Ngoài virus, bạn còn biết loại mã độc nào khác?

Dương Lê

15/04/14

Hễ máy tính bị nhiễm phần mềm độc hại (malware) thì mọi người cứ đồng thanh cho rằng máy đã bị nhiễm “virus”, nhưng thực chất thuật ngữ chuẩn xác cho mỗi căn bệnh này đều có tên gọi khác nhau, bao gồm: malware, worm, Trojan, rootkit, keylogger, spyware và nhiều hơn thế nữa.

Malware - Phần mềm độc hại

Malware

Thuật ngữ "Malware" là tên viết tắt của "malicious software." Nhiều người sử dụng từ "virus" để chỉ bất kỳ loại phần mềm độc hại, nhưng virus thực sự chỉ là một loại hình cụ thể của phần mềm độc hại mà thôi. Từ "malware" được sử dụng để mang hàm ý chung cho tất cả các phần mềm độc hại, bao gồm các “bệnh lý” phổ biến bên dưới.

Virus

Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi tắt là virus hay vi-rút) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính,...). Cũng giống như virus trong thế giới thực, chúng lây nhiễm các tế bào sinh học và sử dụng những tế bào sinh học để tái tạo ra các bản sao của chính mình.

Virus

Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường virus có các hành động như: cho một chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng,... hoặc gây ra những trò đùa khó chịu.

Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus.

Chiếm trên 90% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành “họ Windows” chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác.

Cũng có quan điểm cho rằng Windows có tính bảo mật không tốt bằng các hệ điều hành khác (như Linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng thông dụng như Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì cũng lượng virus xuất hiện có lẽ cũng tương đương nhau.

Sâu Morris đôi khi được gọi là "Great Worm" (Sâu khổng lồ)

Sâu Morris là sâu máy tính đầu tiên được phát tán qua Internet; nó cũng là con sâu đầu tiên thu hút được sự chú ý đáng kể của các phương tiện thông tin đại chúng. Tác giả của nó là Robert Tappan Morris, một sinh viên tại Đại học Cornell. Sâu Morris được thả lên mạng vào ngày 2 tháng 11 năm 1988 từ học viện MIT, nó được phát tán từ MIT để che giấu thực tế là con sâu đã được bắt nguồn từ Cornell. (Tình cờ, Robert Tappan Morris hiện là một giáo sư tại MIT).

Sâu Morris cũng tương tự như virus, nhưng cách thức lây lan của đôi bên lại khác nhau

Theo tác giả, sâu Morris không được viết với mục đích gây thiệt hại mà chỉ để đo kích thước của Internet. Tuy nhiên, một hậu quả ngoài ý muốn đã làm cho nó trở nên gây hại: một máy tính có thể bị nhiễm nhiều lần và mỗi một tiến trình bổ sung sẽ góp phần làm chậm máy đến mức không thể sử dụng được.

Sâu Morris hoạt động bằng cách lợi dụng một số điểm yếu đã biết trong các chương trình sendmail, Finger, rsh/rexec và các mật khẩu yếu trong Unix. Thân chương trình chính của sâu Morris chỉ có thể nhiễm các máy VAX của DEC đang chạy hệ điều hành BSD 4 và Sun 3.

Một thành phần "móc" (grappling hook) khả chuyển viết bằng C theo cơ chế tràn bộ đệm đã được sử dụng để chở thân chương trình chính, và thành phần móc có thể chạy trên các hệ thống khác, sinh tải làm chậm hệ thống và biến hệ thống thành nạn nhân.

Sai lầm nghiêm trọng đã biến con sâu từ chỗ một thí nghiệm trí thức có tiềm năng vô hại thành một tấn công từ chối dịch vụ đầy phá hoại là ở tại cơ chế lây lan. Con sâu xác định xem có xâm nhập một máy tính mới hay không bằng cách hỏi xem hiện đã có một bản sao nào đang chạy hay chưa.

Nhưng nếu chỉ làm điều này thì việc xóa bỏ nó lại quá dễ dàng, bất cứ ai cũng chỉ phải chạy một tiến trình trả lời rằng "có" khi được hỏi xem đã có bản sao nào chưa, và con sâu sẽ tránh. Để tránh chuyện này, Morris thiết kế để con sâu tự nhân đôi với xác suất 40%, bất kể kết quả của việc kiểm tra lây nhiễm là gì. Thực tế cho thấy tỷ lệ nhân đôi này là quá cao và con sâu lây lan nhanh chóng, làm nhiễm một số máy tính nhiều lần.

Robert Tappan Morris

Người ta thống kê rằng có khoảng 6.000 máy tính chạy Unix đã bị nhiễm sâu Morris. Paul Graham đã nói rằng: "Tôi đã chứng kiến người ta xào xáo ra con số này, công thức nấu ăn như sau: ai đó đoán rằng có khoảng 60.000 máy tính nối với Internet và con sâu có thể đã nhiễm 10% trong số đó." Mỹ đã ước tính thiệt hại vào khoảng từ 10 đến 100 triệu đô la.

Robert Morris đã bị xử và buộc tội vi phạm Điều luật năm 1986 về lạm dụng và gian lận máy tính (Computer Fraud and Abuse Act). Sau khi chống án, anh ta bị phạt 3 năm án treo, 400 giờ lao động công ích và khoản tiền phạt 10.050 đô la Mỹ.

Sâu Morris đôi khi được gọi là "Great Worm" (Sâu khổng lồ) do hậu quả nặng nề mà nó đã gây ra trên Internet khi đó, cả về tổng thời gian hệ thống không sử dụng được, lẫn về ảnh hưởng tâm lý đối với nhận thức về an ninh và độ tin cậy của Internet.

Trojan hoặc Trojan Horse

Trojan horse (Ngựa Troia) là một loại phần mềm ác tính. Không giống như virus, nó không có chức năng tự sao chép nhưng lại có chức năng hủy hoại tương tự virus. Một trong những thứ giăng bẫy của Ngựa Troia là nó tự nhận là giúp cho máy của thân chủ chống lại các virus nhưng thay vì làm vậy nó quay ra đem virus vào máy.

Chữ Ngựa Troia xuất phát điển tích nổi tiếng con ngựa thành Troia trong thần thoại Hy Lạp. Trong điển tích đó, người Hy Lạp đã giả vờ để quên một con ngựa gỗ khổng lồ khi họ rút khỏi chiến trường. Trong bụng con ngựa gỗ này có nhiều chiến binh Hy Lạp ẩn náu. Người Troia tưởng rằng mình có được một chiến lợi phẩm và kéo con ngựa gỗ này vào thành. Đến đêm thì các chiến binh Hy Lạp chui ra khỏi bụng con ngựa này để mở cửa thành giúp quân Hy Lạp vào chiếm thành.

Trojan horse

Trojan horse là chương trình máy tính thường ẩn mình dưới dạng một chương trình hữu ích và có những chức năng mong muốn, hay ít nhất chúng trông như có các tính năng này. Một cách bí mật, nó lại tiến hành các thao tác khác không mong muốn. Những chức năng mong muốn chỉ là phần bề mặt giả tạo nhằm che giấu cho các thao tác này.

Trong thực tế, nhiều Trojan horse chứa đựng các phần mềm gián điệp nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng. Khác nhau căn bản với virus máy tính là Trojan Horse về mặt kỹ thuật chỉ là một phần mềm thông thường và không có ý nghĩa tự lan truyền.

Các chương trình này chỉ lừa người dùng để tiến hành các thao tác khác mà thân chủ sẽ không tự nguyện cho phép tiến hành. Ngày nay, các Trojan horse đã được thêm vào đó các chức năng tự phân tán. Điều này đẩy khái niện Trojan horse đến gần với khái niệm virus và chúng trở thành khó phân biệt.

Spyware (phần mềm gián điệp) và tiền thân (Adware)

Spyware là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy. Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người ta có thể tải về từ Internet.

Spyware

Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc). Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và ngay cả mật khẩu cũng như là số thẻ tín dụng.

Spyware "được" cài đặt một cách vô tội vạ khi mà người chủ máy chỉ muốn cài đặt phần mềm có chức năng hoàn toàn khác. Spyware là một trong các "biến thể" của phần mềm quảng cáo (adware). Spyware là chữ viết tắt của spy (gián diệp) và software (phần mềm máy tính) trong tiếng Anh; tương tự, adware là từ advertisement (quảng cáo) và software mà thành.

Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, spyware còn sử dụng (đánh cắp) từ máy chủ các tài nguyên của bộ nhớ (memory resource) ăn chặn băng thông khi nó gửi thông tin trở về chủ của các spyware qua các liên kết Internet. Vì spyware dùng tài nguyên của bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn tới hư máy hay máy không ổn định.

Adware

Bởi vì là một chương trình độc lập nên spyware có khả năng điều khiển các tổ hợp phím bấm (keystroke), đọc các tập tin trên ổ cứng, kiểm soát các ứng dụng khác như là chương trình trò chuyện trực tuyến hay chương trình soạn thảo văn bản, cài đặt các spyware mới, đọc các cookie, thay đổi trang chủ mặc định trên các trình duyệt web, cung cấp liên tục các thông tin trở về chủ của spyware, người mà có thể dùng các tin tức này cho quảng cáo/tiếp thị hay bán tin tức cho các chỗ khác.

Và tệ hại nhất là nó có khả năng ăn cắp mật khẩu truy nhập (login password) cũng như ăn cắp các các tin tức riêng tư của người chủ máy (như là số tài khoản ở ngân hàng, ngày sinh và các con số quan trọng khác...) nhằm vào các mưu đồ xấu.

Keylogger

Keylogger hay "trình theo dõi thao tác bàn phím" theo cách dịch ra tiếng Việt là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp.

Keylogger

Về sau, khi keylogger phát triển cao hơn nó không những ghi lại thao tác bàn phím mà còn ghi lại cả các hình ảnh hiển thị trên màn hình (screen) bằng cách chụp (screen-shot) hoặc quay phim (screen-capture) thậm chí còn ghi nhận cách con trỏ chuột trên máy tính di chuyển.

Các loại phần mềm độc hại có thể hoạt động như keylogger. Một virus, sâu, hoặc Trojan đều có thể hoạt động như một keylogger, ví dụ: Keylogger cũng có thể được cài đặt với mục đích giám sát các doanh nghiệp hay thậm chí vợ chồng ghen tuông.

Botnet, Bot

Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phân tán.

Botnet

Một khi phần mềm bot nhiễm vào máy tính, nó sẽ kết nối với một số loại máy chủ điều khiển và chờ đợi để được hướng dẫn từ tác giả của botnet. Ví dụ, một botnet có thể được sử dụng để bắt đầu một cuộc tấn công DDoS (Distributed Denial of Service - từ chối dịch vụ phân tán). Đây được xem là một trong những nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính.

Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để một trang hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.

Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.

Rootkit

Rootkit

Rootkit là một bộ công cụ phần mềm do kẻ xâm nhập đưa vào máy tính nhằm mục đích cho phép mình quay lại xâm nhập máy tính đó và dùng nó cho các mục đích xấu mà không bị phát hiện, bộ công cụ này cho phép truy nhập vào hoạt động của máy tính ở mức căn bản nhất. Các mục đích của kẻ xâm nhập khi sử dụng rootkit bao gồm:

- Thu thập dữ liệu về máy tính (kể các máy tính khác trong cùng mạng) và những người sử dụng chúng (chẳng hạn mật khẩu và thông tin tài chính)

- Gây lỗi hoặc sai trong hoạt động của máy tính

- Tạo hoặc chuyển tiếp spam

Có các rootkit khác nhau được viết cho nhiều loại hệ điều hành như Linux, Solaris và các phiên bản Microsoft Windows. Từ "rootkit" trở nên phổ biến khi có cuộc tranh luận về chống sao chép CD Sony 2005, trong đó các đĩa CD nhạc của Sony BMG cài một toolkit vào các PC chạy Microsoft Windows.

Ransomware - Phần mềm tống tiền

Ransomware là một loại khá mới trong giới phần mềm độc hại. Nó bao gồm nhiều lớp phần mềm ác ý với chức năng hạn chế truy cập đến hệ thống máy tính mà nó đã lây nhiễm, và đòi hỏi một khoản tiền cho người đã tạo ra malware đó nhằm mục đích xóa bỏ việc hạn chế truy cập mà nó đã tạo ra trước đó.

Ransomware

Một vài dạng của ransomware mã hóa tệp tin, dữ liệu trên ổ đĩa cứng (nhằm tống tiền), trong khi một vài dạng khác thì đơn giản hơn, chúng khó hệ thống lại và hiển thị một thống báo để thuyết phục người bị hại trả tiền.

Vào lúc đầu thì Ransomware phổ biến ở Nga, sau đó thì việc sử dụng Ransomware để lừa lọc kiếm tiền phát triển nhanh chóng và lan ra toàn cầu. Trong tháng 6 năm 2013, phần mềm bảo mật McAfee cho thấy rằng hãng đã thu thập được hơn 250,000 mẫu Ransomware độc đáo chỉ trong vòng Quý I năm 2013.

Backdoor

Backdoor, nghĩa là "cửa hậu" hay lối vào phía sau. Trong một hệ thống máy tính, "cửa hậu" là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường.

Backdoor

Cửa hậu có thể có hình thức một chương trình được cài đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit được cài đặt khi một đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một máy tính chạy Windows), hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với Trojan.

Phishing

Phishing

Là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử. Phishing thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại.

Minh Dương (tổng hợp)