Virus (máy tính)

Bách khoa toàn thư mở Wikipedia

Xin xem các mục từ khác có cùng tên ở Virus (định hướng).

Trong khoa học máy tính, virus, còn gọi là virus máy tính, là một loại chương trình máy tính được thiết kế để tự nhân bản và sao chép chính nó vào các chương trình khác (truyền nhiễm tính) của máy tính. Virus có thể rất nguy hiểm và có nhiều hiệu ứng tai hại như là làm cho một chương trình không hoạt động đúng hay huỷ hoại bộ nhớ của máy tính (độc tính).

Có loại virus chỉ làm thay đổi nhẹ màn hình nhằm mụch đích "đùa giỡn" nhưng cũng có thứ tiêu huỷ toàn bộ dữ liệu trên các ổ đĩa mà nó tìm thấy. Một số loại virus khác lại còn có khả năng nằm chờ cho đến đúng ngày giờ đã định mới phát tán các hiệu ứng tai hại. Hầu hết các loại virus được phát triển chỉ nhắm tấn công vào các hệ điều hành Windows vì thị phần của các hệ điều hành này lên đến khoảng 90%.

Tuỳ theo chức năng hay phạm vi hoạt động, người ta có nhiều cách phân loại virus.

Mục lục 1 Virus lan truyền qua thư điện tử 1.1 Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm 2 Virus lan truyền qua Internet 3 Các virus cổ điển 4 Cách phòng ngừa 5 Các khái niệm tương tự 6 Lược sử của virus 7 Nguồn tham khảo 8 Liên kết ngoài

[sửa] Virus lan truyền qua thư điện tử

Đại đa số các virus ngày nay thuộc vào lớp này. Lí do là virus có thể tự tìm ra danh sách các địa chỉ thư điện tử và tự nó gửi đi hàng loạt (mass mail) để gây hại hàng triệu máy tính, làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian vô cùng ngắn.

Một nhược điểm của loại virus này khiến chúng ta có thể loại bỏ nó dễ dàng là nó phải được gửi dưới dạng đính kèm theo thư điện tử (attached mail). Do đó ngưòi dùng thường không bị nhiễm virus cho tới khi nào tệp virus đính kèm được mở ra (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)

Nhược điểm thứ nhì của loại virus này là nó phải là tệp mệnh lệnh tự thi hành (self executable file). Trong hệ thống Windows có một số kiểu tệp có khả năng này, chúng bao gồm các tệp có đuôi (extension) là .exe, .com, .js, .bat,... và các loại script. (Lưu ý, chữ "mệnh lệnh tự thi hành" là để phân biệt với các tệp mệnh lệnh phải được gọi qua một chưong trình trung gian như dll, vxd.)

Trước đây, để tìm bắt các tay tin tặc chuyên phát tán virus thì FBI hay Interpol thường dựa vào danh mục người gửi để truy ngược về người phát tán virus đầu tiên mà bắt giữ.

[sửa] Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm

• .bat: Microsoft Batch File
• .chm: Compressed HTML Help File
• .cmd: Command file for Windows NT
• .com: Command file (program)
• .cpl: Control Panel extension
• .doc: Microsoft World
• .exe: Executable File
• .hlp: Help file
• .hta: HTML Application
• .js: JavaScript File
• .jse: JavaScript Encoded Script File
• .lnk: Shortcut File
• .msi: Microsoft Installer File
• .pif: Program Information File
• .reg: Registry File
• .scr: Screen Saver (Portable Executable File)
• .sct: Windows Script Component
• .shb: Document Shortcut File
• .shs: Shell Scrap Object
• .vb: Visual Basic File
• .vbe: Visual Basic Encoded Script File
• .vbs: Visual Basic File
• .wsc: Windows Script Component
• .wsf: Windows Script File
• .wsh: Windows Script Host File
• .{*}: Class ID (CLSID) File Extensions

Ngày nay đã có rất nhiều loại virus mới tự bản thân chúng có thể "ăn cắp" tên và địa chỉ thư điện tử của các chủ hộp thư khác để mạo danh mà gửi các đính kèm tới các địa chỉ chứa trong các hộp thư của họ.

Do đó, ngay cả các thư điện tử có địa chỉ gửi từ người thân quen cũng không chắc là không chứa các đính kèm có thể là virus. Nạn nhân điển hình của việc lan truyền virus kiểu này thường từ các hộp thư điện tử miễn phí vì các hộp thư này thường không cung cấp đầy đủ các dịch vụ bảo vệ tối đa cho thân chủ.

Dựa vào đó, một lời khuyên tốt nhất là đừng bao giờ mở các tệp mệnh lệnh mới qua thư điện tử trừ khi biết rõ 100% là chúng không chứa virus.

Lưu ý:

Trong các chương trình hộp thư loại cũ (Outlook 95 chẳng hạn) hệ điều hành, bởi mặc định, sẽ không hiển thị đuôi của các tệp đính kèm qua thư điện tử nên cần phải cài đặt lại để tránh lầm tưởng một tệp có đuôi là .txt.exe thành đuôi .txt (vì khi đó hệ điều hành tự động dấu đi cái đuôi exe). Thay vì nhìn thấy tên tệp là "love.txt.exe" thì người đọc chỉ nhìn thấy "love.txt" và lầm rằng đó chỉ là tệp kí tự thường, nhưng kì thực nó là virus Love.

[sửa] Virus lan truyền qua Internet

Khác với loại lan truyền qua thư điện tử, virus loại này thường ẩn mình trong các chương trình lưu hành lậu (illegal) hay các chương trình miễn phí (freeware, shareware). Thật ra không phải chương trình lậu hay chương trình miễn phí nào cũng có virus nhưng một số tay hắc đạo lợi dụng tâm lý "tham đồ rẻ" để nhét virus vào đấy.

Loại này thường hay nằm dưới dạng .exe và nhiều khi được gói trong .zip.

Các hệ điều hành mới ngày nay có khả năng tự khởi động và cài đặt một phần mềm ngay sau khi tải về máy. Tính năng này rất tiện lợi nhưng cũng vô cùng tai hại nếu nhỡ chương trình tải về có chứa virus thì rõ ràng người tải về đã "cõng rắn cắn ... máy nhà".

Lời khuyên:

Đừng bao giờ cho phép (đồng ý nhấn nút OK mà không cần biết mình đã làm gì!!!) mở tệp tin ngay lập tức sau khi tải về mà trước nhất phải kiểm qua virus.

[sửa] Các virus cổ điển

Virus đầu tiên là phát minh của một thiếu niên ở Anh. Nó chỉ truyền được qua đường mạng và các thiết bị chứa dữ liệu như đĩa mềm do kết quả của việc sử dụng chung đĩa mềm, CD ROM, đĩa ZIP/ZAP hay băng từ. Virus nổi tiếng trong lich sử máy tính của loại này là virus Stealth. Nó có khả năng thay đổi ngay cả chức năng của BIOS. Ngày nay, Stealth vẫn còn nhưng đã được biến dạng thành một trong hai loại kể trên.

[sửa] Cách phòng ngừa

Cách phòng ngừa tốt nhất để tránh virus nhưng không có tính thực tiễn là Không nối vào bất kì máy nào hết và cũng không cài đặt bất kì một chương trình nào chưa được bảo đảm là không chứa virus. Cách này người dùng sẽ "an toàn tuyệt đối" tuy nhiên thật là khó chịu và vô dụng khi phải "đóng kín vỏ sò" như vậy. (Một máy như vậy có thể dùng để chứa số công quỹ riêng hay các tư liệu kín.)

Trong thực tế, để phòng ngừa cho một máy tính có nối kết hay có dùng chung các dữ liệu hay chương trình với các máy khác (như là nối mạng, Internet, dùng chung đĩa mềm, ...) thì cách tốt nhất là trang bị thêm một chương trình chống virus hữu hiệu. Điều cần lưu ý là một chương trình chống virus dù tốt cách mấy cũng sẽ không ngăn ngừa được các virus mới hơn các loại dựa trên cơ sở dữ liệu đương thời của chương trình chống virus này. Do đó, điều tối quan trọng mà nhiều người dùng các chương trình chống virus không để ý tới là phải cập nhật thường xuyên các dữ liệu của chương trình chống virus. Với một cơ sở dữ liệu mới thì chương trình chống virus sẽ cơ hội tìm ra virus mới và làm việc hữu hiệu hơn. Để cập nhật hóa các tệp cơ sở dữ liệu này, người dùng chỉ việc nối vào trang WEB của hãng cung cấp chương trình chống virus và tải về tệp dữ liệu mới nhất (dĩ nhiên là phải theo sự hướng dẫn của nhà sản xuất để cài đặt các tệp dữ liệu virus mới.)

Cho dù có cập nhật chăng nữa thì vẫn có thể bị nhiễm virus lạ. Đó là vì ngay cả nhà sản xuất cũng chưa kịp thêm vào các dữ liệu của họ về các virus mới. Chưa kể một số nhà sản xuất trì trệ việc hữu hiệu hóa phần mềm chống virus của họ (để tiết kiệm tiền phát triển?). Do vậy, để bổ túc cho việc dùng máy tính một cách thật an toàn trên Internet thì việc tạo ra một bản sao (back-up) cho các thông tin cần thiết và cất nó riêng vào một chỗ cô lập là cần thiết. (Một ổ CD–RW hay các loại ổ đĩa di động, như đĩa ZIP/ZAP chẳng hạn, có thể dùng làm việc này). Lỡ gặp virus còn có chỗ mà phục hồi.

Trên thị trường hiện có rất nhiều sản phẩm chống virus. Tuy nhiên có hai hãng lớn nổi tiếng, đó là MCAfee và Norton.

[sửa] Các khái niệm tương tự

• Worm (sâu máy tính): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử). Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của worm là phá các mạng (network) thông tin, làm giảm khả năng hoạt động hay ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus, họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt.
  

Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet. Tuy vậy, có lẽ worm tồn tại lâu nhất là virus happy99, hay các thế hệ sau đó của nó có tên là Trojan. Các worm này sẽ thay đổi nội dung tệp wsok32.dll của Windows và tự gửi bản sao của chính chúng đi đến các địa chỉ cho mỗi lần gửi điện thư hay message.

• Malware: (chữ ghép của maliciuos và software) chỉ chung các phần mềm có tính năng gây hại như virus, worm và Trojan horse.

• Trojan Horse: đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong.

[sửa] Lược sử của virus

Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus:

• Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính.
• Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus.
• Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.
• Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay.
• Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây là loại "stealth virus" đầu tiên.
• Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS.
• Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
• Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).
• Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome).
• Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.
• Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus.
• Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư này để tạo ra sự luân chuyển.
• Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point.
• Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Phi Luật Tân. Tên này được tha bổng vì Phi Luật Tân chưa có luật trừng trị những người tạo ra virus cho máy tính.
• Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.
• Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút.
• Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích.
• Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ.
• Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ.

[sửa] Nguồn tham khảo

Hiểu Biết Sơ Đẳng về Virus, Spam Mail, và Spyware - Võ Quang Nhân - Tác giả gửi đăng trên WiKi

[sửa] Liên kết ngoài

• Bài viết của Fred Cohen
• Virus, đại loại và các cách phòng ngừa
• Virus qua điện thư
• Các virus và worm thường gặp