Virus máy tính thực sự là gì?

[Starlink]

Bạn đã nghe thuật ngữ này, nhưng nó thực sự có nghĩa là gì? Tìm hiểu từ chuyên gia của chúng tôi về cách các chương trình tự sao chép này xâm nhập, lây lan và làm chậm hệ thống của bạn, cùng với những điều bạn cần biết để luôn dẫn đầu.

Chắc hẳn bạn có một số ý tưởng về cách thức hoạt động của vi-rút máy tính, mặc dù bạn có thể không biết chi tiết. Bằng cách nào đó, nó len lỏi vào máy tính của bạn, và sau đó máy tính chậm lại rất nhiều... hoặc nó bắt đầu mắc lỗi... hoặc gì đó. Đúng không? Trên thực tế, vi-rút là một loại chương trình rất cụ thể với khả năng tự sao chép bất thường, giống như vi-rút sinh học. Tôi đã xem xét các chương trình chống vi-rút (và phần mềm độc hại khác) trong gần 40 năm và tôi đã học được một hoặc hai điều. Hãy để tôi chia sẻ cách thức hoạt động của những chương trình khó chịu này và những gì bạn có thể làm để tránh chúng.

Tuy nhiên, trước khi bắt đầu, tôi muốn loại trừ một nguồn gây nhầm lẫn— ứng dụng diệt vi-rút của bạn. Quay trở lại thời điểm tôi lần đầu đánh giá chúng, các chương trình diệt vi-rút thực sự bảo vệ chống lại vi-rút và chỉ vi-rút. Một số thậm chí còn liệt kê các loại vi-rút mà chúng có thể khử trùng trong hướng dẫn sử dụng (đã in). Hình ảnh bên dưới là bản sao của một hướng dẫn mà tôi đã gặp tại một hội nghị về phần mềm độc hại vào năm 2010; bản thân hướng dẫn đó có từ những năm 80. Ngày nay, các loại phần mềm độc hại khác đã thay thế phần lớn vi-rút. Chúng ta vẫn gọi ứng dụng là phần mềm diệt vi-rút, nhưng nó làm được nhiều hơn thế nữa.

1. Virus máy tính là gì?

Virus máy tính là một chương trình. Giống như các chương trình khác, nó được định nghĩa bởi những gì nó làm, và điều lớn nhất mà virus làm là tự sao chép. Virus tồn tại như một tập hợp các lệnh máy tính được đính kèm vào một chương trình khác, được gọi là máy chủ. Khi chương trình máy chủ chạy, mã virus chạy trước. Chỉ thị chính của nó là tìm kiếm các chương trình khác và đưa mã của nó vào, lây nhiễm chúng và biến chúng thành máy chủ mới.

Nếu việc tự sao chép là tất cả những gì một loại virus làm, thì có lẽ nó không tệ đến vậy. Chắc chắn, có một chút thời gian xử lý thêm bị lãng phí mỗi khi mã virus chạy. Nhưng giống như một loại virus sinh học, một loại virus máy tính thành công phải tránh giết chết máy chủ. Việc lây nhiễm cùng một tệp nhiều lần có thể khiến nó ngày càng lớn hơn, cuối cùng làm sập hệ thống. Hầu hết các loại virus đều kiểm tra để tránh lây nhiễm lại máy chủ hiện có.

Vấn đề nằm ở cái mà chúng ta gọi là payload, hành động mà virus thực hiện ngoài việc tự sao chép. Các loại virus thử nghiệm ban đầu có thể chỉ hiển thị một thông báo hoặc gửi một câu chuyện cười. Nhưng các payload khác trở nên có vấn đề hơn, thậm chí là gửi các lệnh có thể làm hỏng đĩa vật lý. Những lệnh này thường chỉ kích hoạt sau một sự kiện kích hoạt, chẳng hạn như đến sinh nhật hoặc ngày khác, để chúng có thể lây lan rộng rãi trước khi thu hút sự chú ý.

2. Điện thoại thông minh của tôi có thể nhiễm vi-rút không?

Khi tôi bắt đầu xem xét phần mềm PC vào những năm 80, có vô số thương hiệu tương thích với PC và vô số biến thể trên DOS. Để đảm bảo khả năng tương thích, các hệ thống phải được giữ lỏng lẻo, điều đó có nghĩa là có rất nhiều lỗ hổng cho những người viết virus. Gần như cùng lúc đó, dòng máy tính của Apple đã phát triển dưới sự kiểm soát hoàn toàn của Apple. Kết quả là một hệ thống chặt chẽ hơn nhiều, không miễn nhiễm với các cuộc tấn công của phần mềm độc hại, nhưng chắc chắn là có khả năng chống chịu tốt hơn.

Với sự ra đời của iPhone và iOS, Apple đã nâng cao tính bảo mật lên một tầm cao mới. Về cơ bản, không có chương trình iOS nào có thể chạm vào chương trình khác trên đĩa hoặc trong bộ nhớ. Cách tiếp cận khu vườn có tường bao này khiến việc viết phần mềm độc hại iOS trở nên không thực tế, nếu không muốn nói là không thể. Khi tôi tham dự các hội nghị bảo mật như RSAC và Black Hat, tôi thấy iPhone ở khắp mọi nơi, vì các chuyên gia bảo mật biết. Đúng vậy, iPhone là thứ tôi sử dụng.

Nhiều công ty quản lý các phiên bản Android riêng của họ, do đó không chặt chẽ như iOS, nhưng tất cả chúng đều luôn cập nhật các cải tiến bảo mật đang diễn ra (miễn là bạn tiếp tục mua điện thoại mới).

Cách tiếp cận virus, phát tán phần mềm độc hại bằng cách lây nhiễm các chương trình khác, không khả thi trong thế giới điện thoại thông minh. Những gì các lập trình viên phần mềm độc hại có thể làm là tạo ra các ứng dụng trông có vẻ hữu ích nhưng thực chất lại phục vụ một mục đích xấu xa nào đó—nói cách khác là Trojan. Sự kiểm soát chặt chẽ của Apple đối với cửa hàng ứng dụng của mình chủ yếu ngăn chặn các cuộc tấn công như vậy và các cuộc tấn công tập trung vào iPhone thường dựa vào quyền truy cập vật lý vào thiết bị. Trong khi đó, về phía Android, các ứng dụng độc hại thường xuyên xuất hiện trong Cửa hàng Google Play cho đến khi chúng được khởi động.

Tóm lại, điện thoại thông minh không phải là đối tượng phù hợp cho một cuộc tấn công của vi-rút, nhưng bạn có thể nhặt được một Trojan trong cửa hàng ứng dụng. Bạn vẫn cần phải cẩn thận, nhưng không phải là đối với vi-rút.

3. Tại sao virus ít phổ biến hơn trước đây?

Trước khi tôi từng nghĩ đến việc nghiên cứu virus máy tính, tôi đã nghe về chúng trên báo chí. Chúng có những cái tên kỳ lạ, như Brain, Lehigh và Jerusalem, và các phương tiện truyền thông đưa tin về chúng rất nhiều. Virus tiếp tục xuất hiện trên báo chí trong nhiều năm. Bạn không nghe nhiều về bất kỳ loại phần mềm độc hại nào khác ngoại trừ sâu mạng thỉnh thoảng. Tuy nhiên, ngày nay, tin tức lại bị chi phối bởi phần mềm tống tiền, vi phạm dữ liệu và chương trình Trojan Horse. Điều gì đã thay đổi?

Đầu tiên, như tôi sẽ giải thích bên dưới, việc chuyển đổi từ các tệp COM PC gốc sang các chương trình PE hiện đại khiến việc viết virus trở nên khó khăn hơn nhiều. Và khi PC của bạn khởi động từ ổ cứng, một loại virus cũ chỉ có thể tự sao chép bằng cách khởi động từ đĩa mềm sẽ không có nhiều cơ hội. Trong mọi trường hợp, các ổ đĩa UEFI hiện đại sử dụng một công nghệ thời gian khởi động khác, một công nghệ có thể được bảo vệ chống lại sự thao túng.

Thứ hai, sự gia tăng của các đợt nhiễm virus tự nhiên đã kích hoạt một phản ứng dưới dạng các chương trình diệt virus. Một chương trình diệt virus được thiết kế tốt có thể khử trùng các tệp máy chủ và xóa virus boot sector khỏi bộ nhớ, đồng thời sửa chữa đĩa. Với sự gia tăng của Windows và đa nhiệm, phần mềm diệt virus có thể theo dõi theo thời gian thực để ngăn chặn sự xâm nhập của virus. Thêm vào đó, Microsoft đã biến Defender Antivirus thành một phần không thể thiếu của Windows 10 và 11, cung cấp chương trình diệt virus cho bất kỳ PC nào không có sự bảo vệ của bên thứ ba.

Thứ ba, và quan trọng nhất, sự ra đời của internet phổ biến đã khiến các kỹ thuật tấn công virus hiện có trở nên không còn liên quan. Quay trở lại thời những người đam mê PC (kể cả tôi) chia sẻ các chương trình và nghệ thuật ASCII bằng cách trao đổi đĩa mềm, mọi giao dịch đều có khả năng lây nhiễm cho một máy tính mới. Nhưng với quyền truy cập phổ biến vào internet, không ai trao đổi đĩa mềm. Viết một chương trình Trojan Horse (một chương trình có vẻ hợp lệ nhưng chứa mã độc) và lừa mọi người chạy nó dễ hơn nhiều so với viết một loại virus lây nhiễm các chương trình khác.

Tôi thấy sự thay đổi này trong công việc của riêng tôi. Hàng năm, tôi thu thập hàng nghìn chương trình phần mềm độc hại thực tế để chọn ra một nhóm đại diện để sử dụng trong quá trình thử nghiệm thực tế của mình. Là một phần của quy trình, tôi kiểm tra từng chương trình với cơ sở dữ liệu VirusTotal. Cơ sở dữ liệu đó xác định phần lớn chúng là Trojan.

Như một chiếc đinh cuối cùng đóng vào quan tài, virus không kiếm ra tiền. Ngày nay, có cả một ngành công nghiệp phần mềm độc hại với các nhà phân phối, chi nhánh, chuỗi cung ứng và tất cả các bẫy của một doanh nghiệp hợp pháp. Những kẻ xấu có thể kiếm tiền bằng cách cho thuê mạng lưới máy tính bị nhiễm bot, hoặc bán dữ liệu cá nhân bị Trojan đánh cắp dữ liệu, hoặc chỉ nhắm vào điểm yếu bằng phần mềm tống tiền mã hóa các tệp và yêu cầu số tiền lớn để khôi phục chúng. Không có ROI nào trong một loại virus phá hỏng ổ cứng.

4. Virus lây nhiễm vào chương trình như thế nào?

Quay trở lại thời điểm IBM PC mới ra đời, nó chạy trên một hệ điều hành được đặt tên khéo léo là DOS, viết tắt của disk operating system. Các tệp chương trình cho DOS có phần mở rộng là COM, và một tệp COM trên đĩa chỉ là một danh sách các lệnh cấp máy cho CPU của PC.

Để khởi chạy một chương trình, DOS chỉ cần sao chép từng byte một vào bộ nhớ và thực hiện lệnh đầu tiên. Nó tiếp tục thực hiện các lệnh liên tiếp, ngoại trừ khi một lệnh yêu cầu nó nhảy đến một vị trí khác trong chương trình. Cuối cùng, nó gặp một lệnh yêu cầu nó kết thúc chương trình. Đơn giản.

Khi một loại virus tấn công một chương trình như vậy, điều đầu tiên nó làm là chuyển lệnh đầu tiên của chương trình vào bộ nhớ. Nó sao chép mã của chính nó vào cuối tệp chương trình chủ và sau đó ghi đè lên lệnh đầu tiên đó bằng lệnh nhảy đến mã virus. Mã virus xử lý việc sao chép và kiểm tra xem có nên khởi chạy tải trọng của nó hay không. Khi hoàn tất, nó khôi phục lệnh đầu tiên đã lưu và nhảy đến lệnh đó. Tại thời điểm này, chương trình chủ chạy như bình thường.

Như tôi đã trình bày trong hướng dẫn sử dụng virus ở đầu bài viết này, những loại virus đơn giản này luôn làm tăng kích thước tệp máy chủ lên một lượng cố định. Virus Cascade, một trong những loại đầu tiên tôi mua để thử nghiệm các công cụ diệt virus, luôn tăng thêm 1701 byte, vì vậy đôi khi nó chỉ được gọi là virus 1701.

Các chương trình Windows hiện đại sử dụng định dạng tệp thực thi di động (PE) và có phần mở rộng EXE. Các tệp PE này phức tạp hơn nhiều so với các tệp COM cũ. Chúng được tổ chức thành các khối có nhiều loại khác nhau, bao gồm tiêu đề, chỉ mục, vùng dữ liệu và mã thực thi. Trình tải chương trình Windows biết cách xử lý các khối này. Một loại vi-rút lây nhiễm vào một tệp như vậy có nhiệm vụ khó khăn hơn, nhưng đường dẫn cơ bản là giống nhau—gắn mã vi-rút vào máy chủ và sắp xếp để mã vi-rút thực thi trước khi chuyển giao quyền kiểm soát cho máy chủ.

5. Virus lây nhiễm vào ổ đĩa như thế nào?

Quay trở lại những ngày tháng thú vị của quá khứ, máy tính cá nhân IBM đầu tiên không có ổ cứng. Bạn sẽ khởi động từ đĩa DOS, sau đó hoán đổi đĩa chương trình và có thể sử dụng một đĩa khác để lưu dữ liệu của mình. Khi máy tính được bật nguồn, nó biết cách xem một vị trí trên đĩa được gọi là boot sector để biết hướng dẫn tải hệ điều hành, sau đó sẽ nằm trong bộ nhớ và quản lý các thứ như khởi chạy chương trình và ghi tệp dữ liệu.

Một số người quá thông minh nhận ra rằng họ có thể thêm hướng dẫn của riêng họ vào khu vực khởi động, do đó nó sẽ tải mã vi-rút vào bộ nhớ cùng với DOS. Bất cứ khi nào bạn chèn một đĩa khác, vi-rút sẽ ghi mã của nó vào khu vực khởi động. Và, giống như với vi-rút lây nhiễm tệp, thường có một tải trọng.

6. Sâu là gì? Nó có phải là một loại vi-rút không?

Có một loại phần mềm độc hại khác được gọi là sâu, và rất dễ nhầm lẫn giữa sâu và vi-rút, vì cả hai đều tự sao chép. Sự khác biệt là vi-rút chỉ chạy khi được khởi chạy từ chương trình hoặc đĩa lưu trữ của nó, trong khi sâu là chương trình độc lập lan truyền qua mạng mà không lây nhiễm các chương trình hoặc đĩa khác.

Một con sâu tự nhân bản bằng cách sao chép chính nó vào các máy tính tương thích khác trên mạng. Vào năm 1971, trước khi Internet ra đời, một con sâu có tên là Creeper đã lây lan qua một tập hợp con của ARPANET, hiển thị lời chế nhạo "TÔI LÀ CREEPER: BẮT TÔI NẾU BẠN CÓ THỂ." Sự lây lan của nó bị hạn chế bởi thực tế là chỉ có vài chục máy tính tương thích tồn tại trên mạng và một con sâu tiếp theo có tên là Reaper có mục đích duy nhất là loại bỏ Creeper khỏi mạng.

Creeper và Reaper ra đời trước PC nhiều năm. Khi internet phát triển, khả năng gây hại của sâu cũng tăng theo. Sâu Morris, được phát hành năm 1988, được thiết kế để đo lường phạm vi của internet đang phát triển, nhưng do lỗi mã hóa, nó gần như làm sập mạng. Bạn sẽ muốn xem phim tài liệu về sâu Morris. Hãy chú ý đến sự xuất hiện thoáng qua của tôi.

7. Một số loại virus nổi tiếng là gì?

Năm 1986, một cặp đôi lập trình viên tại một cửa hàng máy tính ở Lahore, Pakistan, đã tạo ra một công cụ chống vi phạm bản quyền thực chất là một loại virus boot sector. Mã của nó chứa tên và địa chỉ của tác giả. Điều bất ngờ là virus "Pakistani Brain", được coi là loại virus PC đầu tiên, đã lan truyền khắp thế giới. 25 năm sau, ngôi sao bảo mật Mikko Hyppönen đã lần ra được những tác giả, những người vẫn ở cùng một địa chỉ, và tạo ra một bộ phim tài liệu ngắn về cuộc tìm kiếm. Tôi đã tham dự buổi chiếu sớm của video này, mà tôi đang chia sẻ ở đây (với sự cho phép của Mikko).

Trong khi virus Brain khá vô hại, thì virus Jerusalem, được phát hành vào năm sau, lại hoàn toàn ngược lại. Nó sẽ trú ngụ trong bộ nhớ và lây nhiễm mọi chương trình chạy, cả tệp COM và EXE. Và vào bất kỳ thứ Sáu ngày 13 nào, nó sẽ thể hiện mặt tối của mình, xóa mọi chương trình đã khởi chạy và lây nhiễm các tệp EXE liên tục cho đến khi chúng trở nên quá lớn.

Cùng thời điểm đó, một loại virus xuất hiện tại Đại học Lehigh ở Pennsylvania. Nó chỉ ảnh hưởng đến chương trình DOS thiết yếu   Đăng nhập để xem liên kết, nhưng sau bốn lần lây nhiễm, nó sẽ xóa sạch sector khởi động của đĩa DOS đang hoạt động. May mắn thay, nó đã bị phát hiện và loại bỏ trước khi có thể lây lan ra ngoài trường đại học. Năm 1989, chúng tôi đã sử dụng virus Lehigh để thử nghiệm các sản phẩm diệt vi-rút.

Virus Michelangelo từ năm 1991 là một loại virus nguy hiểm khác. Các nhà nghiên cứu bảo mật đặt tên cho nó là Michelangelo vì nó kích hoạt tải trọng của nó vào ngày 6 tháng 3, ngày sinh của nghệ sĩ nổi tiếng này. Hầu hết thời gian, nó chỉ tự sao chép giống như bất kỳ loại virus boot sector nào khác. Nhưng nếu máy tính của bạn khởi động vào ngày định mệnh đó, virus sẽ ghi đè lên dữ liệu quan trọng trên tất cả các đĩa mềm và ổ cứng được gắn vào, khiến hệ thống không thể khởi động được.

Ngay cả khi những loại virus này được đưa tin, các loại phần mềm độc hại khác cũng đang gia tăng. Như đã lưu ý, sâu Morris, gần như đã đánh sập internet, xuất hiện vào năm 1988. Năm 1999, cái gọi là virus Melissa đã làm chậm hệ thống email trên toàn thế giới. Nhưng Melissa là một cuộc tấn công dựa trên email sử dụng công nghệ macro để tự gửi đến những người khác, không phải là một loại virus thực sự. Với việc sử dụng email và internet trên toàn cầu, thời kỳ hoàng kim của virus máy tính đã kết thúc.

8. Tôi có cần phải lo lắng về vi-rút không?

Bây giờ bạn đã biết virus là gì và không phải là gì. Nỗi lo lắng lan rộng về virus đã là chuyện của quá khứ xa xôi. Những người viết mã phần mềm độc hại hiện đại kiếm sống bất hợp pháp bằng cách sử dụng các loại phần mềm độc hại khác, chẳng hạn như ransomware hoặc Trojan đánh cắp dữ liệu. Nếu một loại virus thực sự lọt qua phần mềm diệt vi-rút của bạn, bản cập nhật phần mềm diệt vi-rút có thể sẽ xóa sổ nó trong vòng vài ngày hoặc thậm chí vài giờ. Và mã tải trọng của nó cũng có thể nằm im, chờ đợi một sự kiện kích hoạt không bao giờ xảy ra.

Bạn có muốn tìm hiểu thêm về phần mềm độc hại đang muốn xâm nhập máy tính của bạn không? Tôi rất vui khi được chia sẻ thông tin chi tiết về cách tôi kiểm tra các biện pháp phòng thủ chống vi-rút và cách tôi thu thập phần mềm độc hại mà tôi sử dụng cho các bài kiểm tra đó. Tôi thậm chí đã thu thập hình ảnh từ nghiên cứu phần mềm độc hại của mình để bạn có thể thấy sự xâm nhập của phần mềm độc hại trông như thế nào.