Trao đổi với tôi

http://www.buidao.com

12/6/09

[Anti Virus] Virus máy tính – Phòng tránh và khắc phục


Hiện nay, các phần mềm Hệ điều hành (HĐH) như Microsoft (MS) Windows 2000, XP, Vista, Linux Ubuntu, Fedora, RedHat…, các ứng dụng phổ biến như MS Office, Sun OpenOffice, Adobe Photoshop, Autodesk AutoCAD… đều khá hoàn thiện và có cơ chế an toàn khá cao, nên ít xảy ra trục trặc. Nhưng thực tế tỷ lệ máy tính bị trục trặc phần mềm vẫn rất lớn, mà một trong những nguyên nhân chủ yếu là do virus.

Đi kèm với sự phát triển của công nghệ máy tính, phần mềm và truyền thông thì càng ngày số lượng người có thể viết và phát triển virus càng nhiều, khả năng lây lan và phát tán càng mạnh, mức độ ảnh hưởng của virus càng lớn, và do đó thiệt hại trực tiếp cũng như gián tiếp do virus gây ra cũng ngày càng mạnh mẽ.

Bài phân tích này sẽ giúp Quý vị có một cái nhìn sơ lược về việc Phòng chống virus và Khắc phục sự lây nhiễm của virus trên máy tính cá nhân (PC) của mình.

1. Virus máy tính là gì

Về bản chất, đối với máy tính thì virus máy tính cũng là một phần mềm như tất cả các phần mềm thông thường khác. Tuy nhiên, đối với người sử dụng thì virus thực sự là một nỗi đau đầu, vì các phần mềm này luôn ở trạng thái không mời mà đến, thực hiện các tác vụ gây ra hậu quả xấu cho người sử dụng như đánh cắp thông tin, phá hoại tài liệu và các phần mềm khác, tiêu tốn năng lực xử lý của máy tính, gây ra các trục trặc liên tục cho PC.

Nguyên lý lây nhiễm, phát tán của virus máy tính cũng tương tự như virus trên các cơ thể sống: chúng tìm mọi cách để lây nhiễm từ tài liệu này sang tài liệu khác, từ máy tính này sang máy tính khác, luôn cố gắng tự nhân bản và phát tán chính nó trong mọi trường hợp có thể được, theo những cách thức mà ngay cả các chuyên gia về phòng chống nhiều lúc cũng phải ngạc nhiên.

Tuy nhiên, có một đặc điểm khác của virus máy tính với virus thông thường, đó là nó do con người tạo ra. Vì vậy virus máy tính liên tục biến đổi không ngừng, các biến thể mới xuất hiện rất nhanh và chúng luôn tìm cách tiêu diệt các phần mềm chống virus. Vì vậy không có một loại vắc-xin đặc trị nào có thể “uống một lần” mà phòng tránh được mãi mãi, mà muốn chống được thì máy tính phải được cài đặt các phần mềm có cơ chế phòng chống virus hiệu quả nhất và chúng phải được “uống vắc-xin” thường xuyên, có nghĩa là phải liên tục biến đổi, cập nhật theo sự phát triển của virus.

2. Các vấn đề của HĐH Windows

Trong số các nền tảng hệ điều hành, Windows là con mồi số một của các loại virus. Điều này đến từ 2 lý do: sự phổ biến của Windows và sự dễ dãi của MS.

- Do Windows là quá phổ biến trên máy tính PC, nên nếu virus được viết trên môi trường này thì nó có khả năng lây lan cao nhất và sự ảnh hưởng (hậu quả) của nó đến số lượng máy tính là cao nhất. Dĩ nhiên, với cùng một công sức bỏ ra, hacker nào cũng muốn sản phẩm của mình được lây lan mạnh nhất và có sức phá hoại cao nhất đối với cộng đồng.

- Để cố gắng làm hài lòng tối đa người sử dụng, MS phải làm cho Windows trở nên cực kỳ dễ dùng. Do vậy với cấu hình mặc định khi xuất xưởng, MS phải chấp nhận thiết đặt ở mức thấp các tính năng an toàn, bảo mật. Nếu như các tính năng an toàn, bảo mật được thiết lập ở mức cao, khả năng lây nhiễm của virus cũng giảm đi nhưng đồng thời mức độ phức tạp đối với người sử dụng cũng tăng lên. VD như thay vì một thao tác AutoPlay (tự động chạy), Windows phải hỏi bạn một loạt các câu hỏi đại loại như “phần mềm này muốn chạy, bạn có tin tưởng nó là tử tế hay không? Bạn có muốn thực sự chạy nó hay không?...”. Trong khi trên thực tế có hàng triệu phần mềm được phát triển trên nền Windows, MS không thể lường hết hoặc biết trước những tình huống có thể phát sinh, cũng như người sử dụng không dễ nắm bắt, hiểu và trả lời được những câu hỏi mà hệ thống đưa ra.

3. Con đường lây lan của virus, Triệu chứng

Trên Windows, có những con đường lây lan chủ yếu của virus gồm:

- Mở một trang web mà trang web đó có chứa virus nhằm vào lỗ hổng của máy tính. Lưu ý là chỉ cần mở trang web thôi là máy tính đã bị nhiễm, mà ngay cả các trang web có uy tín cũng có thể bị nhiễm virus như thường.

- Nhận e-mail có chứa virus

- Đưa vào máy tính đĩa CD/DVD hoặc ổ đĩa USB có chứa virus

- Mở các tệp, tài liệu được truyền qua mạng hoặc đĩa mềm/đĩa USB có chứa virus.

- Máy tính có nối mạng đến các máy tính khác bị nhiễm virus

Về mặt nguyên tắc, mục tiêu tối thượng của virus là phá hoại, đánh cắp, nhưng để làm được việc đó thì nó phải có khả năng ẩn mình để lan tỏa. Do vậy ngoài những hành động mà virus chủ tâm làm, nó luôn cố gắng che dấu mọi hành vi để người dùng không thấy có gì bất thường. Do vậy nhiều người sử dụng sống chung với virus một thời gian dài mà không hề biết.

Tuy nhiên, do yêu cầu phải gọn, nhỏ, chú tâm vào việc luồn lách, được phát triển một cách không minh bạch bởi một số ít cá nhân hoặc tổ chức nhỏ, nên phần mềm virus thường không hoàn hảo. Khi bị nhiễm, ngoại trừ thời điểm phát tác, virus hay gây ra những trục trặc phần mềm khiến người sử dụng chú ý. Đặc biệt, các virus hiện đại luôn cố gắng tiêu diệt các phần mềm antivirus. Do vậy, nếu phần mềm antivirus trên máy tính của bạn bỗng dưng biến mất hoặc bạn không thể cài đặt chúng (tất nhiên, ở đây chỉ nói đến các phần mềm antivirus nổi tiếng chẳng hạn như Symantec/Norton hay McAfee), thì bạn có thể đoan chắc là máy tính đã bị nhiễm virus.

4. Quy tắc Phòng chống

Mặc dù số lượng virus máy tính ngày nay là khổng lồ, nhưng quy tắc phòng chống lại khá đơn giản: cài đặt một phần mềm chống virus loại tốt và thường xuyên cập nhật nó, đồng thời thường xuyên cập nhật các bản vá lỗi của Windows.

Tất nhiên không có cái gì hữu hiệu 100%, nhưng nếu áp dụng đúng cách hai phương thức trên thì có thể nói là hiệu quả đã gần như trọn vẹn.

Phần mềm phòng chống virus (Anti-virus)

Về mặt nguyên lý, phần mềm chống virus dựa trên hai phương thức chính: nhận dạng vân tay và theo dõi hành vi.

- Mỗi một phần mềm đều có một đoạn mã đặc trưng mà chỉ riêng nó có, do đó virus cũng có một đoạn mã riêng của mình, đây có thể gọi là “vân tay” của virus. Các phần mềm chống virus có chứa một cơ sở dữ liệu các vân tay của virus, và thường xuyên so sánh mã vân tay này mỗi khi Windows thực hiện một tác vụ bất kỳ, chẳng hạn mở một tệp (do người dùng chỉ định hoặc do hệ thống tự mở). Nếu phát hiện thấy đoạn mã vân tay của virus, phần mềm Antivirus sẽ tìm cách vô hiệu hóa tác vụ đó và cô lập tệp dữ liệu chứa mã virus, tiêu diệt đoạn mã virus trong tệp đó hoặc “đóng băng”, xóa bỏ tệp bị lây nhiễm nếu không thể tiêu diệt được. Phương thức chống virus này có thể coi là hiệu quả và phổ biến nhất.

- Hành vi của virus cũng có những điểm khác với thông thường, đó là thường tìm cách lây nhiễm hay thực hiện các thao tác bất thường. Các phần mềm chống virus cũng dựa vào phương pháp theo dõi các hành vi bất thường để tìm cách phát hiện và tiêu diệt virus. Nhưng phải nói là trong thực tế phương án này có khả năng thành công thấp, vì nó vận dụng nhiều đến trí tuệ nhân tạo mà trí tuệ nhân tạo ở phần mềm máy PC còn thấp do khả năng tính toán của máy PC hạn chế, tốn kém nhiều tài nguyên và phức tạp trong việc phát triển cơ chế của trí tuệ nhân tạo này.

Do phương thức “tìm và diệt” của phần mềm Antivirus chủ yếu dựa theo “vân tay”, do đó cũng giống như thế giới tội phạm trong đời thực, các phần mềm chống virus phải được cập nhật thường xuyên các dấu vân tay (virus definitions) này. Nếu không được cập nhật thường xuyên thì việc cài đặt một phần mềm chống virus loại tốt nhất cũng trở nên vô nghĩa đối với các loại virus mới.

Theo đà phát triển liên tục của virus hiện nay, phần mềm chống virus phải được cập nhật liên tục hàng ngày, thậm chí hàng giờ. Đối với người dùng PC thông thường thì thời gian cập nhật thường xuyên nên là 1 tuần/lần và chậm nhất là 1 tháng/lần.

Cập nhật thường xuyên các bản vá lỗi của Windows

Nếu như hành động bất cẩn của bản thân người sử dụng có thể làm máy tính bị lây nhiễm, thì các lỗ hổng an ninh của Windows và các phần mềm ứng dụng sẽ làm máy tính bị lây nhiễm virus một cách tự động mà không cần bất cứ một tác vụ nào của người sử dụng, việc lây lan chủ yếu qua các máy tính có nối mạng.

Do các lỗ hổng của Windows thường xuyên được/bị phát hiện, MS liên tục phải phát hành các bản vá lỗi. Để cập nhật các bản vá lỗi này, bạn nên chạy chức năng Windows Update (được liệt kê ngay trong menu Start của Windows) thường xuyên, nên là 1-2 tháng/lần, hoặc vào tùy chọn khi chạy Windows Update và đặt là Tự động (Automatic Download/Install update).

5. Phương thức khắc phục, tiêu diệt virus khi đã bị lây nhiễm

Virus máy tính cổ xưa như sự xuất hiện của máy tính, nghe nhiều đến mức nhàm chán nhưng việc tiêu diệt virus vẫn là một việc làm không đơn giản nếu bạn không có đủ công cụ cần thiết. Hoặc đôi khi nhiễm phải loại virus chuyên phá hủy dữ liệu thì việc hồi phục dữ liệu là rất khó khăn, thậm chí là không thể.

Do các virus ngày nay biết rõ ai đối kháng với nó, nên một khi máy tính đã bị nhiễm virus thì việc cài đặt phần mềm chống virus để diệt gần như là một nhiệm vụ bất khả thi. Bởi vì khi virus đã được cài đặt vào máy tính trước phần mềm Antivirus, nó sẽ chiếm thế thượng phong và luôn tìm cách tiêu diệt phần mềm anti-virus khi bạn cố gắng cài chúng vào để diệt virus.

Phương thức tiêu diệt hiệu quả đơn giản nhất như sau:

  • Sử dụng một máy tính mà bạn biết chắc là sạch virus, cài đặt phần mềm chống virus lên trên đó và cập nhật lên bản “vân tay” virus mới nhất. Phải chắc chắn tính năng tự động quét virus được bật.

  • Tháo ổ đĩa cứng ở máy bị lây nhiễm và lắp sang máy tính đã cài phần mềm. Bạn phải chắc chắn ổ cứng bị nhiễm phải được đặt ở chế độ Slave (ổ phụ), bởi vì nếu bạn đặt ở chế độ chính (Master) thì kết cục là khi bật máy lên, cả hai máy đều bị nhiễm virus ngay lập tức.

  • Bật máy, khởi động Windows trên máy có ổ cứng sạch và dùng phần mềm chống virus ở máy sạch đó để quét virus trên ổ nhiễm bệnh.

  • Lắp trở lại ổ cứng đã được quét vào máy tính cũ.

Nếu bạn cảm thấy quy trình trên quá phức tạp thì hãy nhờ các công ty chuyên nghiệp. Trong trường hợp toàn hệ thống của bạn đều nhiễm virus (không có máy tính sạch nào), thì việc xử lý cực kỳ khó khăn.

Ngoài ra, cũng có những phương cách khác như cài đặt lại máy tính, khởi động Windows và phần mềm chống virus từ đĩa CD/DVD sạch để quét… nhưng nói chung là rất khó cho những người sử dụng thông thường.

Ngay cả đối với các đơn vị chuyên nghiệp về máy tính, nếu như lỡ để virus lây lan ra toàn hệ thống thì câu chuyện xử lý nó cũng thực sự là một vấn đề nan giải.

6. Các phần mềm chống virus

Ngày nay các phần mềm chống virus cũng có nhiều và nhiều phần mềm được quảng cáo rầm rộ khắp nơi. Tuy nhiên theo kinh nghiệm của chúng tôi trong gần 20 năm làm việc trong ngành máy tính, thì ngoại trừ việc cái tên Symantec/Norton bị nhắc đi nhắc lại quá nhiều lần đến nhàm chán, đây vẫn là hãng phần mềm số một trong việc xử lý virus. Bản Antivirus tốt nhất là Symantec Antivirus Corporate Edition với những ưu điểm sau:

  • Số lượng virus quét được rất lớn, lên đến trên dưới tám mươi ngàn các loại virus khác nhau (cần lưu ý là phần mềm BKAV của Việt Nam chỉ diệt được trên một ngàn virus, nghĩa là xác suất diệt thành công là 2%).

  • Chế độ cập nhật vân tay (Virus Definition) được thực hiện qua Live Update tự động và cho phép bạn cập nhật vĩnh viễn (thậm chí dù bạn có dùng bản phần mềm lậu – tất nhiên chúng tôi không cổ súy cho phần mềm lậu, nhưng nó thể hiện trách nhiệm của Symantec đối với sự an toàn của cộng đồng).

  • Tốc độ quét rất cao. Bạn nên lưu ý là với mỗi tác vụ bất kỳ nào của Windows, Norton Antivirus cũng kiểm tra nó với cơ sở dữ liệu mẫu hàng trăm ngàn virus, do đó bạn sẽ thấy là Norton Antivirus chạy thực sự nhanh. Đôi khi có những phần mềm chạy nhanh hơn Norton Antivirus, nhưng thực tế là có rất nhiều hành động có thể làm lây lan virus mà nó không kiểm soát được, hoặc CSDL vân tay quá ít nên khả năng tiêu diệt virus bị hạn chế.

  • Các kỹ sư của hãng cập nhật rất nhanh các virus mới xuất hiện, kể cả trong ngày nghỉ. Có thể bạn nghĩ rằng các virus nội địa (Việt Nam) thì Symantec không biết nên không quét được, nhưng như vậy có lẽ là bạn đã đánh giá hơi thấp Symantec.

  • Cơ chế quét và xử lý rất an toàn. Khả năng nhận dạng nhầm virus (tức là nhận dạng nhầm dữ liệu tốt thành virus) hoặc khả năng phá hủy mất dữ liệu của bạn sau khi sửa chữa virus (tức là tài liệu bạn đang dùng bị nhiễm virus nhưng vẫn còn đọc được nội dung, sau khi được/bị phần mềm quét virus chạy qua thì virus mất mà dữ liệu cũng mất theo) của phần mềm Symantec là thấp, nếu không nói là cực kỳ thấp.

  • Phần mềm dành cho máy chủ (server) hoạt động rất tốt, cho phép mỗi khi máy chủ được cập nhật thì toàn bộ các máy trạm trong mạng cũng được cập nhật theo.

Ngoài ra hiện nay cũng xuất hiện phần mềm Kaspersky có vẻ tốt, nhưng dường như phần mềm này luôn luôn đòi hỏi bạn mã bản quyền, nếu vì lý do nào đó bạn chưa kịp trả tiền cho việc cập nhật thường xuyên thì hãng này có thể đóng cửa đối với bạn. Khi đó, phần mềm chống virus vẫn được cài đặt, vẫn chạy nhưng đã trở nên vô dụng một phần hoặc toàn bộ.

7. Những thuật ngữ khác

Ngoài virus, ngày nay người ta còn dùng những thuật ngữ khác để chỉ những kẻ không mời mà đến có những cơ chế hoạt động, cách thức lây lan, mục đích phá hoại tương tự như virus, đó là Sâu (Worm), Malware, Spyware, Con ngựa thành Tơ-roa (Trojan Horse)

- Sâu là một dạng phần mềm có thể sao chép chính nó thông qua mạng. Khác với virus cần một máy tính cụ thể để chạy và mã lệnh của virus được thực thi như là một phần của các mã lệnh máy tính thông thường, Sâu máy tính không cần một máy tính cụ thể để chạy, mặc dù nó cũng có thể ẩn náu dưới các tệp cụ thể của máy tính.

Một sâu máy tính nổi tiếng là MyDoom, lây lan qua hệ thống mạng ngang hàng P2P Kazaa, nhiệm vụ chủ yếu là tấn công gây tê liệt dịch vụ (DoS). Bản thân hệ thống bị nhiễm có thể không sao, nhưng nó làm bàn đạp để tấn công các hệ thống khác, làm tê liệt hoạt động của các máy chủ.

- Malware là một thuật ngữ chung, chỉ đến bất cứ phần mềm nào được xây dựng nhằm mục đích phá hủy dữ liệu hoặc gây sụp đổ hệ thống máy tính. Có nghĩa là virus cũng là một malware.

- Spyware: Là một thuật ngữ chỉ đến các phần mềm chuyên dùng để do thám, đánh cắp thông tin. Spyware thường không phá hoại trực tiếp, mà nó ngấm ngầm tìm cách ăn cắp thông tin của người sử dụng, như Username/Password, thói quen truy cập, danh sách các địa chỉ web ưa thích, danh sách địa chỉ của bạn bè, người thân, đối tác...

Spyware cũng thường hay làm cơ chế trung gian để cài đặt các phần mềm không mời mà đến vào máy tính, cố tình hướng khách hàng xem những thông tin mà nó muốn quảng cáo... Spyware cũng có họ hàng gần với Adware, một loại phần mềm chuyên tìm cách đăng quảng cáo.

Để diệt Spyware cần có phần mềm Anti-Spyware như Ad-aware.

- Con ngựa thành Tơ-roa: lấy nguồn gốc từ con ngựa thành Tơ-roa của thần thoại Hy Lạp, Trojan Horse nhằm chỉ bất cứ phần mềm nào cố gắng mạo danh, lừa đảo để cài đặt vào máy tính của khách hàng nhằm mục đích phá hoại. Nói chung cách thức lừa đảo thì đa dạng, cách thức phá hoại cũng đa dạng, nhưng thường nhằm vào những lúc bất ngờ nhất để phá hoại.

Đặc điểm cơ bản của Trojan Horse khác với virus là Trojan Horse không tìm cách tự nhân bản, lây lan chính nó bằng lập trình phần mềm, mà nó tìm cách lây lan bằng cách chào mời người sử dụng bằng những chiêu thức hấp dẫn để chính người dùng tự cài đặt vào máy của mình.

8. Tài liệu tham khảo

Tác giả: KhoMayTinh.vn.