• Thứ Năm, 19/05/2005 08:10 (GMT+7)

    Tiêu diệt spyware

    Cách đây không lâu, virus phát tán từ web và email là kẻ thù nguy hiểm nhất của người dùng máy tính. Giới đây có thêm một mối đe doạ mới: spyware. Có một loạt công cụ trợ giúp chống spyware. Một số công cụ rất hiệu quả trong việc làm sạch hệ thống bị lây nhiễm và ngăn chặn các hiểm hoạ mới với cơ chế bảo vệ thời gian thực.

    Cảnh báo! Máy tính của bạn bị phần mềm gián điệp xâm nhập, nhấn vào đây để tiêu diệt chúng!

    Lời cảnh báo trên là một trong những ví dụ tiêu biểu mà bạn gặp khi kết nối vào các trang web tìm kiếm trên mạng. Một lời khuyên được đúc kết từ rất nhiều kinh nghiệm “đau thương”: “Đừng động vào quả bom đó!”. Đó có thể là sản phẩm của một kẻ phát tán spyware ranh mãnh.

    Cảnh báo này được spyware MediaPass đưa ra!

     

    CoolWebSearch, một spyware nổi tiếng, đã khống chế homepage và AutoSearch của IE

     

    Mẹo 1: Có những spyware thỉnh thoảng lại đưa lên trình duyệt những cảnh báo kiểu: Nguy hiểm! Máy của bạn có spyware. Hãy chú ý địa chỉ của trang web này trên thanh địa chỉ. Nếu nó chỉ đến một tệp (file) nào đó trên đĩa cứng, hãy tìm đến đó và xoá đi.

    Trước khi bắt tay vào việc, hãy tắt hết các kết nối mạng, chuẩn bị giấy và bút để ghi lại những thao tác bạn sẽ làm, những ghi chép này sẽ giúp bạn phục hồi nếu có những nhầm lẫn.

    Bước thứ nhất, tiến hành kiểm tra mọi thứ trên Desktop và Start/Connect To, Start/Programs, Start/Startup. Những cái tên như xxxDial, pornoDial, freePorno, Getsex, teenDial, teenKittenDialer với những biểu tượng lạ mắt kiểu nàylà những thứ đầu tiên cần sàng lọc. Những Dialer tự động quay số đến những trang web khiêu dâm thường được âm thầm cài vào máy khi bạn truy cập web (đặc biệt là các web cho tải miễn phí, bẻ khoá...). Thường trực trong máy tính, thay đổi  các thiết lập trang chủ (homepage), vô hiệu hoá cơ chế bảo mật của Internet Explorer bằng cách giảm Security level xuống mức thấp nhất và thêm hàng loạt địa chỉ xấu vào Trusted sites (các site tin cậy) là cách để chúng có thể tắt kết nối và thực hiện các cuộc gọi quốc tế ngoài ý muốn, mở cửa cho các spyware thâm nhập ồ ạt vào máy một khi chúng được kích hoạt. Bạn đừng quá nóng giận mà vội xoá ngay những gì bạn thấy, với mỗi shortcut như thế hãy nhấn phím phải chuột vào đó và chọn Properties để mở hộp thoại thuộc tính, tìm nút  , nó sẽ cho bạn biết cái gốc ở đâu, lúc này mới xoá cả hai đi.

    Lưu ý: Việc tìm xoá các tệp dạng .dll, .log... có tên giống tệp chạy có thể giúp bạn tống khứ hoàn toàn Spyware. Tuy nhiên nhiều spyware đặt tên tệp chạy giống với tên của một số tệp hệ thống của Windows và ẩn ở trong cùng thư mục với những tệp này cho nên nếu không cẩn thận bạn có thể mắc bẫy và xoá luôn một số thành phần nào đó của hệ điều hành. Ví dụ tệp cmd32.exe trong ví dụ ở bước hai sau đây rất giống với cmd.exe (ứng dụng môi trường console - tương tự MS-DOS Command.com) và cmdl32.exe (ứng dụng Connection Manager Auto-Download) của Windows XP.

    Mẹo 2: Đừng giữ Shift khi xoá bất kì cái gì mà bạn không chắc chắn. Hãy tạm thời cho chúng vào thùng rác Recycle Bin, khi phát hiện nhầm lẫn bạn vẫn có thể lục lại ngay.

    Không phải spyware nào cũng hoạt động lén lút, cũng có những kẻ hiên ngang hoạt động trước mũi bạn với đầy đủ tài liệu kĩ thuật và hướng dẫn cài đặt chi tiết. Gator, MediaPass (hay MediaAccess) là những ví dụ điển hình. Chúng thường được cài đặt cùng với các ứng dụng, trò chơi miễn phí đầy rẫy trên mạng. Vì vậy bước thứ hai là cần làm là dọn dẹp danh sách các chương trình được cài đặt. Vào Start/Control Panel/Add or Remove Programs để làm điều này.(Hình)

    Hãy kiểm tra từng cái một, cố gắng loại bỏ những kẻ lạ mặt mà bạn không thể tìm thấy sự liên hệ nào giữa chúng với những ứng dụng hữu ích mà bạn thực sự biết chắc và đã tự tay cài đặt. Sau khi gỡ cài đặt tự động, bạn cố gắng lần theo dấu vết của chương trình để xoá hết những tàn tích trong Registry và đĩa cứng.

    Bước thứ ba là kiểm tra các chương trình được nạp khi khởi động. Nhấn vào Start/Run, nhập vào msconfig và nhấn Enter để chạy System Configuration Ultility (SCU). Thẻ Startup của SCU chứa đựng tất cả những chương trình sẽ được chạy khi khởi động máy. (Hình)

    Cột Startup chứa tên của ứng dụng, cột Command là dòng lệnh nạp ứng dụng đó (dòng này chứa toàn bộ đường dẫn giúp định vị tệp chạy), cột Location cho biết địa chỉ đăng kí. Thường để chạy khi khởi động, các chương trình phải đăng kí lệnh nạp vào một trong các địa chỉ sau:

    (1) Menu Start/Startup (cột Location ghi là Common Startup)

    (2) Trong Registry ở các địa chỉ:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run hoặc RunOnce, RunOnceEx (trong cột Location có thêm HKLM ở đầu dòng)

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run hoặc RunOnce

    Kiểm tra từng dòng và vô hiệu hóa bất kì dòng nào bạn thấy khả nghi hoặc không cần thiết, bạn có thể đặt lại chúng khi cần.

    Mẹo 3: Những cái tên như cmd32, systime, mediapass sẽ khiến nhiều người nhầm tưởng đến những thành phần của hệ điều hành. Song bạn nên biết rằng các thành phần như thế chẳng mấy khi xuất hiện lộ liễu đến mức bạn có thể điều khiển tắt/mở chúng trong thẻ Startup của SCU.

    Mẹo 4: Hầu hết các spyware có kích thước rất bé, tính bằng Kilobyte, không có thông tin mô tả Description, Copyright, Version, Company... Nếu nghi ngờ một tệp nào đó (.exe, .dll) là spyware, bạn có thể lần theo thông tin trong cột Command để mở thư mục chứa. Khi đã định vị được kẻ tình nghi, bạn nhấn phím phải chuột vào tệp chạy, chọn Properties để kiểm tra các mô tả thuộc tính của nó.(Hình)

    Sau khi hoàn thành các bước trên và khởi động lại máy tính, bạn cần kiểm tra một lượt xem kết quả có như ý muốn không. Trước khi chuyển sang bước tiếp theo.

    Bước thứ tư là đặt lại các thiết định của trình duyệt. Việc đầu tiên hãy xoá tệp hosts trong thư mục Windows đi, sau đó là phục hồi lại trình duyệt. Sau đây tôi chỉ giới thiệu các thao tác trên hai trình duyệt phổ biến nhất là Microsoft Internet Explorer (IE) và Mozilla Firefox. Các trình duyệt khác có thể làm tương tự như Mozilla Firefox.
    Với Microsoft Internet Explorer, bạn vào Start/Control panel, chọn biểu tượng Internet Options để mở hộp thoại Internet Properties.

    1) Trong thẻ General, đặt Use Blank cho Home page. Delete Cookies và Delete Files trong Temporary Internet files để xoá cookie và tệp tạm. Clear History trong History để tránh việc gọi nhầm các website có spyware lưu trong danh sách địa chỉ web đã truy cập trước đây
    .(Hình)

    2) Trong thẻ Sercurity, nâng thanh trượt Sercurity level for this zone lên Medium cho cả vùng Internet và vùng Trusted sites. Đối với Trusted sites, nhấn nút  và xoá hết tất cả các địa chỉ không phải do bạn tự tay đặt.

    3) Trong thẻ Privacy, nâng thanh trượt Privacy Settings lên Medium. (Hình)

    - Nhấn nút

    và xoá hết các địa chỉ được đặt là Always Allow mà bạn không tự tay đặt. Rồi nhấn OK.(Hình)

    - Nhấn nút

    và bỏ chọn Override automatic cookies handling.

    4) Tuy spyware rất ít khi cài vào plug-in của IE nhưng bạn cũng có thể kiểm tra bằng cách vào thẻ Programs và nhấn vào nút  . Sau đó dựa vào cột File để kiểm tra, nếu thấy nghi ngờ có thể chọn ô Disable để tắt nó đi.(Hình)

    Sau khi lần lượt nhấn OK để thoát ra ngoài, bạn chạy IE để kiểm tra. Khi IE đã trở lại bình thường, bạn kiểm tra lại menu Favorites và xoá những liên kết lạ có thể đã được spyware đặt vào.

    Mozilla Firefox và các trình duyệt khác không có tuỳ chọn ở trong Control panel. Bạn không nên chạy chúng để sửa thiết đặt vì có thể spyware đặt homepage thành trang chứa mã kích hoạt hoặc cài một plug-in tự kích hoạt khi khởi động trình duyệt. Cách tốt nhất là gỡ toàn bộ chương trình, bao gồm cả cấu hình và các plug-in, tìm và xoá thư mục chứa trên ổ cứng và các khoá của chúng trong Registry, và cài lại từ đầu. Khi cài đặt Mozilla, nhớ chọn đặt Mozilla Start làm homepage. Bạn có thể sửa lại theo ý mình sau đó.(Hình)

    Nếu sau khi đã thực hiện thật kĩ những bước trên mà bạn vẫn phát hiện spyware xuất hiện trên máy. Thì rất có thể là bạn bị nhiễm cả Trojan hoặc/và worm (sâu) mà các chương trình diệt virus không phát hiện được. Hãy thử cố gắng một chút nữa với bước thứ năm.

    Mục tiêu của bước thứ năm là sàng lọc các tiến trình (process) đang hoạt động để lần theo đó tiêu diệt các chương trình khả nghi. Khởi động máy trong chế độ bình thường (Normal chứ không phải Safe Mode). Đóng hết tất cả chương trình, kể cả những chương trình ở khay hệ thống, và nhấn tổ hợp phím CTRL+SHIFT+ESC để mở Windows Task Manager (WTM). Thẻ Processes của WTM chứa danh sách tất cả các tiến trình đang chạy. Nhấn vào cột Mem Usage sau đó nhấn vào cột User Name để sắp xếp chúng theo tên người dùng và dung lượng bộ nhớ.

    - Đối với những tiến trình không thuộc SYSTEM, bạn hãy cố gắng phán đoán xem chúng thuộc ứng dụng nào. Nếu thấy nghi ngờ, hãy dùng công cụ tìm kiếm của Windows và tìm theo Image Name. Với mỗi kết quả tìm kiếm, hãy làm như mẹo 4 để kiểm tra. Một khi nghi ngờ được khẳng định, thao tác đầu tiên cần làm là trở lại WTM, chọn tiến trình cần diệt và nhấn nút . Sau đó trở lại thư mục chứa và cho tệp chạy vào thùng rác. Trong trường hợp spyware/Trojan sử dụng một chương trình nạp phụ - Loader, nút “End Process” có thể sẽ không còn tác dụng và bạn không thể xoá được tệp. Loader thường ở trong cùng thư mục với tệp chính và có tên gần giống với tệp chính; nó cũng có mặt trong danh sách process của WTM, hãy cố gắng xác định cả hai. Sau đó đổi tên của chúng, khởi động lại máy (tốt nhất là vào Safe Mode) và xoá hết đi. Cũng đừng quên tìm xem spyware/Trojan đó có tự động phục hồi tệp hoặc đặt thêm ở những nơi khác hay không.

    Mẹo 5: Trong bộ Norton SystemWorks 2004 có kèm theo chương trình ProcessViewer rất hay. Chương trình này có thể liệt kê tất cả các tiến trình đang chạy kèm theo các thông tin về bộ nhớ chiếm dụng và đường dẫn đến chương trình chạy. Vì thế nó giúp bạn nhanh chóng định vị được tiến trình khả nghi.

    Spyware MediaAccess.exe và Loader MediaAccK.exe của nó

     

    - Những tiến trình thuộc SYSTEM chưa hẳn đã vô hại. Tuy nhiên bạn cần cẩn thận hơn vì chúng có thể là một dịch vụ của hệ điều hành. Ngoại trừ 2 tiến trình là System Idle Process và System ra, những tiến trình mà tên trong Image Name có phần mở rộng (thường là .exe) đều có thể là đối tượng thanh sát. Hãy thực hiện bước trên để sàng lọc hết nghi ngờ và đừng quên ghi chép lại đầy đủ cả đường dẫn và tên những tiến trình bị kết tội.

    Kết hợp với kinh nghiệm sử dụng Windows, những thao tác trên có thể giúp bạn tiêu diệt hầu hết các Spyware. Bạn không cần phải tiến hành tuần tự hay tất cả các bước trên mà có thể tùy theo từng trường hợp cụ thể cùng với kinh nghiệm của chính mình để thực hiện kết hợp và bổ sung những thao tác mà bạn thấy cần thiết. Để đảm bảo hiệu quả và an toàn cao nhất, bước một, hai và ba có thể thực hiện trong Safe Mode (khi khởi động bạn nhấn liên tiếp phím F8 để vào Boot menu sau đó chọn Safe Mode). Nếu bạn gặp phải vấn đề với hệ điều hành, hãy khởi động ở Safe Mode hoặc sử dụng chương trình cứu hộ trên đĩa CD cài đặt để phục hồi lại các tệp bạn đã xoá. Các thao tác sàng lọc đã trình bày không quá phức tạp và không mất nhiều thời gian.

    Câu hỏi và góp ý xin vui lòng liên hệ với tác giả qua địa chỉ email
    rightnow10@yahoo.com.

    Hồ Nguyễn Hoàng

     

    Từ khóa: antispyware, security
    ID: A0504_111