Phương pháp phát hiện và phòng tránh virus !!! Đây là lần đầu tiên post bài nên mong mọi người thông cảm và bỏ qua cho nếu có sai sot trong bài. I) Khái niệm về virus Virus máy tính là một chương trình máy tính có khả năng tự sao chép từ đối tượng lây nhiễm này sang đối tượng lây nhiễm khác. Malware (Malicious Software) là phần mềm xâm nhập, hoạt động trên hệ thống mà không được sự cho phép của người sử dụng. II) Cơ chế hoạt động của virus Ví dụ:đơn giản với một chương trình virus biểu hiện dòng chữ “Hello”. Cách thực hiện của con virus này như sau: 1. Xóa màn hình. 2. Hi ện dòng chữ “Hello”. 3. Kết thúc. Và đây là cơ chế hoạt động của virus: 0. Nhảy tới bước 4 1. Xóa màn hình 2. Hi ện dòng chữ “Hello” 3. Kết thúc. 4. Kiểm tra ngày tháng, gây tác hại nếu đúng ngày? 5. Tìm các File khác, copy các b ước 0,4,5,6 vào file tìm được. 6. Quay lại bước 1. III) Các loại virus 1. Virus (File, Boot) 2. Macro 3. Trojan 4. Worm 5. Spyware (Ph ần mềm gián điệp) 6. Adware (Phần mềm quảng cáo bất hợp pháp) 7. Rootkit _Virus Boot: những virus lây vào Boot sector. Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên. (BleahC) _Virus File: Nh ững virus lây vào những file chương trình, phổ biến là trên hệ điều hành Windows như các file có đuôi mở rộng : .com, .exe, .bat, .pif, .sys …. (CIH, Pinfi…) _Virus Macro: là lo ại virus lây vào những file văn bản (Word), file bảng tính (Excel) hay các file trình diễn (PowerPoint) trong bộ Microsoft Office. Con ngựa Thành Tơ-roa – Trojan Horse: khac với virus, Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN. (BackDoor, Botnet) _Worm – sâu Internet: Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan, và hơn hết là tốc độ lây lan đáng sợ. Thường thì Worm lây qua Email, lây qua l ỗ hổng phần mềm (Windows, IE), lây qua chat và cuối cùng là lây qua hệ thống mạng Lan Spyware, Adware: ăn trộm thông tin, thay đổi thông số tr ình duyệt, hiện các Pop-up qu ảng cáo… (Rootkit) Những con đường lây lan virus máy tính -Qua Email -T ải file từ Internet -Copy và chạy file từ đĩa CD, USB và các thiết bị lưu trữ khác. -Qua mạng nội bộ (LAN) -Qua lỗ hổng phần mềm -Để kiểm tra sơ bộ xem máy tính của mình có bị lây nhiễm virus hay chưa thì mình s ẽ sử dụng một số chương trình để kiểm tra. Đa số chương trình kiểm tra đều căn cứ vào bộ thông số registry để kiểm tra vậy tại sao mình không vào thẳng trong đó kiểm tra lun nhỉ - Tuy nhiên trước khi thao tác trong registry thì bạn cần nên export bộ registry ngon lành ra trước để khi m ình vào đó có bị làm sao thì còn có cái để mà import ngược lại. Thường thì virus hay có những chương trình khởi động cùng hệ điều hành cho nên chúng ta vào đường dẫn sau để rà soát: o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run o HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run o Startup Folder o Các services, drivers o … Nh ững chương trình được nạp cùng Windows Explorer o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar edTaskScheduler o HKLM\SOFRWARE\Microsoft\Windows\CurrentVersion\Explorer\Shel lExecuteHooks o … Nh ững chương trình nạp cùng Internet Explorer o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Help Objects o HKCU\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks o … IV) Cách xử lý virus: A. Xử lý máy tính bị nhiễm virus lây USB a) Một virus lây USB thông thường có thể hoạt động như sau: o Copy vào một thư mục trên hệ thống o Ghi vào 1 trong các key run, tạo services hoặc startup folder… để khởi động cùng h ệ điều hành. o Thường thì nằm trong những key này: • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run • HKCU\Software\Microsoft\Windows\CurrentVersion\Run • Startup Folder • Các services, drivers o Copy file virus và file autorun.inf vào USB Ví d ụ: [Autorun] Open=SCVHSOT.exe Shellexe cute=SCVHSOT.exe Shell\Open\command=SCVHSOT.exe Shell=Open o Người sử dụng khi double click vào USB thì lệnh trong file Autorun.inf sẽ được thực thi  virus tiếp tục lây lan b) Cách xử lý: Trước khi chống lại chúng th ì chúng ta phải phòng ngừa chúng trước. Cách phòng ng ừa như sau: Tải chương trình quản lý USB và copy vào trong USB của mình http://myfreefilehosting.com/f/132a246ccc_0.38MB Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là JACKY Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start -> Run, sau đó gõ convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được. (tuy nhiên không nên sử dụng bước này vì dễ dẫn đến hiện tượng phải ra tiệm mua usb mới ) Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng được và copy vào thư mục gốc của ổ đĩa USB của bạn. Bước 4: Click chuột phải v ào file autorun.inf bạn vừa tạo và chọn thuộc tính cho file này là read-only, bạn cũng có thể chọn thêm hidden. Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách Click vào Start -> Run, sau đó gõ cacls autorun.inf /D Everyone. Ví dụ như bạn sẽ gõ cacls E:autorun.inf /D Everyone T ất nhiên là không thể nói là an toàn với tất cả các loại virus USB, nhưng phương pháp này cũng phần nào giúp cho USB của bạn an toàn trước đại đa số chuyên lây qua USB hi ện nay. Và hơn hết, hãy cài lên máy của mình một chương trình diệt virus đáng tin cậy, đặc biệt nên có tính năng tự động cập nhật thường xuy ên Các bước 3+4+5 có thể làm tắt bằng cách sử dụng một chương trình cho phép mình t ạo sẵn các file autorun đánh lừa. Đó chính là chương trình FixAuto B ạn tải chương trình này về sau đó cho chạy file FixAuto.exe để sửa lỗi. Click this bar to view the small image. Sau khi tắt chức năng Autorun chúng ta dùng click chuột phải Start chọn Explorer. Sau khi vào Windows Explorer chúng ta dùng console tree để mở USB ra (chú ý hạn chế mở USB bằng cách double click vào thẳng USB) sau khi vào được USB, chúng ta làm tiếp tục như hình sau: Sau khi đã mở thuộc tính ẩn, chúng ta sẽ thấy xuất hiện file autorun.inf và một số file có thuộc tính mờ thì chắc chắn là USB của chúng ta đã bị nhiễm virus. Click chuột chọn những file đó bấm tổ hợp phím Shift+Del. Đối với file autorun.inf thì chúng ta th ực hiện như sau: click chuột phải chọn Open with và chọn Notepad. Sau đó xem trong file đó coi trong đó có dòng lệnh nào chạy file lạ nào hay không. Nếu không có thì chưa chắc USB của bạn đã bị nhiễm virus. Chúng ta không nên xóa file này và hãy b ảo vệ usb của mình bằng phương pháp mà mình đã hướng dẫn ở bên trên. Ngoài ra chúng ta có th ể dùng những chương trình diệt virus tin cậy bên ngoài để có thể phát hiện những virus khó bảo. Có thể liệt kê được những phần mềm có thể diệt được các file tự chạy trong usb như Mcafee, Bitdefender, Kaspersky, Nod32, Bkav… Ngoài những cách trên ra chúng ta còn có thể đánh lừa những virus bằng cách tạo y chang những file có trùng tên với loại virus đó ví dụ như : setup.exe, music.exe và cũng đặt cho chúng những thuộc tính chỉ đọc (Read Only) để có thể đánh lừa được virus. Khã dĩ khi virus xâm nhập vào trong usb, điều đầu tiên mà virus làm là kiểm tra xem trong usb đó có chứa những file đó chưa. Nếu chưa có chúng sẽ thực hiện tiếp những thao tác copy vào USB. Chúng ta lợi dụng điều đó và đánh lừa chúng. Phương pháp này cũng khá hữu ích đối với những loại virus hiện nay như kavo.exe ,…. (theo kinh nghiệm xương máu của mình đó. hehe ) Click this bar to view the small image. Ngoài ra mình còn có thể phòng chống những con virus này bằng cách đi chỉnh Policy "Don't run Specified Window Applications" cấm không cho chạy các file có tên trùng với file virus. Cách tạo những file này như sau: rất đơn giản là bạn chỉ cần mở notepad ra, nội dung tùy ý và save lại lấy đuôi và tên giống hệt tên những con virus mà bạn biết. ví dụ : kavo.exe… sau đó lưu vào usb của mình thế là xong. Adware “Virus Alert” M ột adware thông thường có thể hoạt động như sau: o Copy vào một thư mục trên hệ thống o Ghi vào 1 trong các key để khởi động cùng hệ điều hành, windows explorer hoặc IE Ví dụ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar edTaskScheduler HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shel lExecuteHooks HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Help Objects HKCU\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks Tìm ki ếm trong những key đó nếu thấy những key nào bất thường thì chúng ta xóa ngay key đó đi.(chú ý phải export registry trước khi xóa ) Chúc m ọi người sẽ tự bảo vệ cho máy tính yêu dấu của mình bằng một số thủ thuật trên. . Phương pháp phát hiện và phòng tránh virus !!! Đây là lần đầu tiên post bài nên mong mọi người thông cảm và bỏ qua cho nếu có sai. thực hiện tiếp những thao tác copy vào USB. Chúng ta lợi dụng điều đó và đánh lừa chúng. Phương pháp này cũng khá hữu ích đối với những loại virus hiện