Tuy nhiên, đối với người sử dụng thì virus thực sự là một nỗi đau đầu, vì các phần mềm này luôn ở trạng thái không mời mà đến, thực hiện các tác vụ gây ra hậu quả xấu cho người sử dụng n
Trang 1Chương 5: VIRUS MÁY TÍNH VÀ CÁCH PHÒNG CHỐNG
Hiện nay, các phần mềm Hệ điều hành (HĐH) như Microsoft (MS) Windows 2000, XP, Vista, Linux , các ứng dụng phổ biến như MS Office, Sun OpenOffice, Adobe Photoshop, Autodesk, AutoCAD… đều khá hoàn thiện và có cơ chế an toàn khá cao, nên ít xảy ra trục trặc Nhưng thực tế tỷ lệ máy tính bị trục trặc phần mềm vẫn rất lớn, mà một trong những nguyên nhân chủ yếu là do virus
Đi kèm với sự phát triển của công nghệ máy tính, phần mềm và truyền thông thì càng ngày số lượng người có thể viết
và phát triển virus càng nhiều, khả năng lây lan và phát tán càng mạnh, mức độ ảnh hưởng của virus càng lớn, và do đó thiệt hại trực tiếp cũng như gián tiếp do virus gây ra cũng ngày càng mạnh mẽ
Bài phân tích này sẽ giúp Quý vị có một cái nhìn sơ lược về việc Phòng chống virus và Khắc phục sự lây nhiễm của virus
Trang 2trên máy tính cá nhân (PC) của mình.
1 Virus máy tính là gì?
Về bản chất, đối với máy tính thì virus máy tính cũng là một phần mềm như tất cả các phần mềm thông thường khác Tuy nhiên, đối với người sử dụng thì virus thực sự là một nỗi đau đầu, vì các phần mềm này luôn ở trạng thái không mời mà đến, thực hiện các tác vụ gây ra hậu quả xấu cho người sử dụng như đánh cắp thông tin, phá hoại tài liệu và các phần mềm khác, tiêu tốn năng lực xử lý của máy tính, gây ra các trục trặc liên tục cho PC.
Nguyên lý lây nhiễm, phát tán của virus máy tính cũng tương tự như virus trên các cơ thể sống: Chúng tìm mọi cách
để lây nhiễm từ tài liệu này sang tài liệu khác, từ máy tính này sang máy tính khác, luôn cố gắng tự nhân bản và phát tán chính nó trong mọi trường hợp có thể được, theo những cách thức mà ngay cả các chuyên gia về phòng chống nhiều lúc cũng phải ngạc nhiên.
Tuy nhiên, có một đặc điểm khác của virus máy tính với virus thông thường, đó là nó do con người tạo ra Vì vậy virus máy tính liên tục biến đổi không ngừng, các biến thể mới xuất hiện rất nhanh và chúng luôn tìm cách tiêu diệt các phần mềm chống virus Vì vậy không có một loại vắc-xin đặc trị nào có thể “uống một lần” mà phòng tránh được mãi mãi, mà muốn chống được thì máy tính phải được cài đặt các phần mềm có
cơ chế phòng chống virus hiệu quả nhất và chúng phải được
Trang 31,2 triệu máy tính ở Việt Nam nhiễm virus chặn Yahoo
Messenger
639 biến thể của mã độc Kavo có xuất xứ từ Trung Quốc đã xuất hiện trong tháng 6/2008 Ngoài việc ngăn sử dụng chương trình chat, virus này còn chiếm quyền điều khiển hệ thống và không cho hiển thị file
Trang 4có thuộc tính ẩn
Theo báo cáo của Trung tâm an ninh mạng BKIS, tổng cộng có 3.191 biến thể Kavo (xuất hiện từ 11/9/2007) liên tục được phát tán lên mạng Phần mềm này sử dụng kỹ thuật hook message (chặn thông điệp của hệ thống) để nạp vào bộ nhớ của các tiến trình có giao diện GUI (Graphical User Interface) đang được thực thi trên máy nhằm dò mật khẩu tài khoản Tuy nhiên, do mắc lỗi lập trình nên khi can thiệp vào bộ nhớ Yahoo Messenger, Kavo làm cho chương trình chat gặp vấn đề mỗi khi người sử dụng đăng nhập Phần mềm Bkav mới nhất đã
có thể diệt virus này.
Tháng qua, Việt Nam cũng đón nhận 2.675 dòng virus máy tính mới, trong đó có 5 virus
"nội" Phiên bản lây lan mạnh nhất là SecretW.Worm với hơn 101.000 máy tính bị ảnh hưởng 59 website của các cơ quan lớn ở Việt Nam bị tấn công, trong đó có 24 trường hợp do hacker nước ngoài gây ra BKIS cũng phát hiện
lỗ hổng website nghiêm trọng của 30 cơ quan thuộc ngành viễn thông, ngân hàng, chứng khoán …
Trang 5Tuy không còn có mặt trong số 5 virus lây nhiều nhất trong tháng, dòng Dashfer (chèn banner có xuất xứ từ Trung Quốc) vẫn là mối nguy hiểm hàng đầu với người sử dụng máy tính tại Việt Nam Từ một server bị nhiễm, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy chủ khác trong vùng để mạo danh là gateway của
hệ thống Bằng cách đó, nó có thể chèn iframe vào tất cả các trang web trước khi chúng được trả về cho người sử dụng Hiện tượng này ảnh hưởng tới hầu hết các công ty hosting lớn tại Việt Nam.
Mô hình phá hoại của Dashfer tại vùng máy chủ
web
Trong khi đó, một số website "hack game" gần đây đã xuất hiện nhưng thực chất chỉ là một hình thức phishing nhằm chiếm đoạt tiền
Trang 6của người chơi game.
Kẻ lừa đảo dựng website quảng cáo về khả năng hack được các game online phổ biến như
Võ lâm truyền kỳ, Thiên Long Bát Bộ, Audition Game thủ cần mua thẻ chơi game và nạp vào website để nhận được lượng tiền ảo lớn hơn nhiều lần so với thông thường Tuy nhiên, sau khi người chơi nạp tiền, thông tin về thẻ của họ sẽ được gửi thẳng về địa chỉ e-mail của
kẻ lừa đảo.
Những website này có giao diện "nhái" theo site nạp thẻ của game online với logo, hình ảnh của các nhà cung cấp dịch vụ Vì vậy, nếu không để ý, nạn nhân có thể lầm tưởng đây là website chính thống Ngoài ra, mức "lãi" lớn đã đánh trúng tâm lý ham lợi của nạn nhân.
Danh sách 10 virus lây nhiều nhất trong tháng do BKIS thống kê:
1 W32.SecretW.Worm
2 W32.ZangoB.Worm
3 W32.GamesOnHMDll9.Trojan
4 W32.SeekmoSA.Adware
5 W32.EncryptVBS.Worm
Trang 76 W32.SecretQ.Worm
7 W32.VetorL.PE
8 W32.ZhaouCam.Trojan
9 W32.CinmusXP.Trojan
10 W32.GamesOnSBDll1.Trojan
Phßng chống Virus l©y lan qua USB Flash Drive.
Hiện nay khi cắm USB Flash Drive (ổ USB) vào máy tính thì có đến 90% bị nhiễm virus (tạm gọi là virus USB), điều này đã gây nên nhiều tổn thất lớn Thực tế, cách thức tấn công chất phác của các virus này không đáng gây nên những tổn thất như vậy, vấn đề cơ bản là ý thức ngây thơ của người dùng là điều kiện dung túng cho virus phát tán.
Virus phát tán qua ổ USB như thế nào?
Cơ chế thứ nhất - Autorun (tự chạy)
Nếu bạn đã từng đẩy một đĩa CD vào khay và chờ 1 chút, 1 chương trình cài đặt hiện lên, mọi thứ bắt đầu Nếu tinh ý bạn sẽ thấy là có một cơ chế tự động (Autorun) đằng sau đó, và chắc chắn ít nhiều đã có một chương trình nào đó được thực thi Chuyện gì xảy ra nếu chương trình vừa chạy này là một chương trình xấu, chứa những dòng mã hiểm độc nhằm hủy hoại máy tính của bạn?.
Cũng tương tự như ổ CD-ROM của bạn, tất cả các ổ đĩa khác bao gồm đĩa cứng, đĩa mềm và USB Flash Drive, đều có thể ẩn chứa khả năng Autorun này Cũng không thể nói rằng Autorun là
Trang 8một tính năng xấu, nhưng đây là một lỗ hổng cho những kẻ cơ hội khai thác và cũng là cơ chế lây lan cơ bản của hầu hết các virus USB Bạn sẽ phải dè chừng nó
Cơ chế thứ hai - Fake Icon (giả biểu tượng)
Virus máy tính do con người viết nên và nó có tính chất tự nhân bản, để hoạt động được đòi hỏi phải có môi trường và những điều kiện cụ thể (trong trường hợp trên thì cơ chế Autorun đã thực thi virus) Còn trường hợp phổ biến thứ hai, một “con” virus (dưới dạng một file exe) giả dạng làm một thư mục hay file quen thuộc của bạn Virus ngụy trang bằng cách mang trong mình icon của folder/file y hệt như icon thật, điều đó làm bạn dễ nhầm lẫn double click vào icon này Sau khi bạn click, chẳng có thư mục hay file nào được mở ra cả, tất cả những gì bạn làm là đã thực thi 1 file exe - vậy là virus đã được kích hoạt, máy của bạn bị nhiễm virus!
Cách Phòng Chống virus USB
Các động tác cơ bản
Trước khi bắt đầu với đám virus USB, chúng ta nên có một số thao tác đón đầu trước để sau đó làm việc dễ dàng hơn:
- Vào My Computer, chọn menu Tool -> Folder Options… ->XHHT.
Trang 9Thay đổi một số thuộc tính cơ bản
- Trong cửa sổ Folder Options chọn tab View, cuộn thanh cuộn xuống 1 chút và cấu hình như sau:
- Chọn Show hidden files and folders để hiển thị các file ẩn
(hidden file), bởi vì lẽ dĩ nhiên các virus tự ẩn mình đi
- Bỏ chọn Hide extensions for known file types để hiển thị đuôi
(vd *.exe *.doc *.txt…) cho tất cả các file
- Bỏ chọn Hide protected operating system files để hiển thị
những file hệ thống quan trọng Bạn sẽ thấy là mục này được ghi chú là Recommended, tức là khuyến cáo nên để ẩn chứ không nên cho hiện hết ra Cũng đúng thôi, vì sau khi chọn mục này, bạn sẽ thấy xuất hiện nhiều file và thư mục hệ thống lờ mờ trên khắp các
ổ cứng của mình, nếu không may xóa phải các file này thì rất có
Trang 10thể máy của bạn sẽ gặp rắc rối lớn Tuy nhiên các virus cũng tự ngụy trang mình bằng cách khoác lên mình chiếc “áo” làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục này Nếu ổ USB
có virus thì thực hiện như hình 4 để xóa các file nguy hiểm Nhớ: không xóa bất kỳ file nào loại này mà bạn chưa chắc chắn là virus
Cách chống virus USB lây sang máy tính.
1 Tắt chức năng Autorun của Windows: vào Start->Run->Gõ gpedit.msc-> OK
Ở List bên trái chọn Computer Configuration -> Administrative Template -> System.
Ở List Setting bên phải tìm đến mục Turn off Autoplay và kích chuột phải chọn Properties
Tại table Setting chọn Enable, tại mục Turn off Autoplay on: chọn All Drivers -> OK.
Làm tương tự với mục User Configuration ->
2 Không cho virus tạo file Autorun.inf trong ổ đĩa (cả ổ cứng và ổ USB):
Có thể có nhiều cách chống được loại virus này Tuy nhiên, cách đơn giản mà không cần công cụ gì giúp ổ cứng của bạn hạn chế bị virus USB tấn công và phát tán là tạo một file Autorun.inf (không có nội dung gì) trong thư mục gốc của ổ đĩa, không phân quyền cho bất kỳ user nào có thể thay đổi file đó để virus không tạo được file Autorun nữa Cách làm như sau:
- Ổ cứng của bạn phải được định dạng theo NTFS (Nếu là FAT32 thì không phân quyền cho file được).
Trang 11- Mở Explorer rồi vào menu Tools \ Folder Options\ View, kéo xuống dưới rồi bỏ chọn mục Use simple file sharing->OK.
- Tạo một file Autorun.inf (không có nội dung), Click chuột phải chọn Properties\Security\Advanced, tại bảng Permissions hãy Remove hết tất cả các user có trong danh sách rồi chọn OK > Yes, trở về mục Security sẽ thấy danh sách các user trống rỗng là được, sau đó chọn OK
Sau khi thao tác như trên, nếu không xóa được file Autorun.inf
là bạn đã làm đúng.
Với những gì đã làm kết hợp với việc thực hiện "Các bước truy xuất ổ đĩa an toàn" như hình vẽ ở dưới thì bạn không lo bị nhiễm virus USB nữa.
Cuối cùng là bạn phải Restart lại máy để bước 1 có hiệu lực, cách này không hẳn là phòng chống được virus USB 100%, nhưng cũng hạn chế tối đa được loại virus lây qua ổ USB này
* Cách Convert ổ đĩa từ FAT sang NTFS: Chọn Start -> Run -> gõ lệnh cmd -> OK Tại cửa sổ lệnh bạn gõ lệnh để convert theo cú pháp: CONVERT volume /FS:NTFS Ví dụ muốn convert ổ F, bạn gõ lệnh như sau:
Convert f: /FS:NTFS
Một số lưu ý:
Dấu hiệu nhận biết khả năng ổ đĩa bị nhiễm virus USB (kích chuột phải vào biểu tượng ổ đĩa).
Trang 12Hình 1 Bình thường Hình 2 Bị nhiễm Hình 3 Bị nhiễm
Nếu kích đúp chuột vào biểu tượng ổ đĩa thì: Hình 1, 99% sẽ mở
ra thư mục gốc Hình 2 và 3 (ổ đã bị nhiễm virus USB), 100% sẽ kích hoạt nội dung các câu lệnh trong file Autorun.inf
Cách truy cập ổ đĩa nhằm khống chế sự kích hoạt file Autorun.inf
Vào My Computer, nhấn vào biểu tượng Folders sẽ thấy xuất hiện List các Folders bên trái, muốn mở ổ đĩa nào chỉ cần bấm chuột vào biểu tượng ổ đĩa đó Ở cửa sổ phải sẽ xuất hiện các file
và thư mục trong ổ đĩa, lúc này bạn có thể truy cập vào các file và thư mục mà không sợ kích hoạt file Autorun.inf
Trang 13Các bước truy xuất ổ đĩa an toàn
Cách chống Fake Icon
Mỗi chương trình, mỗi loại file mang trên mình một biểu tượng Lợi dụng điều này mà các loại virus USB mạo danh để hòng lừa gạt người dùng kích hoạt chúng Vấn đề là nếu một chương trình virus mang icon của một folder/file khác, thật khó phân biệt và người dùng dễ nhầm lẫn double click thực thi chương trình này Mặc định, Windows giấu đi phần đuôi của những chương trình, file
đã biết Vd: file STARTUP.exe được hiển thị trong My Computer chỉ còn là STARTUP Nếu file này mang icon của một thư mục, thật khó phân biệt Chẳng hạn như ở hình dưới, bạn cứ ngỡ STARTUP
là một thư mục:
Trang 14Phân biệt cơ chế Fake Icon của virus Nhưng nếu bạn cho hiện hết đuôi các file ra (xem lại Các động tác cơ bản), thì các file này “lòi đuôi” ra ngay là file thực thi
Bạn cũng có thể xem file ở dạng Details (chọn menu Views > Details), lúc này hãy chú ý đến sự khác biệt giữa một thư mục (folder) và ứng dụng (application):
- Ở cột Type, ứng dụng được gọi là Application còn thư mục là File Folder
- Ở cột Size, ứng dụng có size còn thư mục thì không
Cần lưu ý, các virus còn giả danh các file thường dùng, như file text (.txt), file word document (.doc), file ảnh (.jpg) v.v
Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại này không, bạn có thể truy cập vào USB, bật chế độ hiện hết các đuôi file và chú ý đến các đuôi exe Hoặc cũng có thể view ở chế độ details và chú ý đến các Application Nếu gặp các virus loại này? Hãy xóa thẳng tay
Bây giờ bạn thử dạo qua một vòng ổ cứng của mình và một vài thư mục con để kiểm tra xem máy đã bị nhiễm virus loại này chưa.
Phòng chống virus hiệu quả Làm thế nào để có thể phát hiện ra được USB có virus hay không? Nếu như bình thường bạn mở USB bằng cách click chuột trái vào biểu tượng USB ở My Computer thì hãy thay đổi thói quen đó Hãy thử click chuột phải vào biểu tượng ổ USB, nếu như bạn thấy
có dòng Autoplay được tô đậm ở vị trí trên cùng, có
Trang 15nghĩa là 90% USB đó đã bị nhiễm virus Bởi vì bình thường thì dòng chữ tô đậm ấy phải là Open hoặc Explorer thay vì Autoplay.
Điều này còn có thể áp dụng với các ổ đĩa cứng, một vài con virus sau khi lây vào máy còn lây vào Autoplay của các ổ cứng Quá trình lây vào ổ cứng khiến cho virus vẫn có thể được kích hoạt mà không cần phải sao chép vào Start Up, một nơi vẫn thường xuyên được kiểm tra Tuy nhiên, các virus USB thường
tự đặt nó trong trạng thái ẩn, chính vì vậy tốt nhất bạn nên thường xuyên đặt chế độ xem các file ẩn bằng cách vào My Computer -> Tools -> Folder Options -> View -> Chọn Show hidden files and folders và bỏ Hide protected system files.
Sau đây là các bước cụ thể:
Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB Ví dụ như USB của bạn là ổ E: và nhãn là STORAGE.
Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start -> Run, sau đó gõ convert <ký tự đại diện của usb>: /FS:NTFS Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này Nếu không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được.
