• Thứ Tư, 17/12/2003 10:01 (GMT+7)

    Tản mạn về virus máy tính


    Trước tết con Dê, tôi đã có một cuộc trao đổi thú vị. Bước vào phòng Tài chính, thấy cô kế toán đang chạy bảng lương, tôi sà vào bắt chuyện:
    -  Chừng nào cơ quan mình có tiền Tết hả em?
    -  Nhanh thì chiều nay. Chậm thì đến sáng mai hoặc lâu hơn nữa.
    -  Nhanh là sao và chậm là thế nào? Tôi giả vờ ngơ ngác.
    -  Nhanh là khi “máy vẫn chạy tốt” như Electrolux, còn chậm là khi dữ liệu “sẽ bị mất sau ba lần” chạy. Hỏi thế mà cũng hỏi! Cô kế toán cười tinh quái.
    -  Em có biết tại sao dữ liệu bị mất hay sai lệch không?
    -  Phần lớn là do virus. Ngoài ra do sai sót khi nhập liệu.
    Suy nghĩ một lát, cô nói thêm: “Nhất là khi bị phân tán tư tưởng như lúc này”.
    Nhận thấy đến lúc phải rút êm, tôi cố vớt vát cú chót:

    -  Hy vọng là chúng ta sẽ “vô tư cùng bạn bè đi...” đón Xuân với bảng lương của em. Năm mới, em mơ ước điều gì cho mình?
    -  Sức khỏe và công việc tiến triển trôi chảy. Cô nói không chút do dự.
    -  Anh chúc em vạn sự như ý nhé.
    Vừa nói tôi vừa rút trong túi chiếc đĩa mềm đã thủ sẵn từ trước: “Nhân dịp đầu năm, anh tặng em phần mềm D32 mới, chúc cho máy tính của em không bao giờ bị bệnh và luôn chạy tốt”.
    Đã từ lâu, virus máy tính không còn là vấn đề mới mẻ. Cứ vài hôm người ta lại nghe virus X xuất hiện ở nơi này, virus Y làm tê liệt mạng nọ. Thông tin về sự phát tán của “con” này chưa kịp lắng đọng thì “con” khác lại hoành hành. Nếu như các virus Bugbear, Opaserv, Yaha được ghi nhận như là những kẻ quấy rối cuối cùng của năm 2002 thì Avril/Lirva được xem như “vị khách xông đất” đầu tiên của năm 2003. Nghe đâu các nhà cung cấp dịch vụ mạng ở Hàn Quốc vừa được “chúc mừng năm mới” bằng đợt tấn công ngoạn mục của một loại virus lạ làm tê liệt các máy chủ, khiến mạng thông tin của nước này ngừng trệ, gây thiệt hại không nhỏ cho các công ty.

    Ngày nay chúng ta đã quen với những khẩu hiệu như: “Hãy tự bảo vệ bạn và gia đình trong một thế giới có HIV/AIDS”. Cùng ý tưởng ấy, bạn cũng nên quen dần với việc chấp nhận virus tin học như là mối hiểm nguy thường xuyên. Sau khi khảo sát máy tính của cơ quan nọ, tôi báo cho người phụ trách biết máy đang nhiễm virus. Các bạn có đoán được phản ứng của anh ấy như thế nào không? Thật bất ngờ, anh đáp tỉnh rụi: “Bị nhiễm lâu rồi, nhưng công việc nhiều quá, tụi em chưa có thời gian diệt”. Tôi hỏi: “Anh không sợ mất dữ liệu sao?” Anh cười: “Sợ chứ, nhưng tụi em có cách vô hiệu nó rồi tiếp tục xài, giống như 'sống chung với lũ' vậy mà”. Nói rồi anh ấy bật chương trình chống virus (viết bằng Word Basic): “Đây này, nó đếm 20 lần rồi xóa đĩa cứng, em sửa lại là 20000 lần, sử dụng ‘vô tư’ luôn”. Sau đó anh nói thêm: “Máy này chỉ soạn văn bản, nhờ anh xem dùm máy trong phòng Kế toán đang nhiễm một con lây vào EXE. Do không biết cách đọc mã nhị phân nên em không dùng “chiêu” vừa rồi được. Em xem báo nghe nói nó xóa dữ liệu vào ngày 26-4 nên tạm đối phó bằng cách đặt  thời gian máy tính khác đi...”

    Đó là câu chuyện của năm cũ, nay tình thế đã thay đổi. Một số virus trước kia từng làm mưa làm gió, giờ đây đã đi vào quên lãng. Giới tin tặc (hacker) không còn mặn mà với virus lây vào vùng khởi động (B-virus) vì các nhà thiết kế CMOS Setup đã chặn chúng “từ trong trứng nước”. Hệ quả là các DiskKiller, Pingpong, Micheal-angelo chỉ còn là dĩ vãng. Các virus lây nhiễn tập tin (F-virus) 16 bit lây vào EXE, COM trên DOS cũng khoác áo ra đi cùng với hệ điều hành này. Ngay cả các F-virus 32 bit như CIH, Space, KuangII... cũng cùng chung số phận, khi hầu hết các chương trình chống virus hiện đại đều trang bị chức năng theo vết hành vi AppendFile. Macro virus cũng không chốn nương thân khi Virus Macro Protection của Microsoft Office ngày càng phát huy tác dụng, khiến Concept và hậu duệ của chúng đành ngậm ngùi lui bước.

    Trước tình thế này, một số hacker lựa chọn giải pháp “lai tạp, kế thừa” để có thể “lây nhiều, lây nhanh”; như TriState tấn công vào tư liệu Word, Excel và PowerPoint; Klez chọn Dial Up Networking (DUN) để lây nhưng lại tấn công vào Microsoft Office; hoặc “virus 7 trong 1” DemiURG lây vào BAT, EXE-DOS, EXE16, EXE32, DLL, VBS và SYS. Bên cạnh đó, một số hacker lợi dụng kẻ hở của các ngôn ngữ nhúng như VB script, Java script cũng hăm hở vào cuộc. Rồi các sâu trình (worm), chiến binh ngựa gỗ (trojan horse), backdoor... cũng nhảy vào. Có thể nói chưa bao giờ “mặt trận virus” lại sôi động và nhộn nhịp như hiện nay. Trong số này, virus ngoại chiếm tỷ lệ đến hơn 90%. Nếu như trước đây các DUN và Backdoor “Made in Vietnam” từng khuynh đảo tài khoản Internet cá nhân, khiến hóa đơn thanh toán trở nên “quá tải”, thì năm 2002 chỉ ghi nhận sự xuất hiện của một vài virus nội đơn lẻ ít nguy hiểm. Có ý kiến cho rằng hacker Việt Nam chưa đủ sức tổ chức những cuộc tấn công với quy mô lớn. Nhưng theo tôi, hacker Việt Nam đã từng bước chuyển sang hình thức hoạt động thực tế và hữu dụng hơn:  đó là nghiên cứu các lổ hổng bảo mật theo đơn đặt hàng. Ngoài ra, một số hacker “cộm cán” như  LPTV, NMV... cũng từ bỏ những hoạt động tự phát của mình để đầu quân vào các đơn vị công nghệ thông tin tên tuổi của Việt Nam. Đây là một dấu hiệu đáng mừng.

    Công nghệ thông tin phát triển, kéo theo sự gia tăng hoạt động trong thế giới ngầm tội lỗi của các hacker. Ngày nay không ai dám bảo đảm an toàn tuyệt đối về bất cứ hệ thống nào, ngay cả với những hệ thống từng được mệnh danh là “bất khả xâm phạm”. Nếu không phải như thế, thì tại sao các hệ thống mạng tiên tiến nhất của các quốc gia có trình độ kỹ thuật công nghệ thông tin phát triển cao như Mỹ và Hàn Quốc, vẫn bị hacker tấn công? Càng ngày máy tính càng trở nên phức tạp với nhiều thiết bị cài đặt công phu, ứng dụng phức tạp, dữ liệu cồng kềnh. Khi đối mặt với virus, người sử dụng cần tỉnh táo và cân nhắc hơn. Trước đây lệnh format đĩa cứng được gõ đầu tiên, thì bây giờ lệnh này chỉ thực hiện khi không còn cách nào khác.

    “Virus quá nhiều. Virus tràn ngập khắp nơi. Hãy giúp tôi với...”. Cứ vài ngày là tôi lại nhận được những bức e-mail kêu cứu như vậy. Bạn có thể nhận thấy rất rõ điều này khi phần lớn các trang web hiện nay đều cung cấp các địa chỉ tải về (download) phần mềm chống virus. Điều này khiến ta phải đánh giá một cách nghiêm túc về tính phổ biến của virus tin học. Hàng loạt các câu hỏi đặt ra cho các nhà phân tích: “Tương lai máy tính sẽ đi về đâu?”, “Virus tin học sẽ phát triển như thế nào?”, “Sắp tới sẽ có loại virus nào nữa?”, vân vân và vân vân.

    Có lẽ nhận xét sau đây sẽ làm bạn giật mình: bất cứ tác vụ nào của bạn cũng đều là mục tiêu lây nhiễm của virus hoặc bị các hacker lợi dụng. Ngoài các động tác quen thuộc như khởi động máy tính, đưa đĩa CD-ROM vào ổ, nhấn chuột để thi hành ứng dụng, mở tư liệu MSOffice... virus cũng có thể bí mật ghi xuống đĩa cứng khi bạn đọc các bức e-mail của bạn bè, lướt trên Internet; hoặc thậm chí chỉ cần mở một thư mục cũng có thể làm lây lan virus!!! Điều này nghe tưởng chừng phi lý, nhưng virus Nimda và Redlof đã biến ý tưởng này thành hiện thực: khéo léo chặn thông báo “not safe” của các trình duyệt, lợi dụng kỹ thuật cookie để thi hành lệnh (viral script) bên trong các trang mẫu (Hyper Text Template), hoặc tập tin đính kèm email rồi phát tán chúng trên cấu trúc cây thư mục của toàn hệ thống.

    Trong lúc tôi viết những dòng chữ cuối cùng này, sâu trình SQLSlammer .worm.W32 đã đóng sập các SQL Server bằng cách gửi thông điệp qua cổng giao tiếp mà không cần ghi tập tin virus xuống đĩa cứng! Biết đâu một ngày nào đó, virus sẽ có khả năng phát ra những tần số nguy hiểm cho đôi tai của bạn qua tai nghe, khi bạn đang thưởng thức một bản nhạc giao hưởng quen thuộc từ đĩa CD-ROM của mình.
    Tất cả đều có thể xảy ra !

    Trương Minh Nhật Quang

     

     

    ID: A0303_74