• Thứ Năm, 20/11/2008 06:23 (GMT+7)

    Nhiều bạn cần: “Làm sạch” máy tính nhiễm virus autorun

    Sự phổ biến của bút nhớ USB vô tình “tiếp tay” cho những virus sử dụng tập tin autorun.inf để lây lan giữa các máy tính (chúng tôi tạm gọi các virus, worm, trojan dạng này là virus autorun). Theo đánh giá của các nhà sản xuất phần mềm bảo mật, virus autorun được xếp vào mức khả năng gây hại thấp. Tuy nhiên qua những email thắc mắc, chúng tôi nhận thấy với nhiều bạn đọc, việc làm sạch virus autorun và xử lý các thay đổi lại khá khó khăn. Cơ chế hoạt động của virus autorun tuy đơn giản nhưng tạo ra một vòng tròn khép kín khiến nhiều bạn đọc bối rối khi tìm cách xử lý. Hy vọng những thông tin trong bài viêt sẽ giúp ích bạn đọc.

    Trước tiên, chúng ta hãy cùng xem qua cơ chế hoạt động của virus autorun. Sau khi lây nhiễm vào máy tính, virus thường chép tập tin autorun.inf và tập tin thực thi (.bat, .cmd, .com, .exe) lên thư mục gốc tất cả phân vùng ổ cứng, tập tin thực thi .exe, 1 số tập tin thư viện (.dll), bản sao của virus vào thư mục Windows, Windows\System 32 và thêm các khóa trong Registry để tự khởi chạy. Khi được kích hoạt (trường hợp người dùng truy cập các phân vùng ổ cứng bằng cách nhấn kép chuột), autorun.inf sẽ chạy tập tin thực thi, tập tin này kiểm tra sự tồn tại của các tập tin liên quan và khôi phục chúng (từ bản sao trong thư mục Windows, System32) nếu bị xóa. Như vậy để tránh tình trạng tái nhiễm, bạn phải xóa tập tin autorun.inf, tập tin thực thi (.bat, .cmd, .com, .exe), thư viện dll và bản sao của virus.

    Để xác định các tập tin liên quan đến virus, bạn có thể dựa vào nội dung tập tin Autorun.inf. Chẳng hạn với Trojan-GameThief.Win32.OnLineGames.nfn, nội dung tập tin Autorun.inf sẽ có dòng sau.

    [autorun]

    open=ntdelect.com

    Kế tiếp, chọn Start. Run. Gõ dòng lệnh msconfig và nhấn OK để mở cửa sổ System Configuration Utility. Duyệt qua danh sách các ứng dụng khởi chạy cùng Windows; nhất là các tập tin thực thi trong thư mục Windows, Windows\System 32 (hình 1). Nếu không xác định tập tin thuộc ứng dụng nào, sử dụng công cụ tìm kiếm như Google với từ khóa là tên tập tin để tìm thông tin hoặc tham khảo thông tin tại http://www.bleepingcomputer.com/startups

    KHẮC PHỤC

    Khởi động máy tính ở Safe mode (Nhấn phím F8 khi Windows khởi động).

    Để hiển thị các tập tin có thuộc tính ẩn, chọn Start. Run, gõ vào lệnh "regedit" để mở cửa sổ Registry Editor. (Lưu ý: sao lưu Registry trước khi "đụng" đến chúng).
    Tìm và thay đổi các khóa có liên quan đến spyware trong các nhánh sau:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\Folder
    \Hidden\NOHIDDEN. Thiết lập giá trị các khóa CheckedValue là 2, DefaultValue là 2.

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Advanced\Folder
    \Hidden\SHOWALL. Thiết lập giá trị các khóa CheckedValue là 1, DefaultValue là 2.

    Trong Windows Explorer, chọn Tools. Folder Options.View. Đánh dấu tùy chọn Show hidden files and folders và bỏ tùy Hide protected operating system files (Recommended). Chọn Yes và OK để xác nhận thay đổi.

    Kế tiếp, duyệt qua từng phân vùng ổ cứng, tìm và xóa các tập tin autorun.inf, tập tin thực thi ntdelect.com của virus. Lưu ý: một số virus đặt tên khá giống với tập tin của Windows. Có thể sử dụng thêm thông tin trong Properties của mỗi tập tin để kiểm tra xem tập tin của virus hay của ứng dụng (hình 2).

    Quay lại cửa sổ Registry Editor, tìm và xóa các tập tin .exe, dll có liên quan đến virus trong 2 nhánh sau. Lưu ý: sử dụng công cụ tìm kiếm với từ khóa là tên tập tin để kiểm tra

    * HKEY_CURRENT_USER\Software\Microsoft\Windows\Curentversion\Run

    * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curentversion\Run.

      Trojan-PSW.Win32.OnLineGames là 1 dạng virus autorun, được Kaspersky ghi nhận xuất hiện lần đầu vào tháng 9 năm 2006. Cho đến nay đã có thêm 1.938 biến thể với tên gọi hơi khác nhau. Bạn có thể tham khảo thêm thông tin về các biến thể Trojan-PSW.Win32.OnLineGames tại http://www.kaspersky.co.uk/viruswatchlite?hour_offset=-11&search_virus=onlinegames. Với những thông tin trong bài viết, bạn vẫn có thể dễ dàng khắc phục loại virus này và các biến thể của chúng.

    Trong Windows Explorer, tìm và xóa các tập tin .exe và .dll tương ứng được liệt kê trong khóa Run của nhánh HKEY_CURRENT_USER và HKEY_LOCAL_MACHINE. Chẳng hạn tập tin kavo.exe và kavo0.dll của virus Trojan-PSW.Win32.OnLineGames trong Windows\System32.

    Khởi chạy lại phần mềm phòng chống virus, có thể chọn Repair (trong Control Panel\Add or Remove Programs) để khôi phục tính năng bảo vệ. Cập nhật danh sách nhận dạng virus mới và quét toàn bộ hệ thống lần nữa.

    Trung Doãn

    ID: A0810_147