Các loại sâu máy tính ngày càng nguy hiểm hơn
ĐĂNG KHOA

Tháng 8 này xuất hiện ba loại sâu máy tính nguy hiểm với tốc độ lây lan khủng khiếp. Đầu tiên là sâu Mimail, xuất hiện vào ngày 1/8. Kế đến là sâu MSBlast, xuất hiện hồi trung tuần trong tháng và mới đúng là sâu Sobig.F. Nếu như con sâu thứ nhất đại diện cho kỹ năng lừa đảo chuyên nghiệp, con sâu thứ hai đại diện cho phương thức lây nhiễm mới thì con sâu thứ ba đã lập một kỷ lục về sự lây nhiễm. Sự xuất hiện dồn dập của những loại sâu nguy hiểm buộc chúng ta phải tự hỏi: Liệu ngày nào đó, mạng Internet toàn cầu của chúng ta sẽ bị đánh sập bởi loại sâu nào đó?

Sâu Mimail, kẻ mạo danh chuyên nghiệp

Mimail núp trong một lá thư điện tử có tiêu đề “Your account”. Nội dung lá thư điện tử này có đoạn: “Tôi muốn thông báo cho bạn một thông tin quan trọng liên quan đến địa chỉ thư điện tử của bạn. Địa chỉ này sắp hết hạn. Bạn hãy đọc file đính kèm để biết chi tiết. Thân ái. Người quản trị”.

Rất nhiều người sử dụng Internet đã bị con sâu này lừa vì họ nghĩ rằng bức thư được chính người quản trị hộp thư điện tử gửi nên vô tình mở file đính kèm, kích hoạt sâu Mimail phát tác. Đây là một thủ đoạn lừa đảo không mới, nhưng vẫn lừa được rất nhiều người.

Cũng giống như các loại sâu khác, sau khi đã chui được vào trong máy tính, sâu Mimail sẽ tìm tất cả các địa chỉ thư điện tử trong sổ địa chỉ để phát tán bản sao của nó. Theo hãng phát triển giải pháp bảo mật máy tính Symantec, số lượng thư điện tử do sâu Mimail sinh ra có thể gây tắc nghẽn máy chủ e-mail và làm chậm mạng.

MSBlast, sát thủ vô hình

Có thể coi MSBlast là một “sát thủ vô hình” bởi nó xâm nhập vào máy tính một cách âm thầm. Kể cả khi người sử dụng đã được cảnh báo về sự xuất hiện của loại sâu này thì người ta vẫn không biết được “hình dáng” của nó. Không giống như các loại sâu khác lây lan qua con đường thư điện tử mà chúng ta có thể nhận diện được căn cứ vào những đặc điểm của bức thư điện tử đó (tiêu đề, nội dung, tên file đính kèm), sâu MSBlast âm thầm “chui” vào máy tính qua một lỗ hổng trong hệ điều hành Windows 2000 và Windows XP (lỗ hổng này từng được hãng Microsoft công bố hồi giữa tháng 7). Người sử dụng chỉ biết được sự hiện diện của con sâu này khi máy tính của họ thông báo là nó sẽ tự động tắt trong vòng 60 giây nữa bất chấp họ có muốn hay không.

Phương thức lây nhiễm qua thư điện tử mà đa phần các loại sâu thường thực hiện có một hạn chế là người sử dụng có thể sẽ nghi ngờ và không mở thư ra xem, cũng như không mở file đính kèm, và như vậy thì sâu sẽ không thể được kích hoạt. Nhưng phương thức lây nhiễm của MSBlast lại quá tinh vi. Nó không cần mượn bàn tay của người sử dụng mà cứ thế lây nhiễm thẳng vào máy tính, rồi sử dụng máy tính đó quét tìm máy tính khác trên mạng có lỗ hổng tương tự để xâm nhập. Đây là một phương thức lây nhiễm rất mới. Chính vì vậy, số lượng máy tính bị nhiễm sâu MSBlast rất lớn.

Theo thống kê của hãng Symantec, số lượng máy tính bị nhiễm MSBlast trên toàn thế giới trong vòng 10 ngày qua là hơn 500.000, với tốc độ lây nhiễm 2.500 máy/giờ. Nếu như Mỹ là quốc gia khởi nguồn của sâu MSBlast thì châu Á lại là nơi con sâu này hoành hành dữ dội. Hàn Quốc thông báo có hơn 8.000 trường hợp nhiễm sâu MSBlast. Hoạt động của hơn 420 doanh nghiệp Nhật Bản bị ảnh hưởng do hệ thống máy tính bị nhiễm sâu. Tại Việt Nam, theo ước tính của Trung tâm An ninh mạng thuộc Đại học Bách khoa Hà Nội, số lượng máy tính nhiễm sâu MSBlast khoảng trên 40.000.

Ngày 18/8 vừa qua, một biến thể của sâu MSBlast đã xuất hiện. Nó có tên là Nachi (hay MSBlast.D). Con sâu này có chức năng tải bản sửa lỗi để lấp lỗ hổng mà sâu MSBlaster khai thác nhưng đồng thời nó cũng sinh ra một khối lượng lớn thư điện tử, làm tắc nghẽn hệ thống mạng của một số doanh nghiệp. Hãng công nghệ cao Lockheed Martin đã phải tạm ngắt hệ thống máy tính của mình khỏi mạng. Máy chủ thư điện tử của Viện Công nghệ Massachusetts tràn ngập sâu Nachi. Hãng hàng không Canada (Air Canada) đã phải huỷ bỏ các chuyến bay hôm 19/8 vì mạng máy tính của hãng này bị tê liệt bởi một số lượng lớn các dữ liệu rác do sâu Nachi sinh ra.

Sự xuất hiện của MSBlast và Nachi khiến người ta nhớ đến loại sâu Slammer xuất hiện hồi tháng Giêng năm nay. Sâu Slammer cũng khai thác một lỗ hổng trong hệ điều hành Windows. Slammer đã khiến cho hệ thống mạng của nhiều doanh nghiệp bị tê liệt, máy móc của một số ngân hàng tạm ngừng hoạt động, một số chuyến bay bị hoãn.

Sobig.F lập kỷ lục lây nhiễm

Ngay sau khi xuất hiện, Sobig.F đã lập một kỷ lục thế giới mới về lây nhiễm. Theo MessageLabs, một công ty cung cấp dịch vụ quét tìm virus trong thư điện tử, chỉ 24 giờ sau khi xuất hiện, Sobig.F đã sinh ra hơn một triệu bản sao. Trung bình cứ 17 thư điện tử đi qua bộ lọc của MessageLabs thì có một cái “dính” Sobig.F.

Sở dĩ Sobig.F có tốc độ lây lan chóng mặt là vì nó có khả năng gửi nhiều thư điện tử bị nhiễm sâu cùng một lúc, còn các loại sâu khác chỉ gửi được từng cái một. Sobig.F là biến thể thứ 6 của sâu Sobig nguyên thủy xuất hiện hồi tháng Giêng.

Khi lây nhiễm vào một máy tính, Sobig.F sử dụng máy tính đó để “dội bom thư”. Số lượng các bức thư điện tử chứa sâu Sobig.F sinh ra lớn khủng khiếp. America Online cho biết ngày 20/8 hãng này đã quét được 40 triệu file đính kèm thư điện tử, một khối lượng gấp bốn lần ngày thường, và phát hiện ra 23 triệu file đính kèm chứa Sobig.F. Theo công ty MessageLabs, 38% máy tính ở Anh, 31% máy tính ở Mỹ và 30% máy tính ở Trung Quốc đã nhiễm sâu Sobig.F. Ở Việt Nam, theo ghi nhận của Trung tâm An ninh mạng Đại học Bách khoa Hà Nội, vào ngày cao điểm, cứ một phút Trung tâm nhận được 10 bức thư điện tử chứa sâu Sobig.F.

Nếu nhân với 10 tiếng đồng hồ thì sẽ nhận được một con số khổng lồ thư điện tử chứa sâu. Gần như tất cả các cơ quan có kết nối Internet đều gặp phải tình trạng này.

May mắn là Sobig.F được lập trình để ngừng hoạt động vào ngày 10/9 tới. Nhưng theo các chuyên gia nghiên cứu virus, biến thể mới của nó có thể được sinh ra vào trước thời điểm 10/9. Chẳng hạn như biến thể Sobig.E đã xuất hiện vào ngày 25/6, một tuần trước khi Sobig.D được đặt giờ để ngừng hoạt động.

Sự xuất hiện của Sobig.F đã tạo một kỷ lục thế giới mới về lây nhiễm, đánh bại kỷ lục của các loại sâu Klez, BugBear, Nimda, Kournikova xuất hiện trước đây.

Do quá chậm trễ và thiếu hiểu biết

Sự xuất hiện của các loại sâu máy tính là không thể tránh khỏi. Tuy nhiên, việc sâu máy tính có khả năng lây lan rộng hay không lại hoàn toàn phụ thuộc vào người sử dụng máy tính. Đây là một yếu tố quyết định đến sự tồn tại của sâu máy tính. Theo người viết bài này, người sử dụng máy tính có hai yếu điểm, tạo điều kiện cho các loại sâu tác oai tác quái: Quá chậm trễ trong việc áp dụng các biện pháp bảo mật máy tính, và thiếu những hiểu biết cơ bản về sâu máy tính.

Tại hội thảo Black Hat Briefings (một hội thảo thường niên về bảo mật máy tính) tổ chức hồi cuối tháng 7, hãng Qualys đã công bố một nghiên cứu khiến nhiều người không khỏi giật mình. Nghiên cứu này chỉ ra rằng, sau 30 ngày kể từ khi một lỗ hổng được phát hiện, gần một nửa số hệ thống máy tính có lỗ hổng vẫn chưa được “vá” lại. Chính loại sâu máy tính MSBlast đã lợi dụng một lỗ hổng chưa được “vá” của hệ điều hành Windows để xâm nhập vào máy tính. Không thể đổ lỗi cho Microsoft bởi vì hãng này đã công bố về lỗ hổng trên và đưa ra “miếng vá” trong tháng 7, tức là một tháng trước khi MSBlast xuất hiện song người sử dụng không biết, hoặc không đoái hoài, hoặc quá chậm trễ trong việc cập nhật bản sửa lỗi. Kết quả là hơn 500.000 máy tính đã nhiễm sâu MSBlast.

Hiện nay, rất nhiều người không hiểu thế nào là một sâu máy tính. Chuyên gia virus máy tính Nguyễn Tử Quảng đã từng nói rằng: “Người sử dụng không ý thức được sâu máy tính cũng nguy hiểm giống như bàng quan với quả bom để trước nhà”.

Do thiếu hiểu biết nên nhiều người đã nhấp chuột mở những bức thư điện tử có những tiêu đề hấp dẫn, hoặc nhắp mở những file đính kèm hứa hẹn một nội dung “gợi cảm”.

Trở lại với câu hỏi ở đầu bài, liệu có khả năng ngày nào đó mạng toàn cầu của chúng ta sẽ bị đánh sập bởi một loại sâu nào đó? Câu trả lời phụ thuộc hoàn toàn vào người sử dụng. Nếu chúng ta luôn cảnh giác với những bức thư điện tử có file đính kèm, bất kể bức thư đó được gửi đến từ người thân hay bạn bè (do sâu máy tính có thể mạo danh), thường xuyên cập nhật phần mềm chống virus, nhanh chóng cập nhật các bản sửa lỗi (miếng vá lỗ hổng), chắc chắn chẳng có loại sâu nào có thể “tác oai tác quái” được. Còn không thì...

Sự khác nhau giữa virus máy tính, sâu máy tính và Trojan

Người ta đã mượn đặc điểm virus trong y học (kích thước rất nhỏ, có khả năng ẩn nấp và lây nhiễm nhanh) để gán cho các phần mềm máy tính mang tính chất phá hoại do con người viết ra. Lúc đầu, do khả năng lưu trữ của máy tính chưa cao, phương tiện truyền bá virus chủ yếu thông qua đĩa mềm nên virus là những phần mềm phá hoại có kích thước nhỏ.

Về sau, sự phát triển của Internet và thư điện tử đã tạo ra một môi trường phát tán mới cho virus. Vì thư điện tử có thể chứa các file đính kèm với kích thước lớn nên một số người viết các phần mềm phá hoại với kích thước lớn và người ta đã mượn khái niệm “sâu máy tính” để chỉ trường hợp này. Sâu có đặc điểm là kích thước lớn hơn virus, sinh sôi nhanh, nhiều. Mượn hệ thống thư điện tử, một con sâu có thể sinh sôi ra hàng nghìn bản sao và phát tán khắp toàn cầu chỉ trong vòng mấy phút.

Còn có một khái niệm khác là Trojan, xuất phát từ danh từ Trojan Horse (gắn với truyền thuyết “Ngựa thành Troie”). Trong tin học, Trojan là một phần mềm có nhiệm vụ xâm nhập một máy tính, ẩn nấp rồi ghi lại các thông tin của máy tính và gửi về cho người viết ra nó, đồng thời mở “cửa sau” để tác giả có thể 0dễ dàng xâm nhập máy tính đó mà người sử dụng máy tính không hề hay biết.