• Thứ Năm, 01/03/2007 08:34 (GMT+7)

    Cảnh giác “mã độc”

    Lời tòa soạn: Mã độc là gì? Chúng từ đâu đến? Có bao nhiêu loại mã độc đang lưu hành? Bài viết của Trương Minh Nhật Quang, tác giả PM diệt virus D32 sẽ giúp bạn phần nào hiểu được để cảnh giác với các hình thức quấy rối ngày càng tinh vi cùa chúng.

    Lời tòa soạn: Mã độc là gì? Chúng từ đâu đến? Có bao nhiêu loại mã độc đang lưu hành? Bài viết của Trương Minh Nhật Quang, tác giả PM diệt virus D32 sẽ giúp bạn phần nào hiểu được để cảnh giác với các hình thức quấy rối ngày càng tinh vi cùa chúng.

    Khởi phát...

       

    Cuộc sống số không còn thoải mái và luôn căng thẳng! Điều này không nằm ngoài quy luật, vì cuộc sống thực của chúng ta vốn nhiều hoài nghi và đầy cạm bẫy.

     
       

    Lịch sử từng ghi nhận những vụ khuấy đảo đầu tiên trên máy tính điện tử có dính líu đến trò chơi điện tử và sau đó là virus máy tính (VRMT). Những năm đầu của thập kỷ 60, nhóm lập trình viên của hãng AT&T đã phát triển một trò chơi tên là Core War nhằm đưa các "chiến sĩ” (đoạn mã máy tính) của mình vào máy tính đối phương để tiêu hao sinh lực địch. Ý tưởng này nhanh chóng được áp dụng vào loại hình quấy rối đầu tiên trong thế giới máy tính điện tử. Mười năm sau, VRMT đã xuất hiện trên các hệ thống máy tính lớn. Ban đầu do chỉ lây quanh quẩn trong các phòng thí nghiệm nên chúng không được nhiều người quan tâm. VRMT chỉ tác động mạnh đến xã hội khi chuyển từ máy tính lớn sang máy tính cá nhân. Kể từ khi virus Brain xuất hiện đầu tiên vào năm 1986 với nhiệm vụ quảng cáo cho công ty Brain Computer Service ở Lahore, ngày nay chúng đã phát triển đến hàng chục ngàn biến thể lây lan trên toàn thế giới với nhiều loại hình khác nhau: boot virus, file virus, macro virus, worm...

    Khởi phát từ trò chơi Core War, khái niệm "mã độc" (harmful code, hoặc malicious) dần dần được hình thành. Không riêng hacker thích dùng mã độc, các lập trình viên cũng đưa vào các đoạn mã trừng trị người dùng sao chép lậu, gọi là trojan horse (mượn từ điển tích "Ngựa gỗ thành Troy" trong thần thoại Hy Lạp, chỉ các chiến binh bí mật xông ra từ bụng ngựa gỗ đánh úp quân thù). Lúc đầu, các trojan horse không lây lan. Về sau, trojan horse được bổ sung các đoạn mã có khả năng tự trích xuất vào vùng nhớ (injector) hoặc ghi vào hệ thống đĩa (dropper), "ngao du" (intruder) trên hệ thống đích và thực thi như sâu (worm). Dạng trojan horse mới nhất hiện nay là rootkit, bộ công cụ (kit) giúp hacker nắm quyền điều khiển hệ thống ở mức cao nhất (root). Thông qua rootkit, hacker có thể lấy mật khẩu truy nhập, thu thập thông tin hệ thống, che đậy mọi hoạt động thâm nhập bất hợp pháp. Hacktool là dạng rootkit sơ cấp. Cao cấp hơn có các loại rootkit thám báo chuyên theo dõi hoạt động nhấn phím (keylogger), gói tin qua mạng (sniffer) hoặc truy nhập tập tin (filehooker)...

     

    Cấu trúc bức tranh mã độc khá đơn giản:
    Harmful code = malware + trojan horse + computer virus
    Malware = adware + spyware + pornware + riskware
    Trojan horse = germs + dropper + injector + rootkit
    Rootkit = keylogger + sniffer + filehooker +backdoor +constructor
    Computer virus = boot virus + file virus + macro virus + worm
    File virus = com virus + exe virus
    Macro virus = doc virus +xls virus + ppt virus
    Worm = intruder + dropper + injector

       

    Trong khi các loại VRMT và trojan horse thích hành xử kiểu "xã hội đen", malware có vẻ vô hại với các quảng cáo (adware) tự động bật lên (popup) trên màn hình máy tính. Tuy nhiên loại malware gián điệp (spyware) khá nguy hiểm. Loại này chuyên thu thập thông tin cá nhân người dùng như tên tuổi, địa chỉ, giới tính... để tuồn cho chủ nhân của nó. Malware là công cụ hữu hiệu của các tay săn địa chỉ email (spammer) chào hàng quảng cáo. Hậu quả là người dùng phải nhận hàng tá thư rác (spam) mỗi ngày khiến công việc bị đình trệ, quá tải hộp thư, gây mất thời gian và hao phí tiền bạc của xã hội.

    Trong thế giới của malware, độc hại nhất là pornware với các hình ảnh khiêu dâm xuất hiện bất ngờ. Các nhà nghiên cứu thuộc đại học New Hampshire vừa công bố kết quả điều tra trên tờ Pediatrics vào tháng 2-2007, cho biết chỉ trong 3 tháng từ 3-2005, có 42% người dùng Internet từ 10 đến 17 tuổi tiết lộ đã từng xem cảnh khiêu dâm trong suốt 12 tháng qua. Trong số đó có tới 66% cho biết không hề muốn xem những hình ảnh này. Như vậy có đến 2/3 hình ảnh khiêu dâm trên máy tính hiển thị không theo yêu cầu, chứng tỏ ít nhất 2/3 máy tính tham gia điều tra có chứa pornware. Một con số làm nhức nhối các bậc phụ huynh và thách thức lương tri nhân loại.

    Các "kịch bản" lừa

    Để bảo vệ người dùng, các chuyên gia bảo mật nghiên cứu thiết kế các hệ phòng vệ như tường lửa (firewall), quét virus (anti-virus), lọc thư rác (spam filter), chống gián điệp (anti-spyware)... Tuy nhiên các công cụ này chỉ có thể phát huy tác dụng đối với người dùng cẩn trọng. Phần lớn các kịch bản lừa đảo đều khai thác thói quen không tốt và tâm lý bất cẩn của người dùng. Cụ thể như:

    • Lơ là, không quan tâm. Nhiều hệ thống rất hớ hênh, không trang bị bất cứ công cụ bảo vệ nào vì "chúng làm nặng máy" (đa số người dùng đều nghĩ như vậy). Sử dụng hàng rào bảo vệ tuy làm máy chạy chậm nhưng an toàn hơn. Ít am hiểu về hệ thống, bạn khó mà phân biệt đâu là phần mềm (PM) hợp thức, đâu là mã độc ngụy trang. Ngoại trừ các loại file virus đính kèm vào vật chủ, phần lớn mã độc đều tồn tại dưới dạng ứng dụng độc lập. Có bao giờ bạn tự hỏi hệ điều hành có bao nhiêu tập tin, lưu trữ ở đâu, tên gọi, kích thước, thuộc tính của chúng như thế nào? Trong các tập tin C:\Windows\System32\svchost.exe và C:\Windows\svchost.exe, tập tin nào là của Windows? Còn nữa, trong "thùng rác" C:\Recycled Bin có tập tin svohost.exe không xóa được; tên của nó cũng rất lạ, có vẻ không đàng hoàng (!)

    • Bất cẩn, nhắm mắt xác nhận mọi cảnh báo, bạn đã vô tình mở cửa máy tính mời chúng vào sống chung. Rất nhiều người dùng không chịu đọc (hoặc không hiểu) nội dung các cảnh báo an ninh của hệ thống. Kiểu trả lời "cứ Yes hoặc OK là xong ngay ấy mà” cũng nguy hiểm ngang với lệnh format phân khu dữ liệu.

    • Tò mò, hiếu kỳ muốn khám phá "điều kỳ diệu" đằng sau các icon bí ẩn, các nickname quyến rũ, các địa chỉ hấp dẫn, hoặc đọc thư của người không quen biết... bạn sẽ bị kéo vào mê hồn trận không lối thoát. Nếu từng là nạn nhân của virus gaixinh, chắc bây giờ bạn vẫn còn tự trách "cứ tưởng xinh lắm, vậy mà..."

    • Dễ tin và nhạy cảm, bạn sẽ dễ dàng rơi vào bẫy của hacker vì chúng thường lợi dụng các sự kiện xã hội (lễ, tết, giáng sinh, ngày tình yêu...), chính trị (chiến tranh, xung đột...) thảm họa (tai nạn, bạo động...), thiên tai (động đất, sóng thần, núi lửa...) vốn thu hút sự chú ý của nhiều người. Vào các thời điểm nhạy cảm này, bạn cần hết sức cảnh giác vì kịch bản này tuy "xưa như trái đất" mà năm nào hacker cũng dụ dỗ được khối người tham gia.

    • Thích dùng PM trôi nổi, bạn sẽ chuốc nhiều phiền toái từ riskware. Phần lớn các PM "chùa", các sản phẩm bị bẻ khóa đều không an toàn. Không ai dám bảo đảm rằng chúng đã được kiểm định. Cũng không ai biết mã lệnh PM có chứa trojan horse hay không, ngoại trừ các lập trình viên của nó.

    • Dễ kích động, bạn sẽ bị chúng lôi kéo vào các trò chơi lý thú như gửi tin nhắn trúng thưởng, bốc thăm may mắn... mà không biết mình đang tiếp tay thu gom danh bạ email cho spammer. Hậu quả là ngày ngày bạn phải cay đắng dọn dẹp cả núi thư rác trong hộp thư điện tử của mình.

    • Ham thích các cuộc đỏ đen trên mạng, có lúc bạn sẽ trả giá đắt cho thú vui của mình. Nạn nhân của trò xổ số trúng thưởng chiếc xe BMW cùng 950.000 euro cho biết, do choáng ngợp trước giá trị món hàng nên anh ta đã không ngần ngại gửi thông tin cá nhân và số tài khoản ngân hàng cho "bộ phận liên lạc", không biết rằng một keylogger bí mật đang rình rập bên bàn phím. Trong phút chốc, tài khoản tiền gửi của "người chiến thắng" hoàn toàn trống rỗng.

    • Mạo hiểm với ít nhiều tham lam, bạn hồi hộp tham gia vào một kế hoạch táo bạo qua email với một người lạ: cho hắn biết số tài khoản ngân hàng, hắn sẽ chuyển tiền cho bạn. Phần việc còn lại nghe rất đơn giản và nhàn hạ: bạn sẽ chuyển tiền vào một tài khoản khác do hắn chỉ định, sau khi khấu trừ món hoa hồng hấp dẫn từ vài trăm ngàn đến cả triệu đô-la. Chưa kể việc bị mất trắng các khoản "chi phí giao dịch", bạn còn có nguy cơ bị Interpol bắt giam vì tham gia vào đường dây rửa tiền của một tổ chức tội phạm quốc tế, trong khi "đối tác" rút êm không để lại dấu vết.

    Để thực hiện các kịch bản lừa đảo tinh vi, hacker ít nhiều đều sử dụng "mã độc". Chỉ một phút lơ là, bạn và máy tính của bạn có thể trở thành mồi ngon của chúng. Thông tin sau đây có thể khiến bạn giật mình: công ty bảo mật F-Secure của Phần Lan vừa lên tiếng cảnh báo tin tặc đang đánh vào lòng trắc ẩn của người sử dụng máy tính trước tình cảnh của các nạn nhân cơn bão Kyrill hiện hoành hành tại châu Âu để phát tán virus "Sâu bão". Đã có ít nhất 10.000 máy trên thế giới bị nhiễm loại virus hết sức nguy hiểm này.

     

    Chống virus với D32              
    PM chống virus D32 đã giới thiệu bản cập nhật tháng 2/2007 với số lượng 200 virus, vượt kỷ lục bản tháng 1/2007. Như vậy chỉ trong 2 tháng đầu năm 2007 đã có 326 virus được cập nhật vào D32, xấp xỉ số 366 virus cập nhật của cả năm 2005, nhiều hơn gần 100 virus của năm 2006, chiếm tỷ trọng 22% toàn bộ số lượng virus cập nhật từ năm 2001 đến nay.
    Mặc dù trong số 326 virus này có thể có các virus xuất hiện từ cuối năm 2006 mà D32 chưa kịp cập nhật. Nhưng nhìn chung, gần đây tình hình đã bắt đầu nghiêm trọng vì các loại mã độc có xu hướng xuất hiện ngày càng nhiều hơn.

        Mốc thời gian     Số virus cập nhật  
          Từ 2001-2004     530  
          Cả năm 2005     366  
          Cả năm 2006     268  
          Tháng 1-2007     126  
          Tháng 2-2007     200  
          2001 đến nay     1490  
       

       

    Trương Minh Nhật Quang

    ID: B0703_57