13 virus máy tính nguy hiểm nhất thời đại
Trong 20 năm qua kể từ ngày virus máy tính đầu tiên xuất hiện, đã có nhiều virus mới ra đời, điển hình trong số này có 13 loại virus nguy hiểm nhất và gây ra thiệt hại ở mức cao nhất.
Chương mục Bookmarks
1. CIH (1998)
Thiệt hại ước tính: 20-80 triệu USD trên toàn thế giới (không tính dữ liệu PC bị phá huỷ).
CIH được một người đàn ông ở Đài Loan có tên là Chen Ing-hau tạo ra vào năm 1998. CIH được nhận dạng là một trong những virus nguy hiểm và có sức tàn phá lớn nhất thời đại. Virus này tấn công vào các file thực thi của hệ điều hành Windows 95,98 và ME; có khả năng cư trú trên bộ nhớ máy tính để lây nhiễm và các file thực thi khác.
CIH nguy hiểm ở chỗ chỉ sau một thời gian ngắn hoạt động, nó có thể ghi đè dữ liệu trên ổ cứng máy tính, biến dữ liệu thành một mớ vô dụng. CIH cũng có khả năng ghi đè thông tin BIOS, ngăn không cho máy tính khởi động. Bởi khả năng lây nhiễm vào các file thực thi nên CIH có thể được phát tán rộng rãi.
CIH còn được biết đến với một cái tên khác là virus Chernobyl do thời điểm kích hoạt trùng với ngày xảy ra vụ nổ nhà máy nguyên tử Chernobyl. Virus Chernobyl được kích hoạt vào ngày 26.4.1999 – kỷ niệm lần thứ 13 của thảm họa phóng xạ hạt nhân Chernobyl.
Theo nguồn tin từ BKAV.Com:Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu, ngoài Melissa, BubbleBoy, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng triệu máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26 tháng 4 năm 1999.
Ngày nay, virus CIH đã không còn nguy hiểm do các nền tảng hệ điều hành mới như Windows 2000, XP và NT đã được cải tiến.
2. Melissa (1999)
Vào mùa xuân 1999, một người đàn ông có tên David L. Smith đã tạo một virus máy tính dựa trên một macro trong Word của Microsoft. Anh ta đã tạo ra virus này để nó có thể lây lan qua các nội dung email. Smith đã đặt tên cho virus của mình là "Melissa", được biết đó là tên mà anh lấy từ một vũ công nổi tiếng ở Florida (nguồn CNN).
Thiệt hại ước tính: 300-600 triệu USD
Ngày thứ sáu, 26/3/1999, virus W97M/Melissa đã lây nhiễm ở mức độ toàn cầu. Các thông kê cho thấy loại virus dạng kịch bản macro trong Word này đã lây nhiễm vào 15/20 chiếc máy tính doanh nghiệp trên toàn cầu. Melissa phát tán nhanh đến nỗi Intel, Microsoft và một số hãng phần mềm khác sử dụng Outlook đã buộc phải đóng toàn bộ hệ thống e-mail để hạn chế thiệt hại.
Melissa sử dụng Microsoft Outlook để gửi mail đính kèm (trong file Word) phiên bản virus tới 50 địa chỉ e-mail trong danh sách liên lạc người dùng. Thông điệp của e-mail có câu: ""Here is that document you asked for...don't show anyone else. ;-)"" (Có nghĩa: Đây là tài liệu bạn yêu cầu, không tiết lộ với bất cứ ai khác). Khi được kích hoạt, virus sẽ tự nhân bản và tự gửi đến 50 người khác có trong danh sách email của người nhận. Khi nhấn vào file .DOC đính kèm, virus sẽ bắt đầu lây nhiễm vào máy tính và lặp lại chu trình phát tán như trên.
Computer như một hệ thống module lắp ghép, Kết cấu vận hành gồm 2 phần cơ bản: phần cứng và phần mềm. Hoạt động của chúng luôn có công dụng bổ trợ nhau, và bất kỳ sự cố nào cũng đều có một mối liên hệ như trong một cơ thể. Để khắc phục các sự cố tin học, kiến thức hiểu biết chúng luôn luôn là một đề tài quan trọng, rất cần thiết cho người sử dụng chúng.
Theo tờ Quantrimang Online:
"Virus này đã lây lan nhanh chóng sau khi Smith phóng thích nó. Chính phủ liên bang Hoa Kỳ từ đó đã rất quan tâm đến các công việc của Smith – theo một tuyên bố của một nhân viên FBI với quốc hội, virus Melissa "đã tàn phá các mạng riêng mạng chính phủ" (nguồn FBI). Lưu lượng email tăng cao đến nỗi bắt buộc một số công ty phải ngừng các chương trình email cho tới khi virus này được chặn lại.
Sau một quá trình điều tra xét xử, Smith đã bị luận tội và bị kết án 20 tháng tù giam. Tòa án cũng đã phạt Smith 5,000$ và cấm anh không được truy cập vào mạng máy tính nếu không được phép (nguồn BBC). Cuối cùng, virus Melissa đã không làm tê liệt Internet, tuy nhiên nó là một trong những virus máy tính đầu tiên nhận được sự quan tâm của công chúng."
Các biến thể của virus Melissa:
- Thuật ngữ Virus máy tính nói chung thường bao gồm các chương trình có thể thay đổi cách một máy tính làm việc như thế nào (gồm có việc làm hỏng máy tính) và có thể tự nhân bản. Một virus máy tính đích thực sẽ yêu cầu một chương trình host để chạy đúng cách - Melissa đã sử dụng một tài liệu Word.
- Worm, một dạng của virus, không yêu cầu chương trình host. Nó là một ứng dụng có thể tự nhân bản và tự gửi đi qua các mạng máy tính.
- Trojan horses là các chương trình tuyên bố thực hiện một đằng nhưng sự thực lại làm một việc khác. Đôi khi có thể làm hại ổ cứng của nạn nhân. Một số có thể tạo backdoor, cho phép người dùng từ xa có thể truy cập vào hệ thống máy tính của nạn nhân.
3. ILOVEYOU (2000)
Thiệt hại ước tính: 10-15 triệu USD
Còn được biết đến với cái tên Loveletter và The Love Bug, loại virus này là một dạng kịch bản Visual Basic với một cái tên rất mỹ miều: lời hứa tình yêu.
Ngày 3/5/2000, sâu ILOVEYOU lần đầu tiên được phát hiện tại Hong Kong, sau đó nhanh chóng phát tán qua e-mail với dòng tiêu đề "ILOVEYOU" cùng file đính kèm: Love-Letter-For-You.TXT.vbs. Cũng giống Melisa, virus ILOVEYOU tự động gửi thư tới các địa chỉ liên lạc trong Microsoft Outlook.
Một năm sau khi virus Melissa tấn công Internet, sự đe dọa này lại nổi cộm lên từ Philippin. Không giống như virus Melissa, mối đe dọa này đến dưới dạng một worm – nó là một chương trình độc lập có khả năng tự nhân bản và sinh ra một file có tên ILOVEYOU.
Virus ILOVEYOU được lây lan đầu tiên trên mạng Internet thông qua email, giống như virus Melissa. Chủ đề của email nói rằng đây là một lá thư tình từ một người thầm ngưỡng mộ bạn. Đính kèm trong email là những gì gây ra tất cả các vấn đề. Worm gốc có tên file LOVE-LETTER-FOR-YOU.TXT.vbs. Phần mở rộng vbs chỉ chương trình mà hacker sử dụng để tạo worm:Visual Basic Scripting [nguồn:McAfee].
Theo BKAV.Com:
"Chỉ trong vòng 6 tiếng đồng hồ virus đã kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ USD.
Năm 2000 cũng là năm ghi nhớ cuộc "Tấn công Từ chối dịch vụ phân tán" - DDoS (Distributed Denial of Service ) qui mô lớn do virus gây ra đầu tiên trên thế giới, nạn nhân của đợt tấn công này là Yahoo!, Amazon.com... Tấn công "Từ chối dịch vụ" – DoS - là cách tấn công gây "ngập lụt" bằng cách từ một máy gửi liên tiếp các yêu cầu vượt mức bình thường tới một dịch vụ trên máy chủ, làm ngưng trệ, tê liệt khả năng phục vụ của dịch vụ hay máy chủ đó. Những virus loại này phát tán đi khắp nơi và "nằm vùng" ở những nơi nó lây nhiễm. Chúng sẽ đồng loạt tấn công theo kiểu DoS vào các hệ thống máy chủ khi người điều hành nó phất cờ, hoặc đến thời điểm được định trước."
Theo nhà sản xuất phần mềm chống virus nổi tiếng McAfee, phạm vi tấn công của virus ILOVEYOU cực kỳ lớn:
- Nó đã tự copy nhiều lần và ẩn các copy trong nhiều thư mục trên ổ cứng của nạn nhân.
- Thêm các file mới vào các khóa registry của nạn nhân.
- Thay thế một vài kiểu file bằng các copy của nó.
- Tự gửi qua các máy khách Internet Relay Chat cũng như email.
- Download một file có tên WIN-BUGSFIX.EXE từ Internet và chạy file này. Không phải là chương trình sửa mà đó là một ứng dụng đánh cắp mật khẩu và các thông tin bí mật này sẽ được gửi đến các địa chỉ email của hacker.
Ghi chú:
Virus, worm và Trojan horse vẫn chưa đủ, chúng ta cần phải quan tâm thêm cả về các trò lừa bịp của virus. Có nhiều virus giả mạo – chúng không thực sự gây hại hoặc tự nhân bản mà thay vào đó những kẻ tạo ra chúng hy vọng rằng mọi người và các công ty truyền thông coi các trò lừa bịp này như thể nó là những mối đe dọa thực sự. Mặc dù các trò lừa bịp này không nguy hiểm ngay lập tức nhưng chúng sẽ gây ra nhiều vấn đề khác. Giống như cậu bé giả khóc, các virus giả mạo có thể làm cho mọi người bỏ qua các cảnh báo về các mối đe dọa thực sự.
Ai là người tạo ra virus ILOVEYOU?
Một số người cho rằng người tạo ra virus ILOVEYOU là Onel de Guzman của Philippin. Các cơ quan có thẩm quyền Philippin đã điều tra de Guzman về tội trộm cắp – thời gian đó Philippin chưa có gián điệp máy tính hoặc luật về việc phá hoại trong tin học. Do thiếu chứng cứ nên các nhà chức trách Philippin đã hủy đơn chống lại de Guzman, người đã không xác nhận cũng như không từ chối trách nhiệm của mình với loại virus này. Theo một số ước tính, virus ILOVEYOU đã gây ra thiệt hại lên tới con số 10 tỉ USD.
4. Code Red và Code Red II
Thiệt hại ước tính: 2,6 triệu USD
Code Red là một dạng sâu máy tính lây nhiễm trên hệ thống máy chủ mạng, bắt đầu từ ngày 13/7/2001. Đây là loại virus cực kỳ độc hại bởi đích ngắm của chúng là các máy tính chạy phần mềm máy chủ Web Internet Information Server (IIS).
Sâu Code Red có khả năng khai thác một lỗ hổng trong IIS. Điều khôi hài là Microsoft đã ban hành miếng vá lỗ hổng này từ giữa tháng 6 trước đó.
Code Red còn có tên là Bady, được thiết kế với mục đích phá huỷ ở mức lớn nhất có thể. Khi đã lây nhiễm vào máy tính, website lưu trữ trên máy chủ bị ảnh hưởng sẽ hiển thị thông điệp: ""HELLO! Welcome to http://www.worm.com! Hacked By Chinese!". Sau đó, virus sẽ tìm kiếm các máy chủ bị lỗi và tiếp tục lây nhiễm. 20 ngày tiếp theo đó, virus sẽ kích hoạt các cuộc tấn công từ chối dịch vụ (DoS) vào những địa chỉ IP nhất định, bao gồm cả máy chủ của Nhà Trắng.
Worm Code Red ban đầu đã thực hiện hành động tấn công DdoS vào nhà trắng. Tất cả các máy tính bị tiêm nhiễm Code Red đã thực hiện liên lạc với các máy chủ web tại nhà trắng ở cùng một thời điểm và gây ra hiện tượng quá tải cho các máy này.
Chỉ chưa đến một tuần, virus đã lây nhiễm vào khoảng 400.000 máy chủ trên toàn thế giới. Ước tính có tới 1 triệu máy tính bị virus này tấn công.
Bạn nên làm gì nếu phát hiện máy tính của mình bị tiêm nhiễm virus máy tính?
Điều này phụ thuộc vào loại virus mà bạn đang gặp phải. Nhiều chương trình antivirus có khả năng diệt virus từ một hệ thống bị tiêm nhiễm. Tuy nhiên nếu virus đã phá hỏng một số file hoặc dữ liệu của bạn thì bạn cần phải khôi phục lại chúng từ các backup (sao lưu). Chính vì vậy việc tạo các backup (sao lưu) là một việc làm rất quan trọng. Và với các virus giống như Code Red, tốt nhất là bạn nên thực hiện hành động format lại hoàn toàn ổ cứng. Một số worm cho phép phần mềm mã độc khác có thể load vào máy tính của bạn, và hành động quét virus đơn giản sẽ không thể bắt hết được chúng.
Máy tính Windows 2000 khi đã bị tiêm nhiễm worm Code Red II sẽ không tuân theo lệnh của chủ nhân của nó. Đó là vì worm đã tạo một backdoor bên trong hệ điều hành của máy tính, backdoor này sẽ cho phép người dùng từ xa có thể truy cập và điều khiển máy tính.
Trong thuật ngữ tin học, đây là một hành động thỏa hiệp mức hệ thống, và nó là một tin xấu cho những chủ sở hữu máy tính. Người đứng phía sau virus có thể truy cập các thông tin từ máy tính của nạn nhân hoặc thậm chí có thể sử dụng máy tính bị tiêm nhiễm để tiến hành các hành vi phạm tội. Điều này có nghĩa nạn nhân không chỉ phải xử lý với máy tính bị tiêm nhiễm mà có thể còn bị nghi ngờ về những vấn đề mà họ thực sự không làm.
Các máy tính Windows NT cũng có lỗ hổng với Code Red, tuy nhiên sự ảnh hưởng của virus trên các máy tính này không cực độ. Các máy chủ web chạy Windows NT có thể đổ vỡ nhiều hơn mức bình thường, tuy nhiên đó cũng là vì bản thân không được thiết kế tốt của nó. So với những điều tồi tệ được trải nghiệm bởi người dùng Windows 2000, thì điều đó không ăn nhằm gì.
Sau đó một thời gian, Microsoft đã phát hành các bản vá dành cho lỗ hổng bảo mật trong Windows 2000 và Windows NT. Khi được vá, worm gốc sẽ không thể tiêm nhiễm các máy tính Windows 2000; mặc dù vậy, bản vá sẽ không thể diệt các virus này ra khỏi máy tính đã bị tiêm nhiễm – các nạn nhân phải tự thực hiện công việc đó.
5. SQL Slammer/Sapphire
Vào khoảng cuối tháng 1 năm 2003, một virus Web server mới đã lây lan rộng khắp trên Internet. Nhiều mạng máy tính không được chuẩn bị trước cho tấn công này và kết quả là virus đã làm sập một vài hệ thống quan trọng. Dịch vụ ATM của Bank of America đã bị đổ vỡ, dịch vụ 911 tại thành phố Seattle ngừng hoạt động, Continental Airlines đã hủy bỏ nhiều chuyến bay do có liên quan đến hệ thống thẻ điện tử và các lỗi check-in.
Thủ phạm là virus SQL Slammer gây ra, virus này cũng được biết đến với cái tên khác Sapphire. Theo một số ước tính, nó đã làm thiệt hại hơn 1 tỉ đô la trước khi có được các bản vá và phần mềm antivirus khắc phục được vấn đề (nguồn Lemos). Tiến trình tấn công của Slammer được minh chứng tài liệu rất kỹ. Chỉ một vài phút sau khi tiêm nhiễm máy chủ Internet đầu tiên, virus Slammer sẽ nhân đôi số lượng nạn nhân của nó sau vài giây một lần. 15 phút sau tấn công đầu tiên, virus Slammer đã tiêm nhiễm gần nửa số máy chủ phụ trách các nhiệm vụ quan trọng của Internet.
Thiệt hại ước tính: Bởi SQL Slammer được kích hoạt vào thứ bảy (ngày nghỉ) nên thiệt hại ước tính (về tiền) không cao. Tuy nhiên, virus cũng đã "hạ gục" 500.000 máy chủ trên toàn thế giới, và là nhân tố gây nên "cơn bão" dữ liệu ồ ạt, khiến toàn bộ mạng Internet của Hàn Quốc bị sập trong 12 tiếng.SQL Slammer còn được biết đến với cái tên Sapphire, được kích hoạt vào ngày 25/1/2003. SQL Slammer có tác động rất xấu tới toàn bộ giao vận Internet toàn thế giới. Điều thú vị là loại virus này không tìm kiếm các máy PC đầu cuối mà chỉ hướng tới máy chủ. SQL Slammer là một gói dữ liệu đơn lẻ và tự gửi tới các địa chỉ IP. Nếu địa chỉ IP là một máy tính chạy bản SQL Server Desktop Engine (Microsoft) chưa được vá lỗi, thì chiếc máy chủ đó sẽ ngay lập tức bị nhiễm virus và trở thành công cụ tấn công các địa chỉ IP khác.
Với phương thức lây nhiễm trên, Slammer có thể tấn công 75.000 máy tính chỉ trong... 10 phút, làm tắc nghẽn toàn bộ mạng Internet, khiến các router phải ngừng hoạt động.
6. Blaster (2003)
Theo BKAV.Com:
"Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ của các virus khai thác lỗ hổng phần mềm để cài đặt, lây nhiễm lên các máy tính từ xa - đây cũng chính là xu hướng phát triển hiện nay của virus trên thế giới. Đầu tiên là virus Slammer khai thác lỗ hổng phần mềm Microsoft SQL 2000 servers, chỉ trong vòng 10 phút đã lây nhiễm trên 75.000 máy tính trên khắp thế giới. Tiếp đến là hàng loạt các virus khác như Blaster (MsBlast), Welchia (Nachi), Mimail, Lovgate... khai thác lỗi tràn bộ đệm trong công nghệ DCOM - RPC trên hệ điều hành Window2K, XP. Xuất hiện trên thế giới vào ngày 11/8, virus Blaster nhanh chóng lây lan hơn 300.000 máy tính trên khắp thế giới. Những người sử dụng máy tính ở Việt Nam hẳn không quên được sự hỗn loạn vì hàng loạt máy tính bị Shutdown tự động trong ngày 12/8 khi virus Blaster đổ bộ vào các máy tính ở Việt Nam.
Virus cũng bắt đầu được sử dụng như một công cụ để phát tán thư quảng cáo (spam) nhanh nhất. Các virus họ Sobig nổi lên như những cỗ máy phát tán một lượng thư quảng cáo khổng lồ trên khắp thế giới. Cũng trong năm này, thế hệ những virus mới như Lovgate, Fizzer đã bắt đầu sử dụng những mạng chia sẻ file ngang hàng peer to peer (như KaZaa) để phát tán virus qua các thư mục chia sẻ trên mạng."
Thiệt hại ước tính: 2-10 tỷ USD, hàng trăm nghìn máy tính bị lây nhiễm.Mùa hè năm 2003 là thời gian khó khăn đối với mạng máy tính doanh nghiệp do sự xuất hiện gần như nối tiếp nhau trong thời gian khá ngắn của sâu Blaster và Sobig. Blaster còn được biết đến với cái tên Lovsan hay MSBlast, là quả "bom tấn" nổ ra trước. Virus này được phát hiện vào ngày 11/8 và đã nhanh chóng lây nhiễm trên quy mô toàn cầu chỉ trong ... 2 ngày.
Được phát tán qua mạng và giao vận Internet, Blaster khai thác một lỗ hổng trong Windows 2000 và Windows XP; và khi được kích hoạt, sâu sẽ cho hiển thị một hộp thông báo "chết người" rằng máy tính sẽ bị tắt sau ít phút.
Được che giấu trong mã nguồn tệp tin MSBLAST.EXE là dòng thông điệp tác giả:"Bill Gates, tại sao ông lại khiến cho điều này xảy ra. Hãy ngừng kiếm tiền và sửa chữa phần mềm của ông đi".
Blaster còn chứa đoạn mã kích hoạt tấn công DoS vào website windowsupdate.com của Microsoft vào ngày 15/4.
Theo một tài liệu trên Diễn đàn, có chỉ cách phòng trị như sau:
Theo một tài liệu trên Diễn đàn, có chỉ cách phòng trị như sau:
Loại Worm(sâu) có tên W32.Blaster.Worm (còn gọi là MBlaster, và các biến thể W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), MSBlast, W32.blaster.worm, Win32.posa.worm (Computer Associates), Win32.poza.worm - Loại worm này có khả năng khai thác lỗi của hệ điều hành (vô đây coi chi tiếthttp://support.microsoft.com/default.aspx?...b;en-us;823980). Con này lây lan qua các port RPC mở (máy tính trong mạng nội bộ hoặc máy tính kết nối trực tiếp ra Internet). Máy tính sẽ bị Restart liên tục sau khi kết nối vào mạng hoặc có file msblast.exe trên máy.Loại worm này quét một khoảng địa chỉ IP ngẫu nhiên để tìm các máy chưa được cập nhật bản sửa lỗi đề cập tronghttp://support.microsoft.com/default.aspx?...kb;en-us;823980. Sau khi lây nhiễm được, worm sẽ tải file MSBLAST.EXE (từ máy khác đã bị nhiễm) qua giao thức TFTP. Khi được thực thi, worm tạo khóa sau trong registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run "windows auto update" = msblast.exe Nói chung triệu chứng phổ biến nhất là hiện tượng máy tính bị khởi động lại liên tục sau vài phút (đặc biệt với các máy phải đăng nhập vào mạng nội bộ để chia sẻ tài nguyên, máy in, v.v…). Các phiên bản Windows có thể dính con Worm này là : Microsoft Windows NT 4.0 (bao gồm cả phiên bản Terminal Services Edition), Microsoft Windows 2000,Microsoft Windows XP,Microsoft Windows Server 2003 Cách phòng chống: Bật tính năng Internet Connection Firewall (đối với Windows XP hoặc Windows Server 2003) hoặc dùng phần mềm personal firewall của hãng khác để chặn các port TCP 135, 139, 445 và 593; UDP 69 (TFTP) và TCP 4444. Cập nhật các bản sửa lỗi cho Windows tại địa chỉ http://windowsupdate.microsoft.com/. Kiểm tra lại sau khi chạy cập nhật, http://support.microsoft.com/default.aspx?...kb;en-us;823980 Cài đặt và sử dụng các phần mềm phòng chống virus (nếu có thể). Cập nhật danh sách định nghĩa virus từ website của nhà cung cấp phần mềm phòng chống virus. Cách xử lý khi máy bị nhiễm: Download và cài bản sửa lỗi từ một máy sạch chưa bị nhiễm hoặc liên hệ nhà cung cấp dịch vụ theo hướng dẫn trong http://www.microsoft.com/technet/security/...in/MS03-026.asp Tắt (disable/turn off) System Restore đối với các máy chạy Windows XP/Windows ME Windows ME Chuột phải vào biểu tượng My Computer trên Desktop và chọn Properties. Chọn Performance tab. Chọn File System. Chọn Troubleshooting tab. Chọn Disable System Restore. Chọn Apply > Close > Close. Khi máy yêu cầu khởi động lại, chọn Yes Bấm phím F8 khi hệ thống bắt đầu khởi động lại. Windows XP Log on bằng Administrator. Chuột phải vào biểu tượng My Computer trên Desktop và chọn Properties. Chọn System Restore tab. Chọn Turn off System Restore. Chọn Apply > Yes > OK Cập nhật định nghĩa virus (nếu có sử dụng chương trình phòng chống virus) Thực hiện một trong các bước sau, tuỳ theo hệ điều hành đang sử dụng Windows 95/98/Me: Khởi động ở chế độ Safe mode. Bấm phím F8 khi hệ thống bắt đầu khởi động lại Chọn Safe Mode và bấm phím Enter.<o:p></o:p> Windows NT/2000/XP/2003: Diệt process của chương trình bằng cách Bấm tổ hợp phím Ctrl+Alt+Delete. Chọn Task Manager. Chọn Processes tab. Bấm đúp chuột vào cột Image Name để sắp xếp tên các process theo abc. Tìm “msblast.exe” trong danh sách các process. Nếu tìm thấy msblast.exe, chọn process đó và bấm End Process. Quét virus trên toàn bộ các ổ cứng và xóa toàn bộ các file được phát hiện có virus W32.Blaster.Worm. Sửa các thay đổi do W32.Blaster.Worm tạo ra trong registry.( Chú ý sao lưu registry được khi có bất kỳ thay đổi nào. Nếu thay đổi registry không đúng cách có thể gây ra mất dữ liệu hoặc làm cho hệ điều hành hoạt động bất thường). Bấm vào nút Start, sau đó chọn Run. (Hộp thoại Run xuất hiện). Gõ “regedit” (không có dấu ngoặc kép “”).Bấm OK để mở chương trình Registry Editor.Tìm đến khóa: HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Run Tìm bên khung phải và xóa giá trị: "windows auto update"="msblast.exe" Thoát Registry Editor. |
7. Sobig.F (2003)
Thiệt hại ước tính: 5-10 tỷ USD; hơn 1 triệu máy tính bị lây nhiễm.
Sobig xuất hiện ngay sau "cơn bão" Blaster", biến tháng 8/2003 trở thành tháng "tồi tệ" nhất cho người dùng máy tính doanh nghiệp và gia đình. Phiên bản nguy hiểm nhất của virus này là Sobig.F, phát tán rộng rãi vào ngày 19/8 và đã lập kỷ lục mới (sau đó bị MyDoom qua mặt) là tạo ra hơn 1 triệu bản copy của sâu chỉ trong 24 giờ đầu tiên.
Virus lây nhiễm vào máy tính thông qua tệp tin đính kèm e-mail, chẳng hạn như: application.pif, thank_you.pif... Khi được kích hoạt, sâu này sẽ tự gửi vào các địa chỉ e-mail lưu trữ trên máy tính nạn nhân.
Ngày 10/9/2003, Sobig đã tự "phân huỷ" và không còn là mối đe doạ nữa. Microsoft đã treo giải thưởng 250.000USD cho những ai cung cấp thông tin dẫn tới việc bắt giữ tác giả sâu Sobig, thế nhưng cho tới nay, vẫn chưa có ai làm được điều này.
Các virus họ Sobig nổi lên như những cỗ máy phát tán một lượng thư quảng cáo khổng lồ trên khắp thế giới. Cũng trong năm này, thế hệ những virus mới như Lovgate, Fizzer đã bắt đầu sử dụng những mạng chia sẻ file ngang hàng peer to peer (như KaZaa) để phát tán virus qua các thư mục chia sẻ trên mạng.
Các virus họ Sobig nổi lên như những cỗ máy phát tán một lượng thư quảng cáo khổng lồ trên khắp thế giới. Cũng trong năm này, thế hệ những virus mới như Lovgate, Fizzer đã bắt đầu sử dụng những mạng chia sẻ file ngang hàng peer to peer (như KaZaa) để phát tán virus qua các thư mục chia sẻ trên mạng.
8. Bagle (2004)
Thiệt hại ước tính: Hàng chục triệu USD.
Bagle là một điển hình cho loại sâu máy tính có cơ chế hoạt động tinh vi, xuất hiện vào ngày 18/1/2004. Mã độc hại của sâu lây nhiễm vào hệ thống thông qua e-mail, và sau đó sẽ tìm kiếm địa chỉ e-mail trên ổ cứng máy tính để phát tán.
Sự nguy hiểm của Balge (và 60-100 biến thể sâu) là ở chỗ khi lây nhiễm vào máy tính, sâu sẽ mở một cổng sau (backdoor) tại cổng TCP để tin tặc điều khiển từ xa (truy cập, đánh cắp dữ liệu...).
Phiên bản Bagle.B được thiết kế để ngừng toàn bộ sự hoạt động của Bagle sau ngày 28/1/2004; tuy nhiên cho tới tận nay, các biến thể rời rạc của virus này vẫn còn phát tán trên mạng.
9. MyDoom (2004)
Virus MyDoom đã truyền cảm hứng cho các chính trị gia như U.S. Senator Chuck Schumer lập ra trung tâm ứng cứu virus quốc gia (National Virus Response Center).
Virus MyDoom (hoặc Novarg) là một dạng worm khác có thể tạo một backdoor trong hệ điều hành của máy tính nạn nhân. Virus MyDoom gốc – có vài biến thể - có hai điều kiện hoạt động. Điều kiện đầu tiên làm cho virus bắt đầu tấn công DoS bắt đầu vào 1.2.2004. Điều kiện thứ hai đã lệnh cho virus ngừng việc tự phát tán vào 12.2.2004. Mặc dù vậy sau khi virus ngừng phát tán, các backdoor được tạo trong quá trình tiêm nhiễm ban đầu vẫn được giữ ở trạng thái tích cực.
Cuối năm đó, một sự bùng phát thứ hai của virus MyDoom đã làm cho một số công ty tìm kiếm lo lắng. Giống như các virus khác, MyDoom cũng tìm kiếm các địa chỉ email trong máy tính nạn nhân như một phần trong quá trình nhân bản. Tuy nhiên thêm vào đó nó còn gửi đi một yêu cầu tìm kiếm đến một cỗ máy tìm kiếm nào đó và sử dụng các địa chỉ email đã tìm thấy trong kết quả tìm kiếm. Rốt cuộc, các cỗ máy tìm kiếm giống như Google đã nhận được hàng triệu yêu cầu tìm kiếm từ các máy tính bị lỗi. Các tấn công này đã làm chậm tốc độ của các dịch vụ tìm kiếm, thậm chí một số còn bị sập.
Thiệt hại ước tính: Làm cho mạng Internet toàn cầu chậm mất 10%; tăng thời gian tải xuống (load) trang web lên 50%.Chỉ mất vài giờ (26/1/2004), "làn sóng" MyDoom đã có mặt trên toàn thế giới bằng phương thức phát tán truyền thống: qua e-mail.
MyDoom còn có tên là Norvarg, có khả năng tự lây nhiễm theo một phương thức đặc biệt: tự gửi bản sao của sâu trong một e-mail có tên "Mail Transaction Failed" (một dạng thông báo phản hồi thông thường của máy chủ Mail khi phát sinh lỗi trong quá trình chuyển mail). Khi nhấn vào file đính kèm, sâu sẽ phát tán vào các địa chỉ mail tìm thấy trên máy tính nạn nhân. MyDoom cũng lây nhiễm qua thư mục chia sẻ của các tài khoản mạng ngang hàng Kazaa.
Khả năng nhân bản của MyDoom hiệu quả đến nỗi các hãng bảo mật thống kê rằng cứ mỗi 10 e-mail được gửi đi có một e-mail "dính" sâu. MyDoom được lập trình ngừng hoạt động vào ngày 12/2/204.
10. Sasser và NetSky (2004)
Đôi khi các lập trình viên virus máy tính có thể không bị phát hiện. Tuy nhiên một lúc nào đó, các nhà chức trách có thể sẽ tìm ra cách để lần ngược trở lại gốc rễ của nó. Chẳng hạn như trường hợp virus Sasser và Netsky. Một chàng trai 17 tuổi người Đức có tên Sven Jaschan đã tạo hai chương trình và phóng thích chúng vào Internet.
Tuy hai worm này làm việc khác nhau nhưng sự tương đồng trong mã đã làm cho các chuyên gia bảo mật tin tưởng rằng cả hai đều được viết bởi cùng một tác giả.
Sâu Sasser đã tấn công các máy tính qua lỗ hổng trong hệ điều hành Windows của Microsoft. Không giống như các sâu khác, nó không lây lan qua email mà thay vào đó, khi tiêm nhiễm một máy tính nào đó, nó sẽ tìm kiếm các hệ thống có lỗ hổng khác. Sau đó sẽ liên hệ với các hệ thống đó và hướng dẫn chúng download virus. Virus sẽ quét các địa chỉ IP ngẫu nhiên để tìm ra các nạn nhân tiềm tàng. Virus cũng có thể thay đổi hệ điều hành của nạn nhân theo cách làm khó việc shut down máy tính mà không cần cắt điện nguồn của hệ thống.
Netsky lưu động qua các email và các mạng Windows. Nó giả mạo các địa chỉ email và nhân giống qua một đính kèm 22,016-byte. Khi phổ biến, nó có thể tạo tấn công DoS và làm sụp đổ các hệ thống. Tại thời điểm đó, các chuyên gia bảo mật tại Sophos đã tin tưởng rằng Netsky và biến thể của nó đã chiếm 25% tất cả số virus máy tính trên Internet.
Sven Jaschan không bị ngồi tù tuy nhiên phải nhận hình phạt 1 năm 9 tháng quản thúc. Lý do là vì Sven Jaschan vẫn chưa đủ 18 tuổi ở thời điểm phạm tội.
Thiệt hại ước tính: Hàng triệu USD.
Sasser bắt đầu lây nhiễm vào ngày 30/4/2004, và đủ mạnh để đánh sập liên lạc qua vệ tinh của một số hãng thông tấn Pháp. Sasser cũng chính là nguyên nhân kiến cho vài chuyến bay của hãng hàng không Delta phải hoãn lại vì máy tính bị trục trặc.
Không giống các loại sâu trước đó, Sasser không phát tán qua e-mail và không cần sự tương tác của người dùng để lây nhiễm. Thay vào đó, sâu khai thác một lỗ hổng bảo mật trong bản Windows 2000 và Windows XP chưa được nâng cấp để tấn công vào hệ thống. Khi đã nhân bản thành công, sâu sẽ tiến hành quét các hệ thống máy tính khác và tự gửi bản sao tới. Các hệ thống nhiễm Sasser liên tục gặp trục trặc và mất ổn định.
11. Conficker
Đây là một loại sâu máy tính được lập trình để tấn công các hệ điều hành Microsoftvào năm 2008. Conficker rất khó bị phát hiện và nó có thể lây nhiễm qua thư điện tử, USB, ổ cứng ngoài hay thậm chí điện thoại thông minh. Sau khi lây nhiễm, sâu sẽ kết nối máy tính với một botnet được kiểm soát bởi người tạo ra sâu. Botnet này sau đó có thể được sử dụng để thực hiện tấn công từ chối dịch vụ (DoS) hay thu thập các thông tin tài chính quan trọng.
Các máy tính trong mạng Botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng Botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.
Các máy tính trong mạng Botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng Botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.
12. Storm Worm
Virus sau cùng trong danh sách của chúng ta là Storm Worm. Nó xuất hiện vào cuối năm 2006 khi các chuyên gia bảo mật máy tính nhận ra worm này. Công chúng gọi nó là virus Storm Worm vì email mang virus này có chủ đề "230 dead as storm batters Europe", ( có 230 người chết sau trận bão ở Châu Âu). Các công ty Antivirus lại gọi sâu này với các tên khác.
Ví dụ như, Symantec gọi nó là Peacomm, trong khi đó McAfee lại gọi nó là Nuwar. Các tên gọi này nghe có vẻ phức tạp, tuy nhiên đã có virus 2001 mang tên W32.Storm.Worm. Virus 2001 và worm 2006 là các chương trình hoàn toàn khác nhau.
Storm Worm là một chương trình Trojan horse. Tải trọng của nó là một chương trình khác, mặc dù vậy không phải lúc nào cũng là một. Một số phiên bản của Storm Worm có thể biến các máy tính thành các thây ma. Khi các máy tính bị tiêm nhiễm, chúng sẽ xuất hiện các lỗ hổng để có thể kiểm soát từ xa bởi một ai đó đằng sau tấn công. Một số hacker đã sử dụng Storm Worm để tạo nên botnet và sử dụng nó để gửi các email spam trong Internet.
Nhiều phiên bản của Storm Worm xúi giục nạn nhân download ứng dụng qua các liên kết giả mạo như những tin tức hoặc đoạn video. Người đứng sau các tấn công sẽ thay đổi chủ đề của thư thành một sự kiện hiện hành nào đó. Cho ví dụ, trước sự kiện Olympics 2008 được tổ chức tại Bắc Kinh, một phiên bản mới của worm đã xuất hiện trong các email với chủ đề như "a new deadly catastrophe in China" hoặc "China's most deadly earthquake". Email này khẳng định liên kết với các đoạn video và câu chuyện có liên quan đến đủ đề đó, tuy nhiên khi kích vào liên kết đó, nó sẽ thực hiện việc download worm vào máy tính nạn nhân (nguồn McAfee).
Một số hãng tin tức và blog đặt tên cho Storm Worm là một trong những tấn công virus nguy hiểm nhất trong nhiều năm gần đây. Tháng 7 năm 2007, công ty bảo mật Postini đã khẳng định rằng họ đã phát hiện hơn 200 triệu email mang các liên kết đến Storm Worm trong một tấn công với thời gian 7 ngày (nguồn Gaudin). Tuy nhiên may nắm không phải mọi email đều dẫn ai đó download worm.
Storm Worm là một loại virus có chức năng như sâu Conficker, lây nhiễm vào các máy tính và ép chúng tham gia vào một botnet. Nó bắt đầu phát tán vào năm 2006 qua một bức thư điện tử có tiêu đề “230 người chết khi một cơn bão quét qua châu Âu” và sau đó được thay bằng nhiều tiêu đề gác như ‘Tin xấu’ hay Chiến tranh Thế giới thứ ba đã bắt đầu. Virus này đã lây nhiễm rất nhanh với khoảng 10 triệu máy tính trở thành nạn nhân của nó.
"Thông tin về một biến thể thứ hai của Small Trojan hay còn được gọi là Storm Worm. Giống như biến thể trước đó, biến thể này cũng là một kẻ đánh bom thư sử dụng mạng chia sẻ để phát tán. Biến thể của trận bão Worm đã tạo một mạng ngang hàng hoạt động trên cổng 7871/UDP. Các biến thể đã được báo cáo trước đây như Small.DAM hoặc Trojan.Peacomm hoạt động trên cổng 4000/UDP.
Các biến thể của Small Trojan xâm nhập thông qua một file đính kèm trong email và cũng phát tán thông qua mạng chia sẻ. Các biến thể này để lại hai file, một gồm trong nó chức năng rootkit. Các biến thể này tạo ra một phần mềm gián điệp để có thể sử dụng thu thập những thông tin nhạy cảm hoặc khởi chạy một vụ tấn công spam.
Thông thường chúng sẽ gửi cho bạn một email với tiều đề như sau: (Tuy nhiên các dòng tiêu đề có thể thay đổi bất kỳ lúc nào và chúng tôi sẽ cập nhật thêm các tiêu đề mới sau khi phát hiện thêm)
Thông thường chúng sẽ gửi cho bạn một email với tiều đề như sau: (Tuy nhiên các dòng tiêu đề có thể thay đổi bất kỳ lúc nào và chúng tôi sẽ cập nhật thêm các tiêu đề mới sau khi phát hiện thêm)
• 230 dead as storm batters Europe
• A killer at 11, he's free at 21 and...
• British Muslims Genocide
• Naked teens attack home director
• U.S. Secretary of State Condoleezza...
• Russian missle shot down Chinese satellite
• Russian missle shot down USA aircraft
• Russian missle shot down USA satellite
• Chinese missile shot down USA aircraft
• Chinese missile shot down USA satellite
• Sadam Hussein alive!
• Sadam Hussein safe and sound!
• Radical Muslim drinking enemies' blood
Các tên file cũng có thể thay đổi bất cứ lúc nào nhưng hiện tại chúng đang được sử dụng các tên file cho dưới:
• Full Clip.exe
• Full Story.exe
• Full Video.exe
• Full Text.exe
• Full Story.exe
• Read More.exe
• Video.exe
Chúng tôi khuyên bạn và các quản trị viên nên kiểm tra tính phòng chống để giảm những rủi do không đáng có theo những chỉ dẫn dưới đây:
• Cài đặt phần mềm chống virus và luôn nâng cấp các virus mới.
• Khóa các loại file không hiểu và có thể thực thi tại cổng email.
• Không tải hoặc đọc các email đính kèm với tiêu đề như trên hoặc những email không rõ nguồn gốc"
13. Stuxnet
Đây không phải là sâu máy tính được tạo ra để đánh cắp thông tin thẻ tín dụng, mật khẩu hay những thứ thông thường khác. Nó là một vũ khí mạng được Mỹ và Israel hợp tác phát triển để phá hủy nhà máy hạt nhân của Iran cũng như làm chậm hay phá hủy chương trình phát triển vũ khí hạt nhân của Tehran.
Iran đã phát hiện thấy sâu Stuxnet trong hệ thống kiểm soát nhà máy hạt nhân của nước này vào năm 2010, nhưng họ tin rằng nó đã xuất hiện trước đó 1 năm. Nó phá hoại bằng cách làm tăng tốc độ của các máy li tâm hạt nhân và dần dần phá hủy chúng, trong khi phản hồi thông tin về trung tâm tâm kiểm soát rằng mọi việc vẫn hoạt động bình thường. Stuxnet đã phá hủy 1/5 máy ly tâm tại nhà máy hạt nhân Natanz của Iran.
Sau khi tấn công nhà máy hạt nhân Natanz, Stuxnet đã nhanh chóng phát tán trên mạng internet và lây nhiễm các máy tính trên toàn thế giới. Mã nguồn của nó có thể được tải xuống và chỉnh sửa bởi bất kỳ ai có kiến thức về lập trình. Nó được sử dụng để tấn công các hệ thống điều khiển các công trình lớn như hồ trữ nước, nhà máy điện, nhà máy hạt nhân.
Tổng thống Iran – Mahmoud Ahmadinejad đang quan sát màn hình máy tính tại nhà máy làm giàu Uranium tại Natanz, nơi mà các chuyên gia cho rằng virus Stuxnet đã lây nhiễm trên các hệ thống máy tính ở đây và phá hỏng nhiều ống ly tâm. Nguồn: Văn phòng Tổng thống – Cộng hòa Hồi giáo Iran. |
Theo tờ chuyên mục Công nghệ thông tin số ra ngày 26/06/2013:
Ngày 17/06/2010, khi đang duyệt thư điện tử ở văn phòng tại Belarus, Sergey Ulasen bỗng chú ý tới một bản báo cáo về một máy tính của một khách hàng từ Iran bị khởi động lại liên tục mặc dù người vận hành đã cố gắng khắc phục. Đây là biểu hiện thường thấy khi máy bị nhiễm virus.
Ulasen là trưởng bộ phận chống virus của một hãng an ninh máy tính nhỏ tên là VirusBlokAda ở Minsk. Khởi đầu chỉ là một nhánh nhỏ của khoa học máy tính, chỉ trong vòng một thập niên, an ninh máy tính đã phát triển thành cả một ngành công nghiệp trị giá hàng tỷ đô la do sự bùng phát của những cuộc tấn công mạng tinh vi và sự biến đổi khôn lường của các loại virus máy tính, trojan*, và phần mềm gián điệp.
Các chuyên gia an ninh bậc nhất như Bruce Schneier, Dan Kaminsky và Charlie Miller được coi như các siêu sao trong mắt các đồng nghiệp. Đồng thời các công ty hàng đầu như Symantec, McAfee và Kaspersky đã trở thành những cái tên quen thuộc đối với công chúng, bảo vệ từ những máy tính xách tay của người già cho tới các mạng máy tính quan trọng trong quân sự.
Nhưng Virus BlokAda thì không phải là siêu sao cũng chẳng hề phổ biến mà chỉ là một công ty ít tên tuổi, rất ít người trong nghề biết tới. Nhưng điều này đã thay đổi trong chốc lát.
Nhóm nghiên cứu của Ulasen nhận được mẫu virus trong máy tính bị lây nhiễm của khách hàng và nhận ra rằng virus này lây lan qua một lỗ hổng bảo mật “chưa từng được biết tới” (zero-day exploit). Các lỗ hổng zero-day là vũ khí lợi hại nhất của giới tin tặc vì họ nhắm vào và lợi dụng những điểm yếu phần mềm mà hãng phát triển và các công ty chống virus chưa hề biết tới. Tuy nhiên, chúng cũng rất hiếm, để tìm được và sử dụng zero-day, tin tặc cần phải có kỹ năng tốt cùng với sự kiên trì cao độ. Trong số hơn 12 triệu mã độc được phát hiện hàng năm, có chưa tới một tá sử dụng các lỗ hổng zero-day.
Lần này, phương pháp tấn công cho phép virus lây một cách khôn khéo sang máy tính khác qua các bộ nhớ USB. Điểm yếu nằm ở tập tin dạng LNK** của chương trình Windows Explorer, một thành phần cơ bản trong hệ điều hành Windows của Microsoft. Khi một thẻ nhớ USB đã bị lây được cắm vào một máy tính, Explorer sẽ tự động quét nội dung của ổ USB và làm kích hoạt phần mã khai thác lỗi để lén truyền một tập tin lớn có một phần được mã hóa qua máy tính đích. Việc truyền tập tin này tương tự như việc một máy bay vận tải thả lính dù ngụy trang vào lãnh thổ của địch.
Nhìn lại, đây là phương pháp tấn công rất thông minh vì nó tấn công vào một chức năng phổ biến như vậy. Hơn nữa, không lâu sau đó, các chuyên gia ngạc nhiên nhận ra rằng kiểu tấn công này đã được sử dụng trước đó.
Virus BlokAda thông báo Microsoft về lỗ hổng này, và vào ngày 12/07, trong khi hãng phần mềm khổng lồ này chuẩn bị bản sửa lỗi thì VirusBlokAda công bố phát hiện này trên một bài đăng ở một diễn đàn về an ninh máy tính. Ba ngày sau, blogger về an ninh máy tính Brian Krebs viết về vấn đề này, trong khi các hãng chống virus trên thế giới đua nhau kiếm cho được mẫu của phần mềm ác tính này – được Microsoft gọi là Stuxnet nhờ kết hợp tên các tập tin (.stub và MrxNet.sys) tìm thấy trong phần mã của nó.
Thêm nhiều chi tiết được hé lộ khi cả ngành công nghiệp an ninh máy tính hối hả làm việc, giải mã và phân tích Stuxnet.
Hóa ra phần mã độc đã được triển khai vào khoảng một năm trước tức là vào tháng 06/2009. Hơn nữa, tác giả giấu mặt của Stuxnet cũng đã cập nhật và chỉnh sửa nó, đưa ra ba phiên bản khác nhau. Điểm đáng chú ý là một trong các tập tin thuộc trình điều khiển của virus này sử dụng một tập tin được ký số và xác nhận bằng một chứng thư số bị đánh cắp từ hãng RealTek Semiconductor, một hãng sản xuất phần cứng ở Đài Loan, để đánh lừa các hệ thống máy tính tưởng rằng virus này là một phần mềm đáng tin cậy của công ty này.
Các cơ quan quản lý quốc tế nhanh chóng hủy bỏ chứng thư số này. Tuy nhiên một trình điều khiển khác của Stuxnet bị phát hiện sử dụng một chứng thư khác, lần này ăn trộm từ công ty JMicron Technology, một công ty sản xuất mạch điện cũng của Đài Loan. Không biết là tình cờ hay không mà cả hai công ty này (RealTek và JMicron) đều có trụ sở chính ở tại cùng một khu văn phòng. Liệu những kẻ chủ mưu đã đột nhập trực tiếp vào trụ sở của các công ty này hay gián tiếp qua đường internet để đánh cắp mã khoá dùng để ký số các chứng thư kể trên? Không ai biết rõ.
“Hiếm khi chúng ta chứng kiến những kế hoạch chuyên nghiệp như thế này”, ESET, một công ty về an ninh máy tính, đánh giá trên blog của công ty. “Điều này cho thấy những kẻ tấn công có nguồn lực đáng kể.”
Tuy vậy ở mặt khác thì Stuxnet có vẻ dễ đoán cũng như không tham vọng lắm với mục tiêu nó nhắm tới. Các chuyên gia xác định virus này được thiết kế để nhắm vào Simatic WinCC Step7, một phần mềm điều khiển hệ thống công nghiệp của tập đoàn Siemens, Đức, thường dùng để điều khiển các động cơ, van, và các công tắc trong đủ các kiểu hệ thống công nghiệp như từ các nhà máy chế biến thực phẩm, tới các dây chuyền lắp ráp ôtô, các đường ống dẫn dầu và các nhà máy xử lý nước.
Mặc dù điều này khá mới mẻ, do các hệ thống điều khiển công nghiệp hiếm khi là đích ngắm của tin tặc vì không có kịch bản rõ ràng cho việc kiếm lời bất chính sau xâm nhập, thì những điều Stuxnet thực hiện trên Simatic lại không có gì là mới mẻ. Nó chỉ đơn giản là đánh cắp dữ liệu về cấu hình và thiết kế của các hệ thống. Hoạt động này được đánh giá ban đầu là để giúp các đối thủ cạnh tranh sao chép cách bố trí mặt bằng của nhà máy. Stuxnet, vào lúc này, chỉ có vẻ như là một vụ gián điệp công nghiệp.
Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công.
- .bat: Microsoft Batch File (Tệp xử lí theo lô)
- .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)
- .cmd: Command file for Windows NT (Tệp thực thi của Windows NT)
- .com: Command file (program) (Tệp thực thi)
- .cpl: Control Panel extension (Tệp của Control Panel)
- .doc: Microsoft Word (Tệp của chương trình Microsoft Word)
- .exe: Executable File (Tệp thực thi)
- .hlp: Help file (Tệp nội dung trợ giúp người dùng)
- .hta: HTML Application (Ứng dụng HTML)
- .js: JavaScript File (Tệp JavaScript)
- .jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)
- .lnk: Shortcut File (Tệp đường dẫn)
- .msi: Microsoft Installer File (Tệp cài đặt)
- .pif: Program Information File (Tệp thông tin chương trình)
- .reg: Registry File (Tệp can thiệp và chỉnh sửa Registry)
- .scr: Screen Saver (Portable Executable File)
- .sct: Windows Script Component
- .shb: Document Shortcut File
- .shs: Shell Scrap Object
- .vb: Visual Basic File
- .vbe: Visual Basic Encoded Script File
- .vbs: Visual Basic File (Tệp được lập trình bởi Visual Basic)
- .wsc: Windows Script Component
- .wsf: Windows Script File
- .wsh: Windows Script Host File
- .{*}: Class ID (CLSID) File Extensions