Ngày nay, các tin tặc ngày càng tinh vi hơn trong việc lợi dụng mã độc để đánh cắp thông tin và gây ra thiệt hại cho người dùng. Chúng ta thường chỉ quan tâm đến các dạng file phổ biến như .exe, .dll, nhưng thực tế, mã độc có thể được nhúng vào nhiều loại file khác, gây ra những hậu quả không mong muốn mà bạn không hề hay biết. Để bảo vệ máy tính và thông tin cá nhân trước các mối đe dọa này, hãy cùng tìm hiểu mã độc có thể được tin tặc nhúng vào trong các file nào và cách phòng ngừa hiệu quả.
Mã độc có thể được tin tặc nhúng vào trong các dạng file nào?
Mã độc có thể được tin tặc nhúng vào trong các file ảnh. Không còn dựa vào việc sử dụng các liên kết đáng ngờ, họ lại tạo ra các bức hình mà trong đó, các điểm ảnh được nhúng mã độc. Với cách làm này, người dùng thường sẽ mất cảnh giác và nhấp vào hình ảnh, từ đó cho phép mã độc xâm nhập vào máy tính một cách dễ dàng.
Phương pháp phổ biến để giấu mã độc là sử dụng các định dạng hình ảnh phổ biến như JPG hay PNG. Khi bạn truy cập vào các hình ảnh trên các nền tảng trực tuyến như Google hoặc Facebook, rất có thể bạn sẽ không biết rằng mình đang mở ra một cánh cửa cho mã độc xâm nhập vào máy tính.
Mã độc là gì?
Phần mềm độc hại, còn được gọi là malware – từ tiếng Anh ghép bởi “malicious” và “software” – là một loại phần mềm hệ thống được tạo ra bởi tin tặc hoặc những người muốn gây hại, nhằm gây ảnh hưởng tiêu cực tới các máy tính. Mức độ nguy hiểm của các phần mềm độc hại có thể khác nhau tùy thuộc vào cách thức mà chúng được sử dụng. Trong một số trường hợp, chúng có thể chỉ hiển thị những cửa sổ thông báo đáng sợ; tuy nhiên, trong các trường hợp nghiêm trọng hơn, chúng có thể tấn công, chiếm quyền kiểm soát máy tính và lây lan sang các máy khác, giống như cách một virus phát tán trong cơ thể sinh vật.
Các loại mã độc thường thấy
Chương này sẽ giới thiệu cho bạn về các loại mã độc thường gặp nhất mà tin tặc thường nhúng vào các dạng file.
Virus
Virus máy tính, một khái niệm quen thuộc trong lĩnh vực viễn thông và khoa học máy tính, là các đoạn mã lập trình được tạo ra với ít nhất hai mục đích:
- Tự động tích hợp vào quá trình hoạt động hợp lệ của máy tính, thực hiện việc tự nhân bản và thực hiện các tác vụ theo ý muốn của lập trình viên. Khi mã virus hoàn tất quá trình thực thi, quyền kiểm soát được trả lại cho trình đang chạy mà không gây ra tình trạng “treo” máy, trừ khi virus có ý định gây ra tình trạng này.
- Tự sao chép, tức tự nhân bản, lây nhiễm vào các tập tin hoặc các vùng xác định (như boot, FAT sector) trên các thiết bị lưu trữ như đĩa cứng, đĩa mềm, thiết bị nhớ flash (thông thường là USB), và thậm chí cả EPROM của máy.
Trước đây, virus thường do những người có kiến thức về lập trình tạo ra nhằm thể hiện khả năng của họ, và thường gây ra những tác động như làm một chương trình hoạt động không đúng, xóa dữ liệu, hỏng ổ cứng, hoặc thực hiện những trò đùa phiền toái.
Tuy nhiên, virus gần đây thường không còn tạo ra các trò đùa hoặc phá hoại máy tính của người bị nhiễm. Thay vào đó, chúng thường nhắm vào việc lấy cắp thông tin cá nhân nhạy cảm (như mã số thẻ tín dụng), tạo cửa hậu cho tin tặc chiếm quyền kiểm soát, hoặc thực hiện các hành động khác nhằm lợi ích cho người phát tán virus.
Hơn 90% virus đã được phát hiện nhắm vào hệ thống sử dụng hệ điều hành Windows, chủ yếu bởi vì đây là hệ điều hành phổ biến nhất trên thế giới. Do độ phổ biến của Windows, tin tặc thường tập trung nhiều hơn vào hệ điều hành này so với những hệ điều hành khác. Mặc dù có quan điểm cho rằng Windows không bảo mật bằng các hệ điều hành khác như Linux và do đó có nhiều virus hơn, nhưng nếu các hệ điều hành khác cũng phổ biến như Windows, hoặc nếu thị phần của các hệ điều hành khác nhau ngang bằng nhau, thì có thể số lượng virus xuất hiện cho mỗi hệ điều hành cũng sẽ tương đương nhau.
Virus Hoax
Đây là các thông báo giả mạo về virus. Những thông báo giả mạo này thường được biểu hiện dưới hình thức yêu cầu cấp bách về việc bảo vệ hệ thống. Mục đích của thông báo virus giả mạo là thúc đẩy mọi người chia sẻ thông báo qua email càng nhiều càng tốt.
Chính thông báo giả mạo không gây hại trực tiếp, nhưng những email gửi đi để cảnh báo có thể chứa mã độc, hoặc trong thông báo giả mạo có thể có hướng dẫn về cách thiết lập lại hệ điều hành, xoá file, có thể gây tổn hại đến hệ thống. Loại thông báo giả mạo này cũng tạo ra phiền toái và làm mất thời gian cho đội ngũ hỗ trợ kỹ thuật khi họ nhận được quá nhiều cuộc gọi yêu cầu dịch vụ.
Scripting virus
Virus kịch bản là loại virus được tạo ra bằng các ngôn ngữ script như VBScript, JavaScript, Batch script. Những virus này thường được biết đến với tính năng dễ dàng trong việc tạo ra và triển khai. Chúng thường tự động lây lan sang các file script khác, thậm chí thay đổi nội dung của các file html để thêm vào các thông tin quảng cáo, banner… Đây cũng là một dạng virus phát triển nhanh chóng do sự lan rộng của Internet.
File Virus
Virus file là loại virus tiêm vào các file chương trình, thường xuất hiện trên hệ điều hành Windows, ví dụ như các file có đuôi mở rộng .com, .exe, .bat, .pif, .sys… Khi bạn khởi chạy một file chương trình bị nhiễm, virus sẽ được kích hoạt và tiếp tục lây nhiễm vào các file chương trình khác trong máy của bạn. Có thể bạn tự hỏi tại sao virus Macro, mặc dù cũng lây nhiễm vào file, lại không được gọi là virus File? Câu trả lời nằm ở quá trình phát triển của virus máy tính. Như đã biết, virus Macro mới xuất hiện vào năm 1995 và cơ chế hoạt động của chúng khác biệt so với những virus trước đó (những virus File) nên dù cũng lây vào các file, chúng vẫn không được gọi là virus File.
Trojan Horse
Ngựa Troia, hay Trojan horse, là một dạng phần mềm độc hại. Khác với virus, nó không có chức năng tự sao chép nhưng lại có chức năng gây hại tương tự như virus. Một trong những cách tác động của Ngựa Troia là giả vờ giúp bảo vệ máy chủ khỏi các virus nhưng thực chất lại mang virus vào máy.
Tên gọi Ngựa Troia xuất phát từ truyền thuyết nổi tiếng về con ngựa thành Troia trong thần thoại Hy Lạp. Trong truyền thuyết, người Hy Lạp giả vờ bỏ lại một con ngựa gỗ khổng lồ khi rút quân khỏi chiến trường. Trong bụng con ngựa gỗ này, nhiều chiến binh Hy Lạp ẩn náu. Người Troia tưởng rằng mình có được một chiến lợi phẩm và kéo con ngựa gỗ này vào thành. Đến đêm, các chiến binh Hy Lạp bất ngờ tấn công từ bên trong con ngựa, mở cổng thành và giúp quân Hy Lạp chiếm lĩnh thành phố.
Trojan horse là một chương trình máy tính thường giả vờ là một phần mềm hữu ích với nhiều tính năng mong đợi, hoặc ít nhất trông có vẻ như vậy. Tuy nhiên, một cách bí mật, nó lại tiến hành các hoạt động không mong muốn. Những tính năng mong đợi chỉ là mặt ngoài giả tạo , nhằm che giấu những hoạt động độc hại mà nó thực hiện.
Trên thực tế, nhiều chương trình Ngựa Troia chứa các phần mềm gián điệp, cho phép máy tính của người dùng bị kiểm soát từ xa thông qua mạng. Một điểm khác biệt cơ bản so với virus máy tính là Ngựa Troia không có khả năng tự phân tán. Chúng chỉ đơn thuần là những phần mềm lừa dối người dùng để thực hiện các hành động mà người dùng không mong muốn.
Tuy nhiên, ngày nay, nhiều chương trình Ngựa Troia đã được trang bị thêm khả năng tự phân tán. Điều này đã làm mơ hồ ranh giới giữa Ngựa Troia và virus, khiến chúng trở nên khó phân biệt.
Backdoor
“Backdoor” hay còn được biết đến với tên gọi “cửa hậu” hoặc “lối vào phía sau”. Đây là một cơ chế cho phép người dùng vượt qua các biện pháp xác thực thông thường, từ đó duy trì khả năng truy cập từ xa vào một hệ thống máy tính mà không bị phát hiện qua các phương thức giám sát truyền thống.
Backdoor có thể tồn tại dưới nhiều hình thức. Ví dụ, nó có thể là một chương trình riêng biệt được cài đặt vào hệ thống, như Back Orifice hoặc rootkit của Sony/BMG. Rootkit này được cài đặt tự động khi một đĩa CD nhạc Sony – trong số hàng triệu đĩa đã phát hành – được phát trên một máy tính chạy hệ điều hành Windows.
Đôi khi, Backdoor lại xuất hiện dưới hình thức sửa đổi của một chương trình hợp lệ. Trong trường hợp này, Backdoor thường đi kèm với một loại mã độc khác gọi là Trojan. Điều này có nghĩa là Backdoor có thể được gắn kết với một chương trình hợp pháp, tạo ra một lối vào mà người sử dụng không hề biết.
Spyware
Phần mềm gián điệp, hay còn gọi là “spyware” trong tiếng Anh, là một dạng phần mềm được thiết kế nhằm thu thập thông tin từ máy chủ (thường là với mục đích thương mại) thông qua mạng Internet mà không cần sự đồng ý của người sở hữu máy chủ. Spyware thường được cài đặt một cách ẩn danh, đi kèm với các phần mềm miễn phí (freeware) hoặc phần mềm chia sẻ (shareware) có thể tải từ Internet.
Khi đã được cài đặt, spyware sẽ kiểm soát và điều phối các hoạt động của máy chủ trên Internet, đồng thời tận dụng kết nối này để lặng lẽ chuyển dữ liệu thu thập được tới một máy khác, thường thuộc sở hữu của các công ty quảng cáo hoặc tin tặc. Dữ liệu mà spyware thu thập có thể bao gồm địa chỉ thư điện tử, mật khẩu và thậm chí là số thẻ tín dụng.
Đôi khi, spyware được cài đặt một cách ngây thơ khi người dùng chỉ muốn cài đặt một phần mềm khác với chức năng hoàn toàn khác. Spyware được coi là một biến thể của phần mềm quảng cáo (adware), từ này bắt nguồn từ hai từ tiếng Anh là “spy” (gián điệp) và “software” (phần mềm máy tính); tương tự như vậy, “adware” cũng là từ ghép của “advertisement” (quảng cáo) và “software”.
Adware
Phần mềm quảng cáo, hay còn gọi là adware, thường chứa các mẩu quảng cáo nhỏ và thường được phân phối dưới dạng phần mềm miễn phí hoặc phiên bản dùng thử. Các quảng cáo này thường chỉ “thu nhỏ” hoặc biến mất khi người dùng mua sản phẩm sau quá trình dùng thử, tùy thuộc vào chính sách của nhà sản xuất phần mềm.
Phần mềm gián điệp, hay còn gọi là spyware, được coi là một biến thể của phần mềm quảng cáo. Spyware thường được cài đặt một cách ẩn danh vào máy tính của người dùng trong quá trình họ duyệt web. Các loại spyware này theo dõi hoạt động trực tuyến của người dùng, ghi lại chúng, sau đó gửi thông tin này tới một địa chỉ nào đó trên Internet.
Dù đa số các spyware thường không gây hại, nhưng gần đây đã xuất hiện nhiều spyware kèm theo virus, worm hoặc Trojan horse, có thể gây ra những tổn thất nghiêm trọng cho một máy tính hoặc hệ thống máy tính.
Botnet
Botnet là một thuật ngữ chỉ một tập hợp các phần mềm robot tự động hoặc bot hoạt động độc lập. Thuật ngữ này cũng được sử dụng để mô tả một mạng máy tính sử dụng phần mềm phân tán để tính toán.
Dù “botnet” có thể ám chỉ bất kỳ nhóm bot nào, ví dụ như IRC bot, thì thường nó được sử dụng để chỉ một nhóm máy tính bị xâm nhập và kiểm soát, chạy các chương trình độc hại như worm, trojan horse hoặc backdoor, dưới một hạ tầng điều khiển chung. Một người tạo ra botnet (hay còn gọi là bot herder) có thể điều khiển cả nhóm bot từ xa, thường thông qua một kênh như IRC, thường với mục đích không chính đáng.
Các bot thường hoạt động ẩn dật và tuân theo chuẩn IRC theo RFC 1459. Thông thường, những người tạo ra botnet trước đó đã kiểm soát một số hệ thống thông qua nhiều công cụ khác nhau (ví dụ như tràn bộ nhớ đệm). Các bot mới hơn có thể tự động kiểm tra môi trường của chúng và tự phân phối bản thân thông qua các lỗ hổng bảo mật và mật khẩu yếu. Một bot càng có khả năng kiểm tra và tự phân phối qua nhiều lỗ hổng bảo mật, nó càng trở nên quý giá đối với nhóm điều khiển botnet.
Botnet đã trở thành một phần quan trọng của Internet, mặc dù chúng ngày càng giấu mình tốt hơn. Do đa phần các mạng IRC truyền thống đã áp dụng các biện pháp cấm truy cập đối với botnet, những người điều khiển botnet phải tự tìm server cho mình. Một botnet thường bao gồm nhiều kết nối và loại mạng khác nhau, từ mạng giáo dục, công ty, chính phủ đến mạng quân sự. Đôi khi, một người điều khiển botnet có thể ẩn một server IRC trên một trang web công ty hoặc giáo dục, nơi mà các kết nối tốc độ cao có thể hỗ trợ một số lượng lớn bot. Phương pháp sử dụng bot để điều khiển các bot khác chỉ mới phát triển mạnh gần đây, bởi phần lớn các hacker không chuyên.
Ransomware
Ransomware, hay còn gọi là phần mềm độc hại tống tiền, bao gồm nhiều loại phần mềm độc hại có khả năng hạn chế quyền truy cập vào hệ thống máy tính mà nó đã xâm nhập. Người tạo ra ransomware thường yêu cầu một khoản tiền chuộc để gỡ bỏ hạn chế truy cập mà phần mềm độc hại đã tạo ra. Một số loại ransomware thậm chí mã hóa các tệp và dữ liệu trên ổ cứng để yêu cầu tiền chuộc, trong khi một số loại khác chỉ đơn giản khóa hệ thống và hiển thị một thông báo yêu cầu tiền chuộc.
Ban đầu, ransomware chủ yếu phổ biến ở Nga, nhưng sau đó, việc sử dụng ransomware như một phương pháp lừa đảo để kiếm tiền đã phát triển nhanh chóng và lan rộng khắp thế giới. Vào tháng 6 năm 2013, công ty phần mềm bảo mật McAfee cho biết họ đã thu thập được hơn 250,000 mẫu ransomware độc đáo chỉ trong quý I năm 2013.
Virus Macro
Virus Macro là một loại virus đặc biệt tấn công vào các ứng dụng thuộc bộ Microsoft Office của Microsoft như Word, Excel, Powerpoint. Macro là tính năng hỗ trợ trong bộ công cụ văn phòng Microsoft Office, cho phép người dùng lưu lại các công việc cần thực hiện lại nhiều lần. Tuy nhiên, thực tế hiện nay cho thấy virus macro hầu như đã không còn xuất hiện nữa.
Rootkit
Rootkit, phát âm là “rút-kít”, là một tập hợp các công cụ phần mềm được kẻ xâm nhập sử dụng để đưa vào một máy tính. Mục tiêu của rootkit là cho phép người xâm nhập có thể quay lại và kiểm soát máy tính mà không bị phát hiện, đồng thời thao tác các hoạt động của máy tính ở mức độ cơ bản nhất. Kẻ xâm nhập có thể sử dụng rootkit để thu thập thông tin về máy tính và người dùng (như mật khẩu và thông tin tài chính), gây ra lỗi hoạt động cho máy tính, hoặc tạo và chuyển tiếp spam. Có nhiều loại rootkit được viết cho nhiều hệ điều hành khác nhau như Linux, Solaris và các phiên bản Microsoft Windows.
Virus Boot
Virus Boot, còn được gọi là Boot Virus, là một loại virus xâm nhập vào boot sector hoặc master boot record của ổ đĩa cứng. Đây là các khu vực đặc biệt chứa dữ liệu quan trọng để khởi động hệ thống và nạp các phân vùng. Boot virus được thực thi trước khi hệ điều hành được nạp, do đó nó hoạt động độc lập với hệ điều hành. Tuy nhiên, Boot Virus có nhược điểm là khó viết do không thể sử dụng các dịch vụ, chức năng có sẵn của hệ điều hành và kích thước của virus bị hạn chế bởi kích thước của các sector (mỗi sector chỉ có 512 byte).
Worm
Sâu Máy Tính, hay Computer Worm, là một loại phần mềm độc hại tự sao chép và lây nhiễm tự động sang nhiều thiết bị máy tính. Sâu Máy Tính có thể lây lan sang các máy tính khác thông qua việc khai thác các phần tự động của hệ điều hành hoặc qua sự không cẩn thận của người dùng. Khi một máy tính bị nhiễm Sâu Máy Tính, quá trình sao chép không thể kiểm soát có thể tiêu thụ nhiều tài nguyên hệ thống, làm giảm hiệu suất hoặc hạn chế các tác vụ khác. Tuy nhiên, Sâu Máy Tính không giống với WORM (Write Once, Read Many).
Phương pháp phòng chống và ngăn mã độc tấn công
Mã độc, với các đặc tính đã được giới thiệu ở phần trước, đặt ra mối đe dọa lớn đối với người dùng máy tính. Để đối phó với nó, chúng ta cần một phương pháp tổng thể và đơn giản, không đòi hỏi người dùng phải hiểu biết sâu rộng về các vấn đề kỹ thuật liên quan tới việc phát hiện, phân tích hay diệt mã độc.
Đầu tiên, chúng ta cần hiểu rằng việc phòng chống và ngăn chặn mã độc không chỉ dựa vào việc sử dụng phần mềm diệt virus. Nó còn liên quan đến việc nâng cao nhận thức của người dùng. Nói một cách tổng quát, việc ngăn chặn mã độc là sự kết hợp của nhiều yếu tố khác nhau.
Một số biện pháp cụ thể mà chúng ta có thể áp dụng bao gồm:
Luôn cài đặt và sử dụng phần mềm diệt virus chính hãng, như Kaspersky, CyStack, Bitdefender, Avast, Norton, Bkav,… Mặc dù chúng ta có thể không thường xuyên thấy mã độc được phát hiện hay diệt bởi phần mềm diệt virus, nhưng việc sử dụng nó sẽ giúp chúng ta ngăn chặn mã độc, giảm thiểu nguy cơ tiềm ẩn và tạo ra một môi trường an toàn hơn khi duyệt web hoặc tải về các phần mềm.
Tạo chính sách cho các thiết bị Plug and Play (PnP): Các thiết bị như USB, CD/DVD, có thể bị virus lợi dụng để thực thi mà không cần sự đồng ý từ người dùng. Vì thế, cần phải thiết lập lại quy định cho các thiết bị và ứng dụng này để hạn chế việc thực thi không kiểm soát của mã độc. Đồng thời, khi sử dụng các thiết bị như USB, chúng ta nên tránh mở trực tiếp bằng cách nhấn Enter hoặc nhấp chuột hai lần vào biểu tượng. Thay vào đó, chúng ta nên chọn “explore” từ menu chuột phải.
Thiết lập quy tắc xử lý các tệp tin: Chúng ta nên tránh mở hoặc tải về các tệp không rõ nguồn gốc, đặc biệt là các tệp thực thi (như .exe, .dll, …). Với những tệp không rõ nguồn gốc, chúng ta nên sử dụng phần mềm diệt virus để quét, hoặc kiểm tra trực tiếp trên website https://www.virustotal.com. Khi phát hiện cảnh báo, hãy ngừng thực thi tệp để đảm bảo an toàn.
Truy cập web một cách an toàn: Nguyên nhân chính khiến máy tính bị nhiễm mã độc là do việc truy cập web không an toàn nếu người dùng không thận trọng. Khi truy cập web, hãy thận trọng: Tránh việc truy cập vào các trang web không an toàn, độc hại hoặc có nội dung không lành mạnh. Cũng không nên nhấp vào các liên kết trong email hoặc nội dung trò chuyện. Các trang web và liên kết như vậy thường chứa mã độc và chờ đợi người dùng nhấp vào, từ đó tự động tải về và thực thi trên máy tính của người dùng. Một ví dụ điển hình là khi chúng ta phân tích và theo dõi các máy tính của nhân viên văn phòng, hầu hết chúng đều bị cài đặt các addon hoặc phần mềm quảng cáo do người dùng tự cho phép thực thi trong quá trình duyệt web.
Cập nhật máy tính và phần mềm: Nên thường xuyên cập nhật các bản vá từ hệ điều hành, các bản vá cho các ứng dụng đang sử dụng và đặc biệt là phần mềm diệt virus. Việc này vô cùng quan trọng để tránh được các loại mã độc lợi dụng lỗ hổng để lây lan, và đồng thời cập nhật các mẫu mã độc mới giúp cho phần mềm diệt virus làm việc hiệu quả hơn.
Yêu cầu sự can thiệp của chuyên gia: Khi nhận thấy dấu hiệu máy tính bị nhiễm, nên tiến hành quét bằng phần mềm diệt virus ngay lập tức. Nếu vẫn không cải thiện, hãy nhờ sự giúp đỡ của chuyên gia để kiểm tra máy tính, phát hiện và tiêu diệt mã độc. Dù có thể mất thời gian và chi phí, nhưng việc này vô cùng cần thiết vì hậu quả của việc để máy tính bị nhiễm có thể gây ra tác hại nặng nề và tổn thất lớn hơn nhiều lần.
Trong thế giới số hóa hiện nay, việc “Mã độc có thể được tin tặc nhúng vào trong các dạng file nào” là vấn đề mà mỗi người dùng công nghệ đều cần hiểu rõ. Như chúng ta đã thảo luận, mã độc không chỉ giới hạn trong các file thực thi như .exe, .dll mà còn có thể xâm nhập vào nhiều dạng file khác nhau mà chúng ta thường sử dụng hàng ngày.
Nhận thức về cách thức hoạt động của mã độc và biết được chúng có thể tồn tại ở đâu là bước đầu tiên trong việc bảo vệ bản thân và dữ liệu quan trọng của bạn. Nhớ rằng, công nghệ chỉ là công cụ – nó có thể giúp chúng ta nhiều, nhưng cũng có thể gây ra rắc rối nếu chúng ta không cẩn thận.
Hãy luôn cập nhật kiến thức, nhận biết được nguy cơ và áp dụng các biện pháp phòng ngừa hợp lý để giảm thiểu rủi ro tiềm ẩn từ mã độc. Chúng ta không thể ngăn chặn hoàn toàn sự xuất hiện của mã độc, nhưng chúng ta hoàn toàn có thể trang bị cho mình những kiến thức cần thiết để bảo vệ mình trước những mối đe dọa tiềm tàng này.
Tôi là Lê Tùng Vinh – Một thanh niên trẻ tại thành phố Hà Nội, có niềm đam mê với lĩnh vực công nghệ thông tin. Sinh ra và lớn lên trong một gia đình yêu công nghệ, tôi đã luôn có sự tò mò và ham muốn khám phá về các thiết bị điện tử và máy tính từ nhỏ. Đọc tiếp