4.2.1 Keylogger
Keylogger là phần mềm gây hại có kích thước rất nhỏ nhẹ, chúng hầu như vô hình khi hoạt động, bạn không có cách nào phát hiện ra chúng – tác dụng chính của Keylogger là ghi lại những gì bạn gõ từ bàn phím và gửi thông tin đó tới kẻ đã bày cách này hay cách khác cài Keylogger lên máy tính bạn sử dụng.
Keylogger đặc biệt nguy hiểm bởi nó được sử dụng chủ yếu nhằm đánh cắp các loại thông tin cá nhân ví dụ như số thẻ tín dụng, mật khẩu… Ở Việt Nam, Keylogger được dùng chủ yếu đánh cắp các tài khoản game trực tuyến và mật khẩu email, chat… Điều này gây thiệt hại tiền bạc hoặc uy tín trực tiếp cho nạn nhân.
Cách xử lý: Nếu bạn nghi ngờ máy đang sử dụng đã bị cài keylogger, bạn không nên gõ bất cứ thứ gì bằng bàn phím. Trong trường hợp cần đăng nhập vào email hay tài khoản game, bạn có thể sử dụng phần mềm bàn phím ảo tích hợp sẵn trong mọi hệ điều hành Windows (On-Screen Keyboard). Bàn phím này cho phép bạn nhập liệu thông qua việc nhấn chuột.Trước khi có thể gỡ bỏ keylogger, bạn cần phải tìm ra nó, bạn có thể vào Task Manager (Alt + Ctrl + Del) rồi nhấn vào tab Processes để xem thông tin về các ứng dụng đang chạy (kể cả các loại ẩn). Nếu bạn thấy thành phần nào đáng nghi, hãy chọn nó rồi nhấn End Task, sau đó bạn cập nhật phiên bản trình duyệt Virus của mình lên cơ sở dữ liệu mới nhất và quét toàn bộ hệ thống (Full System Scan). Lưu ý nên sử dụng những phiên bản có uy tín như Kaspersky hay Avira…
Có tên gọi xuất phát từ sự tích thần thoại Hy Lạp, Trojan là một chương trình bất hợp pháp được chứa bên trong một chương trình hợp pháp. Chương trình không hợp pháp này thực hiện những công việc bí mật mà người dùng không biết hay không cần đến. Ví dụ như bạn download một file trên mạng như YM.EXE chẳng hạn, có thể Trojan được gắn trong đó nếu bạn không biết rõ nguồn gốc file YM.EXE này.
Sự khác biệt lớn nhất giữa Trojan và virus thông thường là chúng Trojan không thể tự nhân bản. Nói một cách khác, Trojan không có khả năng lây vào một tập tin nào: nó lây vào chính hệ thống. Về cơ bản, Trojan có thể chia làm các loại sau:
Backdoor - Một khi được kích hoạt, nó cho phép chủ nhân điều khiển máy tính của người khác thông qua mạng Internet mà không bị phát hiện.
Kẻ trộm mật khẩu - Những trojan loại này thường được nhúng vào các tập tin với nhiệm vụ đánh cắp mật khẩu. Thông thường các tiện ích bẻ khóa phần mềm rất hay bị đính kèm với trojan kiểu này.
Bom Logic - Bom Logic sẽ thực hiện các tác vụ phá hoại hoặc bẻ gãy hàng rào bảo mật của hệ thống khi nhận được tín hiệu điều khiển thích hợp.
Công cụ tấn công từ chối dịch vụ DOS - DOS Trojan khi lây vào một máy tính sẽ gửi những thông tin được định sẵn tới đích (thường là một website nào đó) để gây nghẽn băng thông mạng.
Cách xử lý: Bạn hãy sử dụng phần mềm diệt Virus rà quét các tập tin để phát hiện ra thành phần của Trojan. Khi phát hiện, bạn hãy làm theo hướng dẫn của
phần mềm để tiêu diệt các tập tin đáng ngờ. Bạn cũng có thể ghi lại đường dẫn và tên tập tin của Trojan để kiểm tra lại về sau.
4.2.3 Sâu máy tính
Sâu máy tính rất giống với virus, tuy nhiên nó không cần một tập tin chủ để tự nhân bản mình. Sâu mạng có khả năng tự phân chia thành 2 bản sao giống hệt nhau và lan truyền thông qua các hình thức kết nối của máy tính (mạng nội bộ, internet…). Sâu mạng có nhiều đặc điểm tồn tại giống với trojan ví dụ như không thể tự lây vào tập tin mà trực tiếp lây vào hệ thống.
Thông thường, các loại sâu mạng lây lan qua email nhờ vào cơ cấu SMTP tích hợp sẵn, nó cũng có thể sử dụng các phần mềm quản lý Email thông dụng như Microsoft Outlook hay Outlook Express, các dịch vụ tin nhắn tức thời hoặc phần mềm chia sẻ dữ liệu kiểu như KaZaA, Bearshare hay Limewire.
Cách xử lý - Cách an toàn và hiệu quả nhất để giải phóng một chiếc máy tính khỏi sâu là sử dụng tiện ích diệt riêng. Thông thường những tiện ích dạng này được các nhà sản xuất phần mềm diệt Virus cung cấp miễn phí trên trang chủ của họ. Đôi khi, bạn nên dùng tiện ích này để diệt sâu vì nó hiệu quả và an toàn hơn so với các phần mềm diệt virus thông thường (dù cho các phần mềm này vẫn có thể phát hiện được sâu đang lẩn quất trong hệ thống).
Rootkit là phần mềm (hoặc một nhóm các phần mềm) với khả năng kiểm soát gốc của một hệ thống máy tính mà không cần bất cứ sự cho phép nào của chủ nhân máy. Thông thường, rootkit không mấy khi điều khiển trực tiếp phần cứng mà nó chỉ kiểm soát hệ điều hành hoặc phần mềm chạy trên một thiết bị phần cứng nhất định. Thông thường rootkit tự che giấu mình khỏi các phép quản lý của hệ điều hành và có cách hành động na ná như Trojan. Trong năm 2006- 2007, đã từng có nhiều vụ kiến cáo lộn xộn vì một số hãng sản xuất âm nhạc đã sử dụng rootkit để quản lý bản quyền, gây bức xúc cho cộng đồng người dùng.
Cách xử lý Vẫn với phương thức tìm và diệt tận gốc với các ứng dụng chuyên dụng, tuy nhiên sự tồn tại của Rootkit lại gây ra nhiều rắc rối. Trước tiên, bạn cần tiêu diệt rootkit, sau đó bạn mới có thể gỡ bỏ phần mềm gây hại mà rootkit đang che giấu. Do rootkit thường kiểm soát và tích hợp rất chặt chẽ vào hệ điều hành nền bạn khó lòng có thể gỡ bỏ nó mà không bị rắc rối với Windows ví dụ như vướng phải hiện tượng mất ổn định hoặc một số chức năng nào đó bị vô hiệu hóa. Cách hiệu quả nhất là sử dụng một tiện ích sao lưu đĩa cứng như Norton Ghost hay Acronis Disk Image để khôi phục lại trạng thái đĩa từ các bản sao lưu trước khi rootkit được cài đặt.
Phần mềm gián điệp là một công cụ máy tính, sau khi được cài đặt lên một PC, nó sẽ chiếm một số quyền điều khiển của người dùng.
Mặc dù cái tên gián điệp tạo cảm giác rằng Spyware chỉ theo dõi các hành vi của người dùng, trên thực tế, nó còn gây hại nhiều hơn thế. Các phần mềm gián điệp có thể thu thập thông tin cá nhân của chủ nhân chiếc máy mà nó được cài vào ví dụ như thói quen sử dụng Internet, các trang web truy cập… Một số loại phần mềm gián điệp còn có thể thay đổi tùy chọn của máy tính, vô hiệu hóa các thành phần phần mềm (kể cả phần mềm diệt virus). Thông thường khi máy tính bị nhiễm phần mềm gián điệp, nó sẽ hoạt động khá chậm với trang chủ của trình duyệt bị đổi lung tung kèm theo sự biến mất hoặc xuất hiện đầy bí ẩn của các phần mềm cài đặt.
Trong số các phần mềm gián điệp (Spyware) thì phần mềm quảng cáo (Adware) là thông dụng nhất. Đây không hẳn là một loại Virus phá hoại nhưng cũng phiền toái không kém, nó thường được tích hợp trong các phần mềm miễn phí hoặc dùng thử để giúp tác giả kiếm chác chút đỉnh thông qua việc hiển thị các thông điệp quảng cáo nhất định. Khoản tiền này thường được tái đầu tư để phát triển phần mềm tốt hơn, do đó Adware có thể xấu hoặc tốt tùy theo cách đánh giá của mỗi người.
Cách xử lý - Khác với virus, phần mềm gián điệp thường chỉ bị gỡ bỏ khi người dùng sử dụng công cụ quét riêng (Anti-Spyware) ví dụ như Ad-aware 2008 hay Ccleaner… Sau khi quét dọn xong, bạn nên khởi động lại máy tính.
Zoombie (có thể đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS.
Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống.
Email Generator là những chương trình cho phép tạo ra và gửi đi một số lượng lớn các email. Mã độc hại có thể gieo rắc các email generator vào trong hệ thống…
4.2.7 Giới thiệu một số Virus hay gặp
Virus Gaixinh và biến thể của nó là loại Virus tấn công qua Yahoo Message, Virus này lây lan với tốc độ nhanh khủng khiếp trong cộng đồng online. Cơ chế hoạt động của loại virus này như sau: Trong Yahoo Messenger, khi ai đó click vào tin nhắn “xem thử cái này đi”, “tặng bạn này”, “em xinh nè”… kèm theo một đường link thì lập tức máy tính của người đó bị nhiễm virus. Virus này sẽ tự động gửi tin vào tất cả contact trong list của người bị nhiễm và từ đó nhân rộng ra rất nhanh. Khi virus hoạt động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe. (%Windir% là thư mục Windows mặc định là C:\Windows\System đối với Windows 95/98/Me/XP và C:\Winnt, đối với Windows NT/2000). Khi tệp ứng dụng có tên là Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như sau:
• HKEY_CURRENT_User\Software\Microsoft\Windows\CurrentVersion\Policie s\System để khoá không cho truy cập vào Regedit.
• HKEY_CURRENT_User\Software\Microsoft\InternetExplorer\Main\Start Page về: http://67.15.40.2/~tranphu/forumtp
• KEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast. Virus Secret.exe ( hay còn gọi là Phimnguoilon.exe )
Hoạt động Virus tạo một file autorun và 1 file có tên "Secret.exe" trên USB
Cách diệt:
B1: Khởi động từ đĩa Hiren's Boot, sử dụng chương trình quản lý file trong Hiren's Boot để vào thư mục System32
B2: Thay thế file Sethc.exe bằng cmd.exe (bằng cách gõ: copy cmd.exe sethc.exe /y)
B3: Lấy đĩa Hiren's Boot ra và Khởi động lại máy
B4: Tại cửa sổ Logon, nhấn Shilt 5 lần để hiện cửa sổ Command Line
B5: gõ vào regedit.exe
Virus .Worm.Win32.VB.ck ( Thư mục .exe )
Hoạt động
Vô hiệu hóa Folder Options, Run, Task Manager (sẽ nói sau)
Tắt chế độ hiển thị đuôi file để người dùng không thể phân biệt được cái nào là thư mục, cái nào là virus. Nếu máy tính có cài Mozilla FireFox thì virus sẽ xóa đi file firefox.exe trong program Files để buộc người dùng sử dụng IE.
Tạo mới file ẩn C:\Windows\lsass.exe có hình dạng như một thư mục.
Tạo một file ẩn có tên msconfig.exe trong thẻ Common Startup của Windows (Chức năng của Startup trong Windows là bạn chỉ cần bỏ file vào đó thì khi khởi động file sẽ được nạp mà không cần can thiệp vào Registry)
Cách khắc phục
Phương pháp phục hồi hệ thống:
1. Sử dụng Hijack This hoặc Process Viewer để kill process C:\Windows\lsass.exe và msconfig.exe (nếu có)
2. Chép đoạn Code sau để sửa chữa Registry, tất nhiên là lưu dưới dạng file reg (khả dĩ làm được vì con virus này không vô hiệu hóa Registry): CODE Windows Registry Editor
Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"=[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion \Policies\Explorer]"NoFolderOptions"=-"NoRun"=[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=-[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Homepage"=dword:00000000 [HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz] "content url"=-
[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast] "content url"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\poli cies \Explorer] "NoFolderOptions"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Winlogon] "Shell"="explorer.exe" "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe"
3. Vào Folder Options bật chế độ hiển thị file ẩn và hệ thống. Nếu các chức năng của Folder Options không chạy ở dạng chuẩn thì do một loại virus khác phá hoại.
4. Xóa các file C:\Windows\lsass.exe, C:\Documents and Settings\All Users\Start Menu\Programs\Startup\msconfig.exe, file cmd.exe trong thư mục Windows\System, các file New Folder.exe trong các ổ đĩa, xóa file autorun.inf, boot.exe, New Folder.exe trong USB (không được nhấp đúp chuột vào ổ đĩa). Có thể bật chế độ hiển thị đuôi file làm cho dễ.
5. Khởi động lại máy dùng bình thường.
Virus Kavo và một số biến thể
• Ẩn các thư mục chính
• Mất Taskmanager, Folder Options
• Tạo ra các thư mục mạo danh với đuôi .exe • Không và được regedits để chỉnh sửa lại hệ thống • Máy bị khởi động lại liên tục
• Không vào được Windows • Tạo ra hàng loạt file Autorun.inf
Cách diệt :
• Download Autorun Eater 2.2 tại đây: http://www.softpedia.com/dyn- postdownload.php?p=85585&t=3&i=1 Giải nén và cài đặt
• Khởi động lại máy trong chế độ SafeMod(F8)
• Chương trình tự khởi động cùng Window và sẽ tự tìm file Autorun.inf và diệt. • Dùng chương trình BKAV Home mới nhất
• Chọn quét toàn bộ ổ cứng và hệ thống, diệt không cần hỏi • Sau khi quét xong, tiến hành khởi động lại máy bình thường.
Cách diệt Virus có chức năng Autorun trong USB
• Đầu tiên bạn nên để chế độ hiện tất cả các file ẩn bằng cách vào My Computer -> Tools ->Folder Options.. -> View -> Chọn Show hidden files and foldersvà bỏHide protected system files.
• Các Virus lây qua Usb thường có các file Autorun.inf để khi ta click qua Usb thì chương trình Virus đã đc khởi động, vậy thì bạn hãy tạo sẵn file autorun.inf trong USB của mình.
• Nếu chỉ tạo file Autorun.inf không thôi có lẽ chưa đủ, vì một số loại Virus có khả năng ghi đè lên file này. Điều này bạn cũng hoàn toàn có thể làm được dễ dàng với USB nếu như bạn chuyển hệ thống file của USB sang NTFS và đặt quyền cấm ghi đè cho file Autorun.inf . Việc chuyển hệ thống files sang NTFS thì USB của bạn sẽ không thể dùng được trên Windows 98/ME, nhưng chắc rằng Windows 98/ME thì cũng không tự động nhận được USB của bạn, hơn nữa Windows 98/ME hiện nay cũng hơi hiếm thấy.
+ Các bước thực hiện
• Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là STORAGE
• Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start ->
Run, sau đó gõ convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được.
• Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng được và copy vào thư mục gốc của ổ đĩa USB của bạn.
• Bước 4: Click chuột phải vào file autorun.inf bạn vừa tạo và chọn thuộc tính cho file này là read-only, bạn cũng có thể chọn thêm hidden.
• Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách Click vào Start -> Run, sau đó gõ cacls \autorun.inf /D Everyone. Ví dụ như bạn sẽ gõ cacls E:\autorun.inf /D Everyone
Cách diệt Virus AutoRun
Nếu máy của bạn bị nhiễm mà ỗ đĩa C không bị thì làm thế này: Vào Run gõ lệnh cmd để vào DOS , sau đó về cây thư mục ỗ đĩa bị nhiễm mình giả sử máy bị nhiễm là ỗ đĩa D nhé Bạn gõ lệnh : D:/attrib nếu máy bị nhiễm thì bạn sẻ nhìn thấy file copy.exe , host.exe, autorun.inf, sau đó gõ tiếp lệnh:
D:/ attrib copy.exe -s -h -r D:/ attrib host.exe -s -h -r D:/ attrib autorun.inf -s -h –r
Trường hợp máy bị nhiễm ỗ đĩa C thì có chút thay đổi: Vào run gõ cmd để vào DOS Sau đó gõ C:/autonrun.inf khi đó nó sẻ mở file autorun.inf lên trong đó sẻ có dòng copy.exe hoặc là host.exe tùy theo nó xuất hiện file nào bạn copy dòng đó vào regedit để seach và xóa nó đi.
CHƯƠNG 5: MỘT SỐ PHẦN MỀM DIỆT VIRUS HIỆN NAY.
Bảng so sánh phần mềm diệt virus
Avira Antivirus Premium 2012 mang lại rất nhiều tính năng quan trọng bảo vệ bạn chống lại phishing online. Chỉ với vài click chuột, bạn sẽ không phải tốn nhiều thời gian nhưng vẫn có giải pháp chống virus và bảo mật hoàn hảo. Ngoài ra phần mềm còn không làm chậm đi hiệu suất máy tính của bạn.
5.2 Bitdefender Antivirus 2012
Bitdefender 2012 có gì mới?
• Safebox – Sao lưu trực tuyến & Đồng bộ hóa tập tin. Bitdefender Safebox theo dõi các tập tin quan trọng và sao lưu chúng một cách trực tiếp lên