Bài viết này giúp bạn hiểu hơn về virus máy tính và cách phần mềm diệt virus hoạt động, giúp bạn sẽ có cái nhìn tổng quan và từ xây dựng giải phòng tránh tốt hơn cho bản thân.
Virus máy tính là gì?
Virus máy tính là phần mềm có hại được xác định theo hai đặc điểm:
- Nó cần được khởi tạo bởi một người dùng không nghi ngờ. Việc kích hoạt virus có thể đơn giản như mở tệp đính kèm email độc hại (malspam), khởi chạy một chương trình bị nhiễm hoặc xem quảng cáo trên một trang web độc hại (phần mềm quảng cáo). Khi điều đó xảy ra, virus sẽ cố lây lan sang các hệ thống khác trên mạng của máy tính hoặc trong danh sách liên hệ của người dùng.
- Nó phải được tự tái tạo. Nếu phần mềm không tự sao chép thì đó không phải là virus. Quá trình tự sao chép này có thể xảy ra bằng cách sửa đổi hoặc thay thế hoàn toàn các tệp khác trên hệ thống của người dùng. Dù bằng cách nào, tệp kết quả phải hiển thị cùng hoạt động với virus gốc.
Virus máy tính đã tồn tại trong nhiều thập kỷ. Về lý thuyết, nguồn gốc của “tự động tự tái tạo” (tức là virus) bắt nguồn từ một bài báo của nhà toán học và đa học John von Neumann xuất bản vào cuối những năm 1940. Các loại virus ban đầu xuất hiện trên các nền tảng máy tính cá nhân vào những năm 1970. Tuy nhiên, lịch sử của virus hiện đại bắt đầu từ một chương trình tên là Elk Cloner, bắt đầu lây nhiễm vào hệ thống Apple II vào năm 1982. Được phát tán qua các đĩa mềm bị nhiễm, bản thân virus này vô hại, nhưng nó lây lan sang tất cả các đĩa gắn với hệ thống. Nó lây lan nhanh đến mức hầu hết các chuyên gia an ninh mạng coi đây là đợt bùng phát virus máy tính quy mô lớn đầu tiên trong lịch sử.
Những virus ban đầu như Elk Cloner hầu hết được thiết kế như một trò đùa. Những người sáng tạo của họ đã ở trong đó vì danh tiếng và quyền khoe khoang. Tuy nhiên, vào đầu những năm 1990, sự nghịch ngợm của thanh thiếu niên đã phát triển thành ý định có hại. Người dùng PC đã gặp phải sự tấn công dữ dội của virus được thiết kế để phá hủy dữ liệu, làm chậm tài nguyên hệ thống và ghi nhật ký các lần nhấn phím (còn được gọi là keylogger). Nhu cầu về các biện pháp đối phó đã dẫn đến sự phát triển của các chương trình phần mềm chống vi-rút đầu tiên.
Các chương trình chống virus ban đầu chỉ có thể phát hiện sau khi chúng diễn ra. Hơn nữa, các chương trình chống virus đầu tiên đã xác định virus bằng kỹ thuật tương đối thô sơ là tìm kiếm các đặc điểm đặc trưng của chúng. Ví dụ: họ có thể biết có một loại virus với tên tệp như “PCdestroy”, vì vậy nếu chương trình chống virus nhận ra tên đó, nó sẽ ngăn chặn mối đe dọa. Tuy nhiên, nếu kẻ tấn công thay đổi tên tệp, chương trình chống vi-rút có thể không hiệu quả. Mặc dù phần mềm chống vi-rút ban đầu cũng có thể nhận dạng dấu vân tay hoặc mẫu kỹ thuật số cụ thể, chẳng hạn như chuỗi mã trong lưu lượng mạng hoặc chuỗi lệnh có hại đã biết, nhưng chúng luôn bắt kịp.
Các chương trình chống virus ban đầu sử dụng chiến lược dựa trên chữ ký có thể dễ dàng phát hiện ra các loại virus đã biết, nhưng chúng không thể phát hiện các cuộc tấn công mới. Thay vào đó, một loại virus mới phải được phân lập và phân tích để xác định chữ ký của nó, và sau đó được thêm vào danh sách các loại virus đã biết. Người dùng chống virus phải thường xuyên tải xuống một tệp cơ sở dữ liệu ngày càng phát triển bao gồm hàng trăm nghìn chữ ký. Mặc dù vậy, các loại virus mới xuất hiện trước các bản cập nhật cơ sở dữ liệu khiến một tỷ lệ đáng kể các thiết bị không được bảo vệ. Kết quả là một cuộc chạy đua liên tục để theo kịp với bối cảnh phát triển của các mối đe dọa khi các loại virus mới được tạo ra và phát tán vào tự nhiên.
Xem thêm: Tư vấn mua Endpoint Security bản quyền cho doanh nghiệp
Cách thức lây nhiễm của Virus máy tính
Máy tính hoạt động nhờ các lệnh ở dạng mã máy thuộc dãy số nhị phân để thực hiện một tác vụ nào đó do con người điều khiển. Mã máy được lập trình dẫn tới những công việc được người dùng điều khiển lập đi lập lại nhiều lần và trở thành routine, sau đó sẽ thực thi routine đó. Routine được tạo thành bởi hai cấu trúc là điểm vào (entry) – nơi bắt đầu và điểm ra (exit) – trả lại điều khiển khi đã hoàn thành công việc.
Virus cũng sẽ được viết dưới dạng một routine nhưng sẽ bị sửa tham số địa chỉ, thay vì địa chỉ của máy tính người dùng thì sẽ bị đưa đến vị trí của người tạo ra virus. Do virus máy tính hoạt động dưới dạng mã lệnh nên ít ai có thể phát hiện ra sớm và kịp thời.
Virus có rất nhiều cách thức xâm nhập vào máy tính của bạn, dưới đây là một vài cách thức phổ biến:
- Virus lây nhiễm qua email: Email là một cách thức truyền thống để liên lạc, trao đổi giữa mọi người với nhau, thường là bàn về nội dung công việc. Mỗi ngày, mỗi người có thể có cả trăm email bao gồm cả tin nhắn rác. Và bạn rất có thể sẽ bị lừa nếu nhấp vào link đính kèm có chứa virus. Tinh vi hơn, người tạo ra virus còn tạo ra đường liên kết theo cấp số nhân, nghĩa là chỉ cần bạn nhấp vào link đó thì virus sẽ đọc được hết tất cả những email mà bạn từng gửi thư và tự động gửi link virus đến cho nhiều người khác. Bài học ở đây là hãy cẩn thận với những bức thư mà bạn mở ra, chú ý tên email, địa chỉ người gửi và nội dung thông tin để tránh mắc phải lỗi lầm này.
- Lây nhiễm qua mạng Internet: Lây nhiễm qua Internet có thể nói là hình thức dễ dàng thực hiện nhất và mọi người cũng dễ bị lừa nhất. Virus có thể được đính kèm trong các file tài liệu, các phần mềm mà mọi người tải từ Internet về máy hoặc đơn giản là những trang web được cài đặt sẵn virus và chỉ chực chờ chúng ta nhấp vào nó. Khi đã tải những phần mềm có chứa virus, chúng sẽ nhanh chóng làm hư hỏng ổ cứng, tự động xóa hết dữ liệu hoặc thậm chí nguy hiểm hơn là cho phép người khác truy cập vào máy tính mà chúng ta không hề hay biết. Bằng cách nào để nhận biết máy đã bị nhiễm virus? Có một vài dấu hiệu cơ bạn để nhận biết máy tính của bạn có bị nhiễm virus hay không như: máy tính chạy chậm bất thường, màn hình máy tính liên tục bị lỗi, lỗi driver, các cảnh báo giả liên tục thông báo yêu cầu bạn phải thực hiện các thao tác, ổ cứng báo hết dung lượng trong khi bạn chẳng sử dụng quá nhiều thì đó cũng rất có thê là do virus đã “làm đầy” ổ cứng của bạn mất rồi.
Chống phần mềm độc hại hoạt động như thế nào?
Phương pháp phát hiện mối đe dọa dựa trên chữ ký cũ có hiệu quả ở một mức độ nào đó, nhưng phần mềm chống phần mềm độc hại hiện đại cũng phát hiện các mối đe dọa bằng cách sử dụng các phương pháp mới hơn. Nói một cách khác, phát hiện dựa trên chữ ký giống như tìm kiếm dấu vân tay của tội phạm. Đó là một cách tuyệt vời để xác định mối đe dọa, nhưng chỉ khi bạn biết dấu vân tay của chúng trông như thế nào. Phần mềm chống phần mềm độc hại hiện đại giúp phát hiện thêm một bước nữa để có thể xác định các mối đe dọa mà nó chưa từng thấy trước đây. Bằng cách phân tích cấu trúc và hành vi của chương trình, nó có thể phát hiện hoạt động đáng ngờ. Tương tự, nó giống như nhận thấy rằng một người luôn đi chơi ở những nơi giống như những tên tội phạm đã biết, và có một chiếc khóa trong túi của anh ta.
Công nghệ an ninh mạng mới hơn, hiệu quả hơn này được gọi là phân tích heuristic. “Heuristics” là một thuật ngữ mà các nhà nghiên cứu đặt ra cho một chiến lược phát hiện các mối đe dọa bằng cách phân tích cấu trúc của chương trình, hành vi của nó và các thuộc tính khác.
Mỗi lần chương trình chống phần mềm độc hại heuristic quét một tệp thực thi, nó sẽ xem xét kỹ lưỡng cấu trúc tổng thể, logic lập trình và dữ liệu của chương trình. Trong khi đó, nó tìm kiếm những thứ như hướng dẫn bất thường hoặc mã rác. Bằng cách này, nó đánh giá khả năng chương trình có chứa phần mềm độc hại.
Hơn nữa, một điểm cộng lớn cho heuristics là khả năng phát hiện phần mềm độc hại trong tệp và bản ghi khởi động trước khi phần mềm độc hại có cơ hội chạy và lây nhiễm vào máy tính của bạn. Nói cách khác, phần mềm chống phần mềm độc hại hỗ trợ heuristics là chủ động, không phản ứng. Một số sản phẩm chống phần mềm độc hại cũng có thể chạy phần mềm độc hại bị nghi ngờ trong hộp cát, đây là môi trường được kiểm soát, trong đó phần mềm bảo mật có thể xác định xem chương trình có an toàn để triển khai hay không. Việc chạy phần mềm độc hại trong hộp cát cho phép xem xét những gì phần mềm thực hiện, các hành động mà phần mềm thực hiện và liệu nó có cố gắng ẩn mình hoặc xâm phạm máy tính của bạn hay không.
Một cách khác mà phân tích heuristic giúp giữ an toàn cho người dùng là bằng cách phân tích các đặc điểm của trang web để xác định các trang web rủi ro có thể chứa hành vi lợi dụng.
Nói tóm lại, phần mềm chống virus dựa trên chữ ký giống như một người gác cổng ở cửa, mang theo một danh sách tìm bất kì ai giống trong cuốn sách này. Phân tích theo phương pháp Heuristic là người truy tìm hành vi đáng ngờ, tìm kiến những mỗi liên hệ với những kẽ phạm tôi trước đó.
Tham khảo Malwarebytes
