• Thứ Ba, 11/10/2005 09:48 (GMT+7)

    Tiêu chí quan trọng cho chương trình chống virus

    Hiện có nhiều chương trình chống virus (CTCV), mỗi chương trình có những điểm mạnh riêng và những điểm yếu riêng. Hầu hết các CTCV đều được xây dựng dựa trên một số tiêu chí nền tảng, đây cũng chính là cơ sở giúp bạn lựa chọn giải pháp phòng chống virus cho hệ thống của mình.

    Hiện có nhiều chương trình chống virus (CTCV), mỗi chương trình có những điểm mạnh riêng và những điểm yếu riêng. Hầu hết các CTCV đều được xây dựng dựa trên một số tiêu chí nền tảng, đây cũng chính là cơ sở giúp bạn lựa chọn giải pháp phòng chống virus cho hệ thống của mình.

    Công nghệ

    Phát hiện virus theo mẫu hay hành vi của chương trình có mã độc hại. Một file có khả năng tự nhân bản và gán bản sao của nó vào một file thực thi khác là rất khả nghi. Hầu hết phương thức kiểm tra virus dựa vào hành vi có thể rà soát toàn bộ nội dung đầu vào để tìm kiếm các đoạn mã cụ thể hay đặt nội dung vào vùng “an toàn” (sandbox) để theo dõi hoạt động và ngăn chặn khi có bất cứ hành vi nguy hại nào. Việc kiểm tra theo cơ chế hành vi rất hiệu quả khi phát hiện virus mới trong trạng thái “nhiễm bệnh” của một hệ thống trước khi hãng phát triển phần mềm có bản cập nhật virus mới.

    Phương thức “tìm và diệt” phổ biến dựa vào cơ sở dữ liệu (csdl) các mẫu nhận diện virus (mẫu virus) mà nhà phát triển có được từ vô số nguồn khác nhau để phát hiện virus. Chiều dài của 1 mẫu virus từ 8 đến 16 byte sẽ được so sánh với các file trên máy. Nhà phát triển phải chọn lựa các mẫu thật cẩn thận để tránh sai sót. Theo Symantec, hiện có gần 70.000 đoạn mã nguy hiểm, nên csdl mẫu virus trở nên cực lớn. Một số nhà phát triển sử dụng kỹ thuật “băm” (hashing) để “chụp” lấy mẫu thử, CTCV sẽ “băm” file cần kiểm tra và so sánh với mẫu “băm” csdl để nhận diện virus. Điều này có ý nghĩa hết sức quan trọng, giúp giảm đáng kể kiểm tra virus.

    Cơ chế quét có tầm quan trọng không kém csdl mẫu virus, khi một kiểu tấn công mới được phát hiện, cơ chế cũ phải được cập nhật. Ví dụ, virus W2K/Stream được phát hiện vào tháng 9/2000, mã của nó núp trong cấu trúc tập tin đặc biệt NTFS và ở thời điểm đó không có một CTCV nào có thể phát hiện virus này cho đến khi cơ chế quét virus mới được nâng cấp.

    Chương trình mã độc hại gia tăng hết sức nhanh chóng buộc các nhà phát triển CTCV phải luôn bổ sung công nghệ mới và cập nhật csdl mẫu virus liên tục, thường là vài lần trong một năm. Nếu CTCV của bạn 2 năm tuổi trở lên, bạn có thể gặp nguy hiểm. Một vài hãng phát triển module quét có thể cập nhật cùng với csdl mẫu virus, nhưng phần lớn yêu cầu cài một chương trình client mới, thường có dung lượng lớn, trên máy người dùng. Bạn hãy kiểm tra trên website của các hãng để hiểu rõ cơ chế cập nhật chương trình và csdl.

    Độ thông minh: hầu hết các CTCV đều cho phép quét thông minh, nghĩa là chương trình sẽ phát hiện và ngăn chặn những mẫu virus chưa biết (nhà phát triển chưa cập nhật csdl mẫu virus). Chế độ này soi rọi bên trong mã của một chương trình/tập tin tìm ra các hành vi, những thủ tục đáng nghi hay những thủ thuật thường thấy ở virus. Ví dụ bất kỳ một chương trình nào tự động mã hóa hay cố muốn thay đổi phần nhân của hệ thống hay tự copy là dấu hiệu của virus.

    Bật chức năng “thông minh” có thể tác động đến hiệu suất của hệ thống, mặc dù phương pháp này có thể phát hiện những nguy cơ chưa biết nhưng cũng có thể phát hiện nhầm hay bỏ sót. Đây là một tùy chọn trong hầu hết các CTCV, bạn có thể bật/tắt nó hay thậm chí điều chỉnh tỉ lệ phần trăm mức độ thông minh.

    Hiệu suất

    Độ chính xác: các nhà phát triển cân đối giữa độ chính xác (phân tích) và tốc độ. Một chương trình quét có độ chính xác 100% có thể chạy chậm như rùa nên các nhà phát triển thiết lập mặc định trong sản phẩm của họ chỉ quét những kiểu file thông dụng và để bạn tự cấu hình cho những kiểu file khác.

    Đôi khi mức độ quét chính xác cao gây ra vấn đề nhận nhầm. Khả năng nhận nhầm có thể làm bạn bực dọc, nhưng khả năng sót lại sẽ để cho virus lây lan. Theo kinh nghiệm của các nhà quản trị mạng, CTCV chỉ cần độ chính xác khoảng 95% là có khả năng chống lại hầu hết mã độc hại thông dụng. Không có CTCV nào đạt tới mức độ chính xác 100%. Một chương trình quét virus tốt chỉ cần đạt tỉ lệ 97% và thỉnh thoảng 100%.

    Nhiều nhà nghiên cứu virus máy tính tin rằng khả năng kiểm tra 100% nguy cơ hiện hành chỉ hiện thực trong thí nghiệm. Tạp chí Virus Bulletin (www.virusbtn.com) trao tặng giải thưởng VB 100% cho CTCV nào có thể phát hiện tất cả mã lệnh tinh quái trong danh sách Wild List (tổ chức quốc tế cung cấp miễn phí thông tin về virus, www.wildlist.org).

    Thực tế cho thấy nhiều virus cần có công cụ đặc biệt để tiêu diệt (như Nimda, Klez) và công cụ này thường có thể tải về từ website của nhà phát triển CTCV. Lưu ý bạn không chỉ cần công cụ diệt phiên bản chính mà cả những biến thể của nó (Nimda.A rất khác Nimda.E).

    Tốc độ: không ai muốn một chương trình quét virus chậm, để so sánh gần 70.000 mẫu virus trong csdl với mọi thứ trên máy người dùng trong vài phút thật vô cùng khó. Thay vì thế chúng ta sẽ quét theo chiến lược định dạng file nào có mức độ nguy cơ cao nhất sẽ được ưu tiên quét trước.

    Ví dụ, nếu bạn thường làm việc với Microsoft Excel (mở file của mình và người khác) có thể cấu hình quét những file Exel (.xls) trước tiên, rồi đến các file khác như chương trình ứng dụng, file hệ thống...

    Một vấn đề khác là khả năng xử lý của CPU để vừa quét virus vừa chạy ứng dụng khác. Nhiều người cho rằng các chương trình quét virus “vắt kiệt” khả năng của CPU và làm chậm toàn bộ hệ thống. Cơ chế quét uyển chuyển nhất phải cho phép bạn ấn định được tỉ lệ phần trăm năng lực của CPU dành cho tác vụ của nó.

    Sửa chữa file nhiễm (hồi phục): Khi một CTCV tìm mã độc, bạn muốn tốt nhất là nó loại virus khỏi hệ thống và trả về trạng thái khỏe mạnh. Một số virus ghi đè hay xóa file vĩnh viễn, mong muốn hồi phục trở nên vô vọng. Nếu một CTCV ước lượng không thể sửa chữa file một cách hoàn toàn để trả lại tập tin như trước khi nhiễm, nó bỏ qua thủ tục sửa chữa, đó là lý do đa số phần mềm chỉ cô lập file nhiễm mà không tự ý xóa.

    Virus ngày nay thiên hình vạn trạng, chẳng hạn ghi lên registry, thay đổi tiến trình khởi động hệ thống... virus được loại bỏ khỏi file lây nhiễm nhưng tác hại của nó có thể vẫn tồn tại!

    Ví dụ một trong số hành vi của biến thể virus Nimda là tạo ổ đĩa chia sẻ cho tất cả các ổ đĩa logic trên máy bị nhiễm. Nếu người truy cập vào ổ đĩa chia sẻ đó lại có toàn quyền (Full Control) thì còn tệ hơn nữa. Hành vi này làm phức tạp quá trình khắc phục sự cố của người quản trị hệ thống vì Nimda có thể dễ dàng lây nhiễm tới các ổ đĩa chia sẻ khác.

    Độ sâu: nhu cầu nén và lưu trữ hiện diện khắp nơi trong môi trường PC ngày nay, thật khó mà không tìm thấy tiện ích nén tập tin trong một PC bất kỳ. Tin tặc có hàng tá công cụ nén để biến hóa nhằm phát tán virus. Một CTCV có thể tìm thấy virus trong file zip nhưng liệu nó có thể phát hiện được thủ phạm trong một file được nén nhiều lần bằng nhiều chương trình khác nhau? CTCV cần phải nhận ra file nào đã nén, để giải nén, kiểm tra lại file đó vẫn còn nén để quyết định hoặc sẽ giải nén tiếp hoặc quét file đó. Đặc biệt nếu trong file lại chứa một liên kết tới một file độc hại khác, CTCV cần quét luôn file liên kết đó, kỹ thuật này được gọi là quét đệ quy.

    Một số nhà phát triển CTCV khẳng định có thể quét 20 định dạng file nén khác nhau, một số ít lại cho là không và gần như chưa có sản phẩm nào có thể quét mọi định dạng nén đang tồn tại. Một vài hãng tuyên bố sản phẩm của họ có khả năng quét đệ quy nhưng kết quả lại gây thất vọng.

    File có mật khẩu bảo vệ: Một vấn đề khác khá quan trọng là cơ chế bảo vệ file bằng mật khẩu, một thách thức cho các CTCV, đa số CTCV không thể truy xuất được và phải “lờ” đi.

    Trong tình huống file có chữ ký số, CTCV ứng xử như thế nào? Nếu một tài liệu hay một chương trình có đăng ký chứa virus, khả năng diệt virus sẽ tạo ra một chứng chỉ mới không hợp lệ.

    Với người dùng Windows sử dụng Microsoft Encrypting File System (EFS) để bảo vệ tài liệu của mình, một số CTCV có khả năng quét được nơi chứa mã khóa khi người dùng đăng nhập đúng tài khoản.

    Nếu CTCV không hỗ trợ quét NTFS bằng đĩa mềm khởi động, bạn có thể dùng tiện ích NTFSDOS của Sysinternal để tạo một đĩa khởi động NTFS. Với cách này, CTCV gần như không thể quét file nén và file đã mã hóa với EFS.

    Triển khai và Quản trị

    Mô hình của tổ chức: Nếu bạn đang quản trị một môi trường đặc trưng như hoàn toàn Windows thì vấn đề rất đơn giản, nhưng nếu hạ tầng mạng phức tạp gồm nhiều nền tảng hệ thống (ví dụ gồm có Windows và Linux) thì công việc phức tạp hơn.

    Công cụ triển khai cho client: Gần như tất cả các giải pháp chống virus cho doanh nghiệp đều có công cụ triển khai cho client (máy người dùng) từ xa. Nếu bạn thuộc “trường phái” Windows có lẽ công cụ được phát triển kiểu ứng dụng Windows sẽ được bạn chú ý vì chúng chạy nhanh, giao diện thân thiện, chạy trơn tru trên Windows. Đối với hệ thống ứng dụng web dựa trên trình duyệt (browser), quản trị tương tự như duyệt web nhưng có thể bạn phải cần có web server (IIS, Apache).

    Thời gian triển khai: Yếu tố phụ thuộc rất nhiều vào tình trạng mạng, đặc biệt với tình huống chuyển đổi giải pháp phòng chống virus mới. Có một vài tổ chức kiểm tra, đánh giá thời gian triển khai từng sản phẩm trong điều kiện tiêu chuẩn (theo chu trình và hệ thống “sạch” để tránh xung đột với sản phẩm khác). Tuy nhiên đây chỉ là tiêu chí tham khảo, không quyết định hoàn toàn việc chọn một sản phẩm chống virus cho dù nó có thể rút ngắn chút ít thời gian.

    Bảo vệ mọi lúc: Sản phẩm quét virus nên cảnh báo quét toàn bộ trên một máy và bảo vệ thời gian thực (realtime). Theo lý thuyết, nếu một phần mềm yêu cầu quét triệt để sau lần đầu tiên cài đặt và chạy chế độ bảo vệ theo thời gian thực thì bạn sẽ không cần quét từ đầu nữa. Với môi trường mạng, sản phẩm có hỗ trợ quét từ xa nhất định làm hài lòng các quản trị viên.

    Cập nhật mẫu mới: Một vấn đề cần quan tâm là thời gian hệ thống trong tình trạng bị đe doạ tấn công khi một virus mới xuất hiện, tình trạng này là do những lỗ hổng Windows chưa có biện pháp khắc phục. Nếu một sản phẩm chống virus có thời gian khắc phục càng dài thì càng làm tăng nguy cơ cho hệ thống của bạn.

    Bạn phải thường xuyên cập nhật csdl mẫu virus, chỉ nên xem xét những sản phẩm có thể cập nhật cơ chế tìm kiếm mẫu virus một cách tự động và hàng ngày từ website chính thức của nhà cung cấp đến server của bạn.

    Khả năng cộng tác với server khác như mail server: Thật khó có một tổ chức hoạt động mà không có email. Email là phương tiện liên lạc với đối tác bên ngoài, thông điệp cho nhau ở nội bộ và đó cũng là nguy cơ bị virus tấn công, phần mềm gián điệp xâm nhập hệ thống nội bộ lớn nhất ngày nay.

    Xấp xỉ 80% virus lây lan qua email (theo thống kê của hiệp hội An Ninh Máy Tính Quốc Tế), khả năng tích hợp với mail server/client trở thành vấn đề đáng quan tâm của một sản phẩm diệt virus.

    Hỗ trợ kỹ thuật

    Website của sản phẩm cung cấp càng nhiều phân tích về các thủ đoạn của virus càng tốt, đặc biệt là bộ “bách khoa toàn thư” để bạn tra cứu những dấu hiệu của một virus cụ thể. Ngoài ra, thông tin về dạng virus chơi khăm người dùng để bạn có thể vững vàng trước trò lừa bịp của chúng. Sau cùng và cũng rất quan trọng là cho phép tải về miễn phí công cụ liên quan diệt virus và tài liệu tham khảo.

    Lời kết

    Sự phức tạp khi chọn lựa một sản phẩm chống virus tăng dần theo nhu cầu, từ nhu cầu cá nhân đến doanh nghiệp. Ngoài những thông tin từ phía nhà phát triển, bạn cũng có thể tham khảo thêm ở những tổ chức độc lập chuyên thử nghiệm và đánh giá sản phẩm chống virus như Veritest (www.veritest.com) hay ICSA Labs (www.icsa.net). Chứng nhận của ICSA Labs rất có uy tín trong lãnh vực chống virus, phần lớn các sản phẩm chống virus đưa ra thị trường đều muốn có “chứng nhận” này. Tương tự , VB 100% cũng một nguồn tin cậy để chọn giải pháp chống virus cho hệ thống.

    Hải Đăng

    ID: A0509_94