Phân biệt virus và sâu máy tính

[nktung]

Virus và sâu máy tính là những mối đe dọa phổ biến đối với an toàn thông tin. Mặc dù cả hai đều là phần mềm độc hại nhưng vẫn có những điểm khác biệt. Hiểu rõ sự khác biệt này nhằm xây dựng chiến lược bảo mật mạnh mẽ và giữ cho hệ thống máy tính an toàn.

1. Virus máy tính

Virus máy tính là chương trình tự nó sao chép lại chính nó. Nó có thể được gắn vào chương trình khác, nó có thể tạo phiên bản Copy chính nó. Nó có thể làm hỏng dữ liệu, thay đổi dữ liệu hoặc làm giảm hiệu suất của hệ thống máy tính bằng cách chiếm dụng tài nguyên của hệ thống như: bộ nhớ hoặc khoảng trống trên đĩa. Virus máy tính có thể nằm một trong bốn phân loại sau:

• Virus máy tính Boot Sector Virus Boot Sector lây nhiễm vào Bản ghi khởi động (Boot Record) trên ổ đĩa cứng, ổ dĩa mềm và theo lí thuyết cả trên CD và DVD. Virus Boot Sector không cần cho máy nạn nhân khởi động thành công để lây nhiễm nó, bởi vì thậm trí không khởi động được cũng là nguyên nhân nó đã phát tán. Khi một máy tính bị lây nhiễm mà khởi động thành công thì Virus này nằm trong bộ nhớ của hệ thống và tự nó sẽ lây nhiễm lên đĩa mềm hoặc với những thiết bị ghi khác khi máy tính này ghi một nội dung nào đó vào những thiết bị trên . Loại Virus Boot Sector trở nên ngày một ít dần khi đĩa mềm không còn được thông dụng nữa.
• Virus MBR (Master Boot Record) Loại Virus MBR cũng tương tự như những Virus Boot Sector, ngoại trừ chúng chỉ lây nhiễm lên MBR thay cho Boot Sector.
• Virus lây nhiễm theo File Virus lây nhiễm theo file lây nhiễm những File .COM hoặc .EXE. Một vài File bị lây nhiễm thuộc dạng chạy thường trú, tức là Virus sẽ nằm trong bộ nhớ và tiếp tục lây nhiễm sang những File khác. Quá trình lây nhiễm từ file này sang những File khác khi File được chạy.
• Virus Macro Virus Macro lây nhiễm chỉ theo một định dạng nào đó của File dữ liệu. Hầu hết Virus Macro lây nhiễm những File của bộ Microsoft Office như: File Word, Excel, PowerPoint và Access. Virus Macro thông thường dùng ngôn ngữ Macro Visual Basic mà tích hợp bên trong những ứng dụng của Microsoft Office. Một vài Virus Macro cũng có tính năng của Sâu máy tính (Worm), có nghĩa là chúng có thể tự phát tán chúng qua mạng.
• Và 1 loại nữa là Virus tổ hợp Virus tổ hợp có những đặc tính của nhiều loại Virus thông thường. Ví dụ nó có thể lây nhiễm cả Boot Record và File chương trình.

Ngày nay, hầu hết các virus lây lan bằng thẻ nhớ USB, đĩa CD, DVD, mạng hoặc email. Virus email hiện nay là loại phổ biến nhất của virus.

2. Sâu máy tính (Worm)

Sâu máy tính là chương trình mà tự nó Copy qua mạng. Sâu máy tính khác với Virus máy tính là nó có thể tự lây lan mà không cần can thiệp của con người. Virus máy tính cần một chương trình chủ để chạy, và đoạn mã Virus chạy như là một phần của chương trình chủ. Sâu máy tính có thể phát tán không cần chương trình chủ. Một ví dụ điển hình về Sâu máy tính: Sâu máy tính ban đầu bị phát tán trên mạng Internet do Robert Tappan Morris vào năm 1988. Sâu Internet dùng gửi thư và tự nó phát tán trên mạng Internet. Sâu SQL Slammer Worm, năm 2003, khai thác điểm yếu không được bảo vệ trong Microsoft SQL Server 2000 để tự phát tán qua Internet . Sâu Blaster, năm 2003, dùng kẽ hở trong Microsoft DCOM RPC để tự phát tán. Sâu Melissa trong năm 1999, sâu Sobig năm 2003 và Mydoom năm 2004 tất cả tự phát tán qua Email.

• Một sâu máy tính thực thi mã ngẫu nhiên và cài đặt các bản sao của chính nó trong bộ nhớ của máy tính bị nhiễm, sau đó ảnh hưởng đến các máy chủ khác. Sâu là một loại đặc biệt nguy hiểm của mã độc. Chúng tự nhân bản bằng cách tự khai thác lỗ hổng trong mạng. Sâu thường làm chậm mạng. Sâu đã gây ra các cuộc tấn công khủng khiếp nhất trên Internet: sâu Code Red, Conficker...
• Hầu hết các cuộc tấn công bằng Sâu thường chia làm 3 giai đoạn:
  • Tìm lỗ hổng - Một sâu tự cài đặt bằng cách sử dụng một cơ chế khai thác (tập tin đính kèm email, tập tin thực thi, Trojan Horse) trên một hệ thống dễ bị tổn thương.
  • Phát tán - Sau khi đạt được quyền truy cập vào một thiết bị, worms sao chép chính nó và đặt mục tiêu mới.
  • Thực thi - trên máy nạn nhân