• Thứ Bảy, 28/08/2004 10:26 (GMT+7)

    Hạ gục kẻ gây rối

    Có rất nhiều tiện ích giúp ta đánh bại virus và làm tê liệt các phần mềm gián điệp. Các thử nghiệm cho thấy không phải tất cả các tiện ích đều có lợi như nhau.

    Dùng máy tính mà không bảo vệ nó cũng giống như bạn đang chơi một canh bạc mà bạn giành chắc phần... thua! Sử dụng thư điện tử (e-mail), truy cập Web, hay tải chương trình từ Internet xuống mà không dùng bất kỳ phần mềm bảo vệ nào thì sớm muộn gì máy tính của bạn cũng bị tấn công bởi những chương trình, đoạn mã gây hại hoặc làm tê liệt máy tính (malware).

    Chúng ta sẽ duyệt qua các phần mềm bảo vệ - chương trình tìm diệt virus và chống phần mềm gián điệp - một rào chắn rất quan trọng. Kết quả thử nghiệm cho thấy các phần mềm chống virus hàng đầu đều khống chế được hầu hết virus nằm trong danh sách tìm diệt đã được thiết kế, nhưng đối với chương trình gián điệp (spyware) như giám sát thói quen duyệt Web của người dùng, cung cấp thông tin cho giới quảng cáo chẳng hạn thì những chương trình này không làm được gì nhiều, vì vậy ta cần có chương trình chống spyware để lấp vào lỗ hổng. Chúng ta cùng xem xét hai dạng phần mềm này (chống virus và chống spyware) để chọn giải pháp tốt nhất cho máy tính của mình.

    Chống Virus

    Để tìm ra phần mềm chống Virus tố nhất, nhóm thử nghiệm thuộc PC World Test Center, Mỹ (NTN) đã kết hợp với AV-Test, một tổ chức có uy tín tại trường đại học Magdeburg ở Đức, tiến hành thử nghiệm nghiêm ngặt 8 chương trình chống virus hàng đầu thông dụng, trên hệ điều hành XP Pro: Boomerang Software EXtendia Antivirus AVK Profestional, F-Secure Anti-Virus 2003, GeCad Software RAV AntiVirus Desktop for Windows 8.6, Kaspersky Anti-Virus Personal 4, Network Associates McAfee VirusScan 7 Home Edition, Panda Software Antivirus Platinum 7, Symantec Norton Antivirus 2003 và Trend Micro PC-cillin 2003. Sau khi đánh giá từng chương trình trên cả hai mặt tốc độ xử lý và tính tiện dụng, NTN chọn Norton Antivirus 2003 là sản phẩm tốt nhất.

    Thử nghiệm

    THÁNG 3 NĂM 2003, NTN thiết lập cho mỗi chương trình chống lại 288 virus và sâu máy tính (worm) - nằm trong 576 file - đã được biết trong danh sách Wild - tổ chức WildList (wildlist.org) định kỳ hàng tháng cập nhật danh sách virus và worm mới.

    Với thiết lập mặc định, các chương trình đều phát hiện 100% virus và worm nằm trong WildList tháng 2/2003, cả khi quét đĩa và khi máy tính truy cập đến file bị nhiễm virus. Nhưng sự thực thi với virus và worm nằm trong WildList chỉ cho biết khả năng chương trình chống những virus, worm đã biết, bao gồm cả các file nhận dạng do người dùng chương trình cập nhật hàng ngày. Nó không cho biết khả năng chương trình chống đỡ với hàng ngàn loại virus và worm đã 'rút lui' nhiều năm nay nhưng có thể phát triển trở lại hoặc có ảnh hưởng đến malware trong tương lai, cũng không chỉ ra khả năng kiểm soát 'ngựa thành Trojan' (những chương trình không tự sao chép nhưng có ẩn đoạn mã gây hại), chúng không nằm trong WildList.

    Hình 1: Giao diện của Norton đơn giản, dễ dùng, bạn cũng dễ dàng truy cập vào các tùy chọn và thiết lập nâng cao.

     

    Để xem xét các vấn đề này, AV-Test đã cấu hình các chương trình ở thiết lập cao nhất và cho quét ổ cứng có trên 71.000 file chứa khoảng 23.000 virus, worm và ngựa thành Trojan. Các chương trình F-Secure Anti-Virus 2003, EXtendia AVK Pro, McAfee VirusScan 7.0 và Kaspersky Anti Virus Personal bẩy được tương ứng 99,96%, 99,95%, 99,93% và 99,91%. Norton Antivirus 2003 (đạt 99,72%) và RAV AntiVirus 2003 (đạt 99,57%) hơi kém hơn những chương trình trước, tuy nhiên kết quả của chúng trên nền Win 32 - phổ biến nhất hiện nay - nằm trong nhóm tốt nhất.

    Hai đối thủ cạnh tranh khác là PC-cillin 2003 và Panda Antivirus Platinum thì kém hơn, bẩy được khoảng 97,9% và 96,4%. Panda và PC-cillin cũng nhận diện ngựa thành Trojan khá kém, chỉ được 91% và 83% (so với mức trung bình là 99% của 6 sản phẩm kia).

    Đối với những hiểm nguy chưa biết

    Dù các sản phẩm diệt Virus xử lý tốt những nguy hiểm đã biết tốt thế nào đi nữa, nhưng mối đe dọa tiềm tàng lớn nhất chính là những 'kẻ ẩn mặt' chưa biết. Vì vậy, hầu hết các chương trình không chỉ đơn giản quét tìm sự trùng khớp với dữ liệu của các nguy hiểm đã biết. Chúng còn dùng phương pháp chẩn đóan thông minh (heuristics) để cố gắng nhận diện các mối nguy hiểm mới bằng cách tìm kiếm các phần tử có hành vi giống hoặc chứa dữ liệu giống với malware đã biết.

    Để đánh giá hiệu quả của các phương pháp dò tìm, NTN đã kiểm tra các tiện ích nhận dạng và chống virus với các phiên bản đã lạc hậu 3 và 6 tháng - trước khi malware mới nhất xuất hiện - và quét các file chứa những mối nguy hiểm mới nhất. Tốc độ dò tìm có nhiều khác biệt, nhưng không có chương trình nào đạt được hiệu quả tốt xấp xỉ như với các mối nguy hiểm đã biết. Những phiên bản lạc hậu 3 tháng của EXtendia AVK Pro và F- Secure tốt nhất, tìm được 75% và 72%, kế đó là Kaspersky và McAfee đạt 69% và 67%. Những sản phẩm còn lại chỉ đạt được trên 50%. Kết quả này chỉ đạt từ 7% đến 14% đối với các phần mềm đã lạc hậu 6 tháng, khả năng dò tìm còn phụ thuộc một phần vào sự hiểu biết các phương pháp lây nhiễm mới nhất. Kết quả khác biệt này cho thấy tầm quan trọng của việc cập nhật thường xuyên các

     

    Hình 2: Giống như vài sản phẩm đạt điểm cao trong cuộc thử nghiệm, RAV không được chọn là sản phẩm tốt nhất do giao diện vụng về, có thể làm lúng túng ngay cả người dùng chuyên nghiệp.

    chương trình chống virus; hầu hết các chương trình này đều có thể cập nhật tự động (tần suất cập nhật có thể không giống nhau).

    Ngày 8 tháng 5 năm 2003, worm Fizzer xuất hiện, không có chương trình nào dò tìm ra nó; mặc dù tất cả chương trình đều được cập nhật mới. Panda tung ra chức năng diệt Fizzer ngay ngày hôm đó, các nhà cung cấp khác cũng lần lượt tung ra nhưng khá trễ (ngày 14 tháng 5), lúc đó worm này đã nhanh chóng lan truyền khắp toàn cầu.

    Phần thử nghiệm cuối cùng: NTN tính giờ để xem mỗi chương trình tốn bao nhiêu thời gian trên máy có cấu hình Pentium 4 2,53GHz, bộ nhớ DDR 512MB, hệ điều hành Windows XP Profestional, Microsoft Office 2000, các ứng dụng và file khác (dung lượng tất cả là 7,15GB). NTN làm việc với các chương trình diệt virus ở chế độ mặc định của chúng và sau đó thiết lập với lựa chọn chức năng cao nhất. Nhận xét: thông thường chương trình quét càng chậm càng tốt. Khi bật các chức năng ở mức cao nhất thì chương trình sẽ đưa ra kết quả tốt nhất và tìm thấy malware nhiều nhất.

    Đối với người dùng

    Một chương trình duyệt Virus tốt nhất không phải là chương trình chỉ cho kết quả tốt nhất trong phòng thử nghiệm mà còn phải làm việc tốt trên máy của bạn và phải cung cấp thông tin, trợ giúp kỹ thuật đáng tin cậy và rõ ràng. Ví dụ, một khi phát hiện ra virus, nó phải diễn giải về sự lây nhiễm và chỉ cách loại bỏ virus đó. Worm và ngựa thành Trojan là các chương trình độc lập không lây nhiễm sang các file khác vì thế chương trình chỉ đơn giản chặn và loại bỏ chúng là đủ. Virus thì rắc rối hơn: file bị lây nhiễm có thể rất quan trọng đối với bạn, vì thế xoá chúng là giải pháp tệ nhất; tiêu diệt (gỡ bỏ đoạn mã có virus và phục hồi lại file gốc) là giải pháp tốt nhất. Tuy nhiên không phải chương trình nào cũng xử lý được mọi file. Trường hợp cá biệt, một vài chương trình trong số các chương trình diệt virus được thử nghiệm không thể 'làm sạch' các file bị nhiễm ở dạng lưu trữ nào đó ví dụ như file .ZIP, vì thế bạn phải mở dạng lưu trữ này ra và quét chúng một cách thủ công. Nếu một chương trình không thể làm sạch hoặc xóa file nào đó thì nên cách ly file này để các đoạn mã nguy hiểm không thể chạy.

    Trừ khi là chuyên gia, còn không thì bạn khó xác định được dạng lây nhiễm và biện pháp xử lý. Đó là lý do NTG đánh giá cao các chương trình có cung cấp lời khuyên và tự động làm hầu hết các công việc cần thiết. Tốt nhất về mặt này là các chương trình F-Secure, Panda, Norton và PC-cillin, chúng tự động sửa chữa, xóa và cách ly các file nguy hiểm. Những chương trình khác chỉ đơn giản ngăn không cho các file bị nhiễm chạy hoặc không cho ghi vào đĩa.

    Có nhiều chương trình chống virus rất tốt nhưng những cảnh báo nhập nhằng, yêu cầu lựa chọn cấu hình rất lộn xộn đã khiến chúng không được xếp là sản phẩm tốt nhất. Kaspersky và RAV là một ví dụ điển hình, chúng là công cụ diệt virus rất tốt nhưng giao diện lại phức tạp; McAfee lộn xộn, đòi hỏi bạn phải quen dùng. Trái lại, Norton có menu rõ ràng, dễ dùng. F-secure cũng có giao diện gọn gàng, nhưng nó không có nhiều chức năng quan trọng như định lịch quét đĩa.

      BẢO VỆ 2 LẦN     Những nhà cung cấp dịch vụ Internet (ISP) lớn cũng chống virus  
     

    NHững nhà cung cấp dịch vụ Internet đang mời chào chương trình quét virus để chiếm lấy khách hàng mới và giữ người cũ. MSN quét e-mail và file đính kèm ngay trên server (máy chủ), dùng phần mềm của McAfee; và phần mềm máy khách (client) MSN tích hợp với một phiên bản của McAfee VirusScan. EarthLink dự tính thực hiện quét virus cho server và client tương tự vào cuối năm 2003, và AOL cũng tích hợp tiện ích quét e-mail bên trong ứng dụng client của nó. Tuy nhiên, tốt nhất là chỉ xem các dịch vụ này như một phần bổ sung thêm, không thể thay thế cho chương trình diệt virus đầy đủ trên máy tính của bạn.
    Theo Brian Burke, giám đốc nghiên cứu của IDC, 'nhiều lớp bảo vệ thì luôn tốt hơn'. Các ISP cũng giống như các công ty khác, chuyển từ các sản phẩm chống virus cho máy tính riêng lẻ sang các tiện ích tập trung trên server. Burke kết luận: 'Quan điểm bảo mật như vậy rất có lợi cho người dùng, đặc biệt là những người không cập nhật chương trình chống virus thường xuyên'. Tiếc là hiện chưa có nhà cung cấp dịch vụ internet ở Việt Nam áp dụng chính sách này.
    Tuy vậy, việc xử lý một số lượng e-mail khổng lồ đã khá vất vả đối với ISP. Để chạy thêm phần mềm chống virus thì phải có nhiều CPU và một số yêu cầu về băng thông. Khách hàng sẵn sàng đón nhận việc chống virus ngay tại server, nhưng một vấn đề lớn gây e ngại cho ISP: 'nếu bị nhiễm virus, giờ đây khách hàng đã có người để đổ lỗi'.

     

    Ai có thể giúp bạn?

    Ngày nay, Email đã trở nên khá phổ biến và khoảng cách không còn là vấn đề. Tất cả các công ty đều cung cấp miễn phí dịch vụ hỗ trợ kỹ thuật qua e-mail. F-Secure và Kaspersky tốn hơn 5 ngày để trả lời nhưng họ chỉ trả lời những câu hỏi rất thực tế. Một lựa chọn khác đối với người dùng ở Mỹ: điện thoại. Người dùng Việt Nam chúng ta nên biết rằng không phải hãng nào cũng có chính sách hỗ trợ kỹ thuật miễn phí qua điện thọai, đó là chưa kể đối với một số sản phẩm hay vấn đề bạn phải chịu chi phí khi muốn được hỗ trợ kỹ thuật. Ví dụ đối với sản phẩm này chỉ có Trend Micro và Kaspersky vẫn còn hỗ trợ miễn phí qua điện thoại. Boomerang, GeCad, Network Associates, Panda và Symantec cũng có hỗ trợ qua điện thoại nhưng tính phí rất đắt dựa trên thời gian hoặc vấn đề. Dù sao, có còn hơn không! Nhất là trong trường hợp 'nguy kịch'.

    Nhìn chung, tính trên cả hai mặt hiệu quả và sự tiện lợi thì Norton AntiVirus là tốt nhất, nó có giao diện trực quan và tỉ lệ dò tìm virus cao. Các sản phẩm cho kết quả dò tìm virus tốt ở trên nếu trau chuốt thêm về giao diện và hỗ trợ kỹ thuật tốt hơn thì Norton sẽ phải đối mặt với sự cạnh tranh gay gắt.

    Chống Spyware

    Các chương trình chống Virus 'chiến đấu' với những mối đe dọa truyền thống từ virus, worm và ngựa thành Trojan nhưng không làm được gì nhiều đối với các chương trình gián điệp được cài đặt bởi các Website vụng trộm hay những nhân viên đáng nghi, hoặc thông qua các phần mềm tải về. Spyware hiện là một tai họa đang nổi lên: theo EarthLink, các cuộc gọi đến nhờ giúp đỡ về mặt kỹ thuật có liên quan tới spyware chiếm 40%.

    NTN có đưa vào một mẩu thử spyware trong kiểm tra chống virus, kết quả đáng thất vọng. Trong đợt đầu, chỉ có McAfee (có bật chọn thành phần quét spyware) phát hiện tất cả các spyware. Sau khi tải về dữ liệu nhận dạng spyware miễn phí từ Website của Kaspersky, phần mềm quét virus của hãng này 'bắt' được một số spyware.

    Một lý do về sự thờ ơ này của các công ty chống virus đó là chưa dứt khoát xác định spyware có hại. Trong khi một số chương trình lén lút thâm nhập máy của bạn, nhiều chương trình spyware thông báo rõ những thoả thuận sử dụng kèm theo các phần mềm miễn phí mà chúng 'ký sinh'. Nếu bạn chấp nhận, spyware sẽ được cài vào máy. Những spyware này thường có mục đích thu thập thông tin cho quảng cáo, tiếp thị.

    Đọc thông báo cẩn thận là bước đầu tiên trong việc tránh xa nhiều kiểu spyware. Nếu như chẳng may nó đã nằm trong đĩa cứng (thường là như vậy), cách tốt nhất để loại bỏ spyware đã biết là chạy một chương trình quét ổ cứng với các file, thư mục, registry, cookie, và sau đó cho bạn lựa chọn để xoá chúng đi. Ngoài ra, một số tiện ích chống spyware quét bộ nhớ theo thời gian thực nhằm ngăn chặn ngay từ đầu việc cài đặt và chạy những chương trình không mong muốn.

    Phần mềm tường lửa như Zone Labs Zone-Alarm hoặc Sygate Personal Firewall (cả hai đều miễn phí) hỗ trợ ngăn chặn spyware theo cách khác: khoá các chương trình trên máy tìm cách truy cập Internet và cảnh báo bạn. Nhiều chương trình chống virus được thử nghiệm ở đây có kèm tiện ích firewall. Đối với các máy tính không có kết nối Internet thì không cần đến tiện ích này. Để có lời khuyên cụ thể hơn về firewall, bạn tham khảo bài 'Bảo vệ máy tính...' - PCW VN A 4/2003 tr.100 (hay ở địa chỉ find.pcworld.com/35387).

     
    Hình 3: Đẹp và khả năng quét mạnh, Ad-aware cung cấp bảo vệ thời gian thực tốt nhất. Chuyên gia tìm kiếm Spybot Search & Destroy quét đĩa tốt nhất

    Bẩy những kẻ rình mò

    NTN đã kiểm tra bốn chương trình chống Spyware tốt nhất: Lavasoft Ad-aware Plus 6, PepiMK Software Spybot Search& Destroy 1.2, PestPatrol Software PestPatrol 4.2 và Webroot Software Spy Sweeper 1.5; cài các chương trình này và sau đó đưa spyware vào máy. Bộ sưu tập spyware gồm hai tiện ích: IMesh 3.1 và Hotbar 4, có chứa phần mềm và các file phục vụ cho việc quảng cáo (được gọi là adware) như Gator GAIN và Common Name. NTN cho thêm vào các điều khiển ActiveX được gọi là Secret Admirer có thể làm cho modem tự quay số 900 để kết nối đến trang Web khiêu dâm, sau đó cài năm chương trình giám sát chạy ẩn, ghi nhận sự ấn phím và đưa kết quả lên màn hình. Cuối cùng, di chuyển chuột xung quanh địa chỉ Website OrbitExplorer.com, nó có chứa điều khiển ActiveX có thể cài đặt spyware một cách tự động khi chức năng bảo vệ trình duyệt bị tắt.

    Sản phẩm nào cũng diệt trừ tận gốc phần lớn các chương trình tự nạp trên, trong đó Spybot Search & Destroy làm việc tốt nhất. Tuy nhiên, không có chương trình nào hoàn hảo. Sau khi quét và xóa các spyware được phát hiện bằng một chương trình, NTN thấy rằng khi chạy chương trình thứ hai hay thứ ba thì hầu như luôn phát hiện được tất cả hoặc một phần spyware do chương trình đầu bỏ sót. Với mỗi sản phẩm, NTN cũng tìm ra và xoá thêm được các thành phần spyware khi quét lại. Điều này là do spyware có nhiều móc nối với hệ thống, chúng luôn tìm cách tự cài lại sau khi đã bị xóa. Vì thế, phương châm chống spyware là: quét, xóa, khởi động và lập lại.

    Spybot Search & Destroy tốt nhất trong việc xóa các spyware mà không gây tác hại nào. Ngược lại, PestPatrol khóa và từ chối chạy lại sau khi xoá spyware tìm thấy.

    Giống như những tiện ích chống virus, bốn chương trình chống spyware cũng quét bộ nhớ theo thời gian thực nhằm ngăn chặn ngay từ đầu việc cài đặt các phần mềm không mong muốn. Tuy nhiên, không có chương trình nào thật sự xuất sắc. Hầu hết, trong các trường hợp chúng chỉ cảnh báo một phần spyware mà bạn tải về và cài đặt, tuy nhiên Ad-ware Plus tỏ ra tốt hơn các chương trình khác. Quét bộ nhớ là một chức năng mới trong Spy Sweeper, không có trong hầu hết các chương trình chống spyware mà NTN đưa ra để đọ sức. Spybot Search & Destroy thì chỉ khống chế được các điều khiển ActiveX và mã lệnh khác nhúng trong các trang Web.

    Chức năng của bốn chương trình không khác nhau nhiều. Bạn có thể thiết lập các chương trình để chạy và quét tự động khi khởi động Windows, cũng như có thể thông báo cho bạn ngay lập tức nếu thông tin về spyware được cập nhật thường xuyên. Cả bốn chương trình đều lưu file dự phòng trước khi xoá (việc phục hồi một phần của spyware có thể cần thiết để các chương trình miễn phí đi kèm với nó hoạt động được).

      Diệt virus bằng BKAV và D32  
      Khác với các chương trình duyệt virus như Norton AntiVirus, PC-Cillin, McAfee,... cả BKAV và D32 đều có dung lượng nhỏ, dễ dàng tải về máy hoặc chép qua đĩa mềm. Hai chương trình đều có giao diện tiếng Việt và Anh, cho xem lại nhật ký các lần quét virus trước, các virus đã duyệt được.Riêng với D32, bạn còn có thể xem danh sách các file nhiễn virus đã bị cách ly, chuẩn đoán macro lạ.
    Phiên bản mới nhất của BKAV có thể tải về đạ chỉ
    http://www.bka.com.vn hoặc http://www.bkav.net .Giao diện BKAV trực quan dễ dùng,có chức năng định thời quét virus theo chu kỳ hàng ngày, hàng tuần, hàng tháng hoặc mỗi khi khởi động máy. Tuy nhiên chức năng này thường bị trễ khoảng 5 phút, nếu định thời là 9 giờ thì đến khoảng 9 giờ 5 phút chương trình mới được kích hoạt để quét đĩa.
    Phiên bản cập nhật của D32 bạn có thể liên hệ tòa soạn PC World VN hay tải về từ mạng D32 có giao diện hơi giống ứng dụng Windows Explorer, tích hợp nhiều tính năng về giao diện và các kịch bản để quét virus tuy nhiên điều này làm cho nó rườm rà, khó dùng nếu chưa quen. Chức năng định thời để quét virus chỉ mới  có định thời theo hàng ngày hoặc lúc khởi động.
    Kim Tân
     

    Hai tốt hơn một

    Không có chương trình nào toàn diện. Vì vậy, thay vì dùng một chương trình, bạn nên dùng kết hợp hai hay nhiều chương trình. Đây là lựa chọn do NTN đề nghị: Spybot Search & Destroy và Ad-aware. Trong thử nghiệm, Spybot Search quét đĩa tốt nhất nhưng giao diện thì hơi rối rắm. Ad-ware có giao diện thân thiện hơn và phiên bản Plus giá 27USD có khả năng quét bộ nhớ thường trú tốt nhất. Spybot Search & Destroy cảnh báo NTN rằng Ad-aware có thể hiểu nhầm các file đã cách ly với spyware đang hoạt động, tuy nhiên NTN không tìm thấy lỗi này trong thử nghiệm.

    Tân Huỳnh
    PC World Mỹ 7/2003

    ID: A0308_66