1
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CNTT
Bài Tập Lớn
Nguyên lý hoạt động của các dòng virus phá hủy
hệ thống máy tính và cách phòng tránh
MÔN: Kiến Trúc Máy Tính
GIẢNG VIÊN: Lê Đức Thuận

Thực hiện:
Tô Quang Hiền
Nguyễn Xuân Khánh
Phạm Hữu Thiết
Đỗ Anh Thắng
Nguyễn Anh Tú
MỤC LỤC
s
Mở đầu
Cùng với sự phát triển như vũ bão của khoa học kỹ thuật nói chung và công nghệ thông tin
nói riêng đã có rất nhiều ứng dụng mới ra đời mang lại rất nhiều lợi ích trong mọi lĩnh vực, đi
đôi với sự phát triển đó có một vấn đề mà chúng ta cần hết sức quan tâm đó là virus máy tính.
Có thể nói virus máy tính có một quá trình phát triển khá dài, và nó luôn song hành cùng
“người bạn đồng hành” của nó là những chiếc máy tính (tuy nhiên người bạn máy tính của nó
chẳng thích thú gì). Khi mà công nghệ phần mềm cũng như phần cứng phát triển thì virus cũng
phát triển theo. Hệ điều hành thay đổi thì virus máy tính cũng thay đổi để có thể ăn bám, ký
sinh trên hệ điều hành mới. Tất nhiên là virus máy tính không tự sinh ra. Chúng do con người
tạo ra nên chắc chắn sẽ diệt được.
Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản chỉ là một thú đùa
vui (nhiều khi ác ý). Nhưng những bộ óc này khiến chúng ta phải đau đầu đối phó và cuộc
chiến này không bao giờ chấm dứt, nó đã, đang và sẽ luôn luôn tiếp diễn.
Trong bài này nhóm xin giới thiệu và đề cấp đến nguyên lý hoạt động của các dòng virus

phá hủy hệ thống máy tính và nêu ra một số phương pháp phóng tránh virus.
Để hoàn thành bài tập nhóm xin chân thành cảm ơn bạn bè và thầy giáo Lê Đức Thuận đã
tân tình giúp đỡ trong thời gian nhóm làm bài tập.
2

Chương 1. Lịch sử phát triển và các loại virus tiêu biểu
I. Lịch sử phát triển vủa virus máy tính
Có nhiều tài liệu khác nhau nói về xuất xứ của virus máy tính, điều này cũng dễ hiểu, bởi lẽ
vào thời điểm đó con người chưa thể hình dung ra một "xã hội" đông đúc và nguy hiểm của
virus máy tính như ngày nay. Điều đó cũng có nghĩa là không nhiều người quan tâm tới chúng.
Chỉ khi chúng gây ra những hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để
tìm hiểu. Tuy vậy, đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít
nhiều liên quan tới những sự kiện sau:
1983 - Để lộ nguyên lý của trò chơi “Core War”
“Core War” là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2 lập trình viên viết
ra. Mỗi đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo gọi là Organism vào bộ nhớ
máy tính. Khi bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và
tái tạo Organism của mình. Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất.
Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson người đã viết phiên bản
đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận một trong những giải thưởng danh dự
của giới điện toán - Giải thưởng A.M Turing. Trong bài diễn văn của mình ông đã đưa ra một ý
tưởng về virus máy tính dựa trên trò chơi "Core War". Cũng năm 1983, tiến sỹ Frederik Cohen
đã chứng minh được sự tồn tại của virus máy tính.
Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả về "Core War" và
cung cấp cho độc giả những thông tin hướng dẫn về trò chơi này. Kể từ đó virus máy tính xuất
hiện và đi kèm theo nó là cuộc chiến giữa những kẻ viết ra virus và những chuyên gia diệt
virus.
1986 - Virus Brain
Có thể được coi là virus máy tính đầu tiên trên thế giới. Tháng 1 năm 1986, Brain âm thầm
đổ bộ từ Pakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware. Một nơi

khác trên thế giới cũng đã mô tả sự xuất hiện của virus, đó là Đại học Hebrew - Israel.
1987 - Virus Lehigh xuất hiện
3
Lại một lần nữa liên quan tới một trường Đại học. Lehigh - Tên trường Đại học - cũng
chính là tên của virus xuất hiện năm 1987 tại trường Đại học này. Trong thời gian này cũng có
một số virus khác xuất hiện, đặc biệt Virus Worm (virus loại sâu), cơn ác mộng với các hệ
thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ làm cho công ty IBM nhớ mãi với tốc
độ lây lan đáng nể: 500.000 nhân bản trong 1 giờ.
1988 - Virus lây trên mạng
Ngày 2 tháng 11 năm 1988, Robert Morris phát tán virus vào mạng máy tính quan trọng
nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu nhận thức được tính nguy hại
của virus máy tính.
1989 - AIDS Trojan
Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa". Chúng không phải là virus máy
tính vì chúng không có khả năng “tự” lây lan, nhưng chúng luôn đi cùng với khái niệm virus.
Những “con ngựa thành Tơ-roa" này khi đã hoạt động trên máy tính thì nó sẽ lấy cắp thông tin
mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này muốn vận chuyển đến, hoặc đơn
giản chỉ là phá huỷ dữ liệu trên máy tính.
1991 - Virus Tequila
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánh dấu một bước
ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy tính.
Đây thực sự là loại virus phức tạp và quả thật không dễ dàng gì để diệt chúng. Chúng có
khả năng tự “thay hình đổi dạng” sau mỗi lần lây nhiễm, làm cho việc phát hiện ra chúng
không hề dễ dàng.
1992 - Virus Michelangelo
Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ năm 1992 này tạo thêm sức
mạnh cho các loại virus máy tính bằng cách tạo ra virus đa hình cực kỳ phức tạp.
4
1995 - Virus Concept
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại virus đầu tiên có

nguyên lý hoạt động gần như thay đổi hoàn toàn so với những “tiền bối” của nó. Chúng gây ra
một cú sốc lớn cho những công ty diệt virus cũng như những người tình nguyện trong lĩnh vực
phòng chống virus máy tính trên toàn thế giới. Rất tự hào rằng khi virus Concept xuất hiện, trên
thế giới chưa có loại "kháng sinh" nào thì tại Việt Nam một sinh viên trường Đại học Bách
Khoa Hà Nội đã đưa ra giải pháp rất đơn giản để diệt trừ loại virus này, đó cũng chính là thời
điểm Bkav bắt đầu được mọi người sử dụng rộng rãi trên toàn quốc.
Sau này, những virus theo nguyên lý của Concept được gọi chung là Virus macro. Chúng
tấn công vào các hệ soạn thảo văn bản của Microsoft Office (Word, Exel, Powerpoint). Tuy
nhiên ngày nay, cùng với việc mọi người không còn sử dụng các macro trong văn bản của mình
nữa thì các virus macro hầu như không còn tồn tại và đang dần bị quên lãng…
1996 - Virus Boza
Khi hãng Microsoft chuyển sang hệ điều hành Windows95, họ tuyên bố rằng virus không
thể công phá thành trì của họ được, thì ngay năm 1996 xuất hiện virus lây trên hệ điều hành
Windows95.
1999 - Virus Melissa, BubbleBoy
Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới. Sâu Melissa không
những kết hợp các tính năng của sâu Internet và virus marco, mà nó còn biết khai thác một
công cụ mà chúng ta thường sử dụng hàng ngày là Microsoft Outlook Express để chống lại
chính chúng ta. Khi máy tính bị nhiễm Mellisa, nó sẽ “phát tán” mình đi mà khổ chủ không hề
hay biết. Và người sử dụng sẽ rất bất ngờ khi bị mang tiếng là kẻ phát tán virus.
Chỉ từ ngày thứ Sáu tới ngày thứ Hai tuần sau, virus này đã kịp lây nhiễm 250.000 máy tính
trên thế giới thông qua Internet, trong đó có Việt Nam, gây thiệt hại hàng trăm triệu USD. Một
lần nữa cuộc chiến lại sang một bước ngoặt mới, báo hiệu nhiều khó khăn bởi Internet đã được
chứng minh là một phương tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ
trong vài giờ đồng hồ.
BubbleBoy là sâu máy tính đầu tiên không dựa vào việc người nhận e-mail có mở file đính
kèm hay không. Chỉ cần thư được mở ra, nó sẽ tự hoạt động.
5
Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu,
ngoài Melissa, BubbleBoy, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng

triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26 tháng 4 năm 1999.
2000 - Virus DDoS, Love Letter
Có thể coi là một trong những vụ phá hoại lớn nhất của virus từ trước đến thời điểm đó.
Love Letter có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vòng 6 tiếng
đồng hồ virus đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55 triệu máy tính,
gây thiệt hại 8,7 tỷ USD.
Năm 2000 cũng là năm ghi nhớ cuộc "Tấn công Từ chối dịch vụ phân tán" - DDoS
(Distributed Denial of Service ) qui mô lớn do virus gây ra đầu tiên trên thế giới, nạn nhân của
đợt tấn công này là Yahoo!, Amazon.com Tấn công "Từ chối dịch vụ" – DoS - là cách tấn
công gây "ngập lụt" bằng cách từ một máy gửi liên tiếp các yêu cầu vượt mức bình thường tới
một dịch vụ trên máy chủ, làm ngưng trệ, tê liệt khả năng phục vụ của dịch vụ hay máy chủ đó.
Những virus loại này phát tán đi khắp nơi và “nằm vùng” ở những nơi nó lây nhiễm. Chúng sẽ
đồng loạt tấn công theo kiểu DoS vào các hệ thống máy chủ khi người điều hành nó phất cờ,
hoặc đến thời điểm được định trước.
2001 – Virus Winux (Windows/Linux), Nimda, Code Red
Virus Winux đánh dấu dòng virus có thể lây được trên các hệ điều hành Linux chứ không
chỉ Windows. Chúng ngụy trang dưới dạng file MP3 cho download
Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiều con đường khác
nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm ), làm cho việc
phòng chống vô cùng khó khăn. Cho đến tận cuối năm 2002, ở Việt Nam vẫn còn những cơ
quan với mạng máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu. Chúng cũng chỉ ra
một xu hướng mới của các loại virus máy tính là "tất cả trong một", trong một virus bao gồm
nhiều virus, nhiều nguyên lý khác nhau.
6
2002 - Sự ra đời của hàng loạt loại virus mới
Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này lây những file
.SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một loại công cụ giúp làm cho các
trang Web thêm phong phú). Tháng 3 đánh dấu sự ra đời của loại virus viết bằng ngôn nhữ C#,
một ngôn ngữ mới của Microsoft. Con sâu .Net này có tên SharpA và được viết bởi một người
phụ nữ.

Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL. Tháng 6, có vài
loại virus mới ra đời: Perrun lây qua Image JPEG (có lẽ người sử dụng máy tính nên cảnh giác
với mọi thứ). Scalper tấn công các FreeBSD/Apache Web server.
Người sử dụng máy tính trên thế giới bắt đầu phải cảnh giác với một loại chương trình độc
hại mới mang mục đích quảng cáo bất hợp pháp - Adware - và thu thập thông tin cá nhân trái
phép - Spyware (phần mềm gián điệp). Lần đầu tiên các chương trình Spyware, Adware xuất
hiện như là các chương trình độc lập, không đi kèm theo các phần mềm miễn phí như trước đó.
Chúng bí mật xâm nhập vào máy của người dùng khi họ vô tình “ghé thăm” những trang web
có nội dung không lành mạnh, các trang web bẻ khóa phần mềm…Và với nguyên lý như vậy,
ngày nay Adware và Spyware đã thực sự trở thành những "bệnh dịch" hoành hành trên mạng
Internet.
2003 - Các virus khai thác lỗ hổng phần mềm
Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ của các virus khai thác lỗ hổng phần mềm để
cài đặt, lây nhiễm lên các máy tính từ xa - đây cũng chính là xu hướng phát triển hiện nay của
virus trên thế giới. Đầu tiên là virus Slammer khai thác lỗ hổng phần mềm Microsoft SQL 2000
servers, chỉ trong vòng 10 phút đã lây nhiễm trên 75.000 máy tính trên khắp thế giới. Tiếp đến
là hàng loạt các virus khác như Blaster (MsBlast), Welchia (Nachi), Mimail, Lovgate khai
thác lỗi tràn bộ đệm trong công nghệ DCOM - RPC trên hệ điều hành Window2K, XP. Xuất
hiện trên thế giới vào ngày 11/8, virus Blaster nhanh chóng lây lan hơn 300.000 máy tính trên
khắp thế giới. Những người sử dụng máy tính ở Việt Nam hẳn không quên được sự hỗn loạn vì
hàng loạt máy tính bị Shutdown tự động trong ngày 12/8 khi virus Blaster đổ bộ vào các máy
tính ở Việt Nam.
Virus cũng bắt đầu được sử dụng như một công cụ để phát tán thư quảng cáo (spam) nhanh
nhất. Các virus họ Sobig nổi lên như những cỗ máy phát tán một lượng thư quảng cáo khổng lồ
trên khắp thế giới. Cũng trong năm này, thế hệ những virus mới như Lovgate, Fizzer đã bắt đầu
sử dụng những mạng chia sẻ file ngang hàng peer to peer (như KaZaa) để phát tán virus qua
các thư mục chia sẻ trên mạng.
2004 - Cuộc chạy đua giữa Skynet và Beagle
7
Cuộc chạy đua giữa hai họ virus cùng có nguồn gốc từ Đức và lây nhiễm nhiều nhất trong

năm này, bắt đầu bằng việc các biến thể mới của virus Skynet khi lây nhiễm vào một máy tính
sẽ tìm cách loại bỏ các virus họ Beagle ra khỏi máy đó và ngược lại. Mỗi biến thể của Skynet
xuất hiện trên thế giới thì gần như ngay lập tức sẽ có một biến thể của Beagle được viết ra để
chống lại nó và ngược lại. Cuộc chạy đua này kéo dài liên tục trong mấy tháng đã làm cho số
lượng virus mới xuất hiện trong năm 2004 tăng lên một cách nhanh chóng.
Năm 2004 cũng là năm xuất hiện virus khai thác lỗ hổng của dịch vụ LSASS (Local
Security Authority Subsystem Service) trên hệ điều hành Window 2K, Window XP để lây lan
giữa các máy tính - virus Sasser. Cũng giống như virus Blaster, virus Sasser nhanh chóng gây
nên một tình trạng hỗn loạn trên mạng khi làm Shutdown tự động hàng loạt máy tính mà nó lây
nhiễm.
2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting
Các dịch vụ chatting trực tuyến như Yahoo!, MSN bắt đầu được virus lợi dụng như một
công cụ để phát tán virus trên mạng. Theo thống kê của Bkav thì trong vòng 6 tháng đầu năm
này, đã có tới 7 dòng virus lây lan qua các dịch vụ chatting xuất hiện ở Việt Nam. Trong thời
gian tới những virus tấn công thông qua các dịch vụ chatting sẽ còn tiếp tục xuất hiện nhiều
hơn nữa khi số người sử dụng dịch vụ này ngày càng tăng.
2006 – Người dùng trong nước quen dần với sự hiện diện của virus
Mối lo ngại từ năm trước đã trở thành sự thật. Năm 2006, những người dùng dịch vụ
chatting Yahoo! Messenger ở Việt Nam đã có lúc rơi vào tình cảnh ngập lụt tin nhắn chứa link
độc của virus. Kể từ khi mã nguồn virus Gaixinh được công bố, “phong trào” viết virus lây qua
Yahoo! Messenger đã thực sự “nở rộ” trong nước. Người dùng với ý thức cảnh giác không cao
đã vô tình gián tiếp tiếp tay cho đại dịch này.
Năm 2006 cũng có thể coi là thời kỳ hoàng kim của virus lây lan qua “con đường giao lưu
dữ liệu” quen thuộc của chúng ta: USB. Trong hầu hết các thống kê của Bkav về tình hình lây
lan của virus, các virus có cơ chế lây lan qua USB luôn chiếm vị trí cao nhất. Thực tế cho thấy
rằng đây là một cơ chế lây lan đơn giản nhưng rất hiệu quả vì dường như rất khỏ bỏ thói quen
mở USB ngay khi chúng được cho vào máy.
Đến đây chúng ta đã nhìn nhận được phần nào lịch sử phát triển của virus máy tính, chúng
cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao. Đây cũng chính là lý
do mà các phần mềm diệt virus luôn phải phát triển song hành để phòng chống, tiêu diệt

chúng. Và nếu bạn sử dụng máy tính, chúng tôi khuyên bạn nên cảnh giác bởi như bạn đã thấy,
dường như tất cả mọi thứ đều có thể bị nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ
xâm nhập vào máy tính thông qua tất cả những con đường có thể.
II. Các loại virus máy tính tiêu biểu
8
Dường như tất cả mọi thứ đều có thể nhiễm virus, chúng không tha bất cứ cái gì và chúng
sẽ thâm nhập vào tất cả những gì có thể".
1.Virus Boot
Ngày nay hầu như không còn thấy virus Boot nào lây trên các máy tính của chúng ta. Lý do
đơn giản là vì virus Boot có tốc độ lây lan rất chậm và không còn phù hợp với thời đại của
Internet. Tuy nhiên, virus Boot vẫn là một phần trong lịch sử virus máy tính.
Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi động của bạn
sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows, Linux hay
Unix ). Sau khi nạp xong hệ điều hành, bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói
trên thường được để ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector".
Virus Boot là tên gọi dành cho những virus lây vào Boot sector. Các Virus Boot sẽ được thi
hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên.
2.Virus File
Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ điều hành
Windows, như các file có đuôi mở rộng .com, .exe, .bat, .pif, .sys Khi bạn chạy một file
chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương
trình khác trong máy của bạn để lây vào. Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus
Macro cũng lây vào file, tại sao lại không gọi là virus File?". Câu trả lời nằm ở lịch sử phát
triển của virus máy tính. Như bạn đã biết qua phần trên, mãi tới năm 1995 virus Macro mới
xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus
File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File.
Tuy nhiên, bạn cũng không phải quá lo lắng về loại virus này vì thực tế các loại virus lây
file ngày nay cũng hầu như không còn xuất hiện và lây lan rộng nữa. Khi máy tính của bạn bị
nhiễm virus lây file, tốt nhất bạn nên sử dụng phần mềm diệt virus mới nhất để quét toàn bộ ổ
cứng của mình và liên hệ với nhà sản xuất để được tư vấn, hỗ trợ.

3.Virus Macro
9
Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính (Microsoft Excel)
hay các file trình diễn (Microsoft Power Point) trong bộ Microsoft Office. Macro là tên gọi
chung của những đoạn mã được thiết kế để bổ sung tính năng cho các file của Office. Chúng ta
có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần
lượt được thực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tác
giống nhau. Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi
sau đó cho tự động lặp lại các thao tác đó bằng một yêu cầu duy nhất.
Ngày nay, trên thực tế các loại virus Macro cũng gần như đã "tuyệt chủng" và hầu như
không ai còn sử dụng đến các macro nữa. Bkav có một tuỳ chọn là diệt "Xóa tất cả Macro",
"All Macros", khi chọn tuỳ chọn này, Bkav sẽ xoá tất cả các macro có trong máy mà không cần
biết chúng có phải là virus hay không, điều này đồng nghĩa với việc tất cả các virus macro có
trong máy cũng sẽ bị diệt theo. Nếu bạn không dùng đến macro hay cũng chẳng để ý nó là cái
gì thì bạn nên dùng tuỳ chọn này, nó sẽ giúp bạn loại bỏ nỗi lo với những virus macro bất kể
chúng vừa xuất hiện hay xuất hiện đã lâu. Trong trường hợp bạn có sử dụng macro cho công
việc của mình thì không nên chọn tuỳ chọn này (khi bạn không chọn tuỳ chọn "Xóa tất cả
Macro" thì Bkav chỉ diệt những macro đã được xác minh chính xác là virus).
4. Con ngựa Thành Tơ-roa - Trojan Horse
Thuật ngữ này dựa vào một điển tích, đó là cuộc chiến giữa người Hy Lạp và người thành
Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp không sao có thể đột nhập vào
được. Người Hy Lạp đã nghĩ ra một kế, giả vờ rút lui, sau đó để lại thành Tơ-roa một con ngựa
gỗ khổng lồ. Sau khi ngựa được đưa vào trong thành, đêm xuống, những quân lính từ trong
bụng ngựa xông ra và đánh chiếm thành từ bên trong.
Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng. Khác với virus,
Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN.
Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa đối phương sử dụng chương trình của mình
hoặc ghép Trojan đi kèm với các virus (đặc biệt là các virus dạng Worm) để xâm nhập, cài đặt
lên máy nạn nhân. Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính
của nạn nhân như số thẻ tín dụng, mật khẩu để gửi về cho chủ nhân của nó ở trên mạng hoặc

có thể ra tay xoá dữ liệu nếu được lập trình trước.
10
Bên cạnh các Trojan ăn cắp thông tin truyền thống, một số khái niệm mới cũng được sử
dụng để đặt tên cho các Trojan mang tính chất riêng biệt như sau:
• Backdoor: Loại Trojan sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng
dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ
nhận và thực hiện lệnh mà kẻ tấn công đưa ra.
• Phần mềm quảng cáo bất hợp pháp - Adware và phần mềm gián điệp - Spyware: Gây
khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web mặc định (home
page), các trang tìm kiếm mặc định (search page)… hay liên tục tự động hiện ra (popup)
các trang web quảng cáo khi bạn đang duyệt web. Chúng thường bí mật xâm nhập vào
máy của bạn khi bạn vô tình “ghé thăm” những trang web có nội dung không lành
mạnh, các trang web bẻ khóa phần mềm… hoặc chúng đi theo các phần mềm miễn phí
không đáng tin cậy hay các phần mềm bẻ khóa (crack, keygen).
5.Sâu Internet – Worm
Sâu Internet –Worm là loại virus có sức lây lan rộng, nhanh và phổ biến nhất hiện nay.
Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là sự lây lan
đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại với vũ khí tối tân.
Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt hệ
thống máy chủ, làm ách tắc đường truyền Internet.
Thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán bằng cách tìm các địa chỉ
trong sổ địa chỉ (Address book) của máy mà nó lây nhiễm và tự gửi chính nó qua email tới
những địa chỉ tìm được.
Những địa chỉ mà virus tìm thấy thường là địa chỉ của bạn bè, người thân, khách hàng của
chủ sở hữu máy bị nhiễm. Điều nguy hiểm là virus có thể giả mạo địa chỉ người gửi là địa chỉ
của chủ sở hữu máy hay địa chỉ của một cá nhân bất kỳ nào đó; hơn nữa các email mà virus gửi
đi thường có nội dung “giật gân” hoặc “hấp dẫn” để dụ dỗ người nhận mở file virus đính kèm.
Một số virus còn trích dẫn nội dung của một email trong hộp thư của nạn nhân để tạo ra phần
nội dung của email giả mạo. Điều này giúp cho email giả mạo có vẻ “thật” hơn và người nhận
dễ bị mắc lừa. Những việc này diễn ra mà bạn không hề hay biết. Với cách hoàn toàn tương tự

trên những máy nạn nhân khác, Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số
nhân. Điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có
thể lây lan tới hàng chục triệu máy tính trên toàn cầu. Cái tên của nó, Worm hay "Sâu Internet"
cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy tính khác trên
các "cành cây" Internet.
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra cài thêm nhiều
tính năng đặc biệt, chẳng hạn như khả năng định cùng một ngày giờ và đồng loạt từ các máy
nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó. Ngoài ra, chúng còn có thể mang
theo các BackDoor thả lên máy nạn nhân, cho phép chủ nhân của chúng truy nhập vào máy của
nạn nhân và làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp.
11
Ngày nay, khái niệm Worm đã được mở rộng để bao gồm cả các virus lây lan qua mạng
chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa USB hay các dịch vụ gửi tin nhắn
tức thời (chat), đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan. Các phần mềm
(nhất là hệ điều hành và các dịch vụ trên đó) luôn tiềm ẩn những lỗi/lỗ hổng an ninh như lỗi
tràn bộ đệm, mà không phải lúc nào cũng có thể dễ dàng phát hiện ra. Khi một lỗ hổng phần
mềm được phát hiện, không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗ hổng
này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ máy hoàn toàn không
hay biết. Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng Internet với
cách thức tương tự.
6. Rootkit
Rootkit là bộ công cụ phần mềm thường được người viết ra nó sử dụng để che giấu sự tồn
tại và hoạt động của những tiến trình hoặc những file mà họ mong muốn.
Đặc điểm của Rootkit là có khả năng ẩn các tiến trình, file, và cả dữ liệu trong registry (với
Windows). Nếu chỉ dùng những công cụ phổ biến của hệ điều hành như "Registry Editor",
"Task Manager", "Find Files" thì không thể phát hiện ra các file và tiến trình này.
Ngoài ra nó còn có khả năng ghi lại các thông số về kết nối mạng, ghi lại các phím bấm
(giữ vai trò của keylogger). Cũng có thể Rootkit được dùng trong những việc tốt, nhưng trong
nhiều trường hợp, Rootkit được coi là Trojan vì chúng có những hành vi như nghe trộm, che
giấu hoặc bị lợi dụng để che giấu các chương trình độc hại.

Dựa vào mức hoạt động của Rootkit trong hệ thống mà có thể chia Rootkit thành 2 loại
chính:
• Rootkit hoạt động ở mức ứng dụng: Hoạt động cùng mức với các chương trình thông
thường như Word hay Excel, do vậy nó có thể được coi là một chương trình ứng dụng. Ở
mức này Rootkit thường sử dụng một số kỹ thuật như hook, code inject, tạo file giả để can
thiệp vào các ứng dụng khác nhằm thực hiện mục đích che giấu tiến trình, file, registry…
• Rootkit hoạt động trong nhân của hệ điều hành (Kernel): Hoạt động cùng mức với các
trình điều khiển thiết bị (driver) như driver điều khiển card đồ hoạ, card âm thanh. Đây là
mức thấp của hệ thống, vì vậy, Rootkit có quyền rất lớn với hệ thống.
12
Đối với người sử dụng thông thường, để phát hiện được Rootkit khi nó đang hoạt động
trong bộ nhớ là một điều vô cùng khó. Vì vậy, trong trường hợp máy bị nhiễm Rootkit tốt nhất
bạn nên nhờ đến sự trợ giúp của các chuyên gia.
Nếu máy tính của bạn gặp những hiện tượng bất thường, bạn nghi ngờ có virus, đã quét
virus và đã sử dụng cả Task Manager để xem các tiến trình chạy trên máy nhưng không thấy có
gì đặc biệt, có thể máy tính của bạn đã bị nhiễm Rootkit. Bạn hãy liên lạc ngay tới các trung
tâm về virus và an ninh mạng, các chuyên gia sẽ hướng dẫn cho bạn cách xử lý.
7. Các dạng khác của virus
Phần mềm gián điệp (spyware)
Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di
chứng". Thường một số chương trình diệt virus có kèm trình diệt spyware nhưng diệt khá kém
đối với các đợt "dịch".
Phần mềm quảng cáo (adware)
Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một
số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế
người sử dụng.
Botnet
Là những máy tính bị bắt cóc và điều khiển bởi người khác thông qua Trojan, virus
Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ thuật lập
trình cao. Nó được rao bán với giá từ 20USD trở lên cho các hacker. Hậu quả của nó để lại

không nhỏ: mất tài khoản. Nếu liên kết với một hệ thống máy tính lớn, nó có thể tống tiền cả
một doanh nghiệp.
Nhóm của Sites ở Sunbelt cùng với đội phản ứng nhanh của công ty bảo mật iDefense Labs
đã tìm ra một botnet chạy trên nền web có tên là Metaphisher. Thay cho cách sử dụng dòng
lệnh, tin tặc có thể sử dụng giao diện đồ họa, các biểu tượng có thể thay đổi theo ý thích, chỉ
việc dịch con trỏ, nhấn chuột và tấn công.
Theo iDefense Labs, các bot do Metaphisher điều khiển đã lây nhiễm hơn 1 triệu PC trên
toàn cầu. Thậm chí trình điều khiển còn mã hóa liên lạc giữa nó và bot "đàn em" và chuyển đi
mọi thông tin về các PC bị nhiễm cho người chủ bot như vị trí địa lý, các bản vá bảo mật của
Windows và những trình duyệt đang chạy trên mỗi PC.
Những công cụ tạo bot và điều khiển dễ dùng trên góp phần làm tăng vọt số PC bị nhiễm
bot được phát hiện trong thời gian gần đây. Thí dụ, Jeanson James Ancheta, 21 tuổi, người Mỹ
13
ở bang California, bị tuyên án 57 tháng tù vì đã vận hành một doanh nghiệp "đen" thu lợi bất
chính dựa vào các botnet điều khiển 400.000 "thành viên" và 3 tay điều khiển bot bị bắt ở Hà
Lan mùa thu năm trước chính là trung tâm "đầu não" điều khiển hơn 1,5 triệu PC!
Mặc dù đã có luật để bắt những tội phạm kiểu này, nhưng do dễ dàng có được những công
cụ phá hoại nên luôn có thêm người mới gia nhập hàng ngũ hacker vì tiền hay vì tò mò.
Keylogger
Là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu ích cho việc tìm nguồn
gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân
viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ,
cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các
thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất
cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa.
Phishing
Là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa lấy các thông
tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người
hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử. Phishing thường được thực
hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại.

Rootkit
Là một bộ công cụ phần mềm dành cho việc che giấu các tiến trình đang chạy, các file hoặc
dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần
đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ
thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện. Người ta đã biết
đến các rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số
phiên bản của Microsoft Windows. Các rootkit thường sửa đổi một số phần của hệ điều hành
hoặc tự cài đặt chúng thành các driver hay các môdule trong nhân hệ điều hành (kernel
module).
Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất hiện vào
tháng 11 năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứng dụng của Sony. Phần
mềm của Sony giấu bất kỳ file hay tiến trình bắt đầu với "$sys$", những kẻ viết phần mềm độc
hại đã đổi tên file để lợi dụng đặc điểm này.
Vào tháng 3, nhà sản xuất phần mềm chống virus ở Tây Ban Nha là Panda Software cho
biết họ đang tìm biến thể của sâu Bagle cực kỳ độc hại có trang bị khả năng của rootkit. Trầm
trọng hơn, tương tự như các "nhà sản xuất" chương trình botnet, những kẻ tạo phần mềm
rootkit còn bán hoặc phát tán miễn phí các công cụ, giúp những tay viết phần mềm độc hại dễ
dàng bổ sung chức năng rootkit cho các virus cũ như Bagle hay tạo loại mới. Một dự án do
Microsoft và các nhà nghiên cứu của đại học Michigan thực hiện thật sự mở đường cho nghiên
cứu rootkit, tạo ra một phương thức mới gần như "đặt" HĐH chạy trên phần mềm có tên
14
SubVirt (tên của dự án nghiên cứu). HĐH vẫn làm việc bình thường, nhưng "máy ảo" điều
khiển mọi thứ HĐH nhìn thấy và có thể dễ dàng giấu chính nó.
May mắn là kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làm chậm hệ
thống và làm thay đổi những file nhất định. Hiện giờ, loại siêu rootkit này chỉ mới ở dạng ý
tưởng, cần nhiều thời gian trước khi tin tặc có thể thực hiện phương thức tấn công này.
Phần mềm tống tiền (Ransomware)
Là loại phần mềm sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và
đòi tiền chuộc thì mới khôi phục lại.
Backdoor

Backdoor, nghĩa là "cửa hậu" hay lối vào phía sau. Trong một hệ thống máy tính, "cửa hậu"
là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường
truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông
thường. Cửa hậu có thể có hình thức một chương trình được cài đặt (ví dụ Back Orifice hoặc
cửa hậu rookit Sony/BMG rootkit được cài đặt khi một đĩa bất kỳ trong số hàng triệu đĩa CD
nhạc của Sony được chơi trên một máy tính chạy Windows), hoặc có thể là một sửa đổi đối với
một chương trình hợp pháp - đó là khi nó đi kèm với Trojan.
Chương 2. Tìm hiểu chung về virus máy tính
1. Thế nào là virus?
Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối
tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản,
máy tính ).
Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng bạn chỉ cần
nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó thường dùng để phục vụ những
mục đích không tốt.
Virus máy tính là do con người tạo ra. Quả thực cho đến ngày nay, chúng ta có thể coi virus
máy tính như mầm mống gây dịch bệnh cho những chiếc máy tính, chúng ta là những người
bác sĩ phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu
diệt chúng. Như những vấn đề phức tạp ngoài xã hội, khó tránh khỏi việc có những loại bệnh
mà chúng ta phải dày công nghiên cứu mới trị được hoặc cũng có những loại bệnh gây ra
những hậu quả khôn lường. Chính vì vậy, "phòng hơn chống" là phương châm cơ bản và luôn
đúng đối với virus máy tính.
2. Đặc điểm của virus máy tính
• Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.
• Tự nhân bản khi ứng dụng chủ được kích hoạt.
• Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này không gây hậu quả.
• Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.
15
3. Một số hình thức thể hiện của virus:
• Các ứng dụng trên máy bất ngờ hoặc từ từ chạy chậm lại.

• Những biến đổi không thể lý giải về dung lượng của các ứng dụng trong các file có đuôi
.EXE, .COM, .BAT, .SYS, .OVL.
• Những động thái bất thường của máy tính, nhất là khi bạn đang chạy một chương trình mà
bình thường không có vấn đề gì.
• Một chương trình nào đó không thể cài chính xác dữ liệu từ đĩa nguồn.
4. Những chương trình không phải virus:
• Bomb: một chương trình độc lập giống như Trojan mà ảnh hưởng chỉ giới hạn ở việc
huỷ diệt một phần hệ thống (ứng dụng, dữ liệu) nhưng không giả dạng là một chương trình
khác khi chạy.
• Lỗi lập trình (bug): một chương trình chính thức khi mang lỗi logic có thể gây thiệt hại
bất ngờ cho hệ thống, mặc dù mọi trình tự thực hiện đều được tuân thủ đúng.
• Lỗi người sử dụng: nhiều người vẫn thường phủ nhận điều này khi sự cố xảy ra và nghĩ
là virus. Việc mất dữ liệu, chương trình hoặc thiệt hại ổ cứng do nhập lệnh sai.
5. Một số động thái thông thường do virus gây ra:
• Định dạng lại ổ cứng, phá huỷ dữ liệu (ví dụ như virus Dark Avenger).
• Gây ra những thay đổi bất thường trên các ký tự được gõ vào (virus Teatime).
• Cứ vài phút một lần, tung ra những thông điệp quảng cáo hoặc chính trị (virus Stoned).
• Khiến máy tính hoạt động như thể monitor hoặc ổ đĩa có trục trặc (virus Jerusalem-B).
6. Virus trốn ở đâu?:
• Trong rãnh ghi của đĩa mềm. Đây là một chương trình nhỏ hoạt động mỗi khi máy tính
được khởi động. Chương trình này thường hiển thị trên màn hình thông điệp "Non-system
disk or disk error" (không có đĩa hệ thống hoặc đĩa lỗi).
• Đính kèm trong bất cứ một chương trình nào: chia sẻ, tên miền công cộng hoặc thương mại.
• Nhúng (embeded) trong file ẩn của hệ thống như IO.SYS và MSDOS.SYS trên đĩa hoặc ổ
khởi động.
• Vùng lưu trữ riêng trên ổ cứng.
7. Virus phát tán như thế nào?
• Thông qua việc kinh doanh, sao chép hoặc ăn cắp phần mềm trên đĩa mà không rõ nguồn.
• Những nhân viên bán hàng đưa phần mềm vào giới thiệu trên máy của khách.
• Nhân viên bảo trì sử dụng đĩa chẩn đoán có virus trên máy của khách.

• Bảng thông báo (bulletin board) và nhóm người sử dụng chung. Ví dụ: loại #2 & #3 chiếm
tới trên 80% tất cả số vụ lây nhiễm tại các địa chỉ doanh nghiệp. Loại #1 chiếm phần lớn số
còn lại. Loại #4 chỉ chiếm chưa đầy 5%.
8. Khi nào virus kích hoạt?
• Vào một số lần máy tính khởi động (ví dụ như virus Stoned, kích hoạt vào theo chu kỳ 8 lần
khởi động).
16
• Vào một ngày nhất định trong năm (virus Michelangelo hoạt động vào các ngày 6/3, đúng
ngày sinh của danh họa Italy).
• Một ngày nhất định trong tuần (virus Sunday).
• Một ngày nhất định trong tháng (virus Thứ 6 ngày 13, Thứ 7 ngày 14).
• Tất cả các ngày, trừ một ngày cụ thể (virus Israeli hay Suriv03, không hoạt động vào các
thứ 6 ngày 13).
• Chỉ xảy ra đúng một ngày duy nhất (virus Century kích hoạt vào ngày 1/1/2000, viết số 0
lên tất cả những đĩa có kết nối, xoá dữ liệu, ứng dụng, thư mục, bảng phân bổ file…)
• Chỉ hoạt động trong một chu kỳ nhất định sau khi lây nhiễm (virus Plastique chỉ hoạt động
trong 1 tuần).
• Kích hoạt ngay sau khi lây nhiễm vào một lượng file nhất định (virus MIX/1 kích hoạt sau
khi lây vào 6 file).
• Kích hoạt sau một số lần gõ bàn phím nhất định (virus Devil's Dance kích hoạt sau 2.000
lần người sử dụng gõ phím; đến lần thứ 5.000 sẽ phá huỷ dữ liệu trên đĩa cứng và in ra
thông điệp mang tên nó).
• Vào một khoảng thời gian nhất định trong ngày (virus Teatime chỉ hoạt động từ 15h10 đến
15h13, và cứ sau 11 lần người sử dụng gõ phím nó lại phá một ít dữ liệu).
• Kết hợp bất kỳ một số hoặc tất cả những kiểu trên cộng thêm với những cái khác mà bạn có
thể tưởng tượng ra.
9. Phân loại virus:
 Theo phương thức lây lan (vector):
• Virus rãnh ghi khởi động: Không truyền qua hệ thống bảng tin BBS mà lây lan qua đĩa
mềm hoặc hộc băng từ (trường hợp thứ 2 thì hiếm). Sau khi xâm nhập, virus nằm chờ ở bộ

nhớ trong quá trình khởi động nóng (warm boot) và lây nhiễm vào rãnh ghi của tất cả
những đĩa khác trong hệ thống, kể cả đĩa cứng và mềm.
• Virus chương trình: Có thể truyền đi nhờ qua các chương trình trên đĩa mềm, trên BBS
và mạng. Một số chỉ tấn công command.com; số khác lại không lây nhiễm vào đối tượng
này để tránh bị phát hiện.
 Theo hệ điều hành:
• DOS: Chiếm số đông và đa dạng nhất do sự phổ biến của hệ điều hành này.
• Amiga-DOS: Chỉ giới hạn với Commodore Amiga.
• Macintosh: Chỉ giới hạn với loại máy cùng tên. Cả Amiga và Macintosh thường có một mô
hình sao chép kiểu DOS, trong đó có một số virus DOS có thể hoạt động và phát huỷ
chúng.
• OS/2: Đến nay gần như không bị virus vì là hệ điều hành ít được sử dụng. Hầu hết các loại
virus DOS trở nên vô hại trên OS/2, mặc dù một số vẫn có thể tồn tại vì OS/2 chạy được
các ứng dụng DOS.
• Unix: Những virus này cũng rất hiếm. Tuy nhiên, một số vẫn có khả năng lây sang PC chạy
những bản sao Unix như XENIX.
17
• VMS, MVS : (máy tính mini và máy tính lớn - minicomputers & mainframes). Chỉ một số
ít virus loại này phát tán qua mạng.
10. Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus
tấn công.
 .bat: Microsoft Batch File (Tệp xử lí theo lô)
 .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)
 .cmd: Command file for Windows NT (Tệp thực thi của Windows NT)
 .com: Command file (program) (Tệp thực thi)
 .cpl: Control Panel extension (Tệp của Control Panel)
 .doc: Microsoft Word (Tệp của chương trình Microsoft Word)
 .exe: Executable File (Tệp thực thi)
 .hlp: Help file (Tệp nội dung trợ giúp người dùng)

 .hta: HTML Application (Ứng dụng HTML)
 .js: JavaScript File (Tệp JavaScript)
 .jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)
 .lnk: Shortcut File (Tệp đường dẫn)
 .msi: Microsoft Installer File (Tệp cài đặt)
 .pif: Program Information File (Tệp thông tin chương trình)
 .reg: Registry File
 .scr: Screen Saver (Portable Executable File)
 .sct: Windows Script Component
 .shb: Document Shortcut File
 .shs: Shell Scrap Object
 .vb: Visual Basic File
 .vbe: Visual Basic Encoded Script File
 .vbs: Visual Basic File
 .wsc: Windows Script Component
 .wsf: Windows Script File
 .wsh: Windows Script Host File
Chương 3. Cách phòng chống virus máy tính
Để không bị lây nhiễm virus thì giải pháp triệt để nhất là ngăn chặn mọi kết nối thông tin
vào thiết bị máy tính bao gồm ngắt kết nối mạng chia sẻ, không sử dụng ổ mềm, ổ USB hoặc
copy bất kỳ file nào vào máy tính, đặc biệt các dạng file có nguy cơ cao. Điều này thực sự hiệu
quả khi mà hiện nay sự tăng trưởng số lượng virus mới hàng năm trên thế giới rất lớn.
Tuy nhiên, trong thời đại "bùng nổ thông tin", đa số mọi người đều có nhu cầu truy cập vào
"không gian số", không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước
18
hiểm hoạ virus và các phần mềm không mong muốn, nhưng chúng ta có thể hạn chế đến tối đa
với các biện pháp bảo vệ dữ liệu của mình:
1. Sử dụng phần mềm diệt virus
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều loại
virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được các virus mới.

(Để biết cách sử dụng phần mềm diệt virus hiệu quả, xem thêm tại "phần mềm diệt virus")
Trên thị trường Việt Nam hiện có rất nhiều các tên tuổi phần mềm diệt virus như:
• Do người Việt Nam viết: Bkav, D32, CMC,
• Của nước ngoài: Norton-Symantec, Kaspersky, Avira, AVG, ESET,
• Và phát hành bởi Microsoft: Microsoft Security Essentials,
2. Sử dụng tường lửa
Tường lửa (Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho các nhà cung
cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng tường lửa để bảo vệ
trước virus và các phần mềm độc hại. Khi sử dụng tường lửa, các thông tin vào và ra đối với
máy tính được kiểm soát một cách vô thức hoặc có chủ ý. Nếu một phần mềm độc hại đã được
cài vào máy tính có hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp người sử
dụng loại bỏ hoặc vô hiệu hoá chúng. Tường lửa giúp ngăn chặn các kết nối đến không mong
muốn để giảm nguy cơ bị kiểm soát máy tính ngoài ý muốn hoặc cài đặt vào các chương trình
độc hại hay virus máy tính.
Tường lửa được chia 2 loại:
• Sử dụng tường lửa bằng phần cứng: Nếu người sử dụng kết nối với mạng Internet
thông qua một modem hoặc một card chuyên dụng có chức năng này. Thông thường ở chế
độ mặc định của nhà sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy
cập vào modem để cho phép hiệu lực (bật). Sử dụng tường lửa bằng phần cứng không phải
tuyệt đối an toàn bởi chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử
dụng tường lửa bằng các phần mềm.
• Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows ngày nay đã
được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các phần
mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so với tường
lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm Security Suite của
hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại, chống
spam, và tường lửa.
3. Cập nhật các bản vá lỗi của hệ điều hành
Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi sự
thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát

tán virus và các phần mềm độc hại. Người sử dụng luôn cần cập nhật các bản vá lỗi của
Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất cả các phần mềm của
hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho Windows). Cách tốt nhất hãy
19
đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) của Windows. Tính năng này chỉ
hỗ trợ đối với các bản Windows mà Microsoft nhận thấy rằng chúng hợp pháp.
4.Vận dụng kinh nghiệm sử dụng máy tính
Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có khả năng
bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa được cập nhật kịp thời đối
với phần mềm diệt virus. Người sử dụng máy tính cần sử dụng triệt để các chức năng, ứng
dụng sẵn có trong hệ điều hành và các kinh nghiệm khác để bảo vệ cho hệ điều hành và dữ liệu
của mình. Một số kinh nghiệm tham khảo như sau:
• Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử dụng máy tính
không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay đổi -
có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay đổi khác thường của máy
tính. Ví dụ đơn giản: Nhận thấy sự hoạt động chậm chạp của máy tính, nhận thấy các kết
nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng thứ ba (thông
qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt động khác của tường lửa).
Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự
xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất
cho phần mềm diệt virus hoặc thử sử dụng một phần mềm diệt virus khác để quét toàn hệ
thống.
• Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm
trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn:
ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các ứng dụng
nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động là
gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự nhiễm virus)
cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy nhiên cách này đòi hỏi
một sự am hiểu nhất định của người sử dụng.
• Loại bỏ một số tính năng tự động của hệ điều hành có thể tạo điều kiện cho sự lây

nhiễm virus: Theo mặc định Windows thường cho phép các tính năng tự chạy (autorun)
giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa
USB vào hệ thống. Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm
ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan
truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các
file autorun.inf trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần
loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi
trong Registry.
• Quét virus trực tuyến: Sử dụng các trang web cho phép phát hiện virus trực tuyến:
(Xem thêm phần "Phần mềm diệt virus trực tuyến" tại bài phần mềm diệt virus)
20
5. Bảo vệ dữ liệu máy tính
Nếu như không chắc chắn 100% rằng có thể không bị lây nhiễm virus máy tính và các phần
mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn vẹn của dữ liệu của mình trước khi dữ liệu bị
hư hỏng do virus (hoặc ngay cả các nguy cơ tiềm tàng khác như sự hư hỏng của các thiết bị lưu
trữ dữ liệu của máy tính). Trong phạm vi về bài viết về virus máy tính, bạn có thể tham khảo
các ý tưởng chính như sau:
Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu. Bạn có
thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các thiết bị nhớ mở
rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang ), hình thức này có thể thực hiện theo chu kỳ
hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn.
Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có của hệ điều
hành (ví dụ System Restore của Windows Me, XP ) mà có thể cần đến các phần mềm của
hãng thứ ba, ví dụ bạn có thể tạo các bản sao lưu hệ thống bằng các phần mềm ghost, các phần
mềm tạo ảnh ổ đĩa hoặc phân vùng khác.
Thực chất các hành động trên không chắc chắn là các dữ liệu được sao lưu không bị lây
nhiễm virus, nhưng nếu có virus thì các phiên bản cập nhật mới hơn của phần mềm diệt virus
trong tương lai có thể loại bỏ được chúng.
Tài liệu tham khảo
/> /> />và một số tài liệu khác trên internet

21