Hiện nay, các phần mềm Hệ điều hành (HĐH) như Microsoft (MS) Windows 2000, XP, Vista, Linux Ubuntu, Fedora, RedHat…, các ứng dụng phổ biến như MS Office, Sun OpenOffice, Adobe Photoshop, Autodesk AutoCAD… đều khá hoàn thiện và có cơ chế an toàn khá cao, nên ít xảy ra trục trặc. Nhưng thực tế tỷ lệ máy tính bị trục trặc phần mềm vẫn rất lớn, mà một trong những nguyên nhân chủ yếu là do virus. Đi kèm với sự phát triển của công nghệ máy tính, phần mềm và truyền thông thì càng ngày số lượng người có thể viết và phát triển virus càng nhiều, khả năng lây lan và phát tán càng mạnh, mức độ ảnh hưởng của virus càng lớn, và do đó thiệt hại trực tiếp cũng như gián tiếp do virus gây ra cũng ngày càng mạnh mẽ. Bài phân tích này sẽ giúp quý vị có một cái nhìn sơ lược về việc Phòng chống virus và Khắc phục sự lây nhiễm của virus trên máy tính cá nhân (PC) của mình.
Trang 1Đi kèm với sự phát triển của công nghệ máy tính, phần mềm và truyềnthông thì càng ngày số lượng người có thể viết và phát triển virus càng nhiều, khả năng lây lan và phát tán càng mạnh, mức độ ảnh hưởng của virus càng lớn, và do đó thiệt hại trực tiếp cũng như gián tiếp do virus gây ra cũngngày càng mạnh mẽ
Bài phân tích này sẽ giúp quý vị có một cái nhìn sơ lược về việc Phòng chống virus và Khắc phục sự lây nhiễm của virus trên máy tính cá nhân (PC) của mình
Trang 2Lời cảm ơn
Để có được thành tích như ngày hôm nay, em xin chân thành cảm ơncác thầy cô giáo của Trường THBC KTTH Hà Nội đã dạy dỗ em trong suốt
2 năm học qua
Em xin chân thành cảm ơn cô Lê Văn Huỳnh đã hướng dẫn em
thực tập và hoàn thành tốt báo cáo thực tập này
Em cũng xin chân thành cảm ơn anh Vương Hoàng Điệp và các nhân
viên của chi nhánh công ty Công Ty TNHH Đầu tư & Phát triển Công
Nghệ Hoàng Đạt đã tạo điều kiện, giúp đỡ em thực tập tốt, đã tận tình
hướng dẫn, chỉ bảo em trong suốt thời gian thực tập
Trang 3A: VÀI NÉT VỀ CƠ QUAN THỰC TẬP
Cơ quan thực thập: Công Ty TNHH Đầu tư & Phát triển Công Nghệ
Hoàng Đạt
Văn Phòng giao dịch: Số nhà 58/59 Hoàng Cầu – Đống Đa
Gián Đốc: Vương Hoàng Điệp
Công ty Công Ty TNHH Đầu tư & Phát triển Công Nghệ Hoàng Đạt
là một công ty chuyên cung cấp về các mặt hàng điện tử, máy vi tính Ngoài
ra công ty còn nhận lắp đặt, sửa chữa và thiết kế máy tính văn phòng vàphòng Game Với phương châm phuc vụ khách hàng tốt nhất, chu đáo, nhiệttình nên giờ đây công ty đã và đang được rất nhiều nơi tín nhiệm để muasắm
Khi về thực tập tại đây em được phân công vào phòng IT (information
technology) thuộc bộ phận sửa chữa và bảo hành Tại đây em được anh
Vương Hoàng Điệp hướng dẫn và chỉ bảo cho e để em hoàn thành tốt công
việc được giao Tai đây có 3 máy tính được dùng để cài và sửa chữa nhữngphần mềm mà khách hàng yêu cầu
Qua 8 tuần thực tập ở đây em đã cảm nhận được một không khí làm việc rấtnghiêm túc và có tính chuyên nghiệp cao Đội ngũ nhân viên tại đây cóchuyên môn cao, rất nhiệt tình với công việc và luôn giành những thiện cảmcho khách hàng ngay cả những khách hàng khó tính nhất cũng phải hài lòngvới phong cách phục vụ và làm việc của họ
Trang 4B: NỘI DUNG THỰC TẬP
1, Công việc: Tại đây em được giao nhiệm vụ là:
+) Hàng ngày làm những công việc phụ giúp cho nhân viên của phòng làmviệc và giao trả hàng đã được bảo hành sửa chữa
+) Cuối tuần sẽ tiến hành lau chùi và bảo dưỡng máy tính của chi nhánh tạiphòng thu ngân và lau dọn phòng sau 1 tuần làm việc
+) Khi không có việc thì trực điện thoại tiếp nhận những thông tin từ kháchhàng để nhân viên của phòng tiến hành sửa chữa, bảo hành và tư vấn về cách
sử dụng những sản phẩm mà họ đã mua tại chi nhánh
2, Tự đánh giá về chất lượng và hiệu quả công tác của bản thân:
Qua 8 tuần thực tập tại đây am đã hoàn thành tốt được những công việcđược giao và có đựơc nhưng kết quả nhất định tuy còn một số vướng mắc domới ra trường kinh nghiệm làm việc chưa có nhiều và kiến thức còn yếu nêncòn vướng mắc trong một số công việc, nhưng do dược sự giúp đỡ của các
anh trong phòng và đặc biệt là anh Vương Hoàng Điệp nên em cũng hoàn
thành dược công việc đã được giao Là một người hoạt bát và sôi nổi trongcông việc nên em được mọi người tin yêu và quý mến coi em như một đồngnghiệp, em rất tự hào về điều đó
Trang 5Về bản chất, đối với máy tính thì malware cũng là một phần mềm nhưtất cả các phần mềm thông thường khác Tuy nhiên, đối với người sử dụng thì malware thực sự là một nỗi đau đầu, vì các phần mềm này luôn ở trạng thái không mời mà đến, thực hiện các tác vụ gây ra hậu quả xấu cho người
sử dụng như đánh cắp thông tin, phá hoại tài liệu và các phần mềm khác, tiêu tốn năng lực xử lý của máy tính, gây ra các trục trặc liên tục cho PC
Nguyên lý lây nhiễm, phát tán của malware trên máy tính cũng tương
tự như malware trên các cơ thể sống: chúng tìm mọi cách để lây nhiễm từ tàiliệu này sang tài liệu khác, từ máy tính này sang máy tính khác, luôn cố gắng tự nhân bản và phát tán chính nó trong mọi trường hợp có thể được, theo những cách thức mà ngay cả các chuyên gia về phòng chống nhiều lúc cũng phải ngạc nhiên
Tuy nhiên, có một đặc điểm khác của malware máy tính với virus thông thường, đó là nó do con người tạo ra Vì vậy malware máy tính liên tục biến đổi không ngừng, các biến thể mới xuất hiện rất nhanh và chúng luôn tìm cách tiêu diệt các phần mềm chống malware Vì vậy không có một loại vắc-xin đặc trị nào có thể “uống một lần” mà phòng tránh được mãi mãi,
mà muốn chống được thì máy tính phải được cài đặt các phần mềm có cơ chế phòng chống malware hiệu quả nhất và chúng phải được “uống vắc-xin”thường xuyên, có nghĩa là phải liên tục biến đổi, cập nhật theo sự phát triển của malware
1.2, Các định nghĩa khác
Ngoài virus, ngày nay người ta còn dùng những thuật ngữ khác để chỉ những kẻ không mời mà đến có những cơ chế hoạt động, cách thức lây lan,
Trang 6mục đích phá hoại tương tự như virus, đó là Sâu (Worm), Spyware, Con ngựa thành Tơ-roa (Trojan Horse)
-Virus máy tính là một đoạn chương trình đặc biệt được "gắn lén" vàomột chương trình khác sao cho khi chúng ta thực hiên chương trình này thì đoạn chương trình virus sẽ được thực hiện trước Ðoạn chương trình virus cókhả năng lây lan sang các chương trình khác hay từ dĩa này sang dĩa khác và gây tác hại trên máy tính của chúng ta
Virus máy tính được chia làm thành 2 loại :
+ B-virus (Boot sector & partition table virus) : đây là dạng thông thường nhất, virus loại này thường nằm ẩn trong cung mồi dĩa mềm hoặc trên bảng phân khu dĩa cứng Dấu hiệu phát hiện là thấy tổng số byte của bộ nhớ quy ước thấp hơn 640 Kb
+ F-virus (File infector virus) : loại này thường nằm trong các file chương trình (.com, exe) Dấu hiệu phát hiện là kích thước của file tăng lớn hơn thường lệ Tuy nhiên cũng có nhiều con virus loại này không làm kích thước của file bị nhiễm tăng lên
- Sâu: thường bị nhầm lẫn với virus máy tính, sâu là một chương trình độc lập có thể sao chép chính nó thông qua mạng Khác với virus cần một phần mềm cụ thể để chạy và mã lệnh của virus được thực thi như là một phần của các mã lệnh máy tính thông thường, Sâu máy tính không cần một máy tính cụ thể để chạy, mặc dù nó cũng có thể ẩn náu dưới các tệp cụ thể của máy tính
Một sâu máy tính nổi tiếng là MyDoom, lây lan qua hệ thống mạng ngang hàng P2P Kazaa, nhiệm vụ chủ yếu là tấn công gây tê liệt dịch vụ (DoS) Bản thân hệ thống bị nhiễm có thể không sao, nhưng nó làm bàn đạp
để tấn công các hệ thống khác, làm tê liệt hoạt động của các máy chủ
- Spyware: Là một thuật ngữ chỉ đến các phần mềm chuyên dùng để
do thám, đánh cắp thông tin Spyware thường không phá hoại trực tiếp, mà
nó ngấm ngầm tìm cách ăn cắp thông tin của người sử dụng, như Username/Password, thói quen truy cập, danh sách các địa chỉ web ưa thích, danh sách địa chỉ của bạn bè, người thân, đối tác
Spyware cũng thường hay làm cơ chế trung gian để cài đặt các phần mềm không mời mà đến vào máy tính, cố tình hướng khách hàng xem
những thông tin mà nó muốn quảng cáo Spyware cũng có họ hàng gần với Adware, một loại phần mềm chuyên tìm cách đăng quảng cáo
Trang 7Để diệt Spyware cần có phần mềm Anti-Spyware như Ad-aware.
- Con ngựa thành Tơ-roa: lấy nguồn gốc từ con ngựa thành Tơ-roa củathần thoại Hy Lạp, Trojan Horse nhằm chỉ bất cứ phần mềm nào cố gắng mạo danh, lừa đảo để cài đặt vào máy tính của khách hàng nhằm mục đích phá hoại Nói chung cách thức lừa đảo thì đa dạng, cách thức phá hoại cũng
đa dạng, nhưng thường nhằm vào những lúc bất ngờ nhất để phá hoại
Đặc điểm cơ bản của Trojan Horse khác với virus là Trojan Horse không tìm cách tự nhân bản, lây lan chính nó bằng lập trình phần mềm, mà
nó tìm cách lây lan bằng cách chào mời người sử dụng bằng những chiêu thức hấp dẫn để chính người dùng tự cài đặt vào máy của mình
-Logic Bombs: Đây là chương trình phá hủy có điều kiện, phụ thuộc vào trạng thái các biến môi trường cụ thể Nói cách khác là chương trình chờđợi một sự kiện nào đó để ra tay Có những Trojan mạng bom logic Chươngtrình vẫn phục vụ ta một cách bình thường nhưng bắt đầu phá hoại khi ta làm một việc gì đó, hoặc chức năng nào đó, v.v Bom logic có thể nổ theo nhiều kiểu khác nhau như xóa hoặc ghi sai số liệu, format đĩa, v.v
- Rootkits : Khái niệm rootkit được sử dụng để mô tả các cơ chế
và kĩ thuật được sử dụng bởi malware cố gắng ẩn nấp, trốn tránh không
bị phát hiện bởi các chương trình chống spyware, virus và các tiện ích
hệ thống Thực ra, rootkit tự bản thân không mang tính hiểm độc
nhưng khi chúng được sử dụng cùng với các chương trình mang tính
"phá hoại" như: virus, sâu, phần mềm gián điệp, trojan thì lại nguy hiểm hơn rất nhiều
1.3, Lược sử của virus máy tính
- Nếu viết đầy đủ về các loại virus đã từng được xuất hiện trong lịch sử thì có thể viết đầy một quyển sách lớn Nhưng trong khuôn khổ của đề tài, em chỉ xin trích dẫn bài viết “20 năm lịch sử
virus máy tính” của tác giả Phạm Khương đăng trên vnExpress
Ngày 3/11/1983, cái gọi là virus máy tính đầu tiên ra đời Kể từ đó,một thế giới các loại mã và chương trình tấn công đã hình thành và phát triển với tốc độ chóng mặt Đi kèm với nó là cả một ngành công nghiệp sản xuất công cụ phòng ngừa và tiêu diệt Hậu quả là ngày nay, chúng ta
có tới vài chục nghìn họ virus khác nhau đang hiện diện trên hệ thống máy tính toàn cầu
Những dấu mốc lớn:
Trang 81949 Lý thuyết đầu tiên về các chương trình tự sao chép ra đời
1981 Apple II là những virus đầu tiên được phát tán thông qua hệ
điều hành của hãng "Quả táo", lây lan khắp hệ thống của công ty Texas A&M, thông qua các trò chơi ăn cắp bản quyền trên đĩa mềm Những người đầu tiên phát hiện còn gọi nó là Elk Cloner
1983 Fred Cohen, một sinh viên đại học Mỹ, đã đưa ra định nghĩa
đầu tiên về virus: “Là một chương trình máy tính có thể tác động những chương trình máy tính khác bằng cách sửa đổi chúng bằng phương pháp đưavào một bản sao của nó” Fred Cohen luôn là cái tên được nhắc đến khi nói
về lịch sử virus
1986 Hai anh em lập trình viên người Pakistan là Basit và Amjad
thay thế mã thực hiện (executable code) trong rãnh ghi khởi động của một đĩa mềm bằng mã riêng của họ, được thiết kế với mục đích phát tán từ một đĩa mềm 360 K khi cho vào bất cứ ổ đĩa nào Loại đĩa mềm mang virus này
có mác “© Brain” Đây chính là những virus MS-DOS xuất hiện sớm nhất
1987 Lehigh, một trong những virus file đầu tiên xâm nhập các tệp
lệnh command.com (virus này sau đó tiến hoá thành virus Jerusalem) Một virus khác có tên IBM Christmas, với tốc độ phát tán cực nhanh (500.000 bản sao/tiếng), là cơn ác mộng đối với các máy tính lớn (mainframe) của BigBlue trong suốt năm đó
1988 Một trong những virus phổ biến nhất, Jerusalem, xuất hiện
Được kích hoạt vào các thứ Sáu ngày 13, virus này tác động file có đuôi exe
và com, xoá tất cả những ứng dụng chạy trong ngày hôm đó Cùng năm này, virus MacMag and the Scores gây ra đợt bùng phát lớn đầu tiên trên cácmáy Macintosh Đây là cuộc khủng hoảng Internet đầu tiên khiến một số lượng lớn máy tính bị tê liệt Cũng từ đó, Trung tâm điều phối phản ứng nhanh (CERT) đã ra đời để đối phó với những sự cố tương tự
1989 Xuất hiện chương trình Trojan có tên AIDS Virus này nổi tiếng
vì có khả năng khống chế giữ liệu giống như con tin Nó được gửi đi dưới dạng một chương trình thông tin về bệnh suy giảm hệ miễn dịch Khi được kích hoạt, AIDS sẽ mã hoá ổ cứng của nạn nhân và yêu cầu người sử dụng phải nộp tiền nếu muốn được giải mã
1990 Kaspersky tung ra công cụ Norton AntiVirus, một trong những
chương trình diệt virus đầu tiên do một công ty lớn phát triển
Trang 9Thị trường trao đổi virus đầu tiên (VX) được tung lên mạng từ
Bulgaria Tại đây, các tin tặc có thể buôn bán mã và giao lưu ý tưởng Cùng
năm này, cuốn Sách đen về virus máy tính của tác giả Mark Ludwig được
xuất bản
1991 Tequila, một trong những virus phát tán dưới nhiều hình dạng
đầu tiên được phát hiện Những sâu loại này khiến cho việc xác định và truy quét chúng trở nên khó khăn do sự thay hình đổi dạng sau mỗi lần lây
nhiễm
1992 Trong vòng 2 năm, người ta ghi nhận tổng số 1.300 virus đang
tồn tại, tăng 420% so với tháng 12/1990 Xuất hiện DAME (Dark Avenger Mutation Engine), một bộ công cụ cho phép chuyển những virus thông thường thành những chương trình có khả năng thay đổi hình dạng Sau đó là VCL (Virus Creation Laboratory), công cụ sáng tác virus thực sự đã ra đời
Sự xuất hiện của virus Michelangelo làm dấy lên những lời cảnh báo về thiệthại quy mô lớn trên toàn cầu, mặc dù cuối cùng những gì xảy ra không như người ta lo ngại
1994 Trò lừa qua e-mail đầu tiên xuất hiện trong cộng đồng tin học
Trò này cảnh báo người sử dụng về một loại virus có thể xoá toàn bộ ổ cứng ngay khi mở e-mail có dòng chủ đề “Good Times” Mặc dù không gây thiệt hại gì mà chỉ có tính chất doạ dẫm, trò lừa này vẫn tiếp tục xuất hiện trong chu kỳ từ 6 đến 12 tháng/lần
1995 Word Concept xuất hiện, tấn công các văn bản Microsoft Word
và trở thành một trong những virus ghê gớm nhất vào giữa thập kỷ này
1996 Baza, Laroux (virus macro) và một số virus Staog xuất hiện lần
đầu tiên, tấn công các file trong hệ điều hành Windows 95, chương trình bảng tính Excel và cả Linux
1998 Không được đánh giá là nguy hiểm và chưa phát tán rộng,
StrangeBrew là virus đầu tiên lây nhiễm vào file Java Virus này sửa đổi các file CLASS để đưa một bản sao của nó vào giữa mã file để có thể bắt đầu chạy một vùng virus Virus Chernobyl, hay còn gọi là CIH, phát tán rất nhanh qua các file exe Ngay như cái tên nó đã thể hiện, virus này có sức tàn phá khủng khiếp, không chỉ tấn công file mà cả chip trong máy bị nhiễm
1999 Virus Melissa (W97M/Melissa) chạy một macro trong văn bản
đính kèm e-mail, gửi tiếp thư này tới 50 người khác sử dụng Outlook Virus
Trang 10này cũng lây nhiễm vào các văn bản Word và tiếp đó gửi chúng đi như những nội dung đính kèm Melissa phát tán nhanh hơn bất kỳ virus nào từng xuất hiện trước đó, đạt tổng số 1 triệu máy tính nạn nhân.
Bubble Boy là sâu máy tính đầu tiên không dựa vào việc người nhận e-mail có mở file đính kèm hay không Chỉ cần thư được mở ra, nó vẫn sẽ tựhoạt động
Tristate là virus macro đa chương trình đầu tiên xuất hiện, tấn công nhiều ứng dụng như Word, Excel và PowerPoint
2000 Love Bug, còn gọi là virus ILOVEYOU, phát tán qua OutLook (giống như Melissa) trong một file đính kèm VBS và xoá hết các file MP3, MP2, và JPG Nó còn ăn cắp và gửi tên người sử dụng và mật khẩu về cho tin tặc
W97M.Resume.A, một biến thể mới của Melissa, được tung ra, sử dụng một macro trong Word để lây lan vào Outlook
Virus Stage, giả dạng một e-mail với nội dung ngộ nghĩnh về những giai đoạn đời người, lan rộng trên Internet Khác với những virus trước đó,
nó ẩn trong một file đính kèm với một đuôi giả “.txt”, để dễ lừa người nhận
mở file Cho đến nay, virus này không còn tác động nữa
Các cuộc tấn công từ chối dịch vụ bằng virus của hacker đã đánh bật khỏi mạng nhiều website như Yahoo, eBay, Amazon,… trong nhiều giờ đồng hồ
2001 Nimda (vẫn được gọi là Quái vật đa đầu) với sức mạnh kết hợp
từ 5 loại virus với phương thức hoạt động khác nhau tấn công hàng trăm nghìn máy tính trên thế giới Đây là một trong những virus phức tạp nhất tới nay mà người ta xác định được
Virus mang tên nữ hoàng quần vợt Nga Anna Kournikova, tự sao chép vào danh sách địa chỉ e-mail trong Microsoft Outlook và mặc dù khônggây hại nhiều, vẫn khiến các nhà phân tích lo sợ đây là một sản phẩm được thiết kế từ công cụ hỗ trợ viết virus, nhờ đó những tin tặc ít kinh nghiệm lập trình nhất cũng có thể chế tác các chương trình phá hoại
Hàng loạt sâu mới xuất hiện với những cái tên như Sircam, CodeRed
và BadTrans Sircam phát tán qua văn bản e-mail Internet CodeRed tấn
Trang 11công những trang web có khiếm khuyết và thậm chí còn lái hướng tấn công tới trang chủ của Phủ Tổng thống Mỹ Trong vòng 12 giờ đầu tiên, virus này
đã xâm nhập 359.000 máy tính BadTrans là loại sâu được thiết kế để ăn cắp mật khẩu và thông tin thẻ tín dụng
2002 David L Smith, tác giả của virus Melissa, bị kết án 20 năm tù
Tháng 1, virus LFM-926 xuất hiện trong các file Shockwave Flash (.swf) vớithông điệp mời tải phim (Loading.Flash.Movie) Liên tiếp phát hiện những virus sử dụng tên các nhân vật và nghệ sĩ nổi tiếng như Shakira, Britney Spears và Jennifer Lopez Klez, một ví dụ tiêu biểu của xu hướng gia tăng những loại sâu e-mail, viết đè lên file, tạo ra các bản sao ẩn của bản gốc và
vô hiệu hoá nhiều công cụ phòng chống thông thường Sâu Bugbear lần đầu tiên xuất hiện vào tháng 9, với tính chất phức tạp và sử dụng nhiều phương thức lây lan
2003 Tháng Giêng, sâu Slammer ra đời và đến nay vẫn được coi là loại virus có tốc độ phát tán nhanh nhất: 75.000 máy tính chỉ trong 10 phút, tức là trong phút đầu tiên, trung bình cứ 8,5 giây, con số này lại được nhân đôi Virus Sobig ra đời và trở thành công cụ ưa thích của cộng đồng spam Những hệ thống máy tính bị nhiễm virus này trở thành trạm tiếp vận phát tánthư không mời Nhiều kỹ thuật spam được sử dụng trong Sobig giúp nó gửi
đi lượng bản sao e-mail khổng lồ
Tuy nhiên, sự kiện đáng chú ý nhất trong năm nay là Blaster (còn có tên MBlast hay LoveSan), là một trong những loại virus có sức lây lan rất mạnh, nhắm vào máy tính sử dụng hệ điều hành Windows 2000 và XP Bắt đầu xuất hiện ngày 11/8, chỉ trong chưa đầy 1 tuần, Blaster đã xâm nhập ít nhất 300.000 máy tính tại nhiều nước, trong đó có Việt Nam Khi xâm nhập vào một máy tính bị lỗi Windows, Blaster tự động tải đoạn mã từ PC bị nhiễm trước đó để tự nhân bản và tiếp tục phát tán Sau đó, nó tìm quét những máy tính khác có lỗ hổng tương tự và tấn công Những máy tính đã nhiễm, mỗi khi kết nối Internet được vài phút liền bị shutdown tự động
II, Các dấu hiệu của máy tính bị nhiễm virus
2.1, Con đường lây lan, triệu chứng
Trên Windows, có những con đường lây lan chủ yếu của Malware gồm:
- Mở một trang web mà trang web đó có chứa Malware nhằm vào lỗ hổng của máy tính Lưu ý là chỉ cần mở trang web thôi là máy
Trang 12tính đã bị nhiễm, mà ngay cả các trang web có uy tín cũng có thể bị nhiễm virus như thường.
- Nhận e-mail có chứa virus
- Đưa vào máy tính đĩa CD/DVD hoặc ổ đĩa USB có chứa virus
- Mở các tệp, tài liệu được truyền qua mạng hoặc đĩa mềm/đĩa USB có chứa virus
- Máy tính có nối mạng đến các máy tính khác bị nhiễm virus
- Mở một trang web có đính kèm virus
Về mặt nguyên tắc, mục tiêu tối thượng của virus là phá hoại, đánh cắp, nhưng để làm được việc đó thì nó phải có khả năng ẩn mình để lan tỏa Do vậy ngoài những hành động mà virus chủ tâm làm, nó luôn
cố gắng che dấu mọi hành vi để người dùng không thấy có gì bất thường Do vậy nhiều người sử dụng sống chung với virus một thời gian dài mà không hề biết
Tuy nhiên, do yêu cầu phải gọn, nhỏ, chú tâm vào việc luồn lách, được phát triển một cách không minh bạch bởi một số ít cá nhân hoặc
tổ chức nhỏ, nên phần mềm virus thường không hoàn hảo Khi bị nhiễm, ngoại trừ thời điểm phát tác, virus hay gây ra những trục trặc phần mềm khiến người sử dụng chú ý Đặc biệt, các virus hiện đại luôn cố gắng tiêu diệt các phần mềm antivirus Do vậy, nếu phần mềmantivirus trên máy tính của bạn bỗng dưng biến mất hoặc bạn không thể cài đặt chúng (tất nhiên, ở đây chỉ nói đến các phần mềm antivirusnổi tiếng chẳng hạn như Kasperskyhay McAfee), thì bạn có thể đoan chắc là máy tính đã bị nhiễm virus
2.2, Dấu hiệu máy tính bị nhiễm virus
Virus có thể lây nhiễm vào máy tính khi bạn lướt net, mở e-mail, hoặckhi mở một chương trỡnh mới download nào đó Hoặc khi bạn trao đổi dữliệu với người khác thông qua các phương tiện lưu trữ di động (đĩa mềm,
CD, Flash Disk, thẻ nhớ), môi trường mạng máy tính Làm thế nào để pháthiện ra sự đột nhập của chúng? Những dấu hiệu bất thường của hệ thống sẽ
là cơ sở để bạn đặt ra nghi vấn, để rồi sau đó chạy các chương trỡnh chốngvirus tống cổ chúng ra, trả lại sự bình yên cho hệ thống của bạn
Trang 13- Máy tính vẫn hoạt động ngon lành mấy hôm trước, nhưng hôm nayWindows cứ hay bị “rối loạn”, làm cho máy tính cứ bị treo thường xuyênkhi đang sử dụng
- Các chương trình, game đang sử dụng bỗng nhiên bị thoát ra ngoàithật khó hiểu, không một lời báo trước
- Windows cứ luôn đưa ra thông báo các tập tin hệ thống nào đấy bịlỗi, hoặc không tìm thấy mặc dự bạn chẳng hề “đụng chạm” đến chúng
- Hệ thống máy tính của bạn đang chậm dần, hoạt động ngày một ỡạch
- Ổ cứng của bạn bị đầy lên một cách nhanh chóng bất thường, dù rằngbạn không hề sao chép dữ liệu mới nào hoặc cài đặt chương trỡnh mới nào
- Ổ cứng bị lỗi, chạy scan-disk thấy bỏo quỏ nhiều bad sector
- Một số chương trình đang dùng không thể mở được dù bạn kích hoạttrực tiếp file thực thi (.exe) của chương trỡnh đó
- Khi mở bất kỳ thư mục nào (kể cả thư mục con của nó) trong các ổđĩa, bạn đều thấy sự hiện diện của các file Folder.htt và Desktop.ini
- Khi đang truy nhập Internet, tốc độ duyệt web của trỡnh duyệt chậm
đi rừ rệt
- Modem (dial-up) có hiện tượng quay số lại - khi đó bạn sẽ nghemodem phát ra tiếng rít, đèn LED đỏ ở hộp đấu dây điện thoại cứ nhấp nháyliên tục
- Bạn liên tục bị làm phiền bởi những trang web quảng cáo khônglành mạnh cứ tự động bật ra (pop-up) giữa màn hinh khi đang lướt web.Trang chủ (Home Page) của trình duyệt web tự nhiờn bị thay bằng một trangweb khụng rừ ở đâu ra? Trang web tìm kiếm, trang web bạn thường xuyênvào nay lại được chuyển sang một trang web lạ hoắc
- Trình duyệt Internet của bạn cũng tự nhiờn cú thờm những nỳt bấm,cụng cụ lạ trờn Toolbars
- Đang truy cập các website sử dụng font chữ Việt có dấu bỗng dưngbạn thấy toàn bộ font chữ Việt có dấu trên trang web đều bị biến dạng kỳ lạ
- Bạn không thể nào đăng nhập được vào chương trình e-mail thườngdùng vì password gừ vào khụng được chương trình chấp nhận (vụ hiệu), dựbạn đó gừ đi gừ lại nhiều lần thật chính xỏc và cũng chưa hề tự thaypassword mới
- Bạn đang truy cập Internet, bỗng hiện lên bảng thông báo máy tính sẽ Shut Down sau 60 giây Virus W32.Blaster đang hỏi thăm và đó cư trú vào máy tính của bạn rồi đấy
Khi mở ổ đĩa theo cách thong thường bạn thấy dấu hiệu như sau:
Trang 15III, Phòng tránh và tiêu diệt virus máy tính
3.1, Các phân tích sâu về virus máy tính
-Loại trừ virus, vì có kiểu lây lan khác thường, phần động các loại Malware lây lan trên máy tính có kịch bản lây lan như sau:
Bước một: Tìm cách lây nhiễm vào máy tính đối tượng: -Mỗi loại sâu
hay trojan, spyware có cách lây nhiễm khác nhau, tùy theo cách hiệu quả mà
kẻ phát tán mong muốn
B
ư ớc hai : Sao chép vào thư mục hệ thống: Theo kinh nghiệm cho
thấy thư mục : “C:\Windows” thường là nơi ẩn náu của Malware Đây là cách để chúng giảm thiểu tối đa nguy cơ bị người xử dụng.tiêu diệt
Bước ba: Đăng ký khởi động: có nhiều cách để chúng được hoạt động
cùng hệ thống, tuy nhiên cách thường gặp nhất là đăng ký một khóa trong regedit tự chúng sẽ được hệ thống load khi khởi động
Bước bốn: Thực hiện ý tưởng của người thiết kế: có thể là lây lan tiếp
tục như worm, ăn cắp mật khẩu như keylogger, hoặc thậm chí là thực hiện tấn công một mạng máy tính khác (Botnet)
3.2, Nguyên tắc chung
3.2.1, Nguyên tắc phòng virus
1 Nguyên tắc đầu tiên: Xử dụng một trình diệt virus mạnh: Đây là cách
dễ dàng nhất để tìm và diệt virus tuy không phải là an toàn 100%
2 Quét tất cả các gói tin và các thiết bị lưu trữ ngoài khi đưa về máy tính( đặc biệt với các tệp tin thi hành)
3 Đóng băng ổ đĩa chứa hệ điều hành: phương pháp đơn giản nhất rất hữu hiệu nếu máy tính phải nối mạng hay trao đổi dữ liệu với các thiết
bị khác Có thể xử dụng phần mềm DeepFrezee để đóng băng ổ đĩa
4 Chống sâu autorun Không bao giờ nháy đúp vào ổ cứng để lấy tài liệu(), mà chỉ xử dụng cách sau:
Trang 16Hình minh họa cách xử dụng cách mở ổ đĩa an toàn
5 Mẹo bảo mật dữ liệu:
-Không xử dụng tài khoản Administrator để xử dụng, có thể xử dụng tài khoản AdminComputer để thay thế
-Không lưu trữ các thong tin quan trọng trong ổ đĩa chứa hệ điều hành
-Đặt thư mục My Document vào ổ đĩa phụ, cách thay đổi được minh họa phía dưới:
Trang 17Phương thức tiêu diệt hiệu quả đơn giản nhất như sau:
Sử dụng một máy tính mà bạn biết chắc là sạch virus, cài đặt phần mềm chống virus lên trên đó và cập nhật lên bản
“vân tay” virus mới nhất Phải chắc chắn tính năng tự động quétvirus được bật
Tháo ổ đĩa cứng ở máy bị lây nhiễm và lắp sang máy tính đã cài phần mềm Bạn phải chắc chắn ổ cứng bị nhiễm phảiđược đặt ở chế độ Slave (ổ phụ), bởi vì nếu bạn đặt ở chế độ
Trang 18chính (Master) thì kết cục là khi bật máy lên, cả hai máy đều bị nhiễm virus ngay lập tức.
Bật máy, khởi động Windows trên máy có ổ cứng sạch và dùng phần mềm chống virus ở máy sạch đó để quét virus trên ổ nhiễm bệnh
Lắp trở lại ổ cứng đã được quét vào máy tính cũ
Phương thức thứ hai đơn giản nhưng hiệu quả không cao: là xử dụng một đĩaHiren Boot’s phiên bản mới nhất khởi động máy tính
từ đĩa này sau đó dung chương trình diệt virus của đĩa để diệt virus từ trong DOS
Nếu bạn cảm thấy quy trình trên quá phức tạp thì hãy nhờ các công ty
chuyên nghiệp Trong trường hợp toàn hệ thống của bạn đều nhiễm virus (không có máy tính sạch nào), thì việc xử lý cực kỳ khó khăn
Ngoài ra, cũng có những phương cách khác như cài đặt lại máy tính, khởi động Windows và phần mềm chống virus từ đĩa CD/DVD sạch để quét… nhưng nói chung là rất khó cho những người sử dụng thông thường
3.2.3, Xóa tàn tích
- cách xóa worm đang thường trú trên ổ đĩa
chú ý: bạn phải diệt worm từ trước ( các cách diệt đã nêu ở trên), sau
đó bạn vào DOS ( Nháy vào Start\Run gõ CMD) trong DOS đánh lệnh sau:
attrib –s –h –r autorun.inf để xóa các thuộc tính: hệ thống, ẩn và chỉ
đọc do sâu tạo ra trên tệp autorun.inf nếu nó thông báo “Files not found” thì
tức là tệp này không tồn tại
Bước 2: Bạn đánh lệnh: Edit autorun.inf
Trang 19bạn sẽ thấy đại loại như hình phía trên trong đó virus.exe là chương trình cần tiêu diệt Bạn đánh tiếp lệnh attrib –s –h –r virusname.exe để xóa
bỏ thuộc tính cho chương trình
Cuối cùng: bạn trở lại thư mục gốc theo cách tôi sẽ hướng dẫn phía dưới và có thể thấy 2 tệp lúc nãy mà ta đã hủy bỏ thuộc tính Bạn xóa chúng
đi và khởi động lại máy tính, tiêu diệt thành công các tàn tích của sâu
3.3, Xử dụng phần mềm JMS 1.0 diệt sâu và Trojan thủ công
3.3.1, Giới thiệu chung
Giới thiệu: Đây là mộ bộ công cụ giúp bạn tìm và diệt các loại sâu,Trojan, spyware… một cách hiệu quả Phần mềm có đầy đủ các chức năngcủa các phần mềm của windows như quản lý tiến trình của Task Manager,quản lý khởi động của MSCONFIG, quản lý tệp và thư mục như WindowsExplorer Phần mềm được em và bạn Đào Đức Tuân viết
Các thầy và các bạn có thể download phiên bản mới nhất tại
www.truongton.110mb.com
Giao diện chương trình: