Worm máy tính là một loại chương trình phần mềm độc hại có chức năng chính là lây nhiễm sang các máy tính khác trong khi vẫn hoạt động trên những hệ thống bị nhiễm.
Worm máy tính là phần mềm độc hại tự sao chép để lây lan sang các máy tính chưa bị nhiễm. Worm thường sử dụng các phần tự động và vô hình đối với người dùng của hệ điều hành. Thông thường, worm chỉ được chú ý khi sự sao chép không kiểm soát của chúng tiêu tốn tài nguyên hệ thống, làm chậm hoặc tạm dừng các tác vụ khác.
Worm máy tính lây lan như thế nào?
Worm máy tính lây lan mà không cần có sự tương tác của người dùng. Tất cả những gì cần thiết là để worm máy tính hoạt động trên hệ thống bị nhiễm. Trước khi mạng được sử dụng rộng rãi, worm máy tính đã lây lan qua các phương tiện lưu trữ bị nhiễm, chẳng hạn như đĩa mềm, khi được gắn trên hệ thống, sẽ lây nhiễm sang các thiết bị lưu trữ khác được kết nối với hệ thống. USB vẫn là một vector phổ biến cho worm máy tính.
Cách hoạt động của worm máy tính
Worm máy tính thường dựa vào các hoạt động và lỗ hổng trong những giao thức mạng để lan truyền. Ví dụ, worm WannaCry ransomware đã khai thác một lỗ hổng trong phiên bản đầu tiên của giao thức chia sẻ tài nguyên Server Message Block [SMBv1] được triển khai trong hệ điều hành Windows. Sau khi hoạt động trên một máy tính mới bị nhiễm, phần mềm độc hại WannaCry sẽ bắt đầu một cuộc tìm kiếm các nạn nhân tiềm năng mới trên mạng: Những hệ thống phản hồi các yêu cầu SMBv1 do worm này thực hiện. Worm có thể tiếp tục lây lan trong một tổ chức theo cách này. Khi người mang theo thiết bị riêng [BYOD] bị nhiễm, worm này có thể lây lan sang các mạng khác, cho phép tin tặc quyền truy cập nhiều hơn.
Worm email hoạt động bằng cách tạo và gửi thư đi đến tất cả các địa chỉ trong danh sách liên hệ của người dùng. Các tin nhắn bao gồm một file thực thi độc hại lây nhiễm vào hệ thống mới khi người nhận mở nó. Các worm email thành công thường kết hợp những phương pháp social engineering để nhắc người dùng mở file đính kèm.
Stuxnet, một trong những loại worm máy tính khét tiếng nhất cho đến nay, bao gồm một thành phần worm lan truyền phần mềm độc hại thông qua việc chia sẻ các thiết bị USB bị nhiễm, cũng như phần mềm độc hại nhắm vào hệ thống kiểm soát giám sát và thu thập dữ liệu [SCADA], được sử dụng rộng rãi trong môi trường công nghiệp, bao gồm các tiện ích điện, dịch vụ cấp nước, nhà máy xử lý nước thải và nhiều nơi khác. Worm máy tính thuần túy tự lan truyền từ hệ thống bị nhiễm sang hệ thống không bị nhiễm, nên khó mà giảm thiểu khả năng bị hư hại từ những con worm máy tính như vậy.
Một hệ thống bị nhiễm có thể trở nên không khả dụng hoặc không đáng tin cậy do liên quan đến sự lan truyền của worm, đồng thời worm máy tính cũng được biết là làm gián đoạn mạng thông qua sự bão hòa của các liên kết mạng với lưu lượng độc hại.
Các loại worm máy tính
Có một số loại worm máy tính độc hại:
Virus máy tính hoặc worm hybrid là một phần của phần mềm độc hại lây lan giống như một worm, nhưng nó cũng sửa đổi code chương trình giống như một loại virus - hoặc mang theo một số loại payload độc hại, chẳng hạn như virus, ransomware hoặc một số loại phần mềm độc hại khác.
Worm bot có thể được sử dụng để lây nhiễm vào máy tính và biến chúng thành zombie hoặc bot, với mục đích sử dụng chúng trong các cuộc tấn công phối hợp thông qua botnet.
Worm IM lan truyền thông qua các dịch vụ nhắn tin tức thời và khai thác quyền truy cập vào danh sách liên hệ trên máy tính nạn nhân.
Worm email thường được phát tán dưới dạng các file thực thi độc hại được đính kèm với những gì có vẻ là thư email thông thường.
Cuối cùng, có một loại worm máy tính được thiết kế để lan truyền trên các mạng với mục đích cung cấp những bản vá cho các lỗ hổng bảo mật đã biết. Mặc dù loại worm này đã được mô tả và thảo luận trong giới học thuật, nhưng các ví dụ thực tế vẫn chưa được tìm thấy, rất có thể là do khả năng gây hại không mong muốn đối với các hệ thống phản ứng bất ngờ với phần mềm như vậy, lớn hơn khả năng loại bỏ các lỗ hổng. Trong mọi trường hợp, việc sử dụng bất kỳ phần mềm nào thay đổi hệ thống mà không có sự cho phép của chủ sở hữu hệ thống sẽ khiến nhà xuất bản phải chịu nhiều cáo buộc hình sự và dân sự khác nhau.
- Bạn đã biết bao nhiêu loại malware và đã biết cách phòng chống chúng chưa?
Cách ngăn chặn worm máy tính
Người dùng nên thực hành tốt các biện pháp an ninh mạng để bảo vệ mình khỏi bị nhiễm worm máy tính. Các biện pháp sẽ giúp ngăn chặn nguy cơ lây nhiễm worm máy tính bao gồm:
- Luôn cập nhật hệ điều hành và tất cả các bản vá, cập nhật phần mềm khác sẽ giúp giảm thiểu rủi ro do các lỗ hổng mới được phát hiện.
- Sử dụng tường lửa sẽ giúp giảm khả năng phần mềm độc hại xâm nhập vào hệ thống.
- Sử dụng phần mềm diệt virus sẽ giúp ngăn phần mềm độc hại chạy.
- Cẩn thận không nhấp vào file đính kèm, liên kết trong email hoặc các ứng dụng nhắn tin khác có thể khiến hệ thống tiếp xúc với phần mềm độc hại.
- Mã hóa file để bảo vệ dữ liệu nhạy cảm được lưu trữ trên máy tính, máy chủ và thiết bị di động
Mặc dù một số worm được thiết kế để không làm gì khác hơn là tự lây lan sang các hệ thống mới, nhưng hầu hết các worm đều có liên quan đến virus, rootkit hoặc phần mềm độc hại khác.
Worm máy tính có tốc độ lây lan cực nhanh. Chúng có khả năng tự nhân đôi để lây lan sang các máy tính chưa bị nhiễm trong cùng một mạng bằng cách tự động xâm nhập vào hệ điều hành và "vô hình" đối với người dùng.
Worm máy tính được tung ra lần đầu vào năm 1988
Thông thường, sâu máy tính chỉ được phát hiện khi chúng chiếm dụng quá nhiều tài nguyên hệ thống khiến mọi thứ bị chậm lại hoặc các tác vụ không thể sử dụng được nữa. Ngoài ra, bạn cũng không nên nhầm lẫn worm máy tính với WORM [write once, read many]. Vào tháng 11 năm 1988, con sâu máy tính đầu tiên được Robert Tappan Morris tung ra với tên gọi "Morris Worm" hoặc "Great Worm".
Worm máy tính hoạt động như thế nào?
Worm máy tính tự sao chép và lây lan sang hệ thống khác
Worm máy tính thường dựa vào các lỗi bảo mật và lỗ hổng trong các giao thức mạng để lan truyền giữa các máy tính. Nó sử dụng một máy làm máy chủ để quét và lây nhiễm cho các máy khác. Quá trình lây lan của sâu máy tính là một quá trình độc lập tự sao chép.
Sau khi một con worm máy tính bắt đầu xâm nhập vào một hệ thống máy tính, nó thường cố gắng tồn tại hoạt động trên hệ thống càng lâu càng tốt. Lúc này nó sẽ tự động sao chép và lây lan sang nhiều hệ thống nhất có thể.
Một ví dụ điển hình về worm máy tính chính là WannaCry. Con sâu máy tính này đã khai thác một lỗ hổng trong phiên bản đầu tiên của giao thức chia sẻ tài nguyên Server Message Block [SMBv1] trong Windows. Sau khi hoạt động trên một máy tính mới bị nhiễm, phần mềm độc hại WannaCry bắt đầu một cuộc tìm kiếm trên mạng để tìm ra các "nạn nhân" tiếp theo. Bất kỳ hệ thống nào phản hồi lại các yêu cầu SMBv1 do WannaCry thực hiện đều sẽ bị nhiễm ransomware này.
Các worm máy tính cũng có thể được ngụy trang để trông giống như một tài nguyên không nguy hiểm, chẳng hạn các tập tin công việc hoặc liên kết bình thường yêu cầu người dùng nhấp vào. Khi bạn truy cập vào chúng, máy tính sẽ bị nhiễm phần mềm độc hại ngay lập tức.
Sự khác biệt giữa worm máy tính và virus máy tính là gì?
Trong báo cáo "Security of the Internet" được phát hành vào năm 1996 bởi Phòng CERT của Viện Kỹ thuật Phần mềm tại Đại học Carnegie Mellon, worm máy tính là các chương trình tự sao chép và lây lan mà không có sự can thiệp của con người sau khi chúng được tung ra.
Ngược lại, báo cáo lưu ý rằng "virus cũng là các chương trình tự sao chép nhưng nó thường yêu cầu một số hành động từ phía người dùng để vô tình lây lan sang các chương trình hoặc hệ thống khác".
Có những loại worm máy tính nào?
Worm máy tính đều nguy hiểm
Hiện nay, các chuyên gia bảo mật chia worm máy tính ra làm các loại như sau:
- Email worms: Loại sâu máy tính này hoạt động bằng cách tạo và gửi thư đi đến tất cả các địa chỉ trong danh sách liên hệ của người dùng. Các tin nhắn bao gồm một tập tin chứa chương trình độc hại để lây nhiễm vào hệ thống máy tính khi người nhận mở nó.
- File-sharing worms: Đây là loại sâu máy tính được ngụy trang dưới dạng các tập tin đa phương tiện. Stuxnet là một trong những "File-sharing worms" khét tiếng nhất cho tới nay. Nó phát tán chương trình độc hại thông qua các thiết bị USB bị nhiễm và tấn công vào hệ thống kiểm soát giám sát để thu thập dữ liệu.
- Cryptoworms: Worm máy tính này hoạt động bằng cách mã hóa dữ liệu trên hệ thống máy tính của nạn nhân. Nó có thể được sử dụng trong các cuộc tấn công ransomware, trong đó thủ phạm theo dõi nạn nhân và yêu cầu thanh toán để đổi lấy chìa khóa giải mã các dữ liệu của họ.
- Internet worms: Một số worm máy tính nhắm mục tiêu vào các trang web thứ hạng cao nhưng có bảo mật kém. Chúng có thể lây nhiễm sang máy tính đang truy cập trang web đó và lây lan sang các thiết bị khác thông qua kết nối internet hoặc trong một mạng LAN.
- Instant messaging worm: Giống như email worms, loại worm này thường ẩn bên trong các tập tin đính kèm hoặc liên kết. Chúng lây lan thông qua danh sách liên hệ của người dùng bị nhiễm. Sự khác biệt duy nhất là thay vì tới từ email, nó đến dưới dạng một tin nhắn "bất ngờ" trên một dịch vụ trò chuyện.
Cách phòng tránh nhiễm worm máy tính
Người dùng nên tự bảo vệ mình trước các mối nguy hiểm trên mạng
Cải thiện an ninh mạng là điều cần thiết để bảo vệ hệ thống máy tính của bạn khỏi bị nhiễm worm máy tính. Dưới đây là các biện pháp sẽ giúp ngăn chặn nguy cơ lây nhiễm chương trình độc hại này bao gồm:
- Cài đặt các bản cập nhật hệ điều hành và các bản vá phần mềm.
- Sử dụng tường lửa sẽ giúp hạn chế quyền truy cập vào hệ thống máy tính bởi các phần mềm và chương trình độc hại.
- Sử dụng phần mềm chống virus bản quyền để ngăn phần mềm độc hại lây lan trong hệ thống và máy tính khác.
- Không bao giờ nhấp vào tập tin đính kèm, liên kết trong email hoặc các ứng dụng nhắn tin khác có thể khiến máy tính bị tiếp xúc với phần mềm độc hại.
- Sử dụng các công cụ mã hóa để bảo vệ dữ liệu nhạy cảm được lưu trữ trên máy tính, máy chủ và thiết bị di động.
Mặc dù một số worm máy tính được thiết kế để không làm gì khác hơn là tự lây lan sang các hệ thống máy tính mới nhưng hầu hết các worm đều có liên quan đến chương trình độc hại có thể gây rủi ro cho dữ liệu của người dùng.