Worm máy tính là một loại chương trình phần mềm độc hại có chức năng chính là lây nhiễm sang các máy tính khác trong khi vẫn hoạt động trên những hệ thống bị nhiễm.
Worm máy tính là phần mềm độc hại tự sao chép để lây lan sang các máy tính chưa bị nhiễm. Worm thường sử dụng các phần tự động và vô hình đối với người dùng của hệ điều hành. Thông thường, worm chỉ được chú ý khi sự sao chép không kiểm soát của chúng tiêu tốn tài nguyên hệ thống, làm chậm hoặc tạm dừng các tác vụ khác.
Worm máy tính lây lan như thế nào?
Worm máy tính lây lan mà không cần có sự tương tác của người dùng. Tất cả những gì cần thiết là để worm máy tính hoạt động trên hệ thống bị nhiễm. Trước khi mạng được sử dụng rộng rãi, worm máy tính đã lây lan qua các phương tiện lưu trữ bị nhiễm, chẳng hạn như đĩa mềm, khi được gắn trên hệ thống, sẽ lây nhiễm sang các thiết bị lưu trữ khác được kết nối với hệ thống. USB vẫn là một vector phổ biến cho worm máy tính.
Cách hoạt động của worm máy tính
Worm máy tính thường dựa vào các hoạt động và lỗ hổng trong những giao thức mạng để lan truyền. Ví dụ, worm WannaCry ransomware đã khai thác một lỗ hổng trong phiên bản đầu tiên của giao thức chia sẻ tài nguyên Server Message Block (SMBv1) được triển khai trong hệ điều hành Windows. Sau khi hoạt động trên một máy tính mới bị nhiễm, phần mềm độc hại WannaCry sẽ bắt đầu một cuộc tìm kiếm các nạn nhân tiềm năng mới trên mạng: Những hệ thống phản hồi các yêu cầu SMBv1 do worm này thực hiện. Worm có thể tiếp tục lây lan trong một tổ chức theo cách này. Khi người mang theo thiết bị riêng (BYOD) bị nhiễm, worm này có thể lây lan sang các mạng khác, cho phép tin tặc quyền truy cập nhiều hơn.
Worm email hoạt động bằng cách tạo và gửi thư đi đến tất cả các địa chỉ trong danh sách liên hệ của người dùng. Các tin nhắn bao gồm một file thực thi độc hại lây nhiễm vào hệ thống mới khi người nhận mở nó. Các worm email thành công thường kết hợp những phương pháp social engineering để nhắc người dùng mở file đính kèm.
Stuxnet, một trong những loại worm máy tính khét tiếng nhất cho đến nay, bao gồm một thành phần worm lan truyền phần mềm độc hại thông qua việc chia sẻ các thiết bị USB bị nhiễm, cũng như phần mềm độc hại nhắm vào hệ thống kiểm soát giám sát và thu thập dữ liệu (SCADA), được sử dụng rộng rãi trong môi trường công nghiệp, bao gồm các tiện ích điện, dịch vụ cấp nước, nhà máy xử lý nước thải và nhiều nơi khác. Worm máy tính thuần túy tự lan truyền từ hệ thống bị nhiễm sang hệ thống không bị nhiễm, nên khó mà giảm thiểu khả năng bị hư hại từ những con worm máy tính như vậy.
Một hệ thống bị nhiễm có thể trở nên không khả dụng hoặc không đáng tin cậy do liên quan đến sự lan truyền của worm, đồng thời worm máy tính cũng được biết là làm gián đoạn mạng thông qua sự bão hòa của các liên kết mạng với lưu lượng độc hại.
Các loại worm máy tính
Có một số loại worm máy tính độc hại:
Virus máy tính hoặc worm hybrid là một phần của phần mềm độc hại lây lan giống như một worm, nhưng nó cũng sửa đổi code chương trình giống như một loại virus - hoặc mang theo một số loại payload độc hại, chẳng hạn như virus, ransomware hoặc một số loại phần mềm độc hại khác.
Worm bot có thể được sử dụng để lây nhiễm vào máy tính và biến chúng thành zombie hoặc bot, với mục đích sử dụng chúng trong các cuộc tấn công phối hợp thông qua botnet.
Worm IM lan truyền thông qua các dịch vụ nhắn tin tức thời và khai thác quyền truy cập vào danh sách liên hệ trên máy tính nạn nhân.
Worm email thường được phát tán dưới dạng các file thực thi độc hại được đính kèm với những gì có vẻ là thư email thông thường.
Worm file-sharing: Ngay cả khi phát trực tuyến trở thành phương thức thống trị, nhiều người vẫn thích tìm nguồn nhạc, phim và chương trình truyền hình thông qua mạng chia sẻ file ngang hàng. Vì các mạng chia sẻ file này hoạt động trong một khu vực mà tính hợp pháp không được đề cao, chúng hầu như không được kiểm soát và do đó, tin tặc dễ dàng nhúng worm vào các file có nhu cầu tải cao. Khi bạn tải xuống các file bị nhiễm, worm sẽ tự sao chép vào máy tính và tiếp tục công việc của nó. Hãy cẩn thận vào lần tiếp theo khi bạn muốn tránh phải trả tiền cho bộ phim hoặc album mới hấp dẫn nào đó.
Cuối cùng, có một loại worm máy tính được thiết kế để lan truyền trên các mạng với mục đích cung cấp những bản vá cho các lỗ hổng bảo mật đã biết. Mặc dù loại worm này đã được mô tả và thảo luận trong giới học thuật, nhưng các ví dụ thực tế vẫn chưa được tìm thấy, rất có thể là do khả năng gây hại không mong muốn đối với các hệ thống phản ứng bất ngờ với phần mềm như vậy, lớn hơn khả năng loại bỏ các lỗ hổng. Trong mọi trường hợp, việc sử dụng bất kỳ phần mềm nào thay đổi hệ thống mà không có sự cho phép của chủ sở hữu hệ thống sẽ khiến nhà xuất bản phải chịu nhiều cáo buộc hình sự và dân sự khác nhau.
Worm máy tính có thể làm gì?
Khi worm lần đầu tiên xuất hiện, chúng không có mục tiêu nào khác ngoài việc sinh sôi nảy nở càng rộng càng tốt. Các tin tặc ban đầu đã tạo ra những worm này để giải trí cho riêng mình, thể hiện kỹ năng hoặc để chứng minh các lỗ hổng và điểm yếu trong những hệ điều hành hiện tại.
Những "worm tinh khiết" này thường sẽ gây hại hoặc làm gián đoạn - tác dụng phụ của các quy trình dự kiến - mặc dù bản thân chúng không được thiết kế để gây ra những việc này. Worm ngốn nhiều tài nguyên có thể làm chậm hoặc thậm chí làm hỏng máy tính chủ, bằng cách tiêu tốn quá nhiều sức mạnh xử lý, trong khi những worm khác làm tắc nghẽn mạng bằng cách đẩy nhu cầu băng thông lên mức cực cao khi chúng lây lan.
Thật không may, cuối cùng, các tin tặc đã sớm nhận ra rằng worm có thể được sử dụng làm cơ chế phân phối phần mềm độc hại bổ sung. Trong những trường hợp này, code bổ sung do worm tạo ra được gọi là "payload" của nó. Một chiến lược phổ biến là trang bị cho các worm một payload mở ra một “cửa hậu” (backdoor) trên các máy bị nhiễm, cho phép tội phạm mạng quay lại sau để kiểm soát hệ thống. Các payload khác có thể thu thập dữ liệu cá nhân nhạy cảm, cài đặt ransomware hoặc biến những máy tính mục tiêu thành “zombie” để sử dụng trong các cuộc tấn công botnet.
Lịch sử worm máy tính
Một số chủng phần mềm độc hại có sức phá hoại lớn nhất là worm máy tính. Hãy cùng xem qua một số ví dụ về các worm máy tính khét tiếng nhất:
Worm Morris
Sinh viên sau đại học Robert Tappan Morris đã bắt đầu kỷ nguyên của worm máy tính bằng cách tung ra tác phẩm của mình vào ngày 2 tháng 11 năm 1988. Morris không có ý định để worm của mình gây ra bất kỳ thiệt hại thực sự nào, nhưng do cách viết code mà worm này đã có thể lây nhiễm nhiều lần cho nhiều máy chủ.
Sơ xuất nghiêm trọng của Morris đã dẫn đến hàng loạt vụ máy tính ngừng hoạt động, khiến một phần đáng kể của mạng Internet vào thời điểm đó không thể sử dụng được cho đến khi worm này bị loại bỏ khỏi các máy bị nhiễm. Hậu quả của thiệt hại do worm này gây ra ước tính là từ hàng trăm nghìn đến hàng triệu đô la. Morris cũng trở thành người đầu tiên bị kết án theo Đạo luật Lạm dụng và Lừa đảo Máy tính năm 1986 của Hoa Kỳ.
ILOVEYOU
Được đặt tên theo thông điệp email mà nó lan truyền, worm ILOVEYOU xuất hiện ở Philippines vào đầu năm 2000, trước khi nhanh chóng lan rộng khắp thế giới. Trái ngược với worm Morris, ILOVEYOU là một loại worm độc hại được thiết kế để ghi đè ngẫu nhiên các file trên máy tính của nạn nhân.
Sau khi phá hoại máy chủ, ILOVEYOU đã gửi email các bản sao của chính nó qua Microsoft Outlook tới tất cả những địa chỉ liên hệ trong Windows Address Book (Sổ địa chỉ Windows) của nạn nhân. Cuối cùng, ILOVEYOU đã gây ra thiệt hại hàng tỷ đô la trên toàn thế giới, khiến nó trở thành một trong những worm máy tính khét tiếng nhất từng thấy.
SQL Slammer
SQL Slammer năm 2003 là một loại worm Internet tàn bạo, lây lan với tốc độ cực nhanh và lây nhiễm cho khoảng 75.000 nạn nhân chỉ trong 10 phút. Thoát khỏi các chiến thuật email của ILOVEYOU, SQL Slammer đã lây lan thông qua việc nhắm mục tiêu vào một lỗ hổng trong Microsoft SQL Server dành cho Windows 2000.
SQL Slammer đã tạo địa chỉ IP một cách ngẫu nhiên, sau đó gửi các bản sao của chính nó đến các máy tính tại những địa chỉ đó. Nếu máy tính nhận tình cờ đang chạy phiên bản SQL Server chưa được vá và vẫn còn lỗ hổng bảo mật, SQL Slammer sẽ tiến vào ngay và bắt đầu hoạt động. Nó biến các máy tính bị nhiễm thành botnet, sau đó được sử dụng để khởi động nhiều cuộc tấn công DDoS.
Mặc dù bản vá bảo mật liên quan đã có sẵn từ năm 2002, ngay cả trước làn sóng tấn công đáng sợ trong lần đầu xuất hiện, nhưng SQL Slammer đã hồi sinh vào năm 2016 và 2017.
WannaCry
WannaCry là một minh họa gần đây hơn về mức độ tàn phá mà worm có thể gây ra, ngay cả với các công cụ an ninh mạng hiện đại. Worm WannaCry 2017 cũng là một ví dụ về ransomware, vì nó mã hóa các file của nạn nhân và yêu cầu thanh toán tiền chuộc để có lại quyền truy cập. Chỉ trong một ngày, WannaCry đã xâm nhập vào 230.000 PC ở 150 quốc gia, bao gồm các mục tiêu nổi tiếng như Dịch vụ Y tế Quốc gia của Anh và nhiều chi nhánh của chính phủ, trường đại học và công ty tư nhân khác.
WannaCry đã sử dụng phương thức khai thác EternalBlue để nhắm mục tiêu vào một lỗ hổng bảo mật trong các phiên bản Windows cũ hơn Windows 8. Khi tìm thấy một máy tính dễ bị tấn công, nó đã cài đặt một bản sao của chính nó, bắt đầu mã hóa các file của nạn nhân và sau đó hiển thị thông báo đòi tiền chuộc khi quá trình hoàn tất.
Cách nhận biết worm máy tính
Có một số dấu hiệu nhận biết cho thấy sự hiện diện của worm máy tính trên thiết bị của bạn. Mặc dù worm chủ yếu hoạt động âm thầm, nhưng hoạt động của chúng có thể dẫn đến những tác động đáng chú ý cho nạn nhân, ngay cả khi worm không cố ý làm bất cứ điều gì độc hại. Máy tính của bạn có thể đã bị nhiễm worm nếu có các triệu chứng sau:
Máy tính chạy chậm hoặc bị lỗi
Một số worm, như Morris Worm cổ điển đã thảo luận ở trên, có thể tiêu thụ quá nhiều tài nguyên của máy tính đến nỗi hầu như không còn tài nguyên cho các chức năng bình thường. Nếu máy tính đột nhiên trở nên chậm chạp hoặc không phản hồi, thậm chí bắt đầu gặp sự cố, thì nguyên nhân có thể là do worm máy tính.
Bộ nhớ cạn kiệt nhanh chóng
Khi một worm nhân bản, nó phải lưu trữ tất cả các bản sao của chính nó ở đâu đó. Nếu không gian lưu trữ khả dụng trên máy tính có vẻ nhỏ hơn nhiều so với bình thường, hãy tìm hiểu xem thứ gì đang chiếm hết dung lượng đó - thủ phạm có thể là do worm.
Máy tính hoạt động kỳ lạ
Vì nhiều loại worm tự lây lan bằng cách lợi dụng liên lạc trực tiếp, hãy tìm bất kỳ email hoặc tin nhắn đã gửi nào mà bạn không tự gửi. Các cảnh báo bất thường, thay đổi không giải thích được hoặc những file mới hay bị thiếu cũng có thể chỉ ra có worm đang hoạt động.
Các liên hệ hỏi bạn điều gì đang xảy ra
Bạn có thể bỏ lỡ các dấu hiệu ở trên và điều đó không sao. Tất cả chúng ta đều có thể vô tình bỏ qua mọi thứ. Tuy nhiên, nếu bạn đã nhận được một worm IM hoặc email, một số địa chỉ liên hệ có thể hỏi bạn về tin nhắn lạ mà họ nhận được từ bạn. Không bao giờ là quá muộn để khắc phục sự xâm nhập của worm, ngay cả khi nó đã bắt đầu lây lan.
Cách ngăn chặn worm máy tính
Người dùng nên thực hành tốt các biện pháp an ninh mạng để bảo vệ mình khỏi bị nhiễm worm máy tính. Các biện pháp sẽ giúp ngăn chặn nguy cơ lây nhiễm worm máy tính bao gồm:
- Luôn cập nhật hệ điều hành và tất cả các bản vá, cập nhật phần mềm khác sẽ giúp giảm thiểu rủi ro do các lỗ hổng mới được phát hiện.
- Sử dụng tường lửa sẽ giúp giảm khả năng phần mềm độc hại xâm nhập vào hệ thống.
- Sử dụng phần mềm diệt virus sẽ giúp ngăn phần mềm độc hại chạy.
- Cẩn thận không nhấp vào file đính kèm, liên kết trong email hoặc các ứng dụng nhắn tin khác có thể khiến hệ thống tiếp xúc với phần mềm độc hại.
- Mã hóa file để bảo vệ dữ liệu nhạy cảm được lưu trữ trên máy tính, máy chủ và thiết bị di động
Mặc dù một số worm được thiết kế để không làm gì khác hơn là tự lây lan sang các hệ thống mới, nhưng hầu hết các worm đều có liên quan đến virus, rootkit hoặc phần mềm độc hại khác.