Nội dung

3. Virus và các mã độc hại trên internet 3.1.Virus Virus là các đoạn mã có khả năng tự nhân bản. Virus có thể chứa hoặc không chứa các chương trình tấn công hay các cổng hậu. Virus là đoạn mã được cài trên máy tính và chạy ngoài ý muốn của người sử dụng. Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính...). Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng đó là một đoạn chương trình thường dùng để phục vụ những mục đích không tốt. Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay chúng ta có thể coi virus máy tính như mầm mống gây dịch bệnh cho những chiếc máy tính, và chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng. Như những vấn đề phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh mà chúng ta phải dày công nghiên cứu mới trị được, hoặc cũng có những loại bệnh gây ra những hậu quả khôn lường. Chính vì vậy, phương châm "phòng hơn chống" là phương châm cơ bản và luôn đúng đối với virus máy tính. Virus máy tính lây lan như thế nào ? Virus máy tính có thể lây vào máy tính của bạn qua email, qua các file bạn tải về từ Internet hay copy từ usb và các máy tính khác về. Virus máy tính cũng có thể lợi dụng các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính của bạn một cách âm thầm. Email là con đường lây lan virus chủ yếu và phổ biến nhất hiện nay. Từ một máy tính, virus thu thập các địa chỉ email trong máy và gửi email giả mạo có nội dung hấp dẫn kèm theo file virus để lừa người nhận mở các file này. Các email virus gửi đều có nội dung khá ‘hấp dẫn’. Một số virus còn trích dẫn nội dung của 1 email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo, điều đó giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa hơn. Với cách hoàn toàn tương tự như vậy trên những máy nạn nhân khác, virus có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân. Tại Việt Nam, usb là con đường lây lan phổ biến thứ hai của virus, chỉ sau email. Khi bạn cắm usb của mình vào một máy tính để copy dữ liệu, chắc bạn không ngờ rằng có một vài chú virus đang ẩn mình trong chiếc máy tính đó, chờ trực để tự nhân bản vào usb của bạn. Bạn mang usb về, cắm vào máy tính của mình, mở ổ đĩa để chuyển các file vừa copy được vào máy, và một lần nữa bạn không biết rằng virus cũng chỉ đợi có thế để lây nhiễm vào máy tính của bạn. Máy tính của bạn cũng có thể bị nhiễm virus khi bạn chạy một chương trình tải từ Internet về hay copy từ một máy tính bị nhiễm virus khác. Lý do là các chương trình này có thể đã bị lây bởi một virus hoặc bản thân là một virus giả dạng nên khi bạn chạy nó cũng là lúc bạn đã tự mở cửa cho virus lây vào máy của mình. Quá trình lây lan của virus có thể diễn ra một cách "âm thầm" (bạn không nhận ra điều đó vì sau khi thực hiện xong công việc lây lan, chương trình bị lây nhiễm vẫn chạy bình thường) hay có thể diễn ra một cách "công khai" (virus hiện thông báo trêu đùa bạn) nhưng kết quả cuối cùng là máy tính của bạn đã bị nhiễm virus và cần đến các chương trình diệt virus để trừ khử chúng. Nếu bạn vào các trang web lạ, các trang web này có thể chứa mã lệnh ActiveX hay JAVA applets, VBScript...là những đoạn mã cài đặt Adware, Spyware, Trojan hay thậm chí là cả virus lên máy của bạn. Vì vậy, trong mọi tình huống bạn nên cẩn thận, không vào những địa chỉ web lạ. Tuy nhiên virus cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao. Những virus hiện nay có thể lây vào máy tính của bạn mà bạn không hề hay biết, ngay cả khi bạn không mở file đính kèm trong các email lạ, không vào web lạ hay chạy bất cứ file chương trình khả nghi nào. Đơn giản là vì đó là những virus khai thác các lỗi tiềm ẩn của một phần mềm đang chạy trên máy tính của bạn (ví dụ: lỗi tràn bộ đệm…) để xâm nhập từ xa, cài đặt và lây nhiễm. Các phần mềm (kể cả hệ điều hành) luôn chứa đựng những lỗi tiềm tàng mà không phải lúc nào cũng có thể dễ dàng phát hiện ra. Các lỗi này khi được phát hiện có thể gây ra những sự cố không lớn, nhưng cũng có thể là những lỗi rất nghiêm trọng và không lâu sau đó thường sẽ có hàng loạt virus mới ra đời khai thác lỗi này để lây lan. Một tình huống hay gặp đối với các virus lây lan dựa trên tin nhắn tức thời (VD : tin nhắn Yahoo Messenger, ICQ, Windows Messenger…) là virus gửi tin nhắn tới tất cả các thành viên trong danh sách bạn bè của nạn nhân, tin nhắn này có nội dung rất ‘hấp dẫn’ và được gửi kèm với liên kết dẫn đến một trang web. Trang web này nhìn bề ngoài rất bình thường, nhưng thực chất bên trong nó đã được dựng lên một cách có chú ý để khai thác các lỗ hổng của trình duyệt Internet (VD : Internet Explorer). Khi bạn nhấn vào liên kết để xem nội dung trang web với một trình duyệt chưa được vá lỗi, virus sẽ âm thầm lây nhiễm vào máy mà bạn không hề hay biết. Virus phá hoại những gì ? Đây chắc chắn sẽ là điều băn khoăn của bạn nếu chẳng may máy tính của bạn bị nhiễm virus. Như chúng tôi đã nói, dù ít hay nhiều thì virus cũng được dùng để phục vụ những mục đích không tốt. Các virus thế hệ đầu tiên có thể tàn phá nặng nề dữ liệu, ổ đĩa và hệ thống, hoặc đơn giản hơn chỉ là một câu đùa vui hay nghịch ngợm đôi chút với màn hình hay thậm chí chỉ nhân bản thật nhiều để "ghi điểm". Tuy nhiên các virus như vậy hầu như không còn tồn tại nữa. Các virus ngày nay thường phục vụ cho những mục đích kinh tế hoặc phá hoại cụ thể. Chúng có thể chỉ lợi dụng máy tính của bạn để phát tán thư quảng cáo hay thu thập địa chỉ email của bạn. Cũng có thể chúng được sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay các thông tin các nhân quan trọng của bạn. Cũng có thể chúng sử dụng máy bạn như một công cụ để tấn công vào một hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng. Đôi khi bạn là nạn nhân thực sự mà virus nhắm vào, đôi khi bạn vô tình trở thành "trợ thủ" cho chúng tấn công vào hệ thống khác. Các loại virus máy tính a. Virus Boot Ngày nay hầu như không còn thấy virus Boot nào lây trên các máy tính của chúng ta. Lý do đơn giản là vì virus Boot có tốc độ lây lan rất chậm và không còn phù hợp với thời đại của Internet. Tuy nhiên, virus Boot vẫn là một phần trong lịch sử virus máy tính. Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi động của bạn sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix...). Sau khi nạp xong hệ điều hành, bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được để ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector". Virus Boot là tên gọi dành cho những virus lây vào Boot sector. Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên. b. Virus File Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ điều hành Windows, như các file có đuôi mở rộng .com, .exe, .bat, .pif, .sys... Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn để lây vào. Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?". Câu trả lời nằm ở lịch sử phát triển của virus máy tính. Mãi tới năm 1995 virus Macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File. Tuy nhiên, bạn cũng không phải quá lo lắng về loại virus này vì thực tế các loại virus lây file ngày nay cũng hầu như không còn xuất hiện và lây lan rộng nữa. Khi máy tính của bạn bị nhiễm virus lây file, tốt nhất bạn nên sử dụng phần mềm diệt virus mới nhất để quét toàn bộ ổ cứng của mình và liên hệ với nhà sản xuất để được tư vấn, hỗ trợ. c. Virus Macro Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính (Microsoft Excel) hay các file trình diễn (Microsoft Power Point) trong bộ Microsoft Office. Macro là tên gọi chung của những đoạn mã được thiết kế để bổ sung tính năng cho các file của Office. Chúng ta có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tác giống nhau. Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó bằng một yêu cầu duy nhất. 3.2.Worm Worm là một chương trình độc lập có khả năng tự tạo ra chính bản thân mình và lây nhiễm sang các máy tính khác qua mạng. Khác với virus, worm thường không sửa đổi các chương trình khác trong máy tính. Worm có sức lây lan rộng, nhanh và phổ biến nhất hiện nay. Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền Internet. Thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó lây nhiễm và tự gửi chính nó qua email tới những địa chỉ tìm được. Những địa chỉ mà worm tìm thấy thường là địa chỉ của bạn bè, người thân, khách hàng... của chủ sở hữu máy bị nhiễm. Điều nguy hiểm là worm có thể giả mạo địa chỉ người gửi là địa chỉ của chủ sở hữu máy hay địa chỉ của một cá nhân bất kỳ nào đó; hơn nữa các email mà worm gửi đi thường có nội dung “giật gân” hoặc “hấp dẫn” để dụ dỗ người nhận mở file virus đính kèm. Một số còn trích dẫn nội dung của một email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo. Điều này giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa. Những việc này diễn ra mà bạn không hề hay biết. Với cách hoàn toàn tương tự trên những máy nạn nhân khác, Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân. Điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính trên toàn cầu. Cái tên của nó, Worm hay "Sâu Internet" cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy tính khác trên các "cành cây" Internet. Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra cài thêm nhiều tính năng đặc biệt, chẳng hạn như khả năng định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó. Ngoài ra, chúng còn có thể mang theo các BackDoor thả lên máy nạn nhân, cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp. Ngày nay, khái niệm Worm đã được mở rộng để bao gồm cả các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USB hay các dịch vụ gửi tin nhắn tức thời (chat), đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan. Các phần mềm (nhất là hệ điều hành và các dịch vụ trên đó) luôn tiềm ẩn những lỗi/lỗ hổng an ninh như lỗi tràn bộ đệm, mà không phải lúc nào cũng có thể dễ dàng phát hiện ra. Khi một lỗ hổng phần mềm được phát hiện, không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ máy hoàn toàn không hay biết. Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng Internet với cách thức tương tự. 3.3.Trojan Trojan là một chương trình độc hại được lây nhiễm hoặc ẩn chứa bên trong một phần mềm hợp lệ. Trojan không thể hoạt động độc lập, điều này khác với virus và worm. Trojan phụ thuộc vào hoạt động của người dùng, ngay cả nếu trojan có tự nhân bản hoặc thậm chí tự phân phối chính nó, mỗi một máy bị hại mới phải chạy chương trình chứa trojan. Trojan thường phục vụ một mục tiêu thực hiện một tấn công nào khác, nó không phụ thuộc vào các lỗ hổng an ninh trong hệ thống. Khác với virus, Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây lan. Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa đối phương sử dụng chương trình của mình hoặc ghép Trojan đi kèm với các virus (đặc biệt là các virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân. Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu... để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình trước. Bên cạnh các Trojan ăn cắp thông tin truyền thống, một số khái niệm mới cũng được sử dụng để đặt tên cho các Trojan mang tính chất riêng biệt như sau: + Backdoor: Loại Trojan sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra. + Phần mềm quảng cáo bất hợp pháp - Adware và phần mềm gián điệp Spyware: Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc định (search page)… hay liên tục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web. Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình “ghé thăm” những trang web có nội dung không lành mạnh, các trang web bẻ khóa phần mềm… hoặc chúng đi theo các phần mềm miễn phí không đáng tin cậy hay các phần mềm bẻ khóa (crack, keygen). Có 7 loại trojan chính: a. Trojan truy cập từ xa (RAT – Remote Access Trojan) Được thiết kế để kẻ tấn công có khả năng truy cập từ xa chiếm quyền điều khiển của máy bị hại. Các Trojan này thường được giấu vào trong các trò chơi và các chương trình nhỏ để cho người dùng mất cảnh giác có thể chạy trên máy tính của họ. Hiện nay, trojan loại này được sử dụng rất nhiều. Chức năng chính của trojan này là mở một cổng trên máy nạn nhân để hacker có thể quay lại truy cập vào máy nạn nhân. Những con trojan này rất dễ sử dụng. Chỉ cần nạn nhân bị nhiễm trojan và hacker có IP của nạn nhân thì hacker đã có thể truy cập toàn quyền trên máy nạn nhân. Hiện có nhiều con nổi tiếng loai này như : netbus, back orifice .. b. Trojan gửi dữ liệu Lấy và gửi các dữ liệu nhạy cảm như mật khẩu, thông tin thẻ tín dụng, các tệp nhật ký, địa chỉ email,… Ðọc tất cả mật khẩu lưu trong cache và thông tin về máy nạn nhân rồi gửi về cho hacker mỗi khi nạn nhân online. Vd : barok, kuang, bario .. Trojan này có thể tìm kiếm cụ thể từng thông tin hoặc cài phần mềm đọc trộm bàn phím và gửi toàn bộ các phím bấm về cho tin tặc. Vd : kuang keylogger. c. Trojan hủy hoại Phá và xóa các tệp tin. Loại Trojan này giống với virus và thường có thể bị phát hiện bởi các chương trình chống virus. Loại trojan này rất dễ sử dụng. Những con trojan này chỉ có một nhiệm vụ duy nhất tiêu diệt tất cả file trên máy bạn ( VD file .exe, .dll, .ini .... ). Những con trojan này rất nguy hiễm vì khi máy bạn bị nhiễm chỉ một lần thôi thì tất cả dữ liệu mất hết. d. Trojan kiểu Proxy Sử dụng máy tính bị hại làm máy chủ Proxy, qua đó có thể sử dụng máy bị hại để thực hiện các hành vi lừa gạt hay đánh phá các máy tính khác. e. Trojan FTP Thiết kế để mở cổng 21 và cho phép tin tặc kết nối vào máy tính bị hại sử dụng FTP. f. Trojan tắt phần mềm an ninh Có thể dừng hoặc xóa bỏ các chương trình an ninh như phần mềm chống virus hay tường lửa mà không để người dùng nhận ra. g. Trojan DoS Lây virus từ các máy slave để sử dụng máy slave tấn công DoS tới máy đích. 3.4. Các loại mã độc hại khác a. Spyware Các Spyware được cài đặt trên hệ thống giống như những chương trình khác nhưng không để cho người sử dụng biết gì về hoạt động, mục đích cũng như những hậu quả mà nó gây ra. Chức năng chính của các phần mềm gián điệp là chuyển về cho những người tạo ra chúng những yêu cầu xác định, chủ yếu phục vụ mục đích quảng cáo và thương mại. Các Spyware này thường được “kẹp” chung với các phần mềm miễn phí được kêu gọi download trên mạng, từ các phần mềm trao đổi giữa máy với máy qua hệ thống peer-to-peer của Kazaa hay The Brigde,… đến những sản phẩm của các nhà sản xuất phần mềm lớn. Ngoài ra, chúng ta còn có thể kể đến kỹ thuật Spyware vào máy của một vài trang web bugs - các trang web được cài sẵn worm, sẵn sàng tấn công vào bất kỳ máy tính nào. Tuy nhiên, Spyware này chỉ có mục đích giúp trang web đếm được số lượt người truy cập vào. Khi được cài đặt vào máy của người sử dụng, Spyware sẽ bắt đầu ngay công việc của mình khi chiếc máy đó kết nối Internet. Chủ nhân của các Spyware này sẽ nhận được mọi thông tin về việc sử dụng chiếc máy tính đó: từ thói quen duyệt web, các địa chỉ trang web hay, đến những thông số kỹ thuật của máy và nội dung của các đĩa cứng, nhờ đó mà họ biết được các địa chỉ thư điện tử và phiền toái hơn là cả các mật mã nữa. Spyware bị lạm dụng vì những mục đích thương mại. Các Spyware sẽ xâm nhập máy tính của bạn và thu thập tất cả các thông tin cá nhân của người sử dụng máy. Các thông tin này sẽ được bán lại cho các công ty khác, những người cũng rất cần chúng. Hãy lấy ví dụ từ các công ty chuyên gửi spam. Có bao giờ bạn tự hỏi làm sao những kẻ chuyên gửi thư rác biết nhiều địa chỉ e-mail đến thế không? Đó là do họ mua chúng ở các công ty bố mẹ của các Spyware. Rồi có bao giờ bạn tự hỏi rằng không hiểu tại sao người ta lại biết bạn thích bóng đá mà gửi cho bạn nhiều yêu cầu tham gia các diễn đàn về bóng đá trên mạng? Có thể bạn hơi bất ngờ nhưng tất cả các thói quen duyệt web, những trang web mà bạn hay thăm viếng, những thông tin bạn thường đọc,… đều được các Spyware “học thuộc lòng” rồi “mách lẻo” lại cho các trang web khác. b. Botnet Các máy tính bị nhiễm phần mềm malbot này có thể được điều khiển thông qua các kênh IRC hoặc một hệ thống chat khác. Mạng botnet có đến hàng ngàn máy dễ dàng được sử dụng để tấn công DdoS đến một trang thương mại điện tử. Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan horse hay các cửa hậu, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chỉ huy botnet (botnet's originator hay bot hearder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. Thông thường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ...). Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều khiển botnet. Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối, chẳng hạn ADSL, cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một người điều khiển giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác. Người ta đã tìm thấy và gỡ bỏ một vài botnet trên Internet. Cảnh sát Hà Lan đã tìm thấy một botnet gồm 1.5 triệu nút và ISP Telenor của Na Uy đã dỡ bỏ một botnet 10.000 nút. Người ta đã khởi động các hoạt động hợp tác quốc tế lớn nhằm dập tắt các botnet. c. Rootkit Khái niệm rootkit được sử dụng để mô tả các cơ chế và kĩ thuật được sử dụng bởi malware (malware là các phần mềm làm sai chức năng chương trình ứng dụng gồm: virus, spyware, và trojan...) cố gắng ẩn nấp, trốn tránh không bị phát hiện bởi các chương trình chống spyware, virus và các tiện ích hệ thống. Thực ra, rootkit tự bản thân không mang tính hiểm độc nhưng khi chúng được sử dụng cùng với các chương trình mang tính "phá hoại" như: virus, sâu, phần mềm gián điệp, trojan... thì lại nguy hiểm hơn rất nhiều. Rootkit nguy hiểm như thế nào? Rootkit thực tế chẳng gây ảnh hưởng xấu nào. Mục đính duy nhất của rootkit là ẩn nấp, và tránh không bị phát hiện. Tuy nhiên, rootkit được sử dụng để giấu các đoạn mã hiểm độc thì rất nguy hiểm. Một số các sâu, virus, trojan và phần mềm gián điệp vẫn có khả năng duy trì hoạt động và không bị phát hiện khi sử dụng rootkit. Các malware sẽ không bị phát hiện thậm chí khi hệ thống được bảo vệ bởi các chương trình chống virus tốt nhất. Do đó, Rootkit thực sự là mối đe dọa rất nghiêm trọng. Thực ra, hiện nay chỉ có một vài các phần mềm gián điệp và virus sử dụng rootkit để lẩn trốn. Một trong những ví dụ điển hình là sử dụng rootkit để xâm nhập hệ thống là vụ ăn trộm mã nguồn trò chơi nổi tiếng Half-Life 2. Rootkit được sử dụng phổ biến trong các phần mềm gián điệp hơn là các virus. Một điều chắc chắn là rootkit vẫn là kĩ thuật còn đang phát triển, chưa có nhiều trong thực tế, nên mối đe dọa hiện tại của rootkit không lớn lắm so với những mối nguy hiểm tiềm tàng của kĩ thuật này. Rootkit thực sự đã trở thành phổ biến trong các phần mềm gián điệp và chúng cũng sẽ dần phổ biến trong các virus và sâu. Các tác giả viết virus bây giờ đã chuyên nghiệp hơn và cũng hoạt động với mục đích kinh doanh nữa. Chính vì vậy, họ hoàn toàn có đủ kĩ năng cũng như trình độ để cài đặt các rootkit rất phức tạp vào trong virus và sâu. Rootkit có thể làm ẩn các trojan và thư rác (spam) lâu hơn trên những máy bị nhiễm. Đây cũng là một nguyên nhân dẫn tới sự bùng nổ rootkit trong tương lai. Những malware nào sử dụng kĩ thuật rootkit? Vài Rootkit mang đúng ý nghĩa và tính chất của rootkit được biết đến như: Hacker Defender và FU. Một số phần mềm gián điệp, quảng cáo có sử dụng rootkit: EliteToolbar, ProAgent, and Probot SE. Các trojan như: Berbew/Padodor và Feutel/Hupigon và một số sâu như: Myfip.h và họ sâu Maslan cũng sử dụng rootkit. Tại sao các chương trình diệt virus không phát hiện rootkit trước khi chúng kịp ẩn nấp? Điều này đúng nhưng chỉ trong một số trường hợp. Bởi vì rootkit thường được phát tán bằng mã nguồn mở, điều này có nghĩa là hacker có thể thay đổi mã rootkit một cách nhanh chóng để các chương trình diệt virus không thể phát hiện được. Một số phần mềm chống virus mới có thể phát hiện được rootkit như F-Secure Internet Security 2005 có tính năng "Manipulation Control". Tính năng này có cơ cấu chặn các tiến trình hiểm độc "thao tác" gây ảnh hưởng tới các tiến trình khác. Tuy nhiên, chương trình F-Secure Internet Security 2005 cũng chỉ chặn được một vài rootkit. 3.5. Nhận biết máy tính bị nhiễm virus. Dưới đây là một số dấu hiệu nhận biết khi máy tính bị nhiễm virus: · Truy xuất tập tin, mở các chương trình ứng dụng chậm · Khi duyệt web có các trang web lạ tự động xuất hiện · Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm · Các trang quảng cáo tự động hiện ra (pop up) · Góc phải màn hình xuất hiện cảnh báo tam giác màu vàng: “Your computer is infected”, hoặc xuất hiện cửa sổ “Virus Alert”… · Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB · Xuất hiện các file có phần mở rộng .exe có tên trùng với tên các thư mục Ngoài ra, có nhiều virus chạy ẩn cùng với hệ thống và không có dấu hiệu đặc biệt hay bất thường, nên người sử dụng rất khó để nhận biết. Vì vậy, để đảm bảo an toàn cho máy tính, bạn nên chọn một phần mềm diệt virus tốt để cài đặt và sử dụng thường xuyên, lâu dài cho máy tính của mình. Phần mềm diệt virus tốt phải là phần mềm đáp ứng được đầy đủ các tiêu chí: là phần mềm có bản quyền, cập nhật phiên bản mới thường xuyên, có hỗ trợ kỹ thuật trực tiếp từ nhà sản xuất khi có sự cố liên quan tới virus. "Mẹo hay" tránh Virus từ Internet Trong thuật ngữ chuyên ngành, người ta sử dụng từ malware để chỉ các loại phần mềm gây hại như virus, worm, trojan horse, spyware và adware. Dưới đây là những cách phòng trừ malware hiệu quả.  Thói quen Online thông minh Nhân tố quan trọng nhất trong cuộc chiến phòng ngừa malware chính là bạn. Bạn không cần phải là chuyên gia, mà chỉ cần không tải và cài đặt bất cứ thứ gì bạn không hiểu hoặc không tin tưởng. + Đối với website Một website yêu cầu bạn cài đặt một chương trình. Nếu không chắc chắn, bạn hãy rời website và điều tra về phần mềm mà bạn đang được đề nghị cài đặt. Nếu kết quả tốt, bạn có thể quay lại và cài đặt sau. + Đối với email Đừng tin tưởng bất cứ thứ gì chứa đựng trong một email rác. Kể cả khi nhận được email từ người bạn biết có kèm theo link hay file đính kèm, cũng nên cảnh giác. Nếu nghi ngờ về cái bạn được đề nghị xem hay cài đặt, thì đừng làm điều đó. + Đối với thiết bị di động Bạn bè, gia đình và đồng nghiệp có thể vô tình đưa cho bạn đĩa hoặc USB nhiễm virus. Đừng vội dùng những dữ liệu này, cần phải quét bằng các chương trình diệt virus trước. + Đối với cửa sổ pop-up Khi lướt web bạn có thể thấy nhiều cửa sổ bung ra yêu cầu bạn tải về hoặc đồng ý dùng một chương trình quét hệ thống nào đó. Bạn cần tắt các cửa sổ này đi và nhớ là không bấm vào bất kỳ nội dung gì bên trong nó. Có thể tắt bằng Windows Task Manager (bấm Ctrl-Alt-Delete) + Đối với một phần mềm Một số chương trình cố gắng cài malware trong quá trình cài đặt của chúng. Vì vậy khi cài đặt bạn cần để ý tới các lựa chọn trước khi bấm Next, OK hay I Agree. Nếu không chắc chắn thì tắt đi, kiểm tra độ tin tưởng của chương trình và cài lại nếu mọi việc bình thường. + Đối với các dịch vụ chia sẻ file trực tuyến Đây là một môi trường nguy hiểm và bạn phải biết rõ mình đang làm gì khi quyết định dùng những dịch vụ này. Bởi có rất ít sự kiểm soát hiệu quả, nên các hacker có thể dễ dàng tạo một malware có tên giống như một bộ phim, album hay chương trình nổi tiếng để thu hút bạn tải về.  Loại bỏ malware Cần chấp nhận thực tế rằng dù bạn có phòng ngừa kỹ càng cỡ nào thì cũng có ngày bạn sẽ bị nhiễm một trong các loại malware. Đấy là bởi malware càng ngày càng tinh vi và có thể đột nhập vào máy bạn mà bạn không thể lường hết được. Khi đó cần tiêu diệt chúng bằng cách dùng những chương trình phù hợp: + Một hệ điều hành thường xuyên cập nhật: Hãy sử dụng Windows Update. Chương trình này có khả năng tự động thông báo cho bạn về các bản cập nhật, thậm chí tự tải về và cài đặt. + Một trình duyệt đều nên cập nhật Dù cho bạn đang dùng trình duyệt gì thì hãy dùng bản mới nhất nhằm cập nhật các cách phòng chống malware tân tiến. + Trình diệt virus Bạn nên dùng 1 trình diệt virus nào đó để bảo vệ máy tính của mình. Cập nhật thường xuyên và lên kế hoạch quét virus một tháng một lần. Tuy nhiên đừng dùng tới hai trình diệt virus cùng lúc vì chúng sẽ xung đột với nhau. + Trình diệt spyware Nhiều chương trình diệt virus có tích hợp cả tính năng diệt spyware. Nhưng nếu không có, bạn cần cài một trình diệt spyware độc lập và không xung đột với trình diệt virus. Cập nhật thường xuyên. + Firewall Firewall hay Tường lửa là phần mềm có tác dụng như bức tường che chắn máy tính của bạn khỏi các cuộc tấn công từ bên ngoài. Nếu không dùng phần mềm của hãng thứ ba thì bạn có thể dùng luôn Windows Firewall có sẵn. Cũng đừng chạy hai Firewall cùng lúc. + Bộ lọc thư rác Nếu chương trình nhận email của bạn không hỗ trợ bộ lọc thư rác thì bạn có thể dùng thêm phần mềm chuyên dụng. Nếu đang dùng một bộ phần mềm bảo mật thì bạn nên bật chức năng lọc thư rác lên.