• Thứ Hai, 03/07/2006 08:22 (GMT+7)

    Kinh nghiệm phòng chống virus

    Khái niệm

    Trong bài viết này, chúng tôi chỉ giới thiệu một số loại virus "quen thuộc" với người dùng gia đình. Một số loại hầu như đã "tuyệt chủng" vì không theo kịp sự phát triển của máy tính, của Internet do chỉ lây lan trong đối tượng bị nhiễm, khả năng gây nguy hại không cao, dễ bị phát hiện. Tuy nhiên, đây không phải là tin mừng vì chúng ta phải tiếp tục "đối đầu" với thế hệ kế tiếp của chúng: tinh quái hơn, hiểm độc hơn, lây nhiễm nhanh hơn, khả năng phá hoại khủng khiếp... Bạn có thể tham khảo thêm thông tin về lịch sử phát triển của virus trong bài viết "Virus máy tính: 20 năm nhìn lại", ID: A0603_95.

    Virus. Là một đoạn mã, một chương trình nhỏ được viết ra nhằm thực hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép hoặc người dùng không biết. Chúng có khả năng tự nhân bản, lây lan sang các tập tin, chương trình khác trong máy tính và sang máy tính khác. Virus máy tính thường được chia thành một số loại như: File virus (Jerusalem, Cascade...) là loại virus lây vào những tập tin của một số phần mềm thường sử dụng trong hệ điều hành Windows như tập tin .com, .exe, .bat, .pif, .sys...; Boot virus (Disk Killer, Michelangelo, Stoned...) là loại virus lây nhiễm vào đoạn mã trong cung từ khởi động (boot sector) của đĩa cứng; Macro virus (W97M.Melissa, WM.NiceDay, W97M.Groov...) lây nhiễm vào tập tin trong MS. Office. Ngoài ra, còn một số loại virus khác như virus lưỡng tính (kết hợp giữa boot virus và file virus), master boot record virus...

    Trojan horse. Là những chương trình được ngụy trang bằng vẻ ngoài vô hại nhưng ẩn chứa bên trong những đoạn mã nguy hiểm nhằm đánh cắp thông tin cá nhân, mở các cổng để hacker xâm nhập, biến máy tính bị nhiễm thành nguồn phát tán thư rác hoặc trở thành công cụ tấn công một website nào đó, chẳng hạn như W32.Mimic. Không như virus và worm, Trojan horse không có khả năng tự nhân bản để lây lan, vì vậy chúng thường kết hợp với virus, worm để xâm nhập vào máy tính người dùng.

    Spyware. Là phần mềm theo dõi những hoạt động của bạn trên máy tính. Chúng thu thập tất cả những thông tin cá nhân, thói quen cá nhân, thói quen lướt web của người dùng và gửi về cho tác giả. Spyware là mối đe dọa lớn nhất đối với sự an toàn của một máy tính, một hệ thống máy tính.

    Adware. Đơn giản là một dạng phần mềm quảng cáo lén lút cài đặt vào máy tính người dùng hoặc cài đặt thông qua một phần mềm miễn phí, được người dùng cho phép (nhưng không ý thức được mục đích của chúng). Tuy nhiên, chúng không dừng lại ở tính đơn giản là quảng cáo khi kết hợp với những loại virus khác nhằm tăng "hiệu quả” phá hoại.

    Worm. Sâu máy tính là một loại phần mềm có sức lây lan nhanh, rộng và phổ biến nhất hiện nay. Không giống với virus thời "nguyên thủy", worm không cần đến các tập tin "mồi" để lây nhiễm. Chúng tự nhân bản và phát tán qua môi trường Internet, mạng ngang hàng, dịch vụ chia sẻ...

    Nhận biết máy tính bị nhiễm virus

    Sau khi xâm nhập vào hệ thống, một số máy virus lập tức thực hiện việc phá hoại. Số khác lại ẩn nấp, âm thầm lây lan sang những máy tính khác, chờ đợi giờ G để đồng loạt "tổng tấn công" khiến người dùng trở tay không kịp; điển hình như virus CIH, Melissa. Một số hiện tượng thường gặp khi máy tính nhiễm virus: Có những triệu chứng bất thường như đĩa cứng bị truy cập liên tục; hệ thống hoạt động ì ạch; một số trang web lạ, popup quảng cáo tự động nhảy ra khi bạn làm việc. Nếu sử dụng Windows NT/2000/XP, bạn có thể tham khảo thông tin trong Windows Task Manager như CPU Usage luôn ở mức 100%, xuất hiện một số tập tin thực thi lạ trong tab Processes của Windows Task Manager (hình 1)... Tham khảo thêm một số thông tin trong bài viết "Nhận diện phần mềm gián điệp trong Windows", ID: A0507_128.

    Quét virus

    Khi đã nghi ngờ hệ thống nhiễm virus, bạn cần tìm phần mềm để kiểm tra và tiêu diệt chúng. Lưu ý: phòng chống virus trước khi chúng xâm nhập vào hệ thống bao giờ cũng đơn giản hơn việc tiêu diệt chúng. Bài viết "Vũ khí chống Virus mới" (ID: A0603_90) giới thiệu 10 sản phẩm chống virus tốt nhất có thể chống đỡ cả những hiểm họa đã biết lẫn chưa biết. Mỗi sản phẩm đều có những điểm mạnh yếu khác nhau từ miễn phí cho đến có phí để bạn tự mình chọn lựa phần mềm thích hợp.

    Sau khi lựa chọn phần mềm phù hợp, bạn cần cài đặt chúng vào hệ thống. Một số virus "quỷ quái" đến mức sau khi lây nhiễm vào hệ thống, chúng ngăn chặn người dùng cài đặt hoặc khống chế luôn những phần mềm này để không phát hiện được chúng, ngăn chặn việc truy cập đến website của nhà sản xuất. Nếu không cài đặt được ở chế độ Normal trong Windows, hãy thử cài đặt ở chế độ Safe mode. Để khởi động máy tính trong chế độ Safe mode, thực hiện như sau:

    1. Sử dụng System Configuration Utility hoặc nhấn phím F8 trong quá trình khởi động Windows để vào chế độ Safe mode.

    - Đóng tất cả các ứng dụng đang sử dụng.

    - Chọn Start. Run. Gõ dòng lệnh msconfig và nhấn Ok để mở cửa sổ System Configuration Utility

    - Trong tab BOOT.INI, đánh dấu tùy chọn /SAFEBOOT trong mục Boot Options (hình 2)

    - Nhấn Ok và chọn Restart để xác nhận việc khởi động lại máy tính để vào chế độ Safe mode.

    Lưu ý:

    Khởi động lại máy tính trong chế độ Normal: Thực hiện các bước trên và bỏ tùy chọn /SAFEBOOT trong mục Boot Options.

    Cập nhật danh sách virus. Như đã đề cập bên trên, nếu không thể truy cập đến các website của nhà sản xuất, không thể cập nhật danh sách virus (virus definition) trực tuyến; bạn hãy tải chúng về từ máy tính khác để cập nhật.

    Tắt System Restore. Nếu sử dụng Windows ME hoặc XP, bạn nên tắt tính năng System Restore khi máy tính bị nhiễm virus. Mặc định trong Windows ME và XP, tính năng này được kích hoạt để giúp bạn khôi phục hệ thống khi gặp sự cố. Các phần mềm chống virus không thể quét được thư mục System Volume Information, nơi System Restore lưu trữ những tập tin, thư mục giúp khôi phục hệ thống. Vì vậy sẽ xảy ra tình trạng "tái nhiễm" virus khi System Restore phục hồi hệ thống các bản lưu trữ bị nhiễm virus.

    Để tắt System Restore trong Windows XP, thực hiện như sau:

    - Nhấn phải chuột trên My Computer, chọn Properties

    - Trong cửa sổ System Properties, tab System Restore, đánh dấu tùy chọn Turn off System Restore on all drivers và nhấn OK (hình 3)

    - Chọn Yes khi xuất hiện yêu cầu xác nhận việc này.

    Nếu sử dụng Windows ME, thực hiện như sau:

    - Trên màn hình Desktop, nhấn phải chuột vào biểu tượng My Computer và chọn Properties.

    - Trong cửa sổ System Properties, chọn Performance. File System. Troubleshooting

    - Đánh dấu tùy chọn lên Disable System Restore và nhấn OK

    - Chọn Close và Yes để khởi động lại Windows

    Lưu ý: tắt tính năng System Restore đồng nghĩa với việc xóa tất cả các điểm khôi phục (restore points). Bạn hãy tạo thủ công một điểm khôi phục khi System Restore được bật trở lại.

    Quét ở chế độ đầy đủ (full system scan). Thiết lập mặc định của một số chương trình phòng chống virus chỉ quét một số loại tập tin được chỉ định trước. Để chắc ăn, bạn nên thiết lập "full system scan" để máy tính được kiểm tra đầy đủ nhất. Một số lưu ý trong quá trình quét:

    - Nếu gặp thông báo lỗi phần mềm không thể xóa được virus hoặc một tập tin nào đó của virus. Bạn hãy khởi động lại máy tính ở chế độ Safe mode và tiếp tục việc kiểm tra

    - Kết thúc quá trình quét, chương trình sẽ đưa ra báo cáo tổng kết những virus được phát hiện và cách xử lý chúng. Nếu chương trình không thể diệt được một vài loại virus nào đó, bạn thử diệt chúng một cách thủ công. Sử dụng công cụ tìm kiếm với từ khóa là tên virus đó, bạn sẽ tìm thấy những thông tin hướng dẫn cách tiêu diệt tại một số website nhà sản xuất phần mềm phòng chống virus.

    - Sau khi khởi động lại Windows trong chế độ Normal, nếu gặp thông báo lỗi tương tự như "Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search". Ví dụ: với virus W32.Lecna.A, bạn sẽ gặp thông báo lỗi không tìm thấy tập tin iexplore.exe. Đây là những "tàn tích" còn sót lại của virus W32.Lecna.A dù chúng đã bị diệt. Để xóa chúng, bạn cần tìm và xóa những khóa do virus này thêm vào trong Registry. Chúng tôi vẫn lưu ý bạn đọc nên sao lưu Registry trước khi bạn "đụng" đến chúng. Tham khảo cách sao lưu Registry trong bài viết "Chăm sóc và bảo dưỡng Windows Registry", ID: A0502_90.

    Chọn Start. Run để mở cửa sổ DOS Prompt; gõ vào lệnh "regedit" để mở cửa sổ Registry Editor. Nếu gặp thông báo lỗi "Registry editing has been disable by your administrator", tham khảo thông tin liên quan đến lỗi này trong bài viết "Internet Explorer luôn truy cập trang web lạ”, ID: A0604_154.

    Tìm và xóa các khóa có liên quan đến spyware trong các nhánh sau:

    - KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Xóa khoá "iexplore.exe" = "iexplore.exe" ở khung bên phải.

    - HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentNetInf. Xóa khóa "hostid" = "[RANDOM NUMBER]" và "pid" = "[ENCRYPTED DATA]"

    - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Xóa khóa "forceguest" = "0"

    Thoát khỏi Registry Editor và khởi động lại máy tính.

    Cập nhật các bản sửa lỗi cho HĐH, phần mềm. Một số virus như W32.Blaster.Worm thường khai thác lỗ hổng trong dịch vụ Remote Procedure Call của HĐH Windows NT/2000/XP để phá hoại. Nếu sử dụng các phần mềm của Microsoft, bạn có thể cập nhật bản sửa lỗi từ http://www.microsoft.com/downloads/Search.aspx?displaylang=en, tránh tình trạng tái nhiễm sau khi quét.

    "Phòng cháy hơn chữa cháy"! Trong bài viết kỳ tới chúng tôi sẽ cung cấp cho bạn đọc một số kinh nghiệm, thủ thuật để bảo vệ máy tính của mình trong thời đại bùng nổ Internet và bùng nổ... virus.

    Đông Quân
    ---------------------------------------------
    Tài liệu tham khảo
    * http://service1.symantec.com/SUPPORT/nav.nsf/docid/1999041209131106
    * http://www.symantec.com/avcenter/cybercrime/trojans_spyware.html?src=symsug_us#

    ID: A0606_156