Virus máy tính là một chương trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính...).

Xuất hiện khi:

+ Truy xuất tập tin, mở các chương trình ứng dụng chậm.

+ Khi duyệt web có các trang web lạ tự động xuất hiện.

+ Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm.

+ Các trang quảng cáo tự động hiện ra (pop up), màn hình Desktop bị thay đổi.

+ Góc phải màn hình xuất hiện cảnh báo tam giác màu vàng: "Your computer is infected", hoặc xuất hiện cửa sổ "Virus Alert"…

+ Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB.

+ Xuất hiện các file có phần mở rộng .exe có tên trùng với tên các thư mục.

Cách thức hoạt động

Viết virus và chống virus tăng cường bảo mật là cuộc đấu phức tạp và tốn kém giữa hai giới lập trình. Tuy nhiên cách thức hoạt động của virus thì có thể được diễn giải khái quát như sau [1].

Các máy tính hoạt động bằng các chỉ thị (hay lệnh, instruction) ở dạng mã máy theo trình tự hợp lý để thực thi một công việc (task) nào đó. Mã máy là dãy số nhị phân và việc lập trình (hay thảo chương) trực tiếp mã máy rất nhức đầu, nên giới điện toán thiết kế ra các ngôn ngữ lập trình (như C, C++, Java,...) để người lập trình ứng dụng thảo chương bằng những ký hiệu và tên gọi dễ nhớ, sau đó dịch sang mã máy để máy thi hành. Nếu lập trình không hợp lý thì máy bị treo, không làm được gì.

Kỹ thuật lập trình dẫn đến những công việc xác định được lặp lại nhiều lần thường được tổ chức thành modul riêng gọi là "trình con", trong ngôn ngữ lập trình gọi là routine hay subroutine, và khi cần thực hiện công việc vốn ấn định cho routine đó thì trình đang chạy thực hiện lệnh gọi (call) đến routine đó để thực thi. Lệnh call có tham số là địa chỉ routine trong bộ nhớ, khi thực thi lệnh call thì chuyển địa chỉ này vào con trỏ lệnh của CPU và trao quyền chạy cho routine đó. Cấu trúc routine có điểm vào (entry) là nơi bắt đầu, và điểm ra (exit) trả lại điều khiển cho trình gọi (caller) sau khi hoàn tất công việc.

Virus được viết ra là dạng một routine, thực hiện sửa tham số địa chỉ của một số lệnh call trỏ đến địa chỉ của nó, và kết thúc virus thì chuyển điều khiển đến routine vốn được gọi của trình. Những gì virus làm thì gói trong dãy mã lệnh virus, trong đó có kỹ năng tự sao lây nhiễm, và tùy thuộc trình độ người viết virus.

Sự tương tự của mã trình với mã ADN sinh học, và hoạt động của virus tin học, dẫn đến tên gọi "virus". Dẫu vậy sự khác nhau căn bản, là virus sinh học phát tác ngay và đồng thời trong tế bào, còn virus tin học chỉ phát tác khi được gọi với tư cách mã lệnh. Nếu nạp virus tin học với tư cách dữ liệu (data) vào bộ nhớ để xem (dump) thì nó không làm được gì cả. Nó cho thấy vai trò cảnh giác khi click vào file có virus (tức là có thể view, edit, delete,... nhưng đừng double click).

Trong thiết kế các máy tính địa chỉ các routine cơ bản được bố trí như sau:

Địa chỉ các routine của máy chứa trong BIOS thì sau khởi động được đặt trong bộ nhớ ở nơi gọi là "bảng địa chỉ Interrupt".

Khởi động của ổ đĩa (mềm, cứng, USB,...) được đặt ở boot sector, còn địa chỉ file trong ổ đĩa đặt ở bảng FAT của đĩa.

Virus lục lọi các bảng này để tìm cách thâm nhập thích hợp. Trước đây các virus thường ngắn, có thể gắn thêm vào tệp mã. Ngày nay virus có thể lưu trữ phần thân ở dạng file riêng và ẩn dấu đâu đó trong đĩa hoặc trên mạng, và nội dung file này có thể là dạng macro hoặc html. Các hệ điều hành đã tăng cường bảo mật những điểm dễ bị tấn công. Vì thế virus phải cố tìm các lỗ hổng bảo mật để xâm nhập, và việc tìm ra lỗ hổng đòi hỏi khả năng phân tích mã lệnh phức tạp hơn. Một số virus thì xuất hiện ở dạng chương trình tự lập, thực chất là phần mềm phá hoại, và thực hiện đánh lừa bằng cách hiện ra là một biểu tượng (icon) hay đường link để người thiếu cảnh giác click vào đó [1].

Lịch sử của virus

Có nhiều quan niệm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt khái quát những điểm chung nhất, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus:

Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính.

Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành, lúc đó chưa có khái niệm về virus.

Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.

Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm "Virus máy tính" (computer virus) như định nghĩa ngày nay.

Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một đĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ đĩa mềm. Đây là loại "stealth virus" đầu tiên.

Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS.

Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".

Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).

Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome).

Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton[2].

Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus.

Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư này để tạo ra sự luân chuyển.

Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành. Macro virus là loại virus viết ra bằng công cụ VBA (Visual Basic for Applications)[3] và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point.

Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe", lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng.exe sẽ tự động bị giấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì lúc đó Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính.

Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.

Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 nghìn máy tính trong 10 phút.

Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay tin tặc nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích.

Năm 2017: Vụ tấn công của WannaCry vào ngày 12 tháng 5 năm 2017 đang tiếp tục phát tán.WannaCry (tạm dịch là "Muốn khóc") còn được gọi là WannaDecryptor 2.0, là một phần mềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng Microsoft Windows. Vào tháng 5 năm 2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng nó được đưa ra, tính tới ngày 15 tháng 5 (3 ngày sau khi nó được biết đến) gây lây nhiễm trên 230.000 máy tính ở 150 quốc gia, yêu cầu thanh toán tiền chuộc từ 300 tới 600 Euro bằng bitcoin với 20 ngôn ngữ (bao gồm tiếng Thái và tiếng Trung Quốc). Hiện thời người ta biết tới 5 tài khoản bitcoin của họ, đến nay chỉ có không hơn 130 người chịu trả tiền, thu nhập tối đa chỉ khoảng 30.000 Euro.

Với khả năng của các tay tin tặc, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chỗ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do đó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng phần mềm tạo ra các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khiếm khuyêt của phần mềm cũng như phát hành các cập nhật của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ, sửa lỗi phát triển.

Trong tương lai không xa, virus sẽ có thêm các bước biến đổi khác, nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đoạn khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình.