Là những virus lây vào những file chương trình và phổ biến nhất là trên hệ điều hành Window như file .com, .exe, .bat, .pif, .sys...Khi bạn chạy một file chương trình đã bị nhiễm virus [r]
Trang 1PHẦN I: VIRUS MÁY TÍNH LÀ GÌ ? Virus máy tính là gì ?
Virus máy tính là một chương trình máy tính có khả năng tự sao chép chính nó từ đối tượng lây
nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính ) Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng chỉ cần bạn nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó thường dùng để phục vụ những mục đích không tốt
Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay có thể coi nó đã trở thành như những bệnh dịch cho những chiếc máy tính và chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng Cũng như mọi vấn đề ngoài xã hội, cũng khó tránh khỏi việc có những loại bệnh mà phải dày công nghiên cứu mới trị được, hoặc cũng có những trường hợp gây ra những hậu quả khôn lường Chính vì vậy, phương châm "Phòng hơn chống" vẫn luôn đúng đối với virus máy tính
Virus máy tính lây lan như thế nào ?
Virus máy tính có thể lây vào máy tính của bạn qua email, qua các file bạn tải về từ Internet hay
copy từ máy khác về, và cũng có thể lợi dụng các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính của bạn một cách âm thầm
Email là con đường lây lan virus chủ yếu và phổ biến nhất hiện nay Từ một máy tính, virus thu thập các địa chỉ email trong máy và gửi email giả mạo có nội dung hấp dẫn kèm theo file virus để lừa người nhận thực thi các file này Các email virus đều có nội dung hấp dẫn, hoặc virus trích dẫn nội dung của 1 email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo, điều đó giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa hơn Với cách hoàn toàn tương tự như vậy trên những máy nạn nhân khác, virus có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân
Máy tính của bạn cũng có thể bị nhiễm virus khi bạn chạy một chương trình tải từ Internet về hay copy từ một máy tính bị nhiễm virus khác Lý do là các chương trình này có thể đã bị lây bởi một virus hoặc bản thân là một virus giả dạng nên khi bạn chạy nó cũng là lúc bạn đã tự mở cửa cho virus lây vào máy của mình Quá trình lây lan của virus có thể diễn ra một cách "âm thầm" (bạn không nhận ra điều đó vì sau khi thực hiện xong công việc lây lan, chương trình bị lây nhiễm vẫn chạy bình thường) hay có thể diễn ra một cách "công khai" (virus hiện thông báo trêu đùa bạn) nhưng kết quả cuối cùng là máy tính của bạn đã bị nhiễm virus và cần đến các chương trình diệt virus để trừ khử chúng
Nếu bạn vào các trang web lạ, các trang web này có thể chứa mã lệnh ActiveX hay JAVA applets, VBScript là những đoạn mã cài đặt Adware, Spyware, Trojan hay thậm chí là cả virus lên máy của bạn Vì vậy, chúng tôi khuyên bạn trong mọi tình huống bạn nên cẩn thận, không vào những địa chỉ web lạ
Tuy nhiên virus cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao Những virus hiện nay có thể lây vào máy tính của bạn mà bạn không hề hay biết vì bạn không nhận được email virus, không vào web lạ hay chạy bất cứ file chương trình lạ nào Đơn giản là vì đó là những virus khai thác các lỗi tiềm ẩn của một phần mềm đang chạy trên máy tính của bạn (ví dụ: lỗi tràn bộ đệm…) để xâm nhập từ xa, cài đặt và lây nhiễm Các phần mềm (kể cả hệ điều hành) luôn chứa đựng những lỗi tiềm tàng mà không phải lúc nào cũng có thể dễ dàng phát hiện ra Các lỗi này khi được phát hiện có thể gây ra những sự cố không lớn, nhưng cũng có thể là những lỗi rất nghiêm trọng và không lâu sau đó thường sẽ có hàng loạt virus mới ra đời khai thác lỗi này để lây lan
Trang 2Đến đây bạn có thể sẽ tự hỏi: "Vậy làm thế nào để máy tính của tôi không bị nhiễm virus ?" Lời khuyên của chúng tôi dành cho bạn là: Bạn phải chặn virus trên chính những con đường lây lan của chúng Bạn hãy cận thận với những file gửi kèm trong email, không chạy các chương trình không rõ nguồn gốc khi tải từ Internet về hoặc những chương trình copy từ máy khác, cập nhật các bản sửa lỗi cho các phần mềm chạy trên máy tính của bạn, và điều quan trọng nhất là cập nhật thường xuyên chương trình diệt virus mới nhất
Virus máy tính phá hoại những gì ?
Đây chắc chắn sẽ là điều băn khoăn của bạn nếu chẳng may máy tính của bạn bị nhiễm virus
Như chúng tôi đã nói, dù ít hay nhiều thì virus cũng được dùng để phục vụ những mục đích không tốt
Các virus thế hệ đầu tiên có thể tàn phá nặng nề dữ liệu, ổ đĩa, hệ thống, đơn giản hơn chỉ là một câu đùa vui hay nghịch ngợm đôi chút với màn hình hay thậm chí chỉ nhân bản thật nhiều để
"ghi điểm" Tuy nhiên các virus như vậy hầu như không còn tồn tại nữa Các virus ngày nay thường phục vụ cho những mục đích kinh tế hoặc phá hoại cụ thể Chúng có thể chỉ lợi dụng máy tính của bạn để phát tán thư quảng cáo hay thu thập địa chỉ email của bạn Cũng có thể chúng được sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay các thông tin các nhân quan trọng của bạn Cũng có thể chúng sử dụng máy bạn như một công cụ để tấn công vào một hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng Đôi khi bạn là nạn nhân thực sự mà virus nhắm vào, đôi khi bạn vô tình trở thành "trợ thủ" cho chúng tấn công vào hệ thống khác
PHẦN II : CÁC LOẠI VIRUS MÁY TÍNH
Nếu bạn muốn tìm hiểu sâu hơn về virus thì hãy đọc phần này, nó sẽ giúp bạn có thêm một số kiến thức về các loại virus máy tính, để có thể tự tin trong việc phòng chống chúng Tuy nhiên, nếu không cũng không sao, bạn chỉ cần nhớ câu nói trong phần trên là đủ: "Dường như tất cả mọi thứ đều có thể nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ thâm nhập vào tất cả những gì có thể"
Virus Boot | Virus File | Virus Macro | Ngựa Thành Tơ-roa - Trojan| Sâu Internet - Worm
Virus Boot
Ngày nay hầu như không còn thấy virus Boot nào còn lây trên các máy tính của chúng ta Lý do đơn giản là vì virus Boot có tốc độ lây lan rất chậm và không còn phù hợp với thời đại của Internet Tuy nhiên virus Boot vẫn là một phần trong lịch sử virus máy tính
Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi động của bạn sẽ được thực thi Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix ) Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy Đoạn mã nói trên thường được để ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector" Những virus lây vào Boot sector thì được gọi là virus Boot
Trang 3Virus File
Là những virus lây vào những file chương trình và phổ biến nhất là trên hệ điều hành Window như file com, exe, bat, pif, sys Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn để lây vào
Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?" Câu trả lời nằm ở lịch sử phát triển của virus máy tính Như bạn đã biết qua phần trên, mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File
Tuy nhiên bạn cũng không phải quá lo lắng về loại virus này vì thực tế các loại virus lây file ngày nay cũng hầu như không còn xuất hiện và lây lan rộng nữa Khi máy tính của bạn bị nhiễm virus lây file, tốt nhất là bạn nên diệt virus trong chế độ Safe Mode của hệ điều hành vì ở chế độ này,
hệ điều hành (Windows ) chỉ nạp những dịch vụ tối thiểu nhất nên có thể hạn chế được khả năng thường trú, lây lan của virus
Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính (Microsoft Excel) và cả file trình diễn (Microsoft Power Point) trong bộ Microsoft Office Macro là những đoạn mã giúp cho các file của Office tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công thao tác Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhất
Ngày nay trên thực tế thì các loại virus Macro cũng gần như đã "tuyệt chủng" và hầu như không
ai còn sử dụng đến các macro nữa Bkav có một tuỳ chọn là diệt "Tất cả các Macro" hay "All Macro", khi chọn tuỳ chọn này thì Bkav sẽ xoá tất cả các macro có trong máy mà không cần biết chúng có phải là virus hay không, điều này đồng nghĩa với việc tất cả các virus macro có trong máy cũng sẽ bị diệt theo Nếu bạn không dùng đến macro hay cũng chẳng để ý nó là cái gì thì bạn nên dùng tuỳ chọn này, nó sẽ giúp bạn loại bỏ nỗi lo với những virus macro bất kể chúng vừa xuất hiện hay xuất hiện đã lâu Còn trong trường hợp bạn có sử dụng macro cho công việc của mình thì không nên chọn tuỳ chọn này (khi không dùng tuỳ chọn này thì bkav chỉ diệt những macro đã được xác minh chính xác là virus),
Con ngựa Thành Tơ-roa - Trojan Horse
Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy Lạp và người thành Tơ-roa Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp không sao có thể đột nhập vào được Người ta đã nghĩ ra một kế, giả vờ giảng hoà, sau đó tặng thành Tơ-roa một con ngựa gỗ khổng
lồ Sau khi ngựa được đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và đánh chiếm thành từ bên trong
Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng Khác với virus, Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình hoặc ghép trojan
đi kèm với các virus Worm để xâm nhập, cài đặt lên máy nạn nhân Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể sẽ ra tay xoá dữ liệu nếu được lập trình trước
Bên cạnh các Trojan ăn cắp thông tin truyền thống, một số khái niệm mới cũng được sử dụng để đặt tên cho các trojan mang tính chất riêng biệt như sau:
Trang 4 BackDoor: Loại trojan sau khi đã cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận lệnh và thực hiện lệnh mà kẻ tấn công đưa ra
Phần mềm quảng cáo bất hợp pháp - Adware và phần mềm gián điệp - Spyware: Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc định (search page) hay liên tục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình “ghé thăm” những trang web có nội dung không lành mạnh, các trang web bẻ khóa phần mềm…hoặc đi theo các phần mềm miễn phí không đáng tin cậy, các phần mềm bẻ khóa (crack, keygen)
Sâu Internet - Worm
Sâu Internet -Worm là loại virus có sức lây lan rộng, nhanh và phổ biến nhất hiện nay Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết là sự lây lan đáng sợ mà những
kẻ viết virus trang bị cho nó Một kẻ phá hoại với vũ khí tối tân Tiêu biểu như Mellisa hay Love Letter Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc đường truyền
Vào thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó đang lây nhiễm, đó thường là địa chỉ của bạn bè, người thân, khách hàng của chủ máy Tiếp đến, nó tự gửi chính nó qua email cho những địa chỉ mà nó tìm thấy, tất nhiên với địa chỉ người gửi là chính bạn, chủ sở hữu của chiếc máy hay giả danh một người nào đó Điều nguy hiểm là các email virus đều có nội dung hấp dẫn, hoặc được virus trích dẫn nội dung của 1 email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo Điều này giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa Những việc này diễn ra mà bạn không hề hay biết Với cách hoàn toàn tương tự trên những máy nạn nhân khác, Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân Điều đó
lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính trên toàn cầu Cái tên của nó Worm hay "Sâu Internet" cho ta hình dung
ra việc những con virus máy tính "bò" từ máy tính này qua máy tính khác trên các "cành cây" Internet
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra chúng cài thêm nhiều tính năng đặc biệt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó Ngoài ra, chúng còn có thể mang theo các BackDoor thả lên máy nạn nhân cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và có thể làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp
Khái niệm Sâu Internet còn bao gồm các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua các dịch vụ chatting và đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan Các phần mềm (nhất là hệ điều hành và các dịch vụ trên đó) luôn chứa đựng những lỗi tiềm tàng (ví dụ: lỗi tràn bộ đệm…) mà không phải lúc nào cũng có thể dễ dàng phát hiện ra Khi một lỗ hổng phần mềm được phát hiện, không lâu sau đó sẽ xuất hiện các virus
có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm
mà người chủ máy hoàn toàn không hay biết Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng Internet với một cách thức tương tự
Trên đây chúng tôi chỉ có thể nói sơ qua về lịch sử, cũng như phân loại virus nhằm cung cấp cho các bạn một cách nhìn nhận đúng đắn về virus máy tính, để từ đó sẽ có những phương pháp hữu hiệu ngăn chặn chúng
Trang 5PHỤ LỤC :
Virus, Worm và Trojan Horse khác nhau thế nào?
Cả ba loại trên đều là các chương trình nguy hiểm có thể gây hại đến cho máy tính của bạn, nhưng giữa chúng lại có sự khác nhau Nếu biết được sự khác nhau này, bạn có thể bảo vệ máy
Virus có thể tự gài chính nó vào một chương trình hoặc một file nào đó, vì thế nó có thể phát tán
ra các máy tính khác, đi đến đâu nó gây tác hại đến đấy Không giống như virus ở người, Virus máy tính có phạm vi tác động rộng hơn, một số Virus chỉ gây lên những tác động nhỏ, trong khi một số khác thì có thể gây nguy hiểm cho ổ cứng, chương trình hay hệ thống file, thậm chí làm
Hầu như các loại Virus đều được kèm theo vào trong các file chạy, điều đấy có nghĩa là máy tính của bạn có thể chứa virus nhưng chưa chắc đã bị ảnh hưởng trừ khi bạn cho chạy các chương trình đó Một điều quan trọng là virus không thể phát tán được nếu như không có sự tác động của con người, ví dụ như cho chạy các chương trình chứa nó Mọi người thường tự phát tán virus khi chia sẻ các file hay gửi mail có nhiễm virus Worm được tạo ra tương tự như virus, và nó được biết đến như là lớp con của virus Nó cũng phát tán từ một máy tính này sang máy khác Nhưng không giống như virus, giống như ý nghĩa
"con sâu" tự bò được, nó có thể di chuyển mà không nhờ vào một tác động nào của người dùng Worm lợi dụng các tính năng truyền file hay thông tin trên hệ thống để di chuyển không cần có tác động của con người Sự nguy hiểm lớn nhất của Worm là nó có thể tự nhân bản chính nó trong hệ thống của bạn, và nó có thể gửi đi hàng trăm, thậm chí hàng ngàn bản copy của nó ra ngoài và gây ra sự tàn phá rất lớn
Ví dụ một con Worm có thể gửi chính nó tới tất cả mail trong danh sách mail của bạn Sau đó nó
tự nhân bản và gửi đi tất cả mail trong danh sách trên máy tính nhận, và cứ như thế Chính vì Worm có khả năng nhân bản và di chuyển trên mạng nên nó sẽ tiêu tốn bộ nhớ (hay băng thông mạng), làm cho các máy chủ Web, máy chủ mạng, và cả máy tính đơn không hoạt động nữa Gần đây nhất có loại Worm tên là Blaster, nó có thể xâm nhập vào máy tính của bạn và cho phép
Còn Trojan Horse thì lại còn nguy hiểm hơn cả hai loại trên Trojan Horse xuất hiện lúc đầu như
là một phần mềm hữu ích, nhưng nó sẽ ngay lập tức trở nên nguy hiểm ngay khi bạn cài nó hay chạy nó lần đầu tiên trên máy tính Khi Trojan Horse được phát tán đến máy khác, thông thường bên nhận sẽ chạy nó vì người dùng sẽ thấy nó như là một phần mềm hay file đáng tin cậy và được gửi từ một nguồn đáng tin cậy Khi Trojan được kích hoạt trên máy tính của bạn thì hậu quả mà nó gây ra có thể sẽ khác nhau (như sẽ thay đổi desktop hay sẽ xuất hiện một số biểu tượng lạ trên desktop), hoặc nó có thể gây ra những hậu quả rất nghiêm trọng, như xoá các file, thông tin trong hệ thống của bạn
Trojan có thể tạo ra các Backdoor (cổng sau) giúp cho những kẻ lạ có thể xâm nhập vào hệ thống, làm hư hại đến thông tin cá nhân và các thông tin bí mật khác Không giống như Virus và Worm, Trojan không phát tán bằng cách làm cho các file khác nhiễm cũng như không tự nhân
Trước tiên bạn cần đảm bảo rằng hệ điều hành đang dùng là bản nâng cấp mới nhất Điều này rất cần thiết khi bạn đang chạy HĐH Microsoft Windowns Sau đó cần cài một phần mềm anti-virus, và cần cập nhật bản mới nhất để đảm bảo nó có thể diệt được các con Virus, Worm và Trojan mới nhất Ngoài ra phần mềm anti-virus cần phải có khả năng scan được các virus, worm,
Trang 6Trojan trên các e-mail và file khi được down về từ Internet Như thế bạn có thể bảo vệ máy của bạn khỏi các chương trình gây hại ngay cả việc nó tiếp xúc với máy của bạn Tuy nhiên như thế cũng chưa phải là đủ để bảo vệ máy của bạn, mà nên thiết lập thêm tường lửa-firewall Firewall là một hệ thống bảo vệ hệ thống khỏi những truy nhập không hợp lệ Firewall có thể là phần cứng hay phần mềm Firewall bằng phần cứng sẽ có khả năng bảo vệ mạnh hơn đối với hầu hết các truy nhập từ bên ngoài Thật không may là khi chống Virus, Worm hay Trojan thì firewall bằng phần cứng lại không hiệu quả bằng firewall phần mềm, vì đối với những Worm được kèm vào trong e-mail hay file thì nó lại lờ đi và coi chúng như là những e-mail, file bình thường
Đối với những người dung ở nhà thì thông thường chọn firewall phần mềm Một firewall phần mềm tốt có sẽ bảo vệ máy của bạn khỏi sự cố gắng truy nhập có hại, và thông thường còn có thêm các chức năng bảo vệ khỏi các chương trình Trojan thông thường và các e-mail Worm Nhược điểm của firewall phần mềm là nó chỉ bảo vệ được máy nào có cài đặt nó mà thôi, mà
Cần phải nhớ là firewall không thể giải quyết được hết tất cả các vấn đề về Virus, nhưng khi ta
có một HĐH tốt và kết hợp với dung một phần mềm anti-virus tốt, thì chúng ta có thể bảo vệ được máy tính của mình và cả mạng nữa
Trojan và những biến dạng của nó
Phong trào gửi trojan ăn cắp pwd đã xẹp xuống, nhưng tôi thấy vẫn còn nhiều bạn thắc mắc về loại virus này Bằng sự hiểu biết ít ỏi của mình, tôi xin góp một số ý kiến cùng các bạn
Virus là một đoạn mã chương trình thực thi những hành động cố ý làm ảnh hưởng đến hoạt động bất thường của máy tính Như vậy ta cần phân biệt virus với bug, dù có thể lợi dụng bug để làm nhiều chuyện "tày đình"
Ngày xưa, virus được chia làm 2 loại boot virus & file virus Boot virus là loại nhiễm vào boot sector (đĩa mềm) hoặc master boot record (đĩa cứng) nhằm mục đích sẽ thi hành trong quá trình khởi động máy, trước cả HĐH Còn file virus là loại virus nhiễm vào các tập tin thi hành (dạo đó
là EXE, COM) Đó là mục tiêu lây nhiễm, còn mục tiêu phá hoại thì tùy hứng của tác giả Và điểm đặc trưng của virus là khả năng tự nhân bản
Virus ngày nay đa dạng hơn, mục tiêu lây nhiễm không chỉ là boot, EXE, COM mà còn DLL, OCX (mã máy), DOC, XLS (macro), HTM, RTF, PDF (script, OLE) Nghĩa là hầu hết mọi tập tin đều là đối tượng lây nhiễm Và khả năng đề kháng của virus cũng tăng rất nhiều theo thời gian: tàng hình (chống theo dõi), mã hoá, đa hình Các virus hiện nay ít thường trú vì sẽ dễ bị phát hiện
Trojan, hay Trojan horse (ngựa thành Tơ-roa - chắc bạn đã nghe nói đến?), là một đoạn chương trình được cài bí mật vào một chương trình khác, chờ thời cơ để hoạt động, tạo sự bất ngờ cho nạn nhân Như vậy, cái thông báo đòi đăng kí Vietkey của anh Đặng Tuấn cũng có thể xem là trojan (lỡ thay vì đòi đăng kí, nó âm thầm format đĩa cứng thì sao nhỉ?)
Ban đầu, trojan được cài vào một số chương trình lớn cho các mục đích riêng tư, và khó phát hiện Sau này thì trojan để các cao thủ (?) đùa vui: các con Sub Seven, Girl Friend, The Thing
để điều khiển từ xa máy tính của nạn nhân Nó có thể dễ dàng xoá tập tin, sửa cấu hình, khởi động lại máy, chào hỏi vài câu hay thậm chí khoá (lock) máy nạn nhân Các trojan này gồm 2 phần: phần server gửi cho nạn nhân và chỉ cần họ chạy là OK, khi đó phần client do kẻ thả virus
Trang 7giữ, có thể bảo tên nội gián server làm bất cứ chuyện gì (thông qua internet, LAN ) Để làm được nhiều việc như thế, các trojan này có size lên đến vài trăm KB Các bạn cũng cần lưu ý là một khi phần server được nạn nhân kích hoạt lần đầu, nó tự động đổi tên (hay trích ra một file EXE) nghe rất Windows (để nạn nhân tưởng đó là một chương trình của HĐH), và tự chạy mỗi khi khởi động máy Và một chương trình EXE đã chạy thì nó sẽ làm được nhiều việc to tát
Bây giờ, các bạn trẻ chúng ta thích dùng trojan để ăn cắp password Nó chẳng cần gồm server
và client nữa, mà chỉ là một chương trình bé bé (khoảng 15KB là đủ) để send các password của nạn nhân đến một email nào đó Không chỉ send các saved password, mà nó có thể send cả thao tác bấm phím (key strokes) nữa Ta nên biết là các saved password trong Windows (có dạng
******) không được mã hoá và có thể xem dễ dàng (95/98/ME/NT/2K/XP, cho dù với dòng NT thì khó hơn) Đã vậy còn các cookies mà các web mail hay dùng nữa chứ
Tuy nhiên, để ngăn không cho trojan chạy thì có tắt trong System Information/Start up (9x) Trong họ NT thì có thể tắt ngay process đó Để phòng trojan, các bạn hãy cẩn thận với những mail có đính kèm Nếu các tập tin JPG của bạn không có đuôi, nhưng ai đó là gửi cho bạn một
"cái hình" có tên THUTHAO.JPG thì bạn phải biết kiểu tập tin này không phải là JPG (mà có thể
là EXE, các đuôi này mặc định không hiện ra, và tập tin đó có tên đầy đủ là
THUTHAO.JPG.EXE) Và những kẻ khá hơn thì có thể thay icon của file EXE này thành icon file JPG Nhưng không sao, bạn hãy save file này rồi click phải lên nó để xem properties là rõ ngay
Đối với các bạn bình thường thì xem mã hay dịch ngược lại cũng không cho kết quả gì, vì chắc chắn rằng các thông tin được mã hoá Tôi cũng là một người bình thường, và đã thử tìm cái email trong một con trojan, nhưng thất bại
Hôm đó tôi nhận một mail KI NIEM NHA TRANG - THUY HIEN.JPG PIF (tôi không hiểu tại sao lại PIF?), xem source thì rõ ràng là EXE (MZ), trong đó lại có dòng Coded by Weird nữa chứ (Weird là tên một họ virus) NAV và TR của tôi scan không ra (vì gần 2 tháng tôi chả cập nhật gì), nhưng cả BKAV và D2 đều phát hiện đó là một con steal password Sau khi update TR thì nó bảo
là K2 (chắc là Kuang 2, con này tôi nghe nói rồi, nó từng là "đại ca" trong giới chôm pwd) Tìm trong source, rồi lại dis assembler nhưng vẫn không tìm thấy email đâu Còn ngồi dò thì source
nó hơn 100KB Còn debug nó để tìm email thì tôi không dám Sau đó tôi nhận thêm một con K2 nữa, so sánh 2 con này tôi tìm được vị trí lưu email, nhưng vẫn không thể dịch ngược để xem email là gì (mà xem được thì có ích gì nhỉ?) Có thể search trên net được mô tả chi tiết của con này?
Tôi đã nói trong về các trojan ẩn trong file EXE, rằng là nó dễ bị phát hiện, nhất là các con steal pwd Và tốt nhất là đừng mở các file EXE lạ (tôi đã nói cách xem một file có phải là EXE), vì
lỡ nó không ăn cắp pwd mà nó xoá vài file trên đĩa cứng, hay ghi rác vào FAT thì sao? Còn nếu biết chắc là nó ăn cắp password, hãy thử đặt firewall (dùng ZoneAlarm hoặc LockDown) rồi chạy
nó, nếu bạn thích nghiên cứu
Bây giờ đến loại virus trong html Tôi xin nói về loại đẳng cấp thấp trước
Cách đây khoảng 1 tháng, BQT có thông báo về một email giả danh nói về virus Miss World Trong đó có một cái link (anchor) đến website của VNN, nhưng biến cố onclick của cái link đó (sẽ được thi hành khi bạn click vào link) sẽ mở thêm một trang web khác Như vậy, khi bạn rê chuột lên link, xem dòng trạng thái thấy rõ là một trang web của VNN, an tâm click vào và thế là xong! Ngoài ra có thể đánh lừa bạn trong thời gian lâu hơn (đủ để virus làm xong việc), là mở một trang
có 2 frame: 1 frame 0% chứa website virus (do đó bạn không thấy trang này, dù nó đang mở), trang kia 100% chứa website bạn tin cậy, VNN chẳng hạn Và khi bạn đang xem VNN, virus đang hoạt động đấy!
Trang 8Kĩ thuật về URL có thể không cần (bạn thấy VNN mở ra là tin tưởng rồi!), hoặc là dùng @, hoặc là dùng cái gì đó mà tôi không biết
Ở đẳng cấp cao hơn, nó sẽ không cần đến cái click của bạn Thí dụ, ngay khi bạn mở thư là
nó sẽ thi hành (biến cố onload của body, hoặc chẳng cần biến cố gì cả) Gây ấn tượng nhất là con đã format đĩa cứng của một số người trong hội hacker (hội nào tôi không rõ) Nguyên tắc hoạt động của nó là nhờ một ActiveX object, nó thêm dòng format vào autoexec.bat (định hướng
ra nul, vào là một tập tin có sẵn các dòng Enter, Y để tự động trả lời), đồng thời thêm câu "Xin chờ windows cập nhật cấu hình hệ thống" để trấn an người dùng (khi "cấu hình" xong thì chỉ còn cách đem cái HDD đi ra dịch vụ, hoặc cài lại Windows) Loại này thường không dùng JavaScript
mà dùng VBscript, do có thể tận dụng WSH (Windows Script Host) Để biết nó lợi hại cỡ nào, bạn hãy nhớ lại các help của Windows (dạng html) có những link để mở chương trình mà không cần hỏi lại OK? Cách phòng tránh là cẩn thận với mail dạng HTML, lớn bất thường, và cần có trực giác tốt
Một cách khác là dùng EXE nhúng vào email nhưng không hiện ở attachment Như thế này: bạn soạn một mail HTML có hình nền, thì khi dùng outlook nhận sẽ không thấy file hình đó trong attachment Như vậy OE phân biệt các dạng đính kèm Tốt, các tay quấy rối sẽ soạn một mail có một background images (hoặc sound), có đính kèm một EXE, rồi lưu lại Hai file này sẽ được mã hoá, họ xem source, chuyển đổi vị trí 2 file Nghĩa là giờ đây cái background có nội dung của EXE, họ mở mail, xoá attachment (thực ra là background) Sau đó chèn vào mail một script để đổi tên file (file background này sẽ tự động lưu vào đâu đó với một cái tên gì đó, tùy bản outlook)
và cho thi hành hay đăng kí nó vào Startup hoặc Run Cách phòng chống ư? Cũng giống trên, hãy cảnh giác các email có kích thước trên 20KB (do file được encode để có thể gửi qua mail, kích thước nó tăng lên)
Như vậy, với mọi mail html có kích thước lớn, hãy xem source Tất nhiên, nếu bạn xem source
mà "không hiểu gì cả" thì cũng phải ráng suy đoán Chúng ta nên có một số kiến thức nhất định
Tôi đã trình bày xong với các bạn các hiểu biết của tôi về trojan và những biến dạng của nó Khả năng có hạn, mong các bạn góp ý cho Ngoài ra, các bạn nào có bài viết bổ ích (không chỉ
về Tin học) có thể gửi về cho tôi (info@123doc.orgặc info@123doc.org) để tôi bổ sung vào website tôi đang làm, sẽ ra mắt phục vụ các bạn một ngày gần đây Ngoài ra bạn có thể yêu cầu tôi các bài viết các bạn cần, tôi sẽ kiếm tư liệu viết bài cho các bạn, những yêu cầu đó xin ghi trực tiếp trong hộp thư này để các bạn dễ bổ sung, hoặc ai có bài viết thích hợp thì post lên
Spyware (chương trình gián điệp?) là gì? còn gọi là adware
Ðây là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mụch đích thương mại) qua mạng Internet mà không có nhận thức cuả chủ máy Một cách điển hình, Spyware được cài đặt một cách bí mật như là một bộ phận kèm theo cuả các chương trình freeware (phần mềm miễn phí) và shareware (phần mềm tương nhượng) mà người ta có thể tải
về từ Internet Một khi đã cài đặt, spyware điều phối các hoạt động cuả máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (cuả những tay hacker dĩ nhiên!) Spyware cũng thu thập tin tức về điạ chỉ e-mail và ngay cả mật khẩu cũng như là số thẻ tín dụng!!
Spyware "được" cài đặt một cách vô tội vạ khi mà người chủ máy muốn cài đặt phần mềm khác
Tác hại:
Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, Spyware còn xử dụng (đánh cắp) từ máy chủ các tài nguyên cuả bộ nhớ (memory resource) ăn chân băng thông
Trang 9khi nó gửi thông tin trở về chủ cuả các spyware qua liên kết Internet Vì spyware dùng tài nguyên cuả bộ nhớ và cuả hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn tới
hư máy hay máy không ổn định
Bởi vì là một chương trình độc lập nên Spyware có khả năng điều khiển các phím bấm
(keystroke), đọc các tập tin trên ổ cứng, kiểm soát các ứng dụng khác như là chương trình chat hay chưong trình soạn thảo văn bản, cài đặt các spyware mới, đọc cookies thay đổi trang nhà mặc định trên WEB browser, cung cấp liên tục các thông tin trở về chủ cuả Spyware, người mà
có thể dung nó cho quảng cáo/ tiếp thị hay bán tin tức cho các chỗ khác
Dấu hiệu máy bị spyware (gọi nôm na là các triệu chứng lâm sàn cuả bệnh ăn cắp vặt!! hì
hì) Bất kì một trong các dấu hiệu sau đây xảy ra cũng có thể là máy cuả bạn đã bị Spyware
1 Bạn tìm thấy một thiết bị nhỏ cỡ ngón tay nối giưã dây cáp cuả bàn phím và đầu cắm ở sau máy Hay là người nào đó đề nghị tặng (bán rẻ) cho bạn 1 bàn phím tốt hơn!!!
2 giấy biên nhận trả tiền điện thoại có thêm số thuê bao (phải trả phụ phí) mà bạn chẳng bao giờ gọi tới số đó (tại Hoa Kỳ thì số này bắt đầu bằng 900)
3 Khi bạn gõ tìm một điạ chỉ trên Internet Explorer và nhấn Enter để bắt tìm kiếm thì trang
"search" thường dùng bị thay bởi 1 trang search lạ
4 Các program chống Spyware không hoạt động được Nó có thể báo lỗi mất những tẹp cần thiết, ngay cả sau khi cài đặt trở lại thì cái chương trình chống Spyware cũng không hoạt động được
5 Bạn tìm thấy những tên điạ chỉ lạ trong danh sách Favorites mặc dù bạn chưa hề đặt nó vào trong mục này
6 Máy tự nhiên chạy chậm hơn thường nhật Nếu là Windows 2K hay XP hãy thử chạy Task Manager và nhấn bản processes thì thấy những process không quen biết dùng gần như 100% thời lượng cuả CPQ
7 Ở thời điểm mà bạn không hề làm gì với mạng mà vẫn thấy đèn gửi/nhận chớp sáng trên
dial-up hay board band modem giống như là khi đang tải một phần mềm về máy Hay là các biểu tượng network/modem nhấp nháy nhanh khi mà bạn không hề nối máy vào mạng
8 Một cái "seach toolbar" (băng tìm kiếm) hay "browser toolbar" xuất hiện mặc dù bạn không hề
ra lệnh để cài đặt nó và không thể xoá chúng hay là chúng xuất hiện trở lại sau khi xoá
9 Bạn nhận 1 cưả sổ quảng cáo khi mà cái "browser" chưa hề được chạy và ngay cả khi máy chưa nối kết với Internet hay là bạn được các quảng cáo có đề tên bạn trong đó
10 Trang nhà cuả bạn bị đổi một cách kì cục Bạn đổi nó lại bằng tay nhưng nó lại bị sửa
11 Dấu hiệu cuối cùng: Mọi thứ hình như trở về bình thường Những Spyware mạnh thường không để dấu tích gì cả Nhưng hãy kiểm lại máy cuả mình ngay cả trong trường hợp này
Trang 10PHẦN III : PHÒNG VÀ DIỆT VIRUS
I PHÒNG CHỐNG VIRUS, NHƯ THẾ NÀO LÀ HIỆU QUẢ:
Cách phòng ngừa tốt nhất để tránh virus nhưng không có tính thực tiễn là Không nối vào bất kì máy nào hết và cũng không cài đặt bất kì một chương trình nào chưa được bảo đảm là không
chứa virus Cách này người dùng sẽ "an toàn tuyệt đối" tuy nhiên thật là khó chịu và vô dụng khi phải "đóng kín vỏ sò" như vậy (Một máy như vậy có thể dùng để chứa số công quỹ riêng hay các tư liệu kín.)
Trong thực tế, để phòng ngừa cho một máy tính có nối kết hay có dùng chung các dữ liệu hay chương trình với các máy khác (như là nối mạng, Internet, dùng chung đĩa mềm, ) thì cách tốt nhất là trang bị thêm một chương trình chống virus hữu hiệu Điều cần lưu ý là một chương trình chống virus dù tốt cách mấy cũng sẽ không ngăn ngừa được các virus mới hơn các loại dựa trên
cơ sở dữ liệu đương thời của chương trình chống virus này Do đó, điều tối quan trọng mà nhiều
người dùng các chương trình chống virus không để ý tới là phải cập nhật thường xuyên các
dữ liệu của chương trình chống virus Với một cơ sở dữ liệu mới thì chương trình chống virus
sẽ cơ hội tìm ra virus mới và làm việc hữu hiệu hơn Để cập nhật hóa các tệp cơ sở dữ liệu này, người dùng chỉ việc nối vào trang WEB của hãng cung cấp chương trình chống virus và tải về tệp dữ liệu mới nhất (dĩ nhiên là phải theo sự hướng dẫn của nhà sản xuất để cài đặt các tệp dữ liệu virus mới.)
Cho dù có cập nhật chăng nữa thì vẫn có thể bị nhiễm virus lạ Đó là vì ngay cả nhà sản xuất cũng chưa kịp thêm vào các dữ liệu của họ về các virus mới Chưa kể một số nhà sản xuất trì trệ việc hữu hiệu hóa phần mềm chống virus của họ (để tiết kiệm tiền phát triển?) Do vậy, để bổ túc cho việc dùng máy tính một cách thật an toàn trên Internet thì việc tạo ra một bản sao (back-up) cho các thông tin cần thiết và cất nó riêng vào một chỗ cô lập là cần thiết (Một ổ CD–RW hay các loại ổ đĩa di động, như đĩa ZIP/ZAP chẳng hạn, có thể dùng làm việc này) Lỡ gặp virus còn
có chỗ mà phục hồi
Trên thị trường hiện có rất nhiều sản phẩm chống virus Tuy nhiên có hai hãng lớn nổi tiếng, đó
là MCAfee và Norton
PHỤ LỤC :
PHÒNG NGỪA SPYWARE
1 Trong các bản giao kèo về quyền xử dụng (License Agreement) cuả các công ty cho tải phần mềm đôi khi có nói rõ rằng họ sẽ cài spyware chung với phần mềm nhưng các bản giao kèo này thường ít được chúng ta đọc hoàn tất kĩ lưỡng và cũng bởi vì các lưu ý về cài đặt spyware thường nằm trong những đoạn khó thấy (chữ nhỏ xíu không đọc chết ráng chịu!) Do đó trước khi tải về máy bất kì một phần mềm nào hãy đọc kỹ các khế ước này
2 Hãy dùng phần mềm chống Spyware Kiểm nghiệm (scan) thường xuyên để loại bỏ spyware Khởi động lại máy và chạy kiểm lại lần nưã sau mỗi lần lại được Spyware mới để chống sự tái nhiễm (tickler)