Chương 5: VIRUS MÁY TÍNH VÀ CÁCH PHÒNG CHỐNG Hiện nay, các phần mềm Hệ điều hành (HĐH) như Microsoft (MS) Windows 2000, XP, Vista, Linux ., các ứng dụng phổ biến như MS Office, Sun OpenOffice, Adobe Photoshop, Autodesk, AutoCAD… đều khá hoàn thiện và có cơ chế an toàn khá cao, nên ít xảy ra trục trặc. Nhưng thực tế tỷ lệ máy tính bị trục trặc phần mềm vẫn rất lớn, mà một trong những nguyên nhân chủ yếu là do virus. Đi kèm với sự phát triển của công nghệ máy tính, phần mềm và truyền thông thì càng ngày số lượng người có thể viết và phát triển virus càng nhiều, khả năng lây lan và phát tán càng mạnh, mức độ ảnh hưởng của virus càng lớn, và do đó thiệt hại trực tiếp cũng như gián tiếp do virus gây ra cũng ngày càng mạnh mẽ. Bài phân tích này sẽ giúp Quý vị có một cái nhìn sơ lược về việc Phòng chống virus và Khắc phục sự lây nhiễm của virus trên máy tính cá nhân (PC) của mình. 1. Virus máy tính là gì? Về bản chất, đối với máy tính thì virus máy tính cũng là một phần mềm như tất cả các phần mềm thông thường khác. Tuy nhiên, đối với người sử dụng thì virus thực sự là một nỗi đau đầu, vì các phần mềm này luôn ở trạng thái không mời mà đến, thực hiện các tác vụ gây ra hậu quả xấu cho người sử dụng như đánh cắp thông tin, phá hoại tài liệu và các phần mềm khác, tiêu tốn năng lực xử lý của máy tính, gây ra các trục trặc liên tục cho PC. Nguyên lý lây nhiễm, phát tán của virus máy tính cũng tương tự như virus trên các cơ thể sống: Chúng tìm mọi cách để lây nhiễm từ tài liệu này sang tài liệu khác, từ máy tính này sang máy tính khác, luôn cố gắng tự nhân bản và phát tán chính nó trong mọi trường hợp có thể được, theo những cách thức mà ngay cả các chuyên gia về phòng chống nhiều lúc cũng phải ngạc nhiên. Tuy nhiên, có một đặc điểm khác của virus máy tính với virus thông thường, đó là nó do con người tạo ra. Vì vậy virus máy tính liên tục biến đổi không ngừng, các biến thể mới xuất hiện rất nhanh và chúng luôn tìm cách tiêu diệt các phần mềm chống virus. Vì vậy không có một loại vắc-xin đặc trị nào có thể “uống một lần” mà phòng tránh được mãi mãi, mà muốn chống được thì máy tính phải được cài đặt các phần mềm có cơ chế phòng chống virus hiệu quả nhất và chúng phải được 1,2 triệu máy tính ở Việt Nam nhiễm virus chặn Yahoo Messenger 639 biến thể của mã độc Kavo có xuất xứ từ Trung Quốc đã xuất hiện trong tháng 6/2008. Ngoài việc ngăn sử dụng chương trình chat, virus này còn chiếm quyền điều khiển hệ thống và không cho hiển thị file có thuộc tính ẩn. Theo báo cáo của Trung tâm an ninh mạng BKIS, tổng cộng có 3.191 biến thể Kavo (xuất hiện từ 11/9/2007) liên tục được phát tán lên mạng. Phần mềm này sử dụng kỹ thuật hook message (chặn thông điệp của hệ thống) để nạp vào bộ nhớ của các tiến trình có giao diện GUI (Graphical User Interface) đang được thực thi trên máy nhằm dò mật khẩu tài khoản. Tuy nhiên, do mắc lỗi lập trình nên khi can thiệp vào bộ nhớ Yahoo Messenger, Kavo làm cho chương trình chat gặp vấn đề mỗi khi người sử dụng đăng nhập. Phần mềm Bkav mới nhất đã có thể diệt virus này. Tháng qua, Việt Nam cũng đón nhận 2.675 dòng virus máy tính mới, trong đó có 5 virus "nội". Phiên bản lây lan mạnh nhất là SecretW.Worm với hơn 101.000 máy tính bị ảnh hưởng. 59 website của các cơ quan lớn ở Việt Nam bị tấn công, trong đó có 24 trường hợp do hacker nước ngoài gây ra. BKIS cũng phát hiện lỗ hổng website nghiêm trọng của 30 cơ quan thuộc ngành viễn thông, ngân hàng, chứng khoán … Tuy không còn có mặt trong số 5 virus lây nhiều nhất trong tháng, dòng Dashfer (chèn banner có xuất xứ từ Trung Quốc) vẫn là mối nguy hiểm hàng đầu với người sử dụng máy tính tại Việt Nam. Từ một server bị nhiễm, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy chủ khác trong vùng để mạo danh là gateway của hệ thống. Bằng cách đó, nó có thể chèn iframe vào tất cả các trang web trước khi chúng được trả về cho người sử dụng. Hiện tượng này ảnh hưởng tới hầu hết các công ty hosting lớn tại Việt Nam. Mô hình phá hoại của Dashfer tại vùng máy chủ web Trong khi đó, một số website "hack game" gần đây đã xuất hiện nhưng thực chất chỉ là một hình thức phishing nhằm chiếm đoạt tiền của người chơi game. Kẻ lừa đảo dựng website quảng cáo về khả năng hack được các game online phổ biến như Võ lâm truyền kỳ, Thiên Long Bát Bộ, Audition Game thủ cần mua thẻ chơi game và nạp vào website để nhận được lượng tiền ảo lớn hơn nhiều lần so với thông thường. Tuy nhiên, sau khi người chơi nạp tiền, thông tin về thẻ của họ sẽ được gửi thẳng về địa chỉ e-mail của kẻ lừa đảo. Những website này có giao diện "nhái" theo site nạp thẻ của game online với logo, hình ảnh của các nhà cung cấp dịch vụ . Vì vậy, nếu không để ý, nạn nhân có thể lầm tưởng đây là website chính thống. Ngoài ra, mức "lãi" lớn đã đánh trúng tâm lý ham lợi của nạn nhân. Danh sách 10 virus lây nhiều nhất trong tháng do BKIS thống kê: 1. W32.SecretW.Worm 2. W32.ZangoB.Worm 3. W32.GamesOnHMDll9.Trojan 4. W32.SeekmoSA.Adware 5. W32.EncryptVBS.Worm 6. W32.SecretQ.Worm 7. W32.VetorL.PE 8. W32.ZhaouCam.Trojan 9. W32.CinmusXP.Trojan 10. W32.GamesOnSBDll1.Trojan Phßng chống Virus l©y lan qua USB Flash Drive. Hiện nay khi cắm USB Flash Drive (ổ USB) vào máy tính thì có đến 90% bị nhiễm virus (tạm gọi là virus USB), điều này đã gây nên nhiều tổn thất lớn. Thực tế, cách thức tấn công chất phác của các virus này không đáng gây nên những tổn thất như vậy, vấn đề cơ bản là ý thức ngây thơ của người dùng là điều kiện dung túng cho virus phát tán. Virus phát tán qua ổ USB như thế nào? Cơ chế thứ nhất - Autorun (tự chạy) Nếu bạn đã từng đẩy một đĩa CD vào khay và chờ 1 chút, 1 chương trình cài đặt hiện lên, mọi thứ bắt đầu. Nếu tinh ý bạn sẽ thấy là có một cơ chế tự động (Autorun) đằng sau đó, và chắc chắn ít nhiều đã có một chương trình nào đó được thực thi. Chuyện gì xảy ra nếu chương trình vừa chạy này là một chương trình xấu, chứa những dòng mã hiểm độc nhằm hủy hoại máy tính của bạn?. Cũng tương tự như ổ CD-ROM của bạn, tất cả các ổ đĩa khác bao gồm đĩa cứng, đĩa mềm và USB Flash Drive, đều có thể ẩn chứa khả năng Autorun này. Cũng không thể nói rằng Autorun là một tính năng xấu, nhưng đây là một lỗ hổng cho những kẻ cơ hội khai thác và cũng là cơ chế lây lan cơ bản của hầu hết các virus USB. Bạn sẽ phải dè chừng nó. Cơ chế thứ hai - Fake Icon (giả biểu tượng) Virus máy tính do con người viết nên và nó có tính chất tự nhân bản, để hoạt động được đòi hỏi phải có môi trường và những điều kiện cụ thể (trong trường hợp trên thì cơ chế Autorun đã thực thi virus). Còn trường hợp phổ biến thứ hai, một “con” virus (dưới dạng một file .exe) giả dạng làm một thư mục hay file quen thuộc của bạn. Virus ngụy trang bằng cách mang trong mình icon của folder/file y hệt như icon thật, điều đó làm bạn dễ nhầm lẫn double click vào icon này. Sau khi bạn click, chẳng có thư mục hay file nào được mở ra cả, tất cả những gì bạn làm là đã thực thi 1 file .exe - vậy là virus đã được kích hoạt, máy của bạn bị nhiễm virus!. Cách Phòng Chống virus USB Các động tác cơ bản Trước khi bắt đầu với đám virus USB, chúng ta nên có một số thao tác đón đầu trước để sau đó làm việc dễ dàng hơn: - Vào My Computer, chọn menu Tool -> Folder Options… ->XHHT. Thay đổi một số thuộc tính cơ bản - Trong cửa sổ Folder Options chọn tab View, cuộn thanh cuộn xuống 1 chút và cấu hình như sau: - Chọn Show hidden files and folders để hiển thị các file ẩn (hidden file), bởi vì lẽ dĩ nhiên các virus tự ẩn mình đi. - Bỏ chọn Hide extensions for known file types để hiển thị đuôi (vd *.exe *.doc *.txt…) cho tất cả các file. - Bỏ chọn Hide protected operating system files để hiển thị những file hệ thống quan trọng. Bạn sẽ thấy là mục này được ghi chú là Recommended, tức là khuyến cáo nên để ẩn chứ không nên cho hiện hết ra. Cũng đúng thôi, vì sau khi chọn mục này, bạn sẽ thấy xuất hiện nhiều file và thư mục hệ thống lờ mờ trên khắp các ổ cứng của mình, nếu không may xóa phải các file này thì rất có thể máy của bạn sẽ gặp rắc rối lớn. Tuy nhiên các virus cũng tự ngụy trang mình bằng cách khoác lên mình chiếc “áo” làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục này. Nếu ổ USB có virus thì thực hiện như hình 4 để xóa các file nguy hiểm. Nhớ: không xóa bất kỳ file nào loại này mà bạn chưa chắc chắn là virus. Cách chống virus USB lây sang máy tính. 1. Tắt chức năng Autorun của Windows: vào Start->Run->Gõ gpedit.msc-> OK. Ở List bên trái chọn Computer Configuration -> Administrative Template -> System. Ở List Setting bên phải tìm đến mục Turn off Autoplay và kích chuột phải chọn Properties. Tại table Setting chọn Enable, tại mục Turn off Autoplay on: chọn All Drivers -> OK. Làm tương tự với mục User Configuration -> 2. Không cho virus tạo file Autorun.inf trong ổ đĩa (cả ổ cứng và ổ USB): Có thể có nhiều cách chống được loại virus này. Tuy nhiên, cách đơn giản mà không cần công cụ gì giúp ổ cứng của bạn hạn chế bị virus USB tấn công và phát tán là tạo một file Autorun.inf (không có nội dung gì) trong thư mục gốc của ổ đĩa, không phân quyền cho bất kỳ user nào có thể thay đổi file đó để virus không tạo được file Autorun nữa. Cách làm như sau: - Ổ cứng của bạn phải được định dạng theo NTFS (Nếu là FAT32 thì không phân quyền cho file được). [...]... được file Autorun.inf là bạn đã làm đúng Với những gì đã làm kết hợp với vi c thực hiện "Các bước truy xuất ổ đĩa an toàn" như hình vẽ ở dưới thì bạn không lo bị nhiễm virus USB nữa Cuối cùng là bạn phải Restart lại máy để bước 1 có hiệu lực, cách này không hẳn là phòng chống được virus USB 100%, nhưng cũng hạn chế tối đa được loại virus lây qua ổ USB này * Cách Convert ổ đĩa từ FAT sang NTFS: Chọn Start... mục thì không Cần lưu ý, các virus còn giả danh các file thường dùng, như file text (.txt), file word document (.doc), file ảnh (.jpg) v.v Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại này không, bạn có thể truy cập vào USB, bật chế độ hiện hết các đuôi file và chú ý đến các đuôi exe Hoặc cũng có thể view ở chế độ details và chú ý đến các Application Nếu gặp các virus loại này? Hãy xóa thẳng... đã bị nhiễm virus loại này chưa Phòng chống virus hiệu quả Làm thế nào để có thể phát hiện ra được USB có virus hay không? Nếu như bình thường bạn mở USB bằng cách click chuột trái vào biểu tượng USB ở My Computer thì hãy thay đổi thói quen đó Hãy thử click chuột phải vào biểu tượng ổ USB, nếu như bạn thấy có dòng Autoplay được tô đậm ở vị trí trên cùng, có nghĩa là 90% USB đó đã bị nhiễm virus Bởi vì... con virus sau khi lây vào máy còn lây vào Autoplay của các ổ cứng Quá trình lây vào ổ cứng khiến cho virus vẫn có thể được kích hoạt mà không cần phải sao chép vào Start Up, một nơi vẫn thường xuyên được kiểm tra Tuy nhiên, các virus USB thường tự đặt nó trong trạng thái ẩn, chính vì vậy tốt nhất bạn nên thường xuyên đặt chế độ xem các file ẩn bằng cách vào My Computer -> Tools -> Folder Options -> View... thật khó phân biệt Chẳng hạn như ở hình dưới, bạn cứ ngỡ STARTUP là một thư mục: Phân biệt cơ chế Fake Icon của virus Nhưng nếu bạn cho hiện hết đuôi các file ra (xem lại Các động tác cơ bản), thì các file này “lòi đuôi” ra ngay là file thực thi Bạn cũng có thể xem file ở dạng Details (chọn menu Views > Details), lúc này hãy chú ý đến sự khác biệt giữa một thư mục (folder) và ứng dụng (application): -...- Mở Explorer rồi vào menu Tools \ Folder Options\ View, kéo xuống dưới rồi bỏ chọn mục Use simple file sharing->OK - Tạo một file Autorun.inf (không có nội dung), Click chuột phải chọn Properties\Security\Advanced, tại bảng Permissions hãy Remove hết tất cả các user có trong danh sách rồi chọn OK > Yes, trở về mục Security sẽ... bạn gõ lệnh như sau: Convert f: /FS:NTFS Một số lưu ý: Dấu hiệu nhận biết khả năng ổ đĩa bị nhiễm virus USB (kích chuột phải vào biểu tượng ổ đĩa) Hình 1 Bình thường Hình 2 Bị nhiễm Hình 3 Bị nhiễm Nếu kích đúp chuột vào biểu tượng ổ đĩa thì: Hình 1, 99% sẽ mở ra thư mục gốc Hình 2 và 3 (ổ đã bị nhiễm virus USB), 100% sẽ kích hoạt nội dung các câu lệnh trong file Autorun.inf Cách truy cập ổ đĩa nhằm... Autorun.inf Các bước truy xuất ổ đĩa an toàn Cách chống Fake Icon Mỗi chương trình, mỗi loại file mang trên mình một biểu tượng Lợi dụng điều này mà các loại virus USB mạo danh để hòng lừa gạt người dùng kích hoạt chúng Vấn đề là nếu một chương trình virus mang icon của một folder/file khác, thật khó phân biệt và người dùng dễ nhầm lẫn double click thực thi chương trình này Mặc định, Windows giấu đi phần... Start -> Run, bạn sẽ gõ cacls E:\autorun.inf /D Everyone Tất nhiên là không thể nói là an toàn với tất cả các loại virus USB, nhưng phương pháp này cũng phần nào giúp cho USB của bạn an toàn trước đại đa số chuyên lây qua USB hiện nay Và hơn hết, hãy cài lên máy của mình một chương trình diệt virus đáng tin cậy, đặc biệt nên có tính năng tự động cập nhật thường xuyên . có một cái nhìn sơ lược về vi c Phòng chống virus và Khắc phục sự lây nhiễm của virus trên máy tính cá nhân (PC) của mình. 1. Virus máy tính là gì? Về bản. mềm Bkav mới nhất đã có thể diệt virus này. Tháng qua, Vi t Nam cũng đón nhận 2.675 dòng virus máy tính mới, trong đó có 5 virus "nội". Phiên bản