Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác đối tượng có thể là các file chương trình, văn bản, máy tính.
Trang 13 Virus và các mã độc hại trên internet
3.1.Virus
Virus là các đoạn mã có khả năng tự nhân bản Virus có thể chứa hoặc không chứa các chương trình tấn công hay các cổng hậu Virus là đoạn mã được cài trên máy tính và chạy ngoài ý muốn của người sử dụng
Virus máy tính là một chương trình phần mềm có khả năng tự sao
chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính ) Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng đó là một đoạn chương trình thường dùng để phục vụ những mục đích không tốt
Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay chúng ta có thể coi virus máy tính như mầm mống gây dịch bệnh cho những chiếc máy tính, và chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng
Như những vấn đề phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh mà chúng ta phải dày công nghiên cứu mới trị được, hoặc cũng có những loại bệnh gây ra những hậu quả khôn lường Chính vì vậy, phương châm "phòng hơn chống" là phương châm cơ bản và luôn đúng đối với virus máy tính
Virus máy tính lây lan như thế nào ?
Virus máy tính có thể lây vào máy tính của bạn qua email, qua các file
bạn tải về từ Internet hay copy từ usb và các máy tính khác về Virus máy tính cũng có thể lợi dụng các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính của bạn một cách âm thầm
Email là con đường lây lan virus chủ yếu và phổ biến nhất hiện nay
Từ một máy tính, virus thu thập các địa chỉ email trong máy và gửi email giả mạo có nội dung hấp dẫn kèm theo file virus để lừa người nhận mở các file
Trang 2này Các email virus gửi đều có nội dung khá ‘hấp dẫn’ Một số virus còn trích dẫn nội dung của 1 email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo, điều đó giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa hơn Với cách hoàn toàn tương tự như vậy trên những máy nạn nhân khác, virus có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân
Tại Việt Nam, usb là con đường lây lan phổ biến thứ hai của virus, chỉ sau email Khi bạn cắm usb của mình vào một máy tính để copy dữ liệu, chắc bạn không ngờ rằng có một vài chú virus đang ẩn mình trong chiếc máy tính đó, chờ trực để tự nhân bản vào usb của bạn Bạn mang usb về, cắm vào máy tính của mình, mở ổ đĩa để chuyển các file vừa copy được vào máy, và một lần nữa bạn không biết rằng virus cũng chỉ đợi có thế để lây nhiễm vào máy tính của bạn
Máy tính của bạn cũng có thể bị nhiễm virus khi bạn chạy một chương trình tải từ Internet về hay copy từ một máy tính bị nhiễm virus khác Lý do là các chương trình này có thể đã bị lây bởi một virus hoặc bản thân là một virus giả dạng nên khi bạn chạy nó cũng là lúc bạn đã tự mở cửa cho virus lây vào máy của mình Quá trình lây lan của virus có thể diễn ra một cách "âm thầm" (bạn không nhận ra điều đó vì sau khi thực hiện xong công việc lây lan, chương trình bị lây nhiễm vẫn chạy bình thường) hay có thể diễn ra một cách "công khai" (virus hiện thông báo trêu đùa bạn) nhưng kết quả cuối cùng là máy tính của bạn đã bị nhiễm virus và cần đến các chương trình diệt virus để trừ khử chúng
Nếu bạn vào các trang web lạ, các trang web này có thể chứa mã lệnh ActiveX hay JAVA applets, VBScript là những đoạn mã cài đặt Adware, Spyware, Trojan hay thậm chí là cả virus lên máy của bạn Vì vậy, trong mọi tình huống bạn nên cẩn thận, không vào những địa chỉ web lạ
Trang 3Tuy nhiên virus cũng được phát triển theo một trình tự lịch sử tiến hoá
từ thấp đến cao Những virus hiện nay có thể lây vào máy tính của bạn mà bạn không hề hay biết, ngay cả khi bạn không mở file đính kèm trong các email lạ, không vào web lạ hay chạy bất cứ file chương trình khả nghi nào Đơn giản là vì đó là những virus khai thác các lỗi tiềm ẩn của một phần mềm đang chạy trên máy tính của bạn (ví dụ: lỗi tràn bộ đệm…) để xâm nhập từ xa, cài đặt và lây nhiễm Các phần mềm (kể cả hệ điều hành) luôn chứa đựng những lỗi tiềm tàng mà không phải lúc nào cũng có thể dễ dàng phát hiện ra Các lỗi này khi được phát hiện có thể gây ra những sự cố không lớn, nhưng cũng có thể là những lỗi rất nghiêm trọng và không lâu sau đó thường sẽ có hàng loạt virus mới ra đời khai thác lỗi này để lây lan
Một tình huống hay gặp đối với các virus lây lan dựa trên tin nhắn tức thời (VD : tin nhắn Yahoo Messenger, ICQ, Windows Messenger…) là virus gửi tin nhắn tới tất cả các thành viên trong danh sách bạn bè của nạn nhân, tin nhắn này có nội dung rất ‘hấp dẫn’ và được gửi kèm với liên kết dẫn đến một trang web Trang web này nhìn bề ngoài rất bình thường, nhưng thực chất bên trong nó đã được dựng lên một cách có chú ý để khai thác các lỗ hổng của trình duyệt Internet (VD : Internet Explorer) Khi bạn nhấn vào liên kết để xem nội dung trang web với một trình duyệt chưa được vá lỗi, virus sẽ âm thầm lây nhiễm vào máy mà bạn không hề hay biết
Virus phá hoại những gì ?
Đây chắc chắn sẽ là điều băn khoăn của bạn nếu chẳng may máy tính của bạn bị nhiễm virus Như chúng tôi đã nói, dù ít hay nhiều thì virus cũng được dùng để phục vụ những mục đích không tốt
Các virus thế hệ đầu tiên có thể tàn phá nặng nề dữ liệu, ổ đĩa và hệ thống, hoặc đơn giản hơn chỉ là một câu đùa vui hay nghịch ngợm đôi chút
Trang 4với màn hình hay thậm chí chỉ nhân bản thật nhiều để "ghi điểm" Tuy nhiên các virus như vậy hầu như không còn tồn tại nữa
Các virus ngày nay thường phục vụ cho những mục đích kinh tế hoặc phá hoại cụ thể Chúng có thể chỉ lợi dụng máy tính của bạn để phát tán thư quảng cáo hay thu thập địa chỉ email của bạn Cũng có thể chúng được sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay các thông tin các nhân quan trọng của bạn Cũng có thể chúng sử dụng máy bạn như một công
cụ để tấn công vào một hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng Đôi khi bạn là nạn nhân thực sự mà virus nhắm vào, đôi khi bạn vô tình trở thành "trợ thủ" cho chúng tấn công vào hệ thống khác
Các loại virus máy tính
a Virus Boot
Ngày nay hầu như không còn thấy virus Boot nào lây trên các máy tính của chúng ta Lý do đơn giản là vì virus Boot có tốc độ lây lan rất chậm
và không còn phù hợp với thời đại của Internet Tuy nhiên, virus Boot vẫn là một phần trong lịch sử virus máy tính
Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi động của bạn sẽ được thực thi Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix ) Sau khi nạp xong hệ điều hành, bạn mới có thể bắt đầu sử dụng máy Đoạn mã nói trên thường được
để ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector"
Virus Boot là tên gọi dành cho những virus lây vào Boot sector Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên
Trang 5b Virus File
Là những virus lây vào những file chương trình, phổ biến nhất là trên
hệ điều hành Windows, như các file có đuôi mở rộng com, exe, bat, pif, .sys Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn
để lây vào Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?" Câu trả lời nằm ở lịch sử phát triển của virus máy tính Mãi tới năm 1995 virus Macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File
Tuy nhiên, bạn cũng không phải quá lo lắng về loại virus này vì thực
tế các loại virus lây file ngày nay cũng hầu như không còn xuất hiện và lây lan rộng nữa Khi máy tính của bạn bị nhiễm virus lây file, tốt nhất bạn nên
sử dụng phần mềm diệt virus mới nhất để quét toàn bộ ổ cứng của mình và liên hệ với nhà sản xuất để được tư vấn, hỗ trợ
c Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính (Microsoft Excel) hay các file trình diễn (Microsoft Power Point) trong
bộ Microsoft Office Macro là tên gọi chung của những đoạn mã được thiết
kế để bổ sung tính năng cho các file của Office Chúng ta có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tác giống nhau Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác
đó bằng một yêu cầu duy nhất
Trang 6Worm là một chương trình độc lập có khả năng tự tạo ra chính bản thân mình và lây nhiễm sang các máy tính khác qua mạng
Khác với virus, worm thường không sửa đổi các chương trình khác trong máy tính
Worm có sức lây lan rộng, nhanh và phổ biến nhất hiện nay Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là
sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một
kẻ phá hoại với vũ khí tối tân Tiêu biểu như Mellisa hay Love Letter Với
sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền Internet
Thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó lây nhiễm và tự gửi chính nó qua email tới những địa chỉ tìm được
Những địa chỉ mà worm tìm thấy thường là địa chỉ của bạn bè, người thân, khách hàng của chủ sở hữu máy bị nhiễm Điều nguy hiểm là worm
có thể giả mạo địa chỉ người gửi là địa chỉ của chủ sở hữu máy hay địa chỉ của một cá nhân bất kỳ nào đó; hơn nữa các email mà worm gửi đi thường
có nội dung “giật gân” hoặc “hấp dẫn” để dụ dỗ người nhận mở file virus đính kèm Một số còn trích dẫn nội dung của một email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo Điều này giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa Những việc này diễn ra mà bạn không hề hay biết Với cách hoàn toàn tương tự trên những máy nạn nhân khác, Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân Điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính trên toàn cầu Cái tên của nó, Worm hay "Sâu Internet" cho ta hình dung ra việc
Trang 7những con virus máy tính "bò" từ máy tính này qua máy tính khác trên các
"cành cây" Internet
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết
ra cài thêm nhiều tính năng đặc biệt, chẳng hạn như khả năng định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó Ngoài ra, chúng còn có thể mang theo các BackDoor thả lên máy nạn nhân, cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp
Ngày nay, khái niệm Worm đã được mở rộng để bao gồm cả các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USB hay các dịch vụ gửi tin nhắn tức thời (chat), đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan Các phần mềm (nhất là hệ điều hành
và các dịch vụ trên đó) luôn tiềm ẩn những lỗi/lỗ hổng an ninh như lỗi tràn
bộ đệm, mà không phải lúc nào cũng có thể dễ dàng phát hiện ra Khi một lỗ hổng phần mềm được phát hiện, không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ máy hoàn toàn không hay biết Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng Internet với cách thức tương tự
3.3.Trojan
Trojan là một chương trình độc hại được lây nhiễm hoặc ẩn chứa bên trong một phần mềm hợp lệ Trojan không thể hoạt động độc lập, điều này khác với virus và worm Trojan phụ thuộc vào hoạt động của người dùng, ngay cả nếu trojan có tự nhân bản hoặc thậm chí tự phân phối chính nó, mỗi một máy bị hại mới phải chạy chương trình chứa trojan Trojan thường phục
vụ một mục tiêu thực hiện một tấn công nào khác, nó không phụ thuộc vào các lỗ hổng an ninh trong hệ thống
Trang 8Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không
có tính chất lây lan Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa đối phương sử dụng chương trình của mình hoặc ghép Trojan đi kèm với các virus (đặc biệt là các virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình trước
Bên cạnh các Trojan ăn cắp thông tin truyền thống, một số khái niệm mới cũng được sử dụng để đặt tên cho các Trojan mang tính chất riêng biệt như sau:
+ Backdoor: Loại Trojan sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra
+ Phần mềm quảng cáo bất hợp pháp - Adware và phần mềm gián điệp - Spyware: Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc định (search page)… hay liên tục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình
“ghé thăm” những trang web có nội dung không lành mạnh, các trang web
bẻ khóa phần mềm… hoặc chúng đi theo các phần mềm miễn phí không đáng tin cậy hay các phần mềm bẻ khóa (crack, keygen)
Có 7 loại trojan chính:
a Trojan truy cập từ xa (RAT – Remote Access Trojan)
Được thiết kế để kẻ tấn công có khả năng truy cập từ xa chiếm quyền điều khiển của máy bị hại Các Trojan này thường được giấu vào trong
Trang 9các trò chơi và các chương trình nhỏ để cho người dùng mất cảnh giác có thể chạy trên máy tính của họ
Hiện nay, trojan loại này được sử dụng rất nhiều Chức năng chính của trojan này là mở một cổng trên máy nạn nhân để hacker có thể quay lại truy cập vào máy nạn nhân Những con trojan này rất dễ sử dụng Chỉ cần nạn nhân bị nhiễm trojan và hacker có IP của nạn nhân thì hacker đã
có thể truy cập toàn quyền trên máy nạn nhân
Hiện có nhiều con nổi tiếng loai này như : netbus, back orifice
b Trojan gửi dữ liệu
Lấy và gửi các dữ liệu nhạy cảm như mật khẩu, thông tin thẻ tín dụng, các tệp nhật ký, địa chỉ email,… Ðọc tất cả mật khẩu lưu trong cache và thông tin về máy nạn nhân rồi gửi về cho hacker mỗi khi nạn nhân online Vd : barok, kuang, bario
Trojan này có thể tìm kiếm cụ thể từng thông tin hoặc cài phần mềm đọc trộm bàn phím và gửi toàn bộ các phím bấm về cho tin tặc
Vd : kuang keylogger
c Trojan hủy hoại
Phá và xóa các tệp tin Loại Trojan này giống với virus và thường có thể bị phát hiện bởi các chương trình chống virus Loại trojan này rất dễ
sử dụng Những con trojan này chỉ có một nhiệm vụ duy nhất tiêu diệt tất
cả file trên máy bạn ( VD file exe, dll, ini )
Những con trojan này rất nguy hiễm vì khi máy bạn bị nhiễm chỉ một lần thôi thì tất cả dữ liệu mất hết
d Trojan kiểu Proxy
Sử dụng máy tính bị hại làm máy chủ Proxy, qua đó có thể sử dụng máy bị hại để thực hiện các hành vi lừa gạt hay đánh phá các máy tính khác
Trang 10e Trojan FTP
Thiết kế để mở cổng 21 và cho phép tin tặc kết nối vào máy tính bị hại
sử dụng FTP
f Trojan tắt phần mềm an ninh
Có thể dừng hoặc xóa bỏ các chương trình an ninh như phần mềm chống virus hay tường lửa mà không để người dùng nhận ra
g Trojan DoS
Lây virus từ các máy slave để sử dụng máy slave tấn công DoS tới máy đích
3.4 Các loại mã độc hại khác
a Spyware
Các Spyware được cài đặt trên hệ thống giống như những chương trình khác nhưng không để cho người sử dụng biết gì về hoạt động, mục đích cũng như những hậu quả mà nó gây ra Chức năng chính của các phần mềm gián điệp là chuyển về cho những người tạo ra chúng những yêu cầu xác định, chủ yếu phục vụ mục đích quảng cáo và thương mại
Các Spyware này thường được “kẹp” chung với các phần mềm miễn phí được kêu gọi download trên mạng, từ các phần mềm trao đổi giữa máy với máy qua hệ thống peer-to-peer của Kazaa hay The Brigde,… đến những sản phẩm của các nhà sản xuất phần mềm lớn Ngoài ra, chúng ta còn có thể
kể đến kỹ thuật Spyware vào máy của một vài trang web bugs - các trang web được cài sẵn worm, sẵn sàng tấn công vào bất kỳ máy tính nào Tuy nhiên, Spyware này chỉ có mục đích giúp trang web đếm được số lượt người truy cập vào
Khi được cài đặt vào máy của người sử dụng, Spyware sẽ bắt đầu ngay công việc của mình khi chiếc máy đó kết nối Internet Chủ nhân của các Spyware này sẽ nhận được mọi thông tin về việc sử dụng chiếc máy tính