Sâu máy tính và cách ngăn chặn - Giúp các bạn mới làm
quen với máy tính.
Worm (hay c̣òn gọi là sâu máy tính) là một loại phần mềm có sức lây lan nhanh, rộng và phổ
biến nhất hiện nay. Không giống với virus thời "nguyên thủy", worm không cần đến các tập tin
"mồi" để lây nhiễm. Chúng tự nhân bản và phát tán qua môi trường Internet, mạng ngang hàng,
dịch vụ chia sẻ.
Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó
đang lây nhiễm, ở đó thường là địa chỉ của bạn bè, người thân, khách hàng của chủ máy. Tiếp
đến, nó tự gửi chính nó cho những địa chỉ mà nó t́ìm thấy, tất nhiên với địa chỉ người gửi là
chính bạn, chủ sở hữu của chiếc máy. Với cách hoàn toàn tương tự trên những máy nạn nhân,
Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó tự giải tại sao chỉ trong
ṿòng vài tiếng đồng hồ mà Mellisa và Love Letter (2 loại sâu rất nổi tiếng) lại có thể lây lan tới
hàng chục triệu máy tính trên toàn cầu. Cái tên của nó Worm hay "Sâu máy tính" cho ta hình
dung ra việc những con virus máy tính "ḅ" từ máy tính này qua máy tính khác trên các "cành
cây" Internet.
Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra chúng cài thêm nhiều
tính năng đặc biêt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy
nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước
một cuộc tấn công tổng lực như vậy thì cũng phải "bó tay". Ngoài ra, chúng c̣òn có thể cho phép
chủ nhân của chúng truy nhập vào máy của nạn nhân và có thể điều khiển mọi thứ trên máy đó
một cách bất hợp pháp.
Sâu máy tính là một chương trình máy tính có khả năng tự nhân bản giống như virus máy tính.
Trong khi virus máy tính bám vào và trở thành một phần của mã máy tính để có thể thi hành thì
sâu máy tính là một chương trình độc lập không nhất thiết phải là một phần của một chương trình
máy tính khác để có thể lây nhiễm. Sâu máy tính thường được thiết kế để khai thác khả năng
truyền thông tin có trên những máy tính có các đặc điểm chung - cùng hệ điều hành hoặc cùng
chạy một phần mềm mạng - và được nối mạng với nhau.
Sâu máy tính thường mang theo phần mềm gián điệp để mở cửa hậu máy tính trên các máy tính
bị nhiễm (giống như Sobig và Mydoom). Các máy tính bị nhiễm được sử dụng bởi những người
gửi thư rác hoặc giả danh địa chỉ trang web. Các cửa hậu cũng có thể được các sâu máy tính khác
khai thác như Doomjuice - phát tán bằng cửa hậu được mở bởi Mydoom.

Sâu máy tính thường được thiết kế để có thể phát tán từ máy tính này sang máy tính khác mà
người sử dụng không hề hay biết. Không giống như virus máy tính, sâu máy tính có thể tự nhận
bản lên nhiều lần mặc dù bạn không thực hiện bất kỳ thao tác gì. Ví dụ như sâu máy tính có thể
xâm nhập vào hệ thống mail của bạn để tự gửi email đến tất cả các địa chỉ trong Contact list của
bạn.Chắc bạn đã từng nghe nói đến một số sâu máy tính nổi tiếng như Conficker, Sasser, và
Blaster.
Để ngăn chặn việc lây nhiễm các sâu máy tính, bạn có thể làm theo 5 bước dưới đây:
1. Luôn luôn bật tường lửa (Firewall) Hãy kiểm tra tình trạng của Firewall trong Control Panel
để đảm bảo luôn ở chế độ bật (On)
2. Hãy luôn cập nhật hệ điều hành của thông qua Windows Update và các bạn cập nhật bảo mật
được Microsoft cung cấp hàng tháng.
3. Sử dụng các phần mềm phòng chống virus của các hãng có tên tuổi
4. Không sử dụng các mật khẩu đơn giản, đặc biệt khi bạn truy cập vào các mạng máy tính hay
internet.
5. Hãy cân nhắc việc bỏ chế độ tự đông chạy “AutoPlay” vì chế độ này có thể tạo điều kiện
thuận lợi cho các sâu máy tính như Conficker tự động lây nhiễm
Bạn cũng cần phải xem xét cẩn thận trước khi mở một file đính kèm hay click chuột vào một
đường link trong email. Bạn cũng cần cân nhắc trước khi đồng ý nhận một file chuyển qua mạng.
Không bao giờ mở một file đính kèm từ một địa chỉ email mà bạn không biết trừ khi bạn biết
chính xác trong file đính kèm có gì.
Nếu bạn nghĩ rằng máy tính của bạn đã bị nhiễm sâu máy tính bạn có thể sử dụng các phần mềm
Windows Live OneCare Safety Scanner hoặc the Malicious Software Removal Tool để kiểm tra
và gỡ bỏ.
Get a free PC safety scan
/>Malicious Software Removal Tool
e/default.aspx
Bài đọc thêm.
Morris (sâu máy tính)
Sâu Morris là sâu máy tính đầu tiên được phát tán qua Internet; nó cũng là con sâu đầu tiên thu
hút được sự chú ý đáng kể của các phương tiện thông tin đại chúng. Tác giả của nó là Robert

Tappan Morris, một sinh viên tại Đại học Cornell. Sâu Morris được thả lên mạng vào ngày 2
tháng 11 năm 1988 từ học viện MIT, nó được phát tán từ MIT để che dấu thực tế là con sâu đã
được bắt nguồn từ Cornell. (Tình cờ, Robert Tappan Morris hiện là một giáo sư tại MIT.)
Kiến trúc của sâu Morris
Theo tác giả, sâu Morris không được viết với mục đích gây thiệt hại mà chỉ để đo kích thước của
Internet. Tuy nhiên, một hậu quả ngoài ý muốn đã làm cho nó trở nên gây hại: một máy tính có
thể bị nhiễm nhiều lần và mỗi một tiến trình bổ sung sẽ góp phần làm chậm máy đến mức không
thể sử dụng được. Sâu Morris hoạt động bằng cách lợi dụng một số điểm yếu đã biết trong các
chương trình sendmail, Finger, rsh/rexec và các mật khẩu yếu trong Unix. Thân chương trình
chính của sâu Morris chỉ có thể nhiễm các máy VAX của DEC đang chạy hệ điều hành BSD 4 và
Sun 3. Một thành phần "móc" (grappling hook) khả chuyển viết bằng C theo cơ chế tràn bộ đệm
đã được sử dụng để chở thân chương trình chính, và thành phần móc có thể chạy trên các hệ
thống khác, sinh tải làm chậm hệ thống và biến hệ thống thành nạn nhân.
Sai lầm
Sai lầm nghiêm trọng đã biến con sâu từ chỗ một thí nghiệm trí thức có tiềm năng vô hại thành
một tấn công từ chối dịch vụ đầy phá hoại là ở tại cơ chế lây lan. Con sâu xác định xem có xâm
nhập một máy tính mới hay không bằng cách hỏi xem hiện đã có một bản sao nào đang chạy hay
chưa. Nhưng nếu chỉ làm điều này thì việc xóa bỏ nó lại quá dễ dàng, bất cứ ai cũng chỉ phải
chạy một tiến trình trả lời rằng "có" khi được hỏi xem đã có bản sao nào chưa, và con sâu sẽ
tránh. Để tránh chuyện này, Morris thiết kế để con sâu tự nhân đôi với xác suất 40%, bất kể kết
quả của việc kiểm tra lây nhiễm là gì. Thực tế cho thấy tỷ lệ nhân đôi này là quá cao và con sâu
lây lan nhanh chóng, làm nhiễm một số máy tính nhiều lần.
Hậu quả
Người ta thống kê rằng có khoảng 6.000 máy tính chạy Unix đã bị nhiễm sâu Morris. Paul
Graham đã nói rằng "Tôi đã chứng kiến người ta xào xáo ra con số này, công thức nấu ăn như
sau: ai đó đoán rằng có khoảng 60.000 máy tính nối với Internet, và con sâu có thể đã nhiễm
10% trong số đó." [1] Mỹ đã ước tính thiệt hại vào khoảng từ 10 đến 100 triệu đô la.
Robert Morris đã bị xử và buộc tội vi phạm Điều luật năm 1986 về lạm dụng và gian lận máy
tính (Computer Fraud and Abuse Act). Sau khi chống án, anh ta bị phạt 3 năm án treo, 400 giờ
lao động công ích và khoản tiền phạt 10.050 đô la Mỹ.

Sâu Morris đôi khi được gọi là "Great Worm" (Sâu khổng lồ) do hậu quả nặng nề mà nó đã gây
ra trên Internet khi đó, cả về tổng thời gian hệ thống không sử dụng được, lẫn về ảnh hưởng tâm
lý đối với nhận thức về an ninh và độ tin cậy của Internet.
Bài đọc thêm 2.
Một loại virus máy tính được xếp vào nhóm worm (sâu) có thể đă được tạo ra để tấn công vào
mục tiêu là các nhà máy điện nguyên tử của Iran.
Con virus máy tính này có tên là Stuxnet, đă được phát hiện hồi đầu tháng 6/2010, được các
chuyên gia mô tả nó là loại sâu có cấu trúc phức tạp nhất từ trước tới nay. Họ tin rằng đây là loại
"siêu vũ khí mạng" đầu tiên trên thế giới, có thiết kế đặc biệt nhằm tấn công các nhà máy điện
hạt nhân mà đối tượng nhắm tới là Iran.
Những con sâu này không lây lan qua Internet, bởi các máy tính nạn nhân của nó đều không nối
mạng vì lý do an ninh. Thay vào đó, nó sẽ lây qua ổ đĩa USB và xâm nhập vào máy sử dụng hệ
điều hành Window của Microsoft. Sau khi thành công, Stuxnet sẽ t́ìm tới các phần mềm chạy hệ
thống điều khiển công nghiệp tại các nhà máy, đặc biệt là nhà máy điện.
Các virus sẽ bắt đầu tấn công bằng cách tái lập trình lại các phần mềm chúng xâm nhập để thay
đổi hoạt động của máy móc. Nó có khả năng kiểm soát các quá trình quan trọng, thậm chí đưa
toàn bộ hệ thống đến trạng thái tự hủy diệt.
David Emm, một chuyên gia nghiên cứu bảo mật cao cấp của hăng phần mềm Kaspersky cho
biết: Những ǵ khiến Stuxnet khác các loại sâu máy tính thông thường là ở bản chất mục tiêu của
nó. Công ty Kaspersky đă làm việc với Microsoft để t́m các lỗ hổng trong bảng mă khiến Stuxnet
có thể khai thác nó và tấn công.
Theo David Emm: "Hầu hết các loại virus được tạo ra theo cách thông thường sẽ tấn công vào tất
cả các mục tiêu mà chúng có thể, nhưng Stuxnet th́ì hoàn toàn khác, chúng được viết ra chỉ để
nhắm vào một hệ thống nhất định. Nó t́ìm thấy lỗ hổng trong bộ mă và sử dụng chúng như cửa
đột nhập vào ngôi nhà, như một dụng cụ của kẻ trộm để nạy một khe hở lớn hơn. Stuxnet được
thiết kế với mục đích hoàn toàn phá hoại".
Ralph Langer, chuyên gia an ninh mạng người Đức có công phát hiện ra Stuxnet, cho biết:
"Stuxnet tấn công trực tiếp 100% nhằm tiêu diệt một quá tŕnh công nghiệp nào đó. Nó không
phải là phần mềm gián điệp như nhiều người đă nghe nói".
Iran đang là quốc gia chịu ảnh hưởng nặng nhất của Stuxnet với 60% số máy tính nhiễm virus.

Ông Langer tin rằng nhà máy hạt nhân Bushehr của Iran chính là mục tiêu của Stuxnet. Bushehr
đă được nạp nguyên liệu hạt nhân, nhưng không được khởi động vào tháng 8/2010 như kế hoạch.
Langer cũng nói thêm rằng: "Sự tinh vi của Stuxnet chứng tỏ người đứng sau và phát triển ra nó
phải là lực lượng có tầm cỡ cấp quốc gia. Stuxnet không phải là sản phẩm của một vài hacker
nào đó, mà có sự chống lưng từ phía nhà nước".
Có vẻ Stuxnet đă tấn công trúng mục tiêu của ḿnh, nhưng chưa có lời xác nhận chính thức nào
được đưa ra. Nếu như lời của Langer là sự thực thì Iran sẽ phải chuẩn bị đối mặt với một cuộc
chiến tranh đang cận kề.