Virus máy tính là một vấn đề dường như được người sử dụng máy tính rất quan tâm hiện nay, và đã trở thành mối nguy hại đối với tất cả các hệ thống máy tính và mạng trên thế giới. Vì vậy tìm hiểu về virus và cách phòng tránh là điều rất cần thiết với mỗi chúng ta. Đề tài này sẽ giúp cho chúng ta hiểu rõ về tác hại, nguồn gốc, cách lây lan và phòng chống virus để bảo vệ dữ liệu máy tính một cách hiệu quả nhất .
Trang 1MỞ ĐẦU
Virus máy tính là một vấn đề dường như được người sử dụngmáy tính rất quan tâm hiện nay, và đã trở thành mối nguy hại đối với tất cả các hệ thống máy tính và mạng trên thế giới Đặc biệt, ở Việt Nam, sự phát triển của các thế hệvirus máy tính trong những năm gần đây đã gây ra những hậu quả mà để khắc phục chúng phảitiêu phí một lượng rất lớn thời gian cũng như tiền bạc
Vì vậy tìm hiểu về virus và cách phòng tránh là điều rất cần thiết với mỗi chúng ta Đề tài này sẽ giúp cho chúng ta hiểu rõ về tác hại, nguồn gốc, cách lây lan và phòng chống virus để bảo vệ dữliệu máy tính một cách hiệu quả nhất
Trang 2TÌM HIỂU VỂ VIRUS
I Giới thiệu tổng quan về virus tin học
1 Khái niệm chung về virus
Virus máy tính là gì? Đối với những ngừơi không hiểu nhiều đến m
áy tính họ có
thể hiểu virus máy tính tưa như một lọai bệnh dịch lây lan nào đó,
họ thường phân vân
không hiểu virus sẽ lây ở chỗ nào trong máy tính, và cách chữa trị
không tốt Có thể coi virus máy
tính nh- mét virus trong y học Nghĩa là nó vừa có khả năng phá hu
ỷ và lây lan Virus
tin học là tính phá hoại,nó gây ra lỗi thi hành, thay đổi vị trí, mã ho
á hoặc huỷ thông tin
đánh dấu những thông tin cho phép hồi phục tệp về trạng tháI trướ
c khi bị virus Với yếu
Trang 3tố này giúp cho các nhà viết chương trình diệt virus tìm ra các thôn
g tin được dấu trên và
tạo cơ hội phục hồi Một chương trình virus thường gồm hai
cơ chế:
-Cơ chế làm tổn thương đến máy tính
hoặc hệ thống mạng máy tính
-Cơ chế lây lan
2 Lịch sử phát triển của Virus máy tính
Khi mà công nghệ phần mềm cũng như phần cứng phát triển thì virus cũng phát triển theo Hệ điều hành thay đổi thì virus máy tínhcũng tự thay đổi mình để phù hợp với hệ điều hành đó và để có thể
ký sinh Có thể việc viết virus mang mục đích phá hoại, thử
nghiệm hay đơn giản chỉ là một thú đùa vui ác ý
Có nhiều tài liệu khác nhau nói về xuất xứ của virus máy tính Âu cũng là điều dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra nổi một "xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay, điều đó cũng có nghĩa là không mấy ngườiquan tâm tới chúng Chỉ khi chúng gây ra những hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu Tuy vậy,
đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít nhiều liên quan tới những sự kiện sau:
1983 - Để lộ nguyên lý của trò chơi "Core War"
Core War là một cuộc đấu trí giữa hai đoạn chương trình máy tính
do 2 lập trình viên viết ra Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo gọi là Organism vào bộ nhớ máy tính Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và tái tạo Organism của mình Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất
Trò chơi Core War này được giữ kín đến năm 1983 Ken
Thompson, người viết phiên bản đầu tiên cho hệ điều hành UNIX
-đã để lộ ra khi nhận một trong những giải thưởng danh dự của giới
Trang 4điện toán - A.M Turing Trong bài diễn văn của mình ông đã đưa ra
một ý tưởng về virus máy tính dựa trên trò chơi Core War Cũng
trong năm 1983, Tiến sĩ Frederik Cohen đã chứng minh được sự tồn tại của virus máy tính
Tháng 5/1984, tờ báo Scientific America có đăng một bài báo mô
tả về Core War và cung cấp cho độc giả những thông tin hướng
dẫn về trò chơi này Kể từ đó, virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa những người viết ra virus và những người diệt virus
1986 - Brain virus
Được coi là virus máy tính đầu tiên trên thế giới, Brain âm thầm đổ
bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là trường Đại học Delaware Một nơi khác trên thế giới cũng mô tả sự xuất hiện của virus: đó là trường Đại học Hebrew (Israel)
1987 - Lehigh virus xuất hiện
Lại một lần nữa liên quan tới một trường đại học Lehigh chính là tên của virus xuất hiện năm 1987 tại trường đại học này Trong thờigian này cũng có 1 số virus khác xuất hiện, đặc biệt là worm - cơn
ác mộng với các hệ thống máy chủ Cái tên Jerusalem chắc sẽ làm cho Công ty IBM nhớ mãi với tốc độ lây lan đáng nể: 500.000 nhân bản trong 1 giờ
1988 - Virus lây trên mạng
Ngày 2/11/1988, Robert Morris đưa virus vào mạng máy tính quan trọng nhất của Mỹ, gây thiệt hại lớn Từ đó trở đi người ta mới bắt đầu nhận thức được tính nguy hại của virus máy tính
1989 - AIDS Trojan
Năm 1989 xuất hiện Trojan (con ngựa thành Tơ-roa) Chúng khôngphải là virus máy tính, nhưng luôn đi cùng với khái niệm virus
Trang 5Những chú ngựa thành Tơ-roa này khi đã gắn vào máy tính của bạn thì chúng sẽ lấy cắp một số thông tin mật trên đó và gửi đến một địa chỉ mà chủ của những chú ngựa này muốn chúng vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính củabạn.
1991 - Tequila virus
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình,
nó đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái
ác trong các hệ thống máy tính
Đây thực sự là loại virus gây đau đầu cho những người diệt virus
và quả thật không dễ dàng gì để diệt chúng Chúng có khả năng tự thay hình đổi dạng sau mỗi lần lây nhiễm, làm cho việc phát hiện
ra chúng quả thật là khó
1992 - Michelangelo virus
Tiếp nối sự đáng sợ của Tequila là Michelangelo - loại virus tăng thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực kỳ phức tạp Quả thật chúng luôn biết cách gây ra khó khăn cho những người diệt virus
1995 - Concept virus
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây
là loại virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàntoàn so với những tiền bối của nó Chúng gây ra một cú sốc cho các công ty diệt virus cũng như những người tình nguyện trong lĩnh vực phòng chống virus máy tính Khi Concept xuất hiện và trên thế giới chưa có loại "kháng sinh" nào thì tại Việt Nam, Trung tâm an ninh mạng trường ĐH Bách Khoa (BKIS) đã đưa ra được giải pháp rất đơn giản để loại trừ loại virus này và đó cũng là thời điểm BKAV bắt đầu được mọi người sử dụng rộng rãi trên toàn quốc
Trang 6Sau này những virus theo nguyên lý của Concept được gọi chung
là virus macro Chúng tấn công vào các hệ soạn thảo văn bản của Microsoft (Word, Exel, Powerpoint )
1999 - Melissa, Bubbleboy virus
Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới Melissa không những kết hợp các tính năng của sâu Internet
và virus macro, mà nó còn biết khai thác một công cụ mà chúng ta thường sử dụng hàng ngày là Outlook Express để chống lại chính chúng ta Khi máy tính của bạn bị nhiễm Melisa, nó sẽ tự phân phát mình đi mà khổ chủ không hề hay biết Và bạn cũng sẽ rất bấtngờ khi bị mang tiếng là phát tán virus
Chỉ từ ngày thứ sáu tới ngày thứ hai tuần sau, virus này đã kịp lây nhiễm 250.000 máy tính trên thế giới thông qua Internet, trong đó
có Việt Nam, gây thiệt hại hàng trăm triệu đôla Một lần nữa cuộc chiến lại sang một bước ngoặt mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếng đồng hồ.Năm 1999 là một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu, ngoài Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26/4
2000 - DDoS, Love Letter virus
Love Letter có xuất xứ từ Philippines do một sinh viên nước này tạo ra Chỉ trong vòng có 6 tiếng đồng hồ, virus đã kịp đi vòng qua
Trang 720 nước trong đó có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ USD Theo nhận định của BKIS, chỉ cần được "cải tiến" một chút thì virus này có thể tăng độ phá hoại của mình lên hàng trăm lần.
Thế còn DDoS? Những virus này phát tán đi khắp nơi, nằm vùng ởnhững nơi nó lây nhiễm Cuối cùng, chúng sẽ đồng loạt tấn công theo kiểu "từ chối dich vụ" (denial of service), tức là yêu cầu liên tục, từ nhiều máy đồng thời, làm cho các máy chủ bị tấn công không thể phục vụ được nữa và dẫn đến từ chối những yêu cầu mới Một hệ thống điện thoại của Tây Ban Nha đã là vật thí
nghiệm đầu tiên
2001 - Winux Windows/Linux Virus, Nimda, Code Red virus
Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên các hệ điều hành Linux chứ không chỉ Windows Chúng nguỵ trang dưới dạng file MP3 cho download Nếu bạn là một người mê MP3 và mê nhạc thì phải hết sức cẩn thận
Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm ), làm cho việc phòng chống vô cùng khó khăn Chúng cũng chỉ ra một xu hướng mới của các loại virus máy tính là "tất cả trong một" - một virus bao gồm nhiều virus, nhiều nguyên lý khác nhau
Trang 8Tháng 5, SQLSpider ra đời và chúng tấn công các chương trình dùng SQL Tháng 6, có vài loại virus mới ra đời: Perrun lây qua Image JPEG, Scalper tấn công các FreeBSD/Apache Web server
2003 - SQL Slammer
Ngày 25/1, các dịch vụ Internet tốc độ cao và di động trên toàn cầu
đã bị virus mang tên SQL Slammer (hay Sapphire) tấn công Hơn 250.000 hệ thống máy tính bị lây nhiễm trong vòng 10 phút Hàn Quốc bị cắt đứt liên lạc với thế giới trong gần 24 giờ vì tất cả ISP không hoạt động được
Không giống các virus thông thường yêu cầu người dùng phải mở file gửi kèm e-mail hoặc thực thi lệnh để lây nhiễm, Slammer có thể âm thầm phát tán mà không cần sự tương tác người dùng Có thể nói, đây là đợt tàn phá lớn nhất trên Internet kể từ khi virus Nimda xuất hiện hồi tháng 11/2001
2 Dấu hiệu của một virus máy tính
Cảnh báo giả
Khi đang lướt web, bạn có thể bắt gặp cửa sổ pop-up cảnh báo rằng đã có virus trên máy tính của bạn và tốt nhất là bạn nên tải phần mềm diệt virus để loại bỏ virus này Hãy cẩn thận! những thông báo này thường là scam, lừa bạn tải phần mềm có thể gây hại cho máy tính của bạn hoặc là gián điệp nếu thông báo này không phải là của chương trình diệt virus hoặc diệt spyware của bạn, không nên tin bất kì điều gì
Giả định rằng chương trình diệt virus không cảnh báo bạn về sựhiện diện của virus, sau đây là một số dấu hiệu của malware trênmáy tính của bạn:
Nếu máy tính của bạn chạy không ổn định, đây là dấu hiệu củađiều gì đó không ổn Một số malware làm loạn các file quan trọnggiúp ổn định máy tính của bạn Điều này thậm chí còn khiến máytính của bạn bị hỏng Nếu máy tính bị hỏng khi bạn cố gắng chạy
Trang 9một ứng dụng nào đó hoặc mở một file cụ thể, sẽ có thông báorằng dữ liệu của bạn đã bị hỏng Chính malware đã gây ra điềunày.
Máy tính của bạn dường như chạy chậm hơn rất nhiều so với bìnhthường? Đây có thể là kết quả của malware với mã độc bắt đầu làmcạn kiệt các nguồn xử lý trong máy tính của bạn nếu bạn khôngchạy ứng dụng nặng mà máy tính vẫn chạy rất chậm, bạn có thể đã
“dính” một con virus máy tính
Ngoài ra, những thông báo bạn không thể truy cập một số ổ đĩatrong máy tính cũng là một dấu hiệu khác Cùng với một phươngthức, các ứng dụng không chạy được hoặc file không thể mở được
là kết quả của sự lây nhiễm virus Một số dấu hiệu khác bao gồmnhững phần cứng khác như máy in không có trả lời với bất kì lệnhnào Trong khi những dấu hiệu này không phải là dấu hiệu củavirus, có lẽ bạn nên kiểm tra lại máy tính của mình
Nếu bạn thấy dung lượng file không ổn định, ngay cả khi bạnkhông truy cập những file này, đây là một dấu hiệu khác của virusmáy tính Và cuối cùng, nếu bạn truy cập menu và giao diện của nókhác thường hoặc bị xấu đi, hãy cân nhắc tới khả năng bạn đã lànạn nhân của malware
Trang 10Điều rất quan trọng mà bạn cần phải nhớ là virus máy tính có thể lànguyên nhân của những vấn đề được liệt kê bên trên, nhưng đókhông phải tất cả Nếu bạn cho rằng máy tính của mình đã bị lâynhiễm bởi virus, không nên hoảng loạn Hãy sử dụng các chươngtrình diệt virus để loại bỏ chúng.
Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công
.bat: Microsoft Batch File (Tệp xử lí theo lô)
.chm: Compressed HTML Help File (Tệp tài liệu dưới dạng
nén HTML)
.cmd: Command file for Windows NT (Tệp thực thi của
Windows NT)
.com: Command file (program) (Tệp thực thi)
.cpl: Control Panel extension (Tệp của Control Panel)
.doc: Microsoft Word (Tệp của chương trình Microsoft Word)
.exe: Executable File (Tệp thực thi)
.hlp: Help file (Tệp nội dung trợ giúp người dùng)
.hta: HTML Application (Ứng dụng HTML)
.js: JavaScript File (Tệp JavaScript)
.jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)
.lnk: Shortcut File (Tệp đường dẫn)
.msi: Microsoft Installer File (Tệp cài đặt)
.pif: Program Information File (Tệp thông tin chương trình)
.reg: Registry File (Tệp can thiệp và chỉnh sửa Registry)
scr: Screen Saver (Portable Executable File)
sct: Windows Script Component
shb: Document Shortcut File
shs: Shell Scrap Object
vb: Visual Basic File
vbe: Visual Basic Encoded Script File
.vbs: Visual Basic File (Tệp được lập trình bởi Visual Basic)
Trang 11 wsc: Windows Script Component
wsf: Windows Script File
wsh: Windows Script Host File
{*}: Class ID (CLSID) File Extensions
3.Các loại virus máy tính và cách thức tấn công
Thông thường, dựa vào đối tượng lây lan là file hay đĩa mà virus được chia thành hai nhóm chính:
- B-virus: Virus chỉ tấn công lên Master Boot hay Boot Sector
- F-virus: Virus chỉ tấn công lên các file khả thi
Mặc dù vậy, cách phân chia này cũng không hẳn là chính xác Ngoại lệ vẫn có các virus vừa tấn công lên Master Boot (Boot Sector) vừa tấn công lên file khả thi
Ðể có một cách nhìn tổng quan về virus, chúng ta xem chúng dành quyền điều khiển như thế nào
a B-virus.
Khi máy tính bắt đầu khởi động (Power on), các thanh ghi phân đoạn đều được đặt về 0FFFFh, còn mọi thanh ghi khác đều được đặt về 0 Như vậy, quyền điều khiển ban đầu được trao chođoạn mã tại 0FFFFh: 0h, đoạn mã này thực ra chỉ là lệnh nhảy JMP FAR đến một đoạn chương trình trong ROM, đoạn chương trình này thực hiện quá trình POST (Power On Self Test - Tự kiểm tra khi khởi động)
Quá trình POST sẽ lần lượt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo các Chip điều khiển DMA, bộ điều khiển ngắt, bộ điều khiển đĩa Sau đó nó sẽ dò tìm các Card thiết bị gắn thêm
để trao quyền điều khiển cho chúng tự khởi tạo rồi lấy lại quyềnđiều khiển Chú ý rông đây là đoạn chương trình trong ROM (Read Only Memory) nên không thể sửa đổi, cũng như không thể chèn thêm một đoạn mã nào khác
Sau quá trình POST, đoạn chương trình trong ROM tiến hành đọc Boot Sector trên đĩa A hoặc Master Boot trên đĩa cứng vào RAM (Random Acess Memory) tại địa chỉ 0:7C00h và trao quyền điều khiển cho đoạn mã đó bông lệnh JMP FAR 0:7C00h.Ðây là chỗ mà B-virus lợi dụng để tấn công vào Boot Sector
Trang 12(Master Boot), nghĩa là nó sẽ thay Boot Sector (Master Boot) chuẩn bông đoạn mã virus, vì thế quyền điều khiển được trao cho virus, nó sẽ tiến hành các hoạt động của mình trước, rồi sau
đó mới tiến hành các thao tác như thông thường: Ðọc Boot Sector (Master Boot) chuẩn mà nó cất giấu ở đâu đó vào
0:7C00h rồi trao quyền điều khiển cho đoạn mã chuẩn này, và người sử dụng có cảm giác rông máy tính của mình vẫn hoạt động bình thường
b F-virus.
Khi DOS tổ chức thi hành File khả thi (bông chức năng 4Bh củangắt 21h), nó sẽ tổ chức lại vùng nhớ, tải File cần thi hành và trao quyền điều khiển cho File đó F-virus lợi dụng điểm này bông cách gắn đoạn mã của mình vào file đúng tại vị trí mà DOS trao quyền điều khiển cho File sau khi đã tải vào vùng nhớ Sau khi F-virus tiến hành xong các hoạt động của mình, nómới sắp xếp, bố trí trả lại quyền điều khiển cho File để cho File lại tiến hành hoạt động bình thường, và người sử dụng thì khôngthể biết được
Trong các loại B-virus và F-virus, có một số loại sau khi dành được quyền điều khiển, sẽ tiến hành cài đặt một đoạn mã của mình trong vùng nhớ RAM như một chương trình thường trú (TSR), hoặc trong vùng nhớ nôm ngoài tầm kiểm soát của DOS,nhôm mục đích kiểm soát các ngắt quan trọng như ngắt 21h, ngắt 13h, Mỗi khi các ngắt này được gọi, virus sẽ dành quyền điều khiển để tiến hành các hoạt động của mình trước khi trả lại các ngắt chuẩn của DOS
Để có các cơ sở trong việc khảo sát virus, chúng ta cần có các phân tích để hiểu rõ về cấu trúc đĩa,
các đoạn mã trong Boot Sector
(Master Boot) cũng như cách thức DOS tổ chức, quản lý cùng nhớ
và tổ chức thi hành một File khả thi như thế nào
Trang 134.Phân loại virus
Virus Boot
Khi bạn bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi động của bạn sẽ được thực thi Đoạn chương trình này có nhiệm vụ nạp hệ điều hành mà bạn muốn (Windows, Linux,
Unix ) Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng được gọi là boot sector Những virus lây vào boot sector được gọi là virus Boot
Virus Boot chủ yếu lây lan qua đĩa mềm Ngày nay, ít khi chúng ta dùng đĩa mềm làm đĩa khởi động, vì vậy số lượng virus Boot
không nhiều như trước
Virus File
Là virus lây vào những file chương trình như file com, exe,
.bat, pif, sys Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus macro cũng lây vào file, tại sao lại không gọi là virus file?" Câu trả lời nằm ở lịch sử phát triển của virus máy tính Như bạn đã biết qua phần trên, mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (virus file) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus file
Virus macro
Là loại virus lây vào những file Word, Excel và Powerpoint Macro
là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy Mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được một số thao tác Có thể hiểu nôm na việc dùng macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhât