Virus Tin học
Bạn đã bao giờ gặp Virus Tin học chưa?
Là người sử dụng máy tính, đôi khi bạn gặp những hiện tượng kỳ lạ như bàn phím không còn tuân theo sự điều khiển của bạn, cứ thỉnh thoảng lại tuôn ra những dòng chữ vớ vẩn. Hoặc có lúc bạn phải ngạc nhiên mà thốt lên: " Cái quỉ quái gì thế này?" khi nhìn thấy một trái pingpong nhảy múa trên màn hình, hoặc một thông điệp không mong đợi bỗng đường đột xuất hiện, đại loại như: "Hôm nay là sinh nhật của tôi, tại sao bạn phải làm việc?" Ðôi khi chúng làm cho bạn hết sức bực bội khi chiếc loa máy tính cứ lải nhải một điệu nhạc cầu hồn nào đấy. Trầm trọng hơn, có trường hợp toàn bộ dữ liệu quí giá của cơ quan chỉ chứa toàn rác rưởi, những gì còn sót lại là các thông báo lạnh lùng và hợm hĩnh: "File đã bị xoá bởi virus X...".
Virus tin học là gì, chúng từ đâu đến mà hành tung có vẻ bí hiểm và kỳ lạ như vậy? Tại sao gọi chúng là virus? Có cách nào ngăn chận chúng hay không? Ðể tránh gặp chúng, cần phải thực hiện những biện pháp gì? Nếu lỡ dây vào, làm sao để gỡ chúng ra? Vô số những câu hỏi tương tự được đặt ra xung quanh các "con virus đáng ghét" đó. Chúng tôi hy vọng rằng phần trình bày dưới đây sẽ giúp bạn tìm được lời giải đáp cho mình.
Virus tin học là gì?
Tên gọi virus tin học (hay còn gọi virus máy tính) dùng để chỉ các chương trình máy tính do con người tạo ra. Các chương trình này có khả năng bám vào các chương trình khác như một vật thể ký sinh. Chúng cũng tự nhân bản để tồn tại và lây lan. Do cách thức hoạt động của chúng giống virus sinh học nên người ta không ngần ngại đặt cho chúng cái tên "virus" đầy ấn tượng này.
Virus tin học bắt đầu lịch sử lây nhiễm của nó trên máy tính lớn vào năm 1970. Sau đó chúng xuất hiện trên máy PC vào năm 1986 và "liên tục phát triển" thành một lực lượng hùng hậu cùng với sự phát triển của họ máy tính cá nhân. Người ta thường thấy chúng thường xuất hiện ở các trường đại học, nơi tập trung các sinh viên giỏi và hiếu động. Dựa vào các phương tiện giao tiếp máy tính (mạng, đĩa...), chúng lan truyền và có mặt khắp nơi trên thế giới với số lượng đông không kể xiết. Có thể nói rằng nơi nào có máy tính, nơi đó có virus tin học. Như vậy đủ thấy tầm hoạt động của virus tin học là phổ biến vô cùng. Nói như các nhà quảng cáo thuốc Fugacar: "Ai cũng có thể bị nhiễm...", thì "Máy tính nào cũng có thể bị nhiễm virus." Bạn hãy nhớ nhé!
Mô hình hoạt động của virus là :
* Nhiễm - Ðược kích hoạt - Thường trú - Tìm đối tượng để lây - Nhiễm
Người ta chia virus thành 2 loại chính là B-virus, loại lây vào các mẫu tin khởi động (Boot record) và F-virus lây vào các tập tin thực thi (Executive file). Cách phân loại này chỉ mang tính tương đối, bởi vì trên thực tế có những loại virus lưỡng tính vừa lây trên boot record, vừa trên file thi hành. Ngoài ra, phiền một nỗi là ta còn phải kể đến họ virus macro nữa. Chúng ta hãy cùng tìm hiểu từng "đứa" một.
+ B-virus: Nếu boot máy từ một đĩa mềm nhiễm B-virus, bộ nhớ của máy sẽ bị khống chế, kế tiếp là boot record của đĩa cứng bị lây nhiễm. Kể từ giờ phút này, tất cả các đĩa mềm không được chống ghi sẽ bị nhiễm B-virus dù chỉ qua một tác vụ đọc (như DIR A: chẳng hạn).
B-virus có ưu điểm là lây lan nhanh và có thể khống chế bất cứ hệ điều hành nào. Chúng có nhược điểm là chỉ được kích hoạt khi hệ thống được khởi động từ đĩa nhiễm.
+ F-virus: Nguyên tắc của F-virus là gắn lén vào file thi hành (dạng .COM và .EXE) một đoạn mã để mỗi lần file thực hiện, đoạn mã này sẽ được kích hoạt, thường trú trong vùng nhớ, khống chế các tác vụ truy xuất file, dò tìm các file thực thi sạch khác để tự gắn chúng vào.
Ưu điểm của F-virus là dễ dàng được kích hoạt (do tần xuất chạy chương trình COM, EXE của hệ thống rất cao). Nhược điểm của chúng là chỉ lây trên một hệ điều hành xác định.
+ Macro virus: Dù mới xuất hiện, macro virus vẫn xứng đáng được nể mặt "hậu sinh khả úy" vì tính "cơ hội" của chúng.
Lợi dụng nhu cầu trao đổi văn bản, thư từ, công văn, hợp đồng... trong thời đại bùng nổ thông tin, kẻ thiết kế nên virus Concept (thủy tổ của họ virus macro) chọn ngôn ngữ macro của Microsoft Word làm phương tiện lây lan trên môi trường Winword khi tư liệu DOC nhiễm được Open. Từ văn bản nhiễm, macro virus sẽ được đưa vào NORMAL.DOT, rồi từ đây chúng tự chèn vào các văn bản sạch khác. Dạng thứ hai của virus macro là lây vào bảng tính của Microsoft Exel, ít phổ biến hơn dạng thứ nhất.
Virus macro "độc" ở chỗ là nó làm cho mọi người nghi ngờ lẫn nhau. Hãy tưởng tượng bạn nhận được file TOTINH.DOC từ người mà mình thầm thương trộm nhớ, bạn sẽ làm gì đầu tiên? "Vớ vẩn! Dùng Winword để xem ngay chứ làm gì!" Hẳn bạn sẽ tự nhủ như vậy. Nhưng dù có sốt ruột cách mấy, bạn cũng nên cẩn thận dùng các chương trình diệt virus xem bức thư tình nồng cháy kia có tiềm ẩn một chú macro virus nào không rồi hãy quyết định xem nội dung của tập tin này! Ðọc đến đây chắc bạn sẽ càu nhàu: "Làm gì có vẻ hình sự quá dzậy, không lẽ tình yêu trong thời đại vi tính không còn tính lãng mạn nữa hay sao?" Mặc dù người gửi thư không cố tình hại bạn (tất nhiên), nhưng sự cẩn thận của bạn trong trường hợp này là rất cần thiết, vì biết đâu bộ đếm nội của con virus trong bức thư đã đạt đến ngưỡng, chỉ cần bạn mở file một lần nữa thôi, đúng cái lúc mà bạn hồi hộp chờ Word in ra màn hình nội dung bức thư thì toàn bộ đĩa cứng của bạn đã bị xoá trắng! Ðó chính là "độc chiêu" của macro virus NTTHNTA: xoá đĩa cứng khi số lần mở các file nhiễm là 20 !
Ngăn chặn sự xâm nhập của Virus
Virus tin học tuy ranh ma và bí hiểm, nhưng "vỏ quít dày có móng tay nhọn." Chúng cũng có thể bị ngăn chận và loại trừ một cách dễ dàng. Sau đây là một số biện pháp:
+ Anti-virus: Ðể phát hiện và diệt virus, người ta viết ra những chương trình chống virus, gọi là anti-virus. Nếu nghi ngờ máy tính của mình bị virus, hoặc giống như "lâu lâu đến bác sĩ khám xem có bệnh gì không", bạn có thể dùng các chương trình này quét sơ qua ổ đĩa của máy xem có chú virus nào đang rình rập trong máy tính hay không. Thông thường các anti-virus sẽ tự động diệt virus nếu chúng được chương trình phát hiện. Với một số chương trình chỉ phát hiện mà không diệt được, bạn phải để ý đọc các thông báo của nó.
Ðể sử dụng anti-virus hiệu quả, bạn nên trang bị cho mình một vài chương trình để sử dụng kèm, cái này sẽ bổ khuyết cho cái kia thì kết quả sẽ tốt hơn. Một điều cần lưu ý là nên chạy anti-virus trong tình trạng bộ nhớ tốt (khởi động máy từ đĩa mềm sạch) thì việc quét virus mới hiệu quả và an toàn, không gây lan tràn virus trên đĩa cứng. Có hai loại anti-virus, ngoại nhập và nội địa.
Các anti-virus ngoại đang được sử dụng phổ biến là SCAN của McAfee, Norton Anti-virus của Symantec, Toolkit, Dr. Solomon... Các anti-virus này đều là những thương phẩm, có nghĩa là bạn phải bỏ tiền ra mua chứ không "xài chùa" được. Ưu điểm của chúng là số lượng virus được cập nhật rất lớn, tìm-diệt hiệu quả, có đầy đủ các công cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột). Nhược điểm của chúng là cồng kềnh, đặc biệt chúng không nhận biết các virus "made in Vietnam". Ðể diệt bọn này, bạn phải dùng hàng nội địa thôi.
Các anti-virus nội thông dụng là D2 và BKAV. Ðây là các phần mềm miễn phí (sau này họ có bán không thì chưa biết). Bạn có thể xài thoải mái mà không sợ bị kiện cáo lôi thôi (tất nhiên bạn đừng làm điều gì xâm phạm luật tác quyền, ví dụ như cố tình sửa tên tác giả trong chương trình chẳng hạn). Ngoài ưu điểm miễn phí, các anti-virus nội địa chạy rất nhanh do chúng nhỏ gọn, tìm-diệt khá hiệu quả và "rất nhạy cảm" với các virus nội địa. Nhược điểm của chúng là khả năng nhận biết các virus ngoại kém, ít được trang bị công cụ hỗ trợ và chế độ giao tiếp với user chưa được kỹ lưỡng lắm! "Chùa" cơ mà! Ðể khắc phục nhược điểm này, các anti-virus nội cố gắng cập nhật virus thường xuyên và phát hành nhanh chóng đến tay người dùng.
Tuy nhiên bạn cũng đừng quá tin tưởng vào các anti-virus. Sao kỳ vậy? Bởi vì anti-virus chỉ tìm-diệt được các virus mà nó đã cập nhật. Với các virus mới chưa được cập nhật vào thư viện chương trình thì anti-virus hoàn toàn mù tịt! Ðây chính là nhược điểm lớn nhất của các anti-virus, là bài toán hóc búa tồn tại từ nhiều thập kỷ nay. Xu hướng của các anti-virus hiện nay là cố gắng nhận dạng virus mà không cần cập nhật. Symantec đang triển khai hệ chống virus theo cơ chế miễn dịch của IBM, sẽ phát hành trong tương lai. Phần mềm D2 nội địa cũng có những cố gắng nhất định trong việc nhận dạng virus lạ. Các phiên bản D2- Plus version 2xx cũng được trang bị các môđun nhận dạng New macro virus và New-Bvirus, sử dụng cơ chế chẩn đoán thông minh dựa trên cơ sở tri thức của lý thuyết hệ chuyên gia. Ðây là các phiên bản thử nghiệm hướng tới hệ chưiơng trình chống virus thông minh của chương trình này. Lúc đó phần mềm sẽ dự báo cho bạn sự xuất hiện của các loại virus mới. Nhưng dù sao bạn cũng nên tự trang bị thêm một số biện pháp phòng chống virus hữu hiệu như được đề cập sau đây.
+ Ðề phòng B-virus: Ðơn giản lắm, bạn hãy nhớ là đừng bao giờ khởi động máy từ đĩa mềm nếu có đĩa cứng, ngoại trừ những trường hợp tối cần thiết như khi đĩa cứng bị trục trặc chẳng hạn. Nếu buộc phải khởi động từ đĩa mềm, bạn hãy chắc rằng đĩa mềm này phải hoàn toàn sạch. Ðôi khi việc khởi động từ đĩa mềm lại xảy ra một cách ngẫu nhiên, ví dụ như bạn để quên đĩa mềm trong ổ đĩa A ở phiên làm việc trước. Nếu như trong Boot record của đĩa mềm này có B-virus, và nếu như ở phiên làm việc sau, bạn quên không rút đĩa ra khỏi ổ thì B-virus sẽ "nhảy phóc" vào đĩa cứng của bạn ngay sau khi bạn bật nút Power !
Ðiều này nghe có vẻ hoang mang quá, bởi vì đâu có ai chắc chắn rằng lúc nào mình cũng nhớ kiểm tra đĩa mềm trong ổ A trước khi khởi động máy tính? Tuy nhiên bạn đừng quá lo lắng, D2-Plus đã dự trù trước các trường hợp này bằng chức năng chẩn đoán thông minh các New B-virus trên các đĩa mềm. Chỉ cần chạy D2 thường xuyên, chương trình sẽ phân tích Boot record của các đĩa mềm có trên bàn làm việc của bạn và sẽ dự báo sự có mặt của chúng dưới tên gọi PROBABLE B-Virus, bạn chỉ cần nhấn Y để D2 diệt chúng, thế là xong.
+ Ðề phòng F-virus: Nguyên tắc chung là không được chạy các chương trình không rõ nguồn gốc. Ðiều này hơi khó thực hiện nếu bạn có một chút "máu mê" săn lùng các chương trình trò chơi chuyền tay nhau. Hầu hết các chương trình hợp pháp được phát hành từ nhà sản xuất đều được đảm bảo. Vì vậy, khả năng tiềm tàng F-virus trong file COM,EXE chỉ còn lẩn quẩn xung quanh các chương trình trôi nổi (chuyền tay, lấy từ mạng,...) mà thôi. Nhớ nhé!
+ Ðề phòng Macro virus: Như trên đã nói, họ virus này lây trên văn bản và bảng tính của Microsoft. Vì vậy, khi nhận một file DOC hay XL? nào, bạn hãy nhớ kiểm tra chúng trước khi mở ra. Ðiều phiền toái này có thể giải quyết bằng D2- Plus giống như trường hợp của New B-virus, các New macro virus sẽ được nhận dạng dưới tên PROBABLE Macro. Hơn nữa nếu sử dụng WinWord và Exel của Microsoft Office 97 thì bạn không phải lo lắng gì cả. Chức năng AutoDectect Macro virus của bộ Office này sẽ kích hoạt Warning Box nếu văn bản hoặc bảng tính cần mở có chứa macro. Bạn chỉ cần Disable chúng là có thể yên chí lớn rồi đó.
Nếu dính Virus làm sao "gở" chúng ra?
Vấn đề sẽ trở nên đơn giản khi bạn gặp phải một virus cũ. Nếu là B/F-virus, bạn hãy khởi động từ đĩa mềm hệ thống sạch. (Còn với virus macro thì không cần). Sau đó chạy anti-virus từ đĩa sạch. Nhớ kiểm tra tất cả các đĩa mềm của bạn, vì nếu còn sót thì chúng sẽ lây đi lây lại rất phiền.
Nếu New B-virus nằm trên boot record đĩa mềm, dùng D2-Plus để diệt. Trường hợp New B-virus lây vào đĩa cứng, khởi động máy bằng đĩa mềm, chạy D2-Plus, chọn Config/Mend Boot=On, chọn Drive.
Nếu có New F-virus thường trú, thì các anti-virus thường "la làng" bằng thông báo "New F-virus found in memory". Bạn hãy ngưng ngay các ứng dụng và tìm cách chép các file bị lây nhiễm gửi đến các địa chỉ anti-virus tin cậy để nhờ can thiệp.
"Bắt" Virus gởi cho "Bác sỹ Tin học"
Ngoại trừ các virus cũ đã được các anti-virus làm sạch, đôi khi bạn cần phải "bắt" các con mới gửi cho các anti-virus để các chuyên gia virus diệt nó dùm bạn. Việc làm này rất cần thiết, vì đây là chiếc cầu nối giữa bạn với anti-virus mà bạn ưa thích. Nếu làm được việc này, bạn sẽ thấy an tâm giống như có "bác sĩ nhà" vậy, chẳng còn sợ bệnh tật phiền nhiễu nữa.
+ Với new macro virus, bạn chỉ cần chép nguyên xi file DOC, XL? cho các nhà phát triển anti-virus là xong.
+ Với new B-virus, bạn hãy gửi đĩa đến anti-virus nếu con này nằm trên boot record đĩa mềm. Nếu nó đã vào bộ nhớ, chỉ cần đọc đĩa (bằng lệnh DIR A: chẳng hạn) rồi gửi đĩa qua đường bưu điện.
+ Với new F-virus thì khó "bắt" hơn vì chúng che chắn rất kỹ. Thông thường khi F-virus lây vào file, kích thước của tập tin COM, EXE sẽ tăng lên. Như vậy việc tăng kích thước chính là dấu hiệu cho biết sự có mặt của F-virus trên file. Bạn chỉ cần chép các file này gửi đi. Tuy nhiên một số F-virus lại che dấu kích thước vật lý thực của file khi virus đang thường trú. Vì vậy bạn cần khởi động máy tính bằng đĩa mềm sạch mới có thể đối chiếu kích thước file hiện tại với kích thước cũ được.
Như vậy bạn cần phải nhớ kích thước cũ của file thực thi. Ðể đơn giản bạn hãy chạy thử các phần mềm thông dụng như NCMAIN.EXE, DOSKEY.COM trong môi trường nhiễm New F-virus, rồi gửi các file này.
Chúng tôi mong rằng bạn sẽ quan tâm đến những vấn đề mà tư liệu này đề cập. Nó sẽ giúp ích cho bạn trong việc bảo vệ dữ liệu của mình. Hãy cùng chúng tôi ngăn chận bàn tay tội lỗi của virus tin học, vì một thế giới vi tính an toàn và tươi đẹp. Xin chúc bạn vui, khỏe và thành đạt trong công việc.
lchau@hcm.vnn.vnLink: http://www.echip.com.vn/echiproot/weblh/antivrus/virusth.htm