EXE CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE AVWUPD32.EXE AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE AVPTC32.EXE AVPM.EXE AVPDOS32.EXE AVPCC.EXEAVP32.EXE AVP.EXE AVNT.EXE AVKSERV.EXE AVGCTRL.EXE AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE APVXDWIN.EXE ANTI-TROJAN.EXE ACKWIN32.EXE 13 _AVPM.EXE _AVPCC.EXE _AVP32.EXE 2.Cách thức ngụy trang : Do việc phân chia làm nhiều phần giúp Trojan rất nhiều trong việc ngụy trang nghĩa là những đoạn mã chính được nằm trong các thư viện dạng động có đuôi là dll với một phần tên có vẽ rất giống một thư viện của win làm cho rất khó phá hiện và được nẳm tại những nơi có các file cùng kiểu với nó thường là thư mục C:..\system , còn đoạn mã có nhiệm vụ boot thì rất nhỏ có thể được mã hoá và hide khiến cho ta nhẳm tưởng một file vô hại . Để chống việc theo dõi của các phần mền anti chúng có thể tự thêm một số lệnh mà những lệnh này không ảnh hưởng tới phần logic của chương trình (chống lại việc mô phỏng hoá ) khiến cho nó có thể thay đổi kích thước file mỗi lần khởi động , hoặc có thể ẩn thân dưới một số chương trình mà mọi người thường dùng bẵng cách nối một dòng lệnh vào chương trình nào đó với các kiểu ( chèn đầu , chèn giữa hay chèn cuối mà không ảnh hưởng đến chương trình chủ ) , với cách này đoạn mã boot không dể dàng gì phát hiện , nếu có del đoạn mã boot trên disk thì khi chạy chương trình chủ thì đoạn mã boot vẫn hoạt động trở lại một cách bình thường . Để tăng thêm việc ngụy trang chúng phải ẩn dưới taskbar nghĩa là nhấn CTRL+ALT+DEL thì đoạn mã vẫn không hiện ra , hoặc tiến hành phá hủy dòng lệnh msconfig là dòng lệnh hiện các file khởi động của win . Ngoài ra sau khi đoạn mã chính được kích hoạt thì đoạn mã boot vừa tạo thành lại có dòng lệnh kiểm tra xem và del luôn cả chương trình chính khiến cho việc ẩn thân càng kín đáo hơn . Chính vì nhiệm vụ lấy thông tin cần phải kín đáo nên trojan lấy việc kín đáo và ẩn thân là rất quan trọng 2.1.Tiến hành việc lấy thông tin : Tuỳ theo người thiết kế ra trojan mà thông tin lấy có nhiều kiểu khác nhau nhưng chủ yếu là làm những nhiệm vụ sau : + Lấy thông tin về password của các loại webmail , các ứng dụng có kiểu là login+password, ICQ, IRC, FTP, HTTP... + Lấy thông tin tất cả các file có kiểu:.DBX; .TBB; .EML; .MBX; .NCH; .MMF; .INBOX; .ODS với mục đích tra lấy tất cả các nội dung mail của victim + Lấy về một số file mà do yêu cầu người thiết kế viết , đa số là các file ứng dụng và dữ liệu cũng như login thường có dạng: .doc; .dbf; .sxl; .pwl; .log + Chiếm tất cả tài nguyên , chúng có thể mở port , tạo ra giao thức để giúp cho 14 chúng có khả năng lấy thêm dữ liệu ở các máy khác hoặc giúp cho chủ nhân của nó có thể truy cập từ xa hay kết nối vào máy vistim để lấy thông tin hoặc giành quyền điểu khiển máy vistim như : del, upload, down ..., chiếm HTTP, FPT, SMTP... giúp cho việc liên hệ với chủ nhân của nó được dể dàng. 2.2.Tiến hành liên hệ với chủ nó : Người chế ra virus Hooker chỉ mong được yêu cầu cuối cùng này tức là phải liên hệ được với mình , đây là bước mà chủ nhân nó mong chờ nhất.Như vậy ngoài những thành phần cơ bản đã nói ở trên thì để có một con Hooker hoàn chỉnh thì trong tập Files mà sau khi con virus này được kích hoạt thì nó còn có một File “mswinsck.ocw” . Mswinsck.ocx là một trình điều khiển ActiveX và được gọi là Winsock Control .