Virus máy tính là một chương trình máy tính có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, đĩa mềm...), và chương trình đó mang tính phá hoại. Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại.
2. Lịch sử phát triển của virus máy tính
Khi mà công nghệ phần mềm cũng như phần cứng phát triển thì virus cũng phát triển theo. Hệ điều hành thay đổi thì virus máy tính cũng tự thay đổi mình để phù hợp với hệ điều hành đó và để có thể ký sinh. Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản chỉ là một thú đùa vui ác ý.
Có nhiều tài liệu khác nhau nói về xuất xứ của virus máy tính. Âu cũng là điều dễ hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra nổi một "xã hội" đông đúc và nguy hiểm của virus máy tính như ngày nay, điều đó cũng có nghĩa là không mấy người quan tâm tới chúng. Chỉ khi chúng gây ra những hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy vậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít nhiều liên quan tới những sự kiện sau:
1983 - Để lộ nguyên lý của trò chơi "Core War"
Core War là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2 lập trình viên viết ra. Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo gọi là Organism vào bộ nhớ máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và tái tạo Organism của mình. Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất.
Trò chơi Core War này được giữ kín đến năm 1983. Ken Thompson, người viết phiên bản đầu tiên cho hệ điều hành UNIX - đã để lộ ra khi nhận một trong những giải thưởng danh dự của giới điện toán - A.M Turing. Trong bài diễn văn của mình ông đã đưa ra một ý tưởng về virus máy tính dựa trên trò chơi Core War. Cũng trong năm 1983, Tiến sĩ Frederik Cohen đã chứng minh được sự tồn tại của virus máy tính.
Tháng 5/1984, tờ báo Scientific America có đăng một bài báo mô tả về Core War và cung cấp cho độc giả những thông tin hướng dẫn về trò chơi này. Kể từ đó, virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa những người viết ra virus và những người diệt virus.
1986 - Brain virus
Được coi là virus máy tính đầu tiên trên thế giới, Brain âm thầm đổ bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là trường Đại học Delaware. Một nơi khác trên thế giới cũng mô tả sự xuất hiện của virus: đó là trường Đại học Hebrew (Israel).
1987 - Lehigh virus xuất hiện
Lại một lần nữa liên quan tới một trường đại học. Lehigh chính là tên của virus xuất hiện năm 1987 tại trường đại học này. Trong thời gian này cũng có 1 số virus khác xuất hiện, đặc biệt là worm - cơn ác mộng với các hệ thống máy chủ. Cái tên Jerusalem chắc sẽ làm cho Công ty IBM nhớ mãi với tốc độ lây lan đáng nể: 500.000 nhân bản trong 1 giờ.
1988 - Virus lây trên mạng
Ngày 2/11/1988, Robert Morris đưa virus vào mạng máy tính quan trọng nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu nhận thức được tính nguy hại của virus máy tính.
1989 - AIDS Trojan
Năm 1989 xuất hiện Trojan (con ngựa thành Tơ-roa). Chúng không phải là virus máy tính, nhưng luôn đi cùng với khái niệm virus. Những chú ngựa thành Tơ-roa này khi đã gắn vào máy tính của bạn thì chúng sẽ lấy cắp một số thông tin mật trên đó và gửi đến một địa chỉ mà chủ của những chú ngựa này muốn chúng vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính của bạn.
1991 - Tequila virus
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánh dấu một bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy tính.
Đây thực sự là loại virus gây đau đầu cho những người diệt virus và quả thật không dễ dàng gì để diệt chúng. Chúng có khả năng tự thay hình đổi dạng sau mỗi lần lây nhiễm, làm cho việc phát hiện ra chúng quả thật là khó.
1992 - Michelangelo virus
Tiếp nối sự đáng sợ của Tequila là Michelangelo - loại virus tăng thêm sức mạnh cho các loại virus máy tính bằng cách tạo ra sự đa hình cực kỳ phức tạp. Quả thật chúng luôn biết cách gây ra khó khăn cho những người diệt virus.
1995 - Concept virus
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại virus đầu tiên có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những tiền bối của nó. Chúng gây ra một cú sốc cho các công ty diệt virus cũng như những người tình nguyện trong lĩnh vực phòng chống virus máy tính. Khi Concept xuất hiện và trên thế giới chưa có loại "kháng sinh" nào thì tại Việt Nam, Trung tâm an ninh mạng trường ĐH Bách Khoa (BKIS) đã đưa ra được giải pháp rất đơn giản để loại trừ loại virus này và đó cũng là thời điểm BKAV bắt đầu được mọi người sử dụng rộng rãi trên toàn quốc.
Sau này những virus theo nguyên lý của Concept được gọi chung là virus macro. Chúng tấn công vào các hệ soạn thảo văn bản của Microsoft (Word, Exel, Powerpoint...).
1996 - Boza virus
Khi hãng Microsoft chuyển sang hệ điều hành Windows 95 và họ cho rằng virus không thể công phá thành trì của họ được, thì năm 1996 xuất hiện virus lây trên Windows 95. Có lẽ không nên thách thức những kẻ xấu, điều đó chỉ thêm kích động chúng.
1999 - Melissa, Bubbleboy virus
Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới. Melissa không những kết hợp các tính năng của sâu Internet và virus macro, mà nó còn biết khai thác một công cụ mà chúng ta thường sử dụng hàng ngày là Outlook Express để chống lại chính chúng ta. Khi máy tính của bạn bị nhiễm Melisa, nó sẽ tự phân phát mình đi mà khổ chủ không hề hay biết. Và bạn cũng sẽ rất bất ngờ khi bị mang tiếng là phát tán virus.
Chỉ từ ngày thứ sáu tới ngày thứ hai tuần sau, virus này đã kịp lây nhiễm 250.000 máy tính trên thế giới thông qua Internet, trong đó có Việt Nam, gây thiệt hại hàng trăm triệu đôla. Một lần nữa cuộc chiến lại sang một bước ngoặt mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là một phương tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài tiếng đồng hồ.
Năm 1999 là một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu, ngoài Melissa, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26/4.
2000 - DDoS, Love Letter virus
Love Letter có xuất xứ từ Philippines do một sinh viên nước này tạo ra. Chỉ trong vòng có 6 tiếng đồng hồ, virus đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ USD. Theo nhận định của BKIS, chỉ cần được "cải tiến" một chút thì virus này có thể tăng độ phá hoại của mình lên hàng trăm lần.
Thế còn DDoS? Những virus này phát tán đi khắp nơi, nằm vùng ở những nơi nó lây nhiễm. Cuối cùng, chúng sẽ đồng loạt tấn công theo kiểu "từ chối dich vụ" (denial of service), tức là yêu cầu liên tục, từ nhiều máy đồng thời, làm cho các máy chủ bị tấn công không thể phục vụ được nữa và dẫn đến từ chối những yêu cầu mới. Một hệ thống điện thoại của Tây Ban Nha đã là vật thí nghiệm đầu tiên.
2001 - Winux Windows/Linux Virus, Nimda, Code Red virus
Winux Windows/Linux Virus đánh dấu những virus có thể lây được trên các hệ điều hành Linux chứ không chỉ Windows. Chúng nguỵ trang dưới dạng file MP3 cho download. Nếu bạn là một người mê MP3 và mê nhạc thì phải hết sức cẩn thận.
Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiều con đường khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm...), làm cho việc phòng chống vô cùng khó khăn. Chúng cũng chỉ ra một xu hướng mới của các loại virus máy tính là "tất cả trong một" - một virus bao gồm nhiều virus, nhiều nguyên lý khác nhau.
2002 - Sharp A virus
Ngay trong tháng 1/2002 đã có một loại virus mới ra đời. Virus này lây những file .SWF - điều chưa từng xảy ra trước đó. ShockWaveFlash là một loại công cụ giúp các trang web thêm phong phú. Tháng 3 đánh dấu sự ra đời của loại virus viết bằng C# - một ngôn ngữ lập trình của Microsoft. Con sâu .Net này có tên SharpA và do một phụ nữ viết ra.
Tháng 5, SQLSpider ra đời và chúng tấn công các chương trình dùng SQL. Tháng 6, có vài loại virus mới ra đời: Perrun lây qua Image JPEG, Scalper tấn công các FreeBSD/Apache Web server...
2003 - SQL Slammer
Ngày 25/1, các dịch vụ Internet tốc độ cao và di động trên toàn cầu đã bị virus mang tên SQL Slammer (hay Sapphire) tấn công. Hơn 250.000 hệ thống máy tính bị lây nhiễm trong vòng 10 phút. Hàn Quốc bị cắt đứt liên lạc với thế giới trong gần 24 giờ vì tất cả ISP không hoạt động được.
Không giống các virus thông thường yêu cầu người dùng phải mở file gửi kèm e-mail hoặc thực thi lệnh để lây nhiễm, Slammer có thể âm thầm phát tán mà không cần sự tương tác người dùng. Có thể nói, đây là đợt tàn phá lớn nhất trên Internet kể từ khi virus Nimda xuất hiện hồi tháng 11/2001.
Nếu bạn là người muốn tìm hiểu sâu hơn về virus thì hãy đọc phần này, nó sẽ giúp bạn có thêm một số kiến thức về các loại virus để có thể tự tin trong việc phòng chống chúng.
Khi bạn bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi động của bạn sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành mà bạn muốn (Windows, Linux, Unix...). Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng được gọi là boot sector. Những virus lây vào boot sector được gọi là virus Boot.
Virus Boot chủ yếu lây lan qua đĩa mềm. Ngày nay, ít khi chúng ta dùng đĩa mềm làm đĩa khởi động, vì vậy số lượng virus Boot không nhiều như trước.
Virus File
Là virus lây vào những file chương trình như file .com, .exe, .bat, .pif, .sys... Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus macro cũng lây vào file, tại sao lại không gọi là virus file?". Câu trả lời nằm ở lịch sử phát triển của virus máy tính. Như bạn đã biết qua phần trên, mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (virus file) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus file.
Là loại virus lây vào những file Word, Excel và Powerpoint. Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy. Mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được một số thao tác. Có thể hiểu nôm na việc dùng macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhât.
Ở Việt Nam không có nhiều người dùng đến các macro, vì vậy BKAV có một tuỳ chọn là diệt "Tất cả các Macro" hay "All Macro". Khi chọn tuỳ chọn này thì BKAV sẽ xoá tất cả các macro có trong máy mà không cần biết chúng có phải là virus hay không. Như vậy, nếu bạn có sử dụng macro cho công việc của mình thì không nên chọn tuỳ chọn này. Khi không dùng tuỳ chọn này thì BKAV chỉ diệt những macro đã được xác minh chính xác là virus.
Con ngựa thành Tơ-roa (Trojan Horse)
Thuật ngữ này bắt nguồn từ Thần thoại Hy Lạp, trong đó có miêu tả cuộc chiến giữa người Hy Lạp và người thành Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp không sao đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng hoà, sau đó tặng thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa được đưa vào trong thành, đêm xuống quân lính từ trong bụng ngựa xông ra và đánh chiếm thành từ bên trong.
Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng. Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng như những chương trình bình thường (một trò chơi, hay là những màn bắn pháo hoa đẹp mắt chẳng hạn). Tuy nhiên, song song với quá trình đó, một phần của Trojan sẽ bí mật cài đặt lên máy của nạn nhân. Đến một thời điểm định trước, chương trình này có thể sẽ ra tay xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên mạng. Ở Việt Nam từng xuất hiện hiện tượng lấy cắp mật khẩu truy nhập Internet của người sử dụng và bí mật gửi cho chủ nhân của Trojan.
Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây lan. Nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn nhân. Còn virus thì tự động tìm kiếm nạn nhân để lây lan.
Phần mềm có chứa Trojan thường là có dạng chương trình tiện ích, phần mềm mới hấp dẫn nhằm dễ thu hút người sử dụng. Vì vậy, bạn hãy cẩn thận với những điều mới lạ, hấp dẫn nhưng không rõ nguồn gốc!
Sâu Internet (worm)
Worm quả là một bước tiến đáng kể và đáng sợ nữa của virus. Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó. Một kẻ phá hoại với vũ khí tối tân! Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng sợ, chúng đã làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền.
Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó đang lây nhiễm. Address book là nơi chứa địa chỉ của bạn bè, người thân, khách hàng... của chủ máy. Tiếp đến, worm tự gửi chính nó cho những địa chỉ mà nó tìm thấy, tất nhiên với địa chỉ người gửi là chính bạn.
Điều nguy hiểm là những việc này diễn ra mà bạn không hề hay biết, chỉ khi bạn nhận được thông báo là bạn đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ rằng máy tính của mình bị nhiễm virus. Với cách hoàn toàn tương tự trên những máy nạn nhân, worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính. Cái tên của nó, worm hay sâu Internet, cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy tính khác trên các "cành cây" Internet.
Với sự lây lan nhanh và rộng lớn như vậy, worm thường được kẻ viết ra chúng cài thêm nhiều tính năng đặc biệt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn công tổng lực như vậy thì cũng phải bó tay. Website của Nhà Trắng từng là nạn nhân của worm! Ngoài ra, chúng còn có thể giúp chủ nhân truy nhập vào máy của nạn nhân để làm đủ thứ chuyện.
(Theo BKIS)