Những dấu mốc lớn: 1949. Lý thuyết đầu tiên về các chương trình tự sao chép ra đời. 1981. Apple II là những virus đầu tiên được phát tán thông qua hệ điều hành của hãng "Quả táo", lây lan khắp hệ thống của công ty Texas A&M, thông qua các trò chơi ăn cắp bản quyền trên đĩa mềm. Những người đầu tiên phát hiện còn gọi nó là Elk Cloner. 1983. Fred Cohen, một sinh viên đại học Mỹ, đã đưa ra định nghĩa đầu tiên về virus: “Là một chương trình máy tính có thể tác động những chương trình máy tính khác bằng cách sửa đổi chúng bằng phương pháp đưa vào một bản sao của nó”. Fred Cohen luôn là cái tên được nhắc đến khi nói về lịch sử virus. 1986. Hai anh em lập trình viên người Pakistan là Basit và Amjad thay thế mã thực hiện (executable code) trong rãnh ghi khởi động của một đĩa mềm bằng mã riêng của họ, được thiết kế với mục đích phát tán từ một đĩa mềm 360 K khi cho vào bất cứ ổ đĩa nào. Loại đĩa mềm mang virus này có mác “© Brain”. Đây chính là những virus MS-DOS xuất hiện sớm nhất. 1987. Lehigh, một trong những virus file đầu tiên xâm nhập các tệp lệnh command.com (virus này sau đó tiến hoá thành virus Jerusalem). Một virus khác có tên IBM Christmas, với tốc độ phát tán cực nhanh (500.000 bản sao/tiếng), là cơn ác mộng đối với các máy tính lớn (mainframe) của Big Blue trong suốt năm đó. 1988. Một trong những virus phổ biến nhất, Jerusalem, xuất hiện. Được kích hoạt vào các thứ Sáu ngày 13, virus này tác động file có đuôi .exe và .com, xoá tất cả những ứng dụng chạy trong ngày hôm đó. Cùng năm này, virus MacMag and the Scores gây ra đợt bùng phát lớn đầu tiên trên các máy Macintosh. Đây là cuộc khủng hoảng Internet đầu tiên khiến một số lượng lớn máy tính bị tê liệt. Cũng từ đó, Trung tâm điều phối phản ứng nhanh (CERT) đã ra đời để đối phó với những sự cố tương tự. 1989. Xuất hiện chương trình Trojan có tên AIDS. Virus này nổi tiếng vì có khả năng khống chế giữ liệu giống như con tin. Nó được gửi đi dưới dạng một chương trình thông tin về bệnh suy giảm hệ miễn dịch. Khi được kích hoạt, AIDS sẽ mã hoá ổ cứng của nạn nhân và yêu cầu người sử dụng phải nộp tiền nếu muốn được giải mã. 1990. Symantec tung ra công cụ Norton AntiVirus, một trong những chương trình diệt virus đầu tiên do một công ty lớn phát triển. Thị trường trao đổi virus đầu tiên (VX) được tung lên mạng từ Bulgaria. Tại đây, các tin tặc có thể buôn bán mã và giao lưu ý tưởng. Cùng năm này, cuốn Sách đen về virus máy tính của tác giả Mark Ludwig được xuất bản. 1991. Tequila, một trong những virus phát tán dưới nhiều hình dạng đầu tiên được phát hiện. Những sâu loại này khiến cho việc xác định và truy quét chúng trở nên khó khăn do sự thay hình đổi dạng sau mỗi lần lây nhiễm. 1992. Trong vòng 2 năm, người ta ghi nhận tổng số 1.300 virus đang tồn tại, tăng 420% so với tháng 12/1990. Xuất hiện DAME (Dark Avenger Mutation Engine), một bộ công cụ cho phép chuyển những virus thông thường thành những chương trình có khả năng thay đổi hình dạng. Sau đó là VCL (Virus Creation Laboratory), công cụ sáng tác virus thực sự đã ra đời. Sự xuất hiện của virus Michelangelo làm dấy lên những lời cảnh báo về thiệt hại quy mô lớn trên toàn cầu, mặc dù cuối cùng những gì xảy ra không như người ta lo ngại. 1994. Trò lừa qua e-mail đầu tiên xuất hiện trong cộng đồng tin học. Trò này cảnh báo người sử dụng về một loại virus có thể xoá toàn bộ ổ cứng ngay khi mở e-mail có dòng chủ đề “Good Times”. Mặc dù không gây thiệt hại gì mà chỉ có tính chất doạ dẫm, trò lừa này vẫn tiếp tục xuất hiện trong chu kỳ từ 6 đến 12 tháng/lần. 1995. Word Concept xuất hiện, tấn công các văn bản Microsoft Word và trở thành một trong những virus ghê gớm nhất vào giữa thập kỷ này. 1996. Baza, Laroux (virus macro) và một số virus Staog xuất hiện lần đầu tiên, tấn công các file trong hệ điều hành Windows 95, chương trình bảng tính Excel và cả Linux. 1998. Không được đánh giá là nguy hiểm và chưa phát tán rộng, StrangeBrew là virus đầu tiên lây nhiễm vào file Java. Virus này sửa đổi các file CLASS để đưa một bản sao của nó vào giữa mã file để có thể bắt đầu chạy một vùng virus. Virus Chernobyl, hay còn gọi là CIH, phát tán rất nhanh qua các file .exe. Ngay như cái tên nó đã thể hiện, virus này có sức tàn phá khủng khiếp, không chỉ tấn công file mà cả chip trong máy bị nhiễm. 1999. Virus Melissa (W97M/Melissa) chạy một macro trong văn bản đính kèm e-mail, gửi tiếp thư này tới 50 người khác sử dụng Outlook. Virus này cũng lây nhiễm vào các văn bản Word và tiếp đó gửi chúng đi như những nội dung đính kèm. Melissa phát tán nhanh hơn bất kỳ virus nào từng xuất hiện trước đó, đạt tổng số 1 triệu máy tính nạn nhân. Bubble Boy là sâu máy tính đầu tiên không dựa vào việc người nhận e-mail có mở file đính kèm hay không. Chỉ cần thư được mở ra, nó vẫn sẽ tự hoạt động. Tristate là virus macro đa chương trình đầu tiên xuất hiện, tấn công nhiều ứng dụng như Word, Excel và PowerPoint. 2000. Love Bug, còn gọi là virus ILOVEYOU, phát tán qua OutLook (giống như Melissa) trong một file đính kèm VBS và xoá hết các file MP3, MP2, và .JPG. Nó còn ăn cắp và gửi tên người sử dụng và mật khẩu về cho tin tặc. W97M.Resume.A, một biến thể mới của Melissa, được tung ra, sử dụng một macro trong Word để lây lan vào Outlook. Virus Stage, giả dạng một e-mail với nội dung ngộ nghĩnh về những giai đoạn đời người, lan rộng trên Internet. Khác với những virus trước đó, nó ẩn trong một file đính kèm với một đuôi giả “.txt”, để dễ lừa người nhận mở file. Cho đến nay, virus này không còn tác động nữa. Các cuộc tấn công từ chối dịch vụ bằng virus của hacker đã đánh bật khỏi mạng nhiều website như Yahoo, eBay, Amazon,… trong nhiều giờ đồng hồ. 2001. Nimda (vẫn được gọi là Quái vật đa đầu) với sức mạnh kết hợp từ 5 loại virus với phương thức hoạt động khác nhau tấn công hàng trăm nghìn máy tính trên thế giới. Đây là một trong những virus phức tạp nhất tới nay mà người ta xác định được. Virus mang tên nữ hoàng quần vợt Nga Anna Kournikova, tự sao chép vào danh sách địa chỉ e-mail trong Microsoft Outlook và mặc dù không gây hại nhiều, vẫn khiến các nhà phân tích lo sợ đây là một sản phẩm được thiết kế từ công cụ hỗ trợ viết virus, nhờ đó những tin tặc ít kinh nghiệm lập trình nhất cũng có thể chế tác các chương trình phá hoại. Hàng loạt sâu mới xuất hiện với những cái tên như Sircam, CodeRed và BadTrans. Sircam phát tán qua văn bản e-mail Internet. CodeRed tấn công những trang web có khiếm khuyết và thậm chí còn lái hướng tấn công tới trang chủ của Phủ Tổng thống Mỹ. Trong vòng 12 giờ đầu tiên, virus này đã xâm nhập 359.000 máy tính. BadTrans là loại sâu được thiết kế để ăn cắp mật khẩu và thông tin thẻ tín dụng. 2002. David L. Smith, tác giả của virus Melissa, bị kết án 20 năm tù. Tháng 1, virus LFM-926 xuất hiện trong các file Shockwave Flash (.swf) với thông điệp mời tải phim (Loading.Flash.Movie). Liên tiếp phát hiện những virus sử dụng tên các nhân vật và nghệ sĩ nổi tiếng như Shakira, Britney Spears và Jennifer Lopez. Klez, một ví dụ tiêu biểu của xu hướng gia tăng những loại sâu e-mail, viết đè lên file, tạo ra các bản sao ẩn của bản gốc và vô hiệu hoá nhiều công cụ phòng chống thông thường. Sâu Bugbear lần đầu tiên xuất hiện vào tháng 9, với tính chất phức tạp và sử dụng nhiều phương thức lây lan. 2003. Tháng Giêng, sâu Slammer ra đời và đến nay vẫn được coi là loại virus có tốc độ phát tán nhanh nhất: 75.000 máy tính chỉ trong 10 phút, tức là trong phút đầu tiên, trung bình cứ 8,5 giây, con số này lại được nhân đôi. Virus Sobig ra đời và trở thành công cụ ưa thích của cộng đồng spam. Những hệ thống máy tính bị nhiễm virus này trở thành trạm tiếp vận phát tán thư không mời. Nhiều kỹ thuật spam được sử dụng trong Sobig giúp nó gửi đi lượng bản sao e-mail khổng lồ. Tuy nhiên, sự kiện đáng chú ý nhất trong năm nay là Blaster (còn có tên MBlast hay LoveSan), là một trong những loại virus có sức lây lan rất mạnh, nhắm vào máy tính sử dụng hệ điều hành Windows 2000 và XP. Bắt đầu xuất hiện ngày 11/8, chỉ trong chưa đầy 1 tuần, Blaster đã xâm nhập ít nhất 300.000 máy tính tại nhiều nước, trong đó có Việt Nam. Khi xâm nhập vào một máy tính bị lỗi Windows, Blaster tự động ta ̉ i đoạn mã từ PC bị nhiễm trước đó để tự nhân bản và tiếp tục phát tán. Sau đó, nó tìm quét những máy tính khác có lỗ hổng tương tự và tấn công. Những máy tính đã nhiễm, mỗi khi kết nối Internet được vài phút liền bị shutdown tự động. Virus và sâu đã dẫn đến sự hình thành một ngành công nghiệp hàng tỷ USD. Nhiều hãng cung cấp chương trình an ninh hàng đầu mỗi năm kiếm được bộn tiền qua các cuộc đối đầu với những chương trình phá hoại. Symantec ước tính trên thế giới hiện có khoảng 60 nghìn loại virus. Các nhà nghiên cứu cho rằng cứ 1.000 lập trình viên thì 100 người có khả năng chế virus, và 1 trong số ấy thực sự làm ra được virus nguy hiểm. Nếu nhân tỷ lệ này với con số hàng chục nghìn lập trình viên trên thế giới, ta sẽ có kết quả là khoảng 15.000 hoặc thậm chí 20.000 virus tương thích IBM và hàng trăm nghìn virus Apple Macintosh cùng một số lượng tương tự ở Windows. Dưới đây là những thông tin sơ lược về virus, một hiện tượng ngày nay không chỉ thuộc về lĩnh vực máy tính mà đã trở thành một vấn nạn của cộng đồng, hay nói như các nhà xã hội học, đây là một xu hướng phản kháng của kỷ nguyên tin học. Định nghĩa về virus - Là một tập hợp các chỉ dẫn. - Được tạo ra một cách cố ý. - Có khả năng tự nhân bản. - Gây ra những tác động không mong muốn. Đặc điểm của virus máy tính - Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó. - Tự nhân bản khi ứng dụng chủ được kích hoạt. - Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này không gây hậu quả. - Sau thời kỳ “nằm vùng” mới bắt đầu phát tác. Một số hình thức thể hiện của virus - Các ứng dụng trên máy bất ngờ hoặc từ từ chạy chậm lại. - Những biến đổi không thể lý giải về dung lượng của các ứng dụng trong các file có đuôi .EXE, .COM, .BAT, .SYS, .OVL. - Những động thái bất thường của máy tính, nhất là khi bạn đang chạy một chương trình mà bình thường không có vấn đề gì. - Một chương trình nào đó không thể cài chính xác dữ liệu từ đĩa nguồn. Những chương trình không phải virus - Bomb: một chương trình độc lập giống như Trojan mà ảnh hưởng chỉ giới hạn ở việc huỷ diệt một phần hệ thống (ứng dụng, dữ liệu) nhưng không giả dạng là một chương trình khác khi chạy. - Lỗi lập trình (bug): một chương trình chính thức khi mang lỗi logic có thể gây thiệt hại bất ngờ cho hệ thống, mặc dù mọi trình tự thực hiện đều được tuân thủ đúng. - Lỗi người sử dụng: nhiều người vẫn thường phủ nhận điều này khi sự cố xảy ra và nghĩ là virus. Việc mất dữ liệu, chương trình hoặc thiệt hại ổ cứng do nhập lệnh sai. Một số động thái thông thường do virus gây ra - Định dạng lại ổ cứng, phá huỷ dữ liệu (ví dụ như virus Dark Avenger). - Gây ra những thay đổi bất thường trên các ký tự được gõ vào (virus Teatime). - Cứ vài phút một lần, tung ra những thông điệp quảng cáo hoặc chính trị (virus Stoned). - Khiến máy tính hoạt động như thể monitor hoặc ổ đĩa có trục trặc (virus Jerusalem-B). Virus trốn ở đâu? - Trong rãnh ghi của đĩa mềm. Đây là một chương trình nhỏ hoạt động mỗi khi máy tính được khởi động. Chương trình này thường hiển thị trên màn hình thông điệp "Non- system disk or disk error" (không có đĩa hệ thống hoặc đĩa lỗi) - Đính kèm trong bất cứ một chương trình nào: chia sẻ, tên miền công cộng hoặc thương mại. - Nhúng (embeded) trong file ẩn của hệ thống như IO.SYS và MSDOS.SYS trên đĩa hoặc ổ khởi động. - Vùng lưu trữ riêng trên ổ cứng. Virus phát tán như thế nào? - Thông qua việc kinh doanh, sao chép hoặc ăn cắp phần mềm trên đĩa mà không rõ nguồn. - Những nhân viên bán hàng đưa phần mềm vào giới thiệu trên máy của khách. - Nhân viên bảo trì sử dụng đĩa chẩn đoán có virus trên máy của khách. - Bảng thông báo (bulletin board) và nhóm người sử dụng chung. Ví dụ: loại #2 & #3 chiếm tới trên 80% tất cả số vụ lây nhiễm tại các địa chỉ doanh nghiệp. Loại #1 chiếm phần lớn số còn lại. Loại #4 chỉ chiếm chưa đầy 5%. Khi nào virus kích hoạt? - Vào một số lần máy tính khởi động (ví dụ như virus Stoned, kích hoạt vào theo chu kỳ 8 lần khởi động). - Vào một ngày nhất định trong năm (virus Michelangelo hoạt động vào các ngày 6/3, đúng ngày sinh của danh họa Italy). - Một ngày nhất định trong tuần (virus Sunday). - Một ngày nhất định trong tháng (virus Thứ 6 ngày 13, Thứ 7 ngày 14). - Tất cả các ngày, trừ một ngày cụ thể (virus Israeli hay Suriv03, không hoạt động vào các thứ 6 ngày 13) - Chỉ xảy ra đúng một ngày duy nhất (virus Century kích hoạt vào ngày 1/1/2000, viết số 0 lên tất cả những đĩa có kết nối, xoá dữ liệu, ứng dụng, thư mục, bảng phân bổ file…). - Chỉ hoạt động trong một chu kỳ nhất định sau khi lây nhiễm (virus Plastique chỉ hoạt động trong 1 tuần). - Kích hoạt ngay sau khi lây nhiễm vào một lượng file nhất định (virus MIX/1 kích hoạt sau khi lây vào 6 file). - Kích hoạt sau một số lần gõ bàn phím nhất định (virus Devil"s Dance kích hoạt sau 2.000 lần người sử dụng gõ phím; đến lần thứ 5.000 sẽ phá huỷ dữ liệu trên đĩa cứng và in ra thông điệp mang tên nó). - Vào một khoảng thời gian nhất định trong ngày (virus Teatime chỉ hoạt động từ 15h10 đến 15h13, và cứ sau 11 lần người sử dụng gõ phím nó lại phá một ít dữ liệu). - Kết hợp bất kỳ một số hoặc tất cả những kiểu trên cộng thêm với những cái khác mà bạn có thể tưởng tượng ra. Phân loại virus 1. Theo phương thức lây lan (vector) - Virus rãnh ghi khởi động: Không truyền qua hệ thống bảng tin BBS mà lây lan qua đĩa mềm hoặc hộc băng từ (trường hợp thứ 2 thì hiếm). Sau khi xâm nhập, virus nằm chờ ở bộ nhớ trong quá trình khởi động nóng (warm boot) và lây nhiễm vào rãnh ghi của tất cả những đĩa khác trong hệ thống, kể cả đĩa cứng và mềm. - Virus chương trình: Có thể truyền đi nhờ qua các chương trình trên đĩa mềm, trên BBS và mạng. Một số chỉ tấn công command.com; số khác lại không lây nhiễm vào đối tượng này để tránh bị phát hiện. 2. Theo hệ điều hành - DOS: Chiếm số đông và đa dạng nhất do sự phổ biến của hệ điều hành này. - Amiga-DOS: Chỉ giới hạn với Commodore Amiga. - Macintosh: Chỉ giới hạn với loại máy cùng tên. Cả Amiga và Macintosh thường có một mô hình sao chép kiểu DOS, trong đó có một số virus DOS có thể hoạt động và phát huỷ chúng. - OS/2: Đến nay gần như không bị virus vì là hệ điều hành ít được sử dụng. Hầu hết các loại virus DOS trở nên vô hại trên OS/2, mặc dù một số vẫn có thể tồn tại vì OS/2 chạy được các ứng dụng DOS. - Unix: Những virus này cũng rất hiếm. Tuy nhiên, một số vẫn có khả năng lây sang PC chạy những bản sao Unix như XENIX. - VMS, MVS .: (máy tính mini và máy tính lớn - minicomputers & mainframes). Chỉ một số ít virus loại này phát tán qua mạng. Danh sách 10 nhà cung cấp phần mềm diệt virus hàng đầu thế giới: 1. Symantec 2. Sophos 3. Panda Software 4. Network Associates 5. MessageLabs 6. Kaspersky Labs 7. F-Secure 8. Computer Associates 9. Ikarus 10. Trend Micro. . một bản sao của nó”. Fred Cohen luôn là cái tên được nhắc đến khi nói về lịch sử virus. 1986. Hai anh em lập trình viên người Pakistan là Basit và Amjad. là VCL (Virus Creation Laboratory), công cụ sáng tác virus thực sự đã ra đời. Sự xuất hiện của virus Michelangelo làm dấy lên những lời cảnh báo về thiệt