Hôm nay đến cty làm việc một nhân viên CNTT hỏi tôi rằng : virus nó khác với Trojan horse ở chỗ nào? và cách lây l. Đây là những khái niệm rất quan trọng đối với những ai theo ngành security, vấn đề ở đây chúng ta có định nghĩa thật rõ ràng, thì chúng ta khi làm với sure được đúng không các bạn.
Virus máy tính thực chất là những chương trình phần mềm máy tính được thiết kế và cài đặt một cách lén lút vào các hệ thống máy tính thông qua nhiều con đường khác nhau, rồi tự động chạy ngoài sự kiểm soát của người sử dụng với mục đích duy nhất là phá hoại các hệ thống này ở các mức độ khác nhau, nhẹ thì chỉ là những hình ảnh, dòng chữ trêu đùa tự động hiện ra trên màn hình của người sử dụng, nặng hơn có thể phá hoại các tệp tin ( file) như: năn bản, dữ liệu, flie của hệ thống… thậm chí có thể làm hỏng cả bo mạch chủ của máy tính. Đặc điểm chung của các chương trình virus máy tính ( gọi tắt là virus) là chúng có khả năng tự nhân bản, sao chép chính nó vào các chương trình khác. Để làm được điều này virus thường thực hiện các bước sau:
- Tìm cách gắn vào các hệ thống máy tính, sửa đổi dữ liệu để virus có thể nhận được quyền điều khiển mỗi khi chương trình của hệ thống máy tính mà nó gắn vào được thực thi.
- Khi được thực hiện, virus tìm kiếm những đối tượng khác (các file, RomBios), sau đó lây nhiễm lên những đối tượng này.
- Tiến hành những hoạt động phá hoại, do thám…
- Trả lại quyền thi hành cho chương trình chủ hoạt động như bình thường hoặc phá huỷ luôn toàn bộ hệ thống như: Format ổ cứng, ghi đè các giá trị rác vào RomBios để phá huỷ bo mạch chính.
Về nguyên tắc virus chỉ có thể lây nhiễm lên những đối tượng chứa nội dung thi hành được (Executable content) như: các file chương trình có phần mở rộng ( phần đuôi) .BAT, . EXE, .COM…; các tài liệu văn bản Word, Excel, Powerpoint hay thậm chí các file . CLASS được viết bằng JAVA.
- Virus Boot ( B - Virus): Các loại virus lây nhiễm lên BootSector trên đĩa mềm hoặc Master Boot Record và Disk Boot Record trên đĩa cứng, bảng cấp phat file và thư mục ( File Allocation Table - FAT), bảng đăng ký (Windows Registry) của hệ điều hành Windows…
- Virus File ( F - Virus) : Các loại virus lây nhiễm các dạng file ( có chứa nội dung thi hành được – Executable Content). Bao gồm những loại file chứa mã máy ( Machine Code) như các file .COM, . EXE và những loại file chứa mã giả ( Pseudo Code) như các file .BAT, .doc, .xls. Trong loại này, tạm chia thành 3 loại nhỏ:
§ Các virus file hoạt động trên môi trường DOS.
§ Các virus file hoạt động trên môi trường Windows 3X/9X/NT/2000/XP. Bao gồm các virus lây nhiễm các file thi hành trên các hệ điều hành tương ứng.
§ Các virus file hoạt động trên moi trường của các ứng dụng khác. Bao gồm các virus Macro và các loại virus khác như VBS virus, JAVA virus…
- Virus thường trú ( Resident virus): Là virus kiểm soát hoạt động của môi trường điều hành và tiến hành các tác vụ nguỵ trang, phá hoại, anti – tunnel…Mỗi khi phát hiện các tác vụ trên đối tượng chủ,virus sẽ tiến hành lây nhiễm.Virus không thường trú (Transient virus hay Runtime virus): Virus không kiểm soát hoạt động của hệ thống. Mỗi khi được kích hoạt ( khi đối tượng chủ được thi hành) virus sẽ tiến hành tìm kiếm các đối tượng khác để lây nhiễm.
- Ghi đè ( Overwritting)
- Ghi đè bảo toàn ( Non – Destructive Overwritting)
- Dịch chuyển ( Shifting)
- Song hành ( Companion)
- Nối thêm ( Appending)
- Chèn giữa ( Mid - File)
- Định hướng lại lệnh nhảy ( Jump Redirection)
- Điền khoảng trống ( Space Filler)
- Chúng ta sẽ nghiên cứu chi tiết các phương pháp lây nhiễm này ở các phần sau.
- Ngựa thành Tơroa là câu chuyện truyền thuyết thời trung cổ nói về cuộc chiến tranh của các chiến binh người Hylạp khi đánh chiếm thành Tơroa ( Trojan). Mô phỏng cách đánh chiếm thành này, các chuyên gia phá hoại đã tạo ra virus Trojan Horse. Đặc điểm chung của loại virus này là sau khi lây nhiễm vào hệ thống của người sử dụng thì nằm im trong máy mà chỉ chờ đến một ngày nhất định nào đó trong năm mới bung ra phá hoại. có thể hình dung sự nguy hiểm của loại virus này khi mà hàng trăm máy tính của một công ty cùng bị nhiễm loại virus này và tất cả cùng sụp đổ chỉ trong 1 ngày. Một ví dụ điển hình là CIH ngày 26-4. Vì xuất hiện không ồn ào và không để lại hậu quả ngay sau khi lây nhiễm nên rất nhiều người không để ý đề phòng. Hệ thống máy tính toàn cầu của hãng phần mềm lớn nhất nước Mỹ và thế giới là Microsoft cũng đã từng khốn khổ với loại virus này.
- Mặt trái của mạng Internet là đem đến cho những kẻ chuyên phá hoại một môi trưòng hết sức lý tưởng để truyền bá Virus. Nếu trước đây việc làm lây nhiễm duy nhất là thông qua việc cài đặt chương trình, copy files với tốc độ lan rộng địa lý rất chậm vì chỉ có những người có quan hệ nhất định với nhau mới có việc sao chép dữ liệu trên máy của nhau, thì ngày nay thông qua mạng Internet, bằng các chương trình thư điện tử, tốc độ phát tán của các virus nhanh và rộng khủng khiếp. Ngay sau khi tung trên mạng, một chuyên gia tại Mỹ đã có thể đồng thời cho virus gửi thư đi toàn thế giới và con sâu Internet này lập tức thực hiện việc phá hoại trên phạm vi toàn cầu. Các loại sâu Internet chúng tôi tạm chia làm 2 loại chính: