Khắc phụchậuquả của WindowsXP/Vista
Recovery
Nhưng không phải chỉ có chúng ta mới biết được cách làm này, mà những
hacker sơ nhập cũng nắm được nguyên lý đơn giản này, do vậy tin tặc đã
tiếp tục sáng tạo ra một số phần mềm bảo mật giả mạo với mục đích cố tính
di chuyển các file hoặc dữ liệu quan trọng của người dùng vào thư mục temp
này.
Những trường hợp phổ biến thường gặp nhiều nhất là phần mềm bảo mật giả
mạoWindows Recovery và Windows Restore trong hệ điều hành Windows
XP hoặc Vista ngày nay, nhiều file hệ thống của người dùng sẽ “bí mật”
chuyển tới thư mục %temp%\smtmp. Sau khi hệ thống bị lây nhiễm, các
bạn tuyệt đối không được xóa bỏ dữ liệu trong thư mục này như cách thường
làm, hoặc sử dụng những công cụ hỗ trợ khác như Ccleaner cho tới khi
hoàn tất quá trình khắcphục và mọi việc trở lại như bình thường.
Cụ thể hơn, các chương trình giả mạo trên sẽ tạm ẩn và chuyển hết toàn bộ
shortcut chương trình trên nềnDesktop và Start Menu vào thư
mục %temp%\smtmp, sau đó tiếp tục tạo thêm 4 thư mục con khác:
%Temp%\smtmp\1\ => Allusers Start Menu
%Temp%\smtmp\2\ => Allusers Quick Launch
%Temp%\smtmp\3\ => Quick Launch\User Pinned\TaskBar
%Temp%\smtmp\4\ => AllUsers Desktop
Nếu không “làm sạch” thư mục temp thì chúng ta hoàn toàn có thể khôi
phục lại những shortcut này, còn trong trường hợp còn lại, các bạn hãy dùng
tiện ích restoresm để lấy lại các shortcut thường dùng (download, giải nén và
chạy file restoresm.bat).
Một số bước tiếp theo cần tiến hành:
Để tiếp tục, các bạn hãy thực hiện các bước hướng dẫn như phần dưới đây.
Cụ thể, chúng ta sẽ tìm hiểu kỹ hơn về chương trình giả mạo Windows
Recovery – được ngụy trang khéo léo dưới vỏ bọc của 1 tiện ích phân tích
và tối ưu hóa hệ thống, sau khi cài đặt vào Windows chúng sẽ hoạt động và
đưa ra nhiều thông tin sai lệch và tình trạng hiện thời của hệ điều hành, đồng
thời đưa ra những biện pháp cải thiện bằng các chức năng cao cấp – những
chức năng này chỉ được kích hoạt khi người dùng đồng ý trả phí qua một số
hình thức phổ biến. Và về bản chất, WindowsRecovery được cài đặt thông
qua con đường trojan lây nhiễm vào Windows, trong những lần tiếp theo,
chương trình này sẽ tự khởi động cùng hệ thống, và với mỗi lần như vậy, các
thông báo sai lệch về tình trạng hệ điều hành, phân vùng lưu trữ hoặc ổ cứng
lại hiển thị.
Mặt khác, để người dùng “tin tưởng” rằng hệ điều hành đang hoạt động bất
ổn, WindowsRecovery đã làm cho phần dữ liệu bên trong của các thư mục
“biến mất” hoàn toàn, ví dụ khi người dùng mở một số đường dẫn
nhưC:\Windows\System32\, thay vì nhìn thấy danh sách các thư mục và file
hệ thống như thường lệ, họ sẽ chỉ nhìn thấy một vài thư mục khác lạ, bên
trong không hề có chứa dữ liệu. Chúng làm được việc này bằng cách bí mật
gán thêm thuộc tính Hidden – ẩn và file và thư mục chứa file, đồng thời
thay đổi thiết lập cơ chế hiển thị của Windows, do vậy người dùng không
thể nhìn đc file và thư mục ẩn.
Bên cạnh đó, WindowsRecovery còn khiến cho người dùng không thể khởi
động và sử dụng được bất cứ chương trình nào trên máy tính. Biểu hiện của
việc này là khi bạn khởi động 1 chương trình bất kỳ, chương trình đó sẽ tự
động biến mất, và thay vào đó là thông báo lỗi rằng ứng dụng hoặc ổ cứng
lưu trữ đang gặp vấn đề. Mục đích của tin tặc khi làm việc này là để tự bảo
vệ chương trình giả mạo khỏi các phần mềm bảo mật khác.
. Khắc phục hậu quả của Windows XP/Vista
Recovery
Nhưng không phải chỉ có chúng ta mới biết được. quan trọng của người dùng vào thư mục temp
này.
Những trường hợp phổ biến thường gặp nhiều nhất là phần mềm bảo mật giả
mạoWindows Recovery và Windows