malicious software, malware, badware, mã độc và cách diệt

Phần 1: Những hiểu biết cơ bản về mã độc

(Hình minh họa kết quả tìm kiếm Google ngày 10/07/2008)

Khi sử dụng bộ công cụ tìm kiếm của Google, thỉnh thoảng một vài kết quả tìm kiếm có thêm dòng cảnh báo “Trang web này có thể gây hại cho máy tính của bạn” do Google chèn thêm vào.

Thông tin cảnh báo này gây hoang mang cho người sử dụng Internet khi muốn truy cập vào các website mình cần và cũng làm đau đầu nhà quản trị website khi lần đầu tiên gặp tình huống này.

Bài viết này cung cấp một số hiểu biết cơ bản và hướng giải quyết khi website của bạn bị nhiễm mã độc.

I. Mã độc là gì?

Gần đây, nhiều website bị nhiễm mã độc (malicious software, malware, badware), dấu hiệu nhận biết dễ dàng nhất là xuất hiện dòng cảnh báo “Trang web này có thể gây hại cho máy tính của bạn” từ kết quả tìm kiếm của Google. Theo giải thích của website stopbadware.org, mã độc thường được dùng để theo dõi các hoạt động truy cập Intenet của người sử dụng và gởi thông tin phản hồi cho các tổ chức tiếp thị ẩn danh để từ đó họ có thể gửi cho người sử dụng Internet các quảng cáo có chọn lọc theo nội dung.

Thường người sử dụng internet không biết rằng máy tính của mình đã bị nhiễm mã độc do chúng đã được lập trình khéo léo. Một số nhà sản xuất mã độc đã cố tình ngụy trang chúng trong các phần mềm thông thường mà không thông báo cho người sử dụng biết.

Một số tổ chức khác cấy mã độc vào máy tính người dùng khi truy cập website của họ hoặc khi chơi trò chơi trực tuyến (như là cho hiển thị các quảng cáo dạng pop-up hoặc làm thay đổi trang chủ máy tính người sử dụng).

Tại sao người ta lại nỗ lực tạo ra mã độc? Câu trả lời là ngành công nghiệp này mang lại cơ hội kinh doanh lớn với số tiền thu lợi kết xù. Nó là cơ hội lớn để tiếp thị và là ngành công nghiệp rất được sự ủng hộ bởi các nhà tiếp thị ẩn danh, các nhà cung cấp phần mềm ứng dụng nhỏ và tổ chức điều hành website.

II. Nhận dạng mã độc trong website của bạn

Nếu bạn là nhà quản trị website và website của bạn bị nhiễm mã độc thì đây là bước quan trọng đầu tiên là phải phát hiện và nhận dạng chúng. Theo website stopbadware.org, mã độc hại có thể nằm ẩn trong các chương trình mà bạn cho phép người sử dụng Internet tải về; ẩn trong các website mà bạn liên kết đến hoặc nằm ẩn bên trong các mẫu quảng cáo mà website bạn cung cấp. Tệ hơn là hacker đã tấn công website của bạn và cấy mã độc vào đó.

Bài này sẽ đề cập trường hợp website bạn bị hacker tấn công và cấy mã độc hại. Thuật ngữ tiếng Anh thường được dùng là “injection attack”.

Có hai cách dùng “injection attack” tấn công:

(Đoạn mã độc do hacker cấy vào website www.quangcaocuaban.com tháng 04/2008)

- Sử dụng iframe ẩn (Invisible iframes): Đây là dạng tấn công phổ biến nhất hiện nay. Iframe tag là một loại HTLM tag. Một iframe khi chạy sẽ mở ra khung cửa sổ nhỏ trong trang web của bạn để cho phép một trang web khác được nạp cùng.

Iframe không phải chỉ dùng vào những mục đích bất chính. Một ví dụ là chúng được dùng nhúng đoạn phim, bảng giá trực tuyến vào trang web. Khi bị dùng bởi hacker xấu, iframe có thể tạo ra một của sổ nhỏ không nhìn thấy bằng cách chỉ định chiều cao height=0, chiều rộng width=0 và kết quả là người truy cập không biết rằng có một trang web khác cũng được nạp trên máy tính của họ. Iframe thường được hacker xấu chèn vào đầu hoặc cuối mã nguồn của trang web, vị trí trước tag mở <html> hoặc sau tag đóng </html>.

Để kiểm tra trang web có bị mã độc, bạn mở trang web ra, nhấp vào menu View chọn Source. Trường hợp tập tin này nằm trên đĩa cứng, bạn nhấp phải chuột lên tập tin, chọn Open With, sau đó có thể dùng chương trình Nodepad hoặc Wordpad để mở tập tin này. Chú ý: không nên dùng Microsoft Frontpage hay các chương trình thiết kế web chuyên nghiệp khác như Visual Studio, Dream Waver, … mở trang web này nhằm tránh khả năng làm gây hại của mã độc nếu có.

Theo kinh nghiệm người viết, mã độc thường chỉ được hacker cấy vào một số trang web có tên đặc biệt như index.htm, index.html, default.htm, default.html, main.htm, main.html, default.asp hay defaul.aspx. Các trang web có tên khác với tên nêu trên thường không bị cấy mã độc.

Điều này đặt ra nghi vấn là hacker đã viết ra các chương trình tự động cấy đoạn mã độc vào các trang web của một website một khi đã xâm nhập được vào máy tính người quản trị web hoặc web server hơn là thực hiện bằng tay.

- Sử dụng đoạn mã khó hiểu (Obfuscated Code): Dạng tấn công bằng cách cấy mã khó hiểu vào trang web, trộn lẫn bên trong cùng đoạn mã bình thường, sẽ làm cho ta khó phát hiện hơn. Các đoạn mã này được viết tinh vi nhằm tránh các công cụ dò tìm tự động phát hiện ra chúng.

Những đoạn mã dạng mã hóa hoặc giải mã dữ liệu ẩn bên trong trang web rất dễ bị xem là mã khó hiểu. Chi tiết về mã khó hiểu bạn có thể tìm hiểu thêm trên các website cung cấp phần mềm diệt virus, spyware, malware, badware như Symantec, McAfee, Sophos, StopBadware,…

Mời xem tiếp phần 2: Tìm sự trợ giúp từ chuyên gia

Trần Ngọc Nghĩa