Phương pháp phát hiện và phòng tránh virus !!!
Đây là lần đầu tiên post bài nên mong mọi người thông cảm và bỏ qua cho nếu có sai sot trong bài.
I) Khái niệm về virus
Virus máy tính là một chương trình máy tính có khả năng tự sao chép từ đối tượng lây nhiễm này sang đối tượng lây nhiễm khác.
Malware (Malicious Software) là phần mềm xâm nhập, hoạt động trên hệ thống mà không được sự cho phép của người sử dụng.
II) Cơ chế hoạt động của virus
Ví dụ:đơn giản với một chương trình virus biểu hiện dòng chữ “Hello”. Cách thực hiện của con virus này như sau:
1. Xóa màn hình.
2. Hiện dòng chữ “Hello”.
3. Kết thúc.
Và đây là cơ chế hoạt động của virus:
0. Nhảy tới bước 4
1. Xóa màn hình
2. Hiện dòng chữ “Hello”
3. Kết thúc.
4. Kiểm tra ngày tháng, gây tác hại nếu đúng ngày?
5. Tìm các File khác, copy các bước 0,4,5,6 vào file tìm được.
6. Quay lại bước 1.
III) Các loại virus
_Virus Boot: những virus lây vào Boot sector. Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên. (BleahC)
_Virus File: Những virus lây vào những file chương trình, phổ biến là trên hệ điều hành Windows như các file có đuôi mở rộng : .com, .exe, .bat, .pif, .sys …. (CIH, Pinfi…)
_Virus Macro: là loại virus lây vào những file văn bản (Word), file bảng tính (Excel) hay các file trình diễn (PowerPoint) trong bộ Microsoft Office.
Con ngựa Thành Tơ-roa – Trojan Horse: khac với virus, Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN. (BackDoor, Botnet)
_Worm – sâu Internet: Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan, và hơn hết là tốc độ lây lan đáng sợ. Thường thì Worm lây qua Email, lây qua lỗ hổng phần mềm (Windows, IE), lây qua chat và cuối cùng là lây qua hệ thống mạng Lan
Spyware, Adware: ăn trộm thông tin, thay đổi thông số trình duyệt, hiện các Pop-up quảng cáo… (Rootkit)
Những con đường lây lan virus máy tính
-Qua Email
-Tải file từ Internet
-Copy và chạy file từ đĩa CD, USB và các thiết bị lưu trữ khác.
-Qua mạng nội bộ (LAN)
-Qua lỗ hổng phần mềm
-Để kiểm tra sơ bộ xem máy tính của mình có bị lây nhiễm virus hay chưa thì mình sẽ sử dụng một số chương trình để kiểm tra. Đa số chương trình kiểm tra đều căn cứ vào bộ thông số registry để kiểm tra vậy tại sao mình không vào thẳng trong đó kiểm tra lun nhỉ
- Tuy nhiên trước khi thao tác trong registry thì bạn cần nên export bộ registry ngon lành ra trước để khi mình vào đó có bị làm sao thì còn có cái để mà import ngược lại.
Thường thì virus hay có những chương trình khởi động cùng hệ điều hành cho nên chúng ta vào đường dẫn sau để rà soát:
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Startup Folder
o Các services, drivers
o …
Những chương trình được nạp cùng Windows Explorer
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar edTaskScheduler
o HKLM\SOFRWARE\Microsoft\Windows\CurrentVersion\Explorer\Shel lExecuteHooks
o …
Những chương trình nạp cùng Internet Explorer
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Help Objects
o HKCU\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
o …
IV) Cách xử lý virus:
A. Xử lý máy tính bị nhiễm virus lây USB
a) Một virus lây USB thông thường có thể hoạt động như sau:
o Copy vào một thư mục trên hệ thống
o Ghi vào 1 trong các key run, tạo services hoặc startup folder… để khởi động cùng hệ điều hành.
o Thường thì nằm trong những key này:
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• Startup Folder
• Các services, drivers
o Copy file virus và file autorun.inf vào USB
Ví dụ:
[Autorun]
Open=SCVHSOT.exe
Shellexe cute=SCVHSOT.exe
Shell\Open\command=SCVHSOT.exe
Shell=Open
o Người sử dụng khi double click vào USB thì lệnh trong file Autorun.inf sẽ được thực thi → virus tiếp tục lây lan
b) Cách xử lý:
Trước khi chống lại chúng thì chúng ta phải phòng ngừa chúng trước. Cách phòng ngừa như sau:
Tải chương trình quản lý USB và copy vào trong USB của mình http://myfreefilehosting.com/f/132a246ccc_0.38MB
Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là JACKY
Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start -> Run, sau đó gõ convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được. (tuy nhiên không nên sử dụng bước này vì dễ dẫn đến hiện tượng phải ra tiệm mua usb mới )
Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng được và copy vào thư mục gốc của ổ đĩa USB của bạn.
Bước 4: Click chuột phải vào file autorun.inf bạn vừa tạo và chọn thuộc tính cho file này là read-only, bạn cũng có thể chọn thêm hidden.
Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách Click vào Start -> Run, sau đó gõ cacls autorun.inf /D Everyone. Ví dụ như bạn sẽ gõ cacls E:autorun.inf /D Everyone
Tất nhiên là không thể nói là an toàn với tất cả các loại virus USB, nhưng phương pháp này cũng phần nào giúp cho USB của bạn an toàn trước đại đa số chuyên lây qua USB hiện nay. Và hơn hết, hãy cài lên máy của mình một chương trình diệt virus đáng tin cậy, đặc biệt nên có tính năng tự động cập nhật thường xuyên
Các bước 3+4+5 có thể làm tắt bằng cách sử dụng một chương trình cho phép mình tạo sẵn các file autorun đánh lừa. Đó chính là chương trình FixAuto
Bạn tải chương trình này về sau đó cho chạy file FixAuto.exe để sửa lỗi.
Sau khi tắt chức năng Autorun chúng ta dùng click chuột phải Start chọn Explorer. Sau khi vào Windows Explorer chúng ta dùng console tree để mở USB ra (chú ý hạn chế mở USB bằng cách double click vào thẳng USB) sau khi vào được USB, chúng ta làm tiếp tục như hình sau:
Sau khi đã mở thuộc tính ẩn, chúng ta sẽ thấy xuất hiện file autorun.inf và một số file có thuộc tính mờ thì chắc chắn là USB của chúng ta đã bị nhiễm virus. Click chuột chọn những file đó bấm tổ hợp phím Shift+Del. Đối với file autorun.inf thì chúng ta thực hiện như sau: click chuột phải chọn Open with và chọn Notepad. Sau đó xem trong file đó coi trong đó có dòng lệnh nào chạy file lạ nào hay không. Nếu không có thì chưa chắc USB của bạn đã bị nhiễm virus. Chúng ta không nên xóa file này và hãy bảo vệ usb của mình bằng phương pháp mà mình đã hướng dẫn ở bên trên.
Ngoài ra chúng ta có thể dùng những chương trình diệt virus tin cậy bên ngoài để có thể phát hiện những virus khó bảo. Có thể liệt kê được những phần mềm có thể diệt được các file tự chạy trong usb như Mcafee, Bitdefender, Kaspersky, Nod32, Bkav…
Ngoài những cách trên ra chúng ta còn có thể đánh lừa những virus bằng cách tạo y chang những file có trùng tên với loại virus đó ví dụ như : setup.exe, music.exe và cũng đặt cho chúng những thuộc tính chỉ đọc (Read Only) để có thể đánh lừa được virus. Khã dĩ khi virus xâm nhập vào trong usb, điều đầu tiên mà virus làm là kiểm tra xem trong usb đó có chứa những file đó chưa. Nếu chưa có chúng sẽ thực hiện tiếp những thao tác copy vào USB. Chúng ta lợi dụng điều đó và đánh lừa chúng. Phương pháp này cũng khá hữu ích đối với những loại virus hiện nay như kavo.exe ,…. (theo kinh nghiệm xương máu của mình đó. hehe)
Ngoài ra mình còn có thể phòng chống những con virus này bằng cách đi chỉnh Policy "Don't run Specified Window Applications" cấm không cho chạy các file có tên trùng với file virus.
Cách tạo những file này như sau: rất đơn giản là bạn chỉ cần mở notepad ra, nội dung tùy ý và save lại lấy đuôi và tên giống hệt tên những con virus mà bạn biết. ví dụ : kavo.exe… sau đó lưu vào usb của mình thế là xong.
Adware “Virus Alert”
Một adware thông thường có thể hoạt động như sau:
o Copy vào một thư mục trên hệ thống
o Ghi vào 1 trong các key để khởi động cùng hệ điều hành, windows explorer hoặc IE
Ví dụ:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar edTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shel lExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Help Objects
HKCU\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
Tìm kiếm trong những key đó nếu thấy những key nào bất thường thì chúng ta xóa ngay key đó đi.(chú ý phải export registry trước khi xóa)
Chúc mọi người sẽ tự bảo vệ cho máy tính yêu dấu của mình bằng một số thủ thuật trên.
Link: http://www.nhatnghe.com/forum/showthread.php?t=45747
Đây là lần đầu tiên post bài nên mong mọi người thông cảm và bỏ qua cho nếu có sai sot trong bài.
I) Khái niệm về virus
Virus máy tính là một chương trình máy tính có khả năng tự sao chép từ đối tượng lây nhiễm này sang đối tượng lây nhiễm khác.
Malware (Malicious Software) là phần mềm xâm nhập, hoạt động trên hệ thống mà không được sự cho phép của người sử dụng.
II) Cơ chế hoạt động của virus
Ví dụ:đơn giản với một chương trình virus biểu hiện dòng chữ “Hello”. Cách thực hiện của con virus này như sau:
1. Xóa màn hình.
2. Hiện dòng chữ “Hello”.
3. Kết thúc.
Và đây là cơ chế hoạt động của virus:
0. Nhảy tới bước 4
1. Xóa màn hình
2. Hiện dòng chữ “Hello”
3. Kết thúc.
4. Kiểm tra ngày tháng, gây tác hại nếu đúng ngày?
5. Tìm các File khác, copy các bước 0,4,5,6 vào file tìm được.
6. Quay lại bước 1.
III) Các loại virus
- Virus (File, Boot)
- Macro
- Trojan
- Worm
- Spyware (Phần mềm gián điệp)
- Adware (Phần mềm quảng cáo bất hợp pháp)
- Rootkit
_Virus Boot: những virus lây vào Boot sector. Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên. (BleahC)
_Virus File: Những virus lây vào những file chương trình, phổ biến là trên hệ điều hành Windows như các file có đuôi mở rộng : .com, .exe, .bat, .pif, .sys …. (CIH, Pinfi…)
_Virus Macro: là loại virus lây vào những file văn bản (Word), file bảng tính (Excel) hay các file trình diễn (PowerPoint) trong bộ Microsoft Office.
Con ngựa Thành Tơ-roa – Trojan Horse: khac với virus, Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN. (BackDoor, Botnet)
_Worm – sâu Internet: Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan, và hơn hết là tốc độ lây lan đáng sợ. Thường thì Worm lây qua Email, lây qua lỗ hổng phần mềm (Windows, IE), lây qua chat và cuối cùng là lây qua hệ thống mạng Lan
Spyware, Adware: ăn trộm thông tin, thay đổi thông số trình duyệt, hiện các Pop-up quảng cáo… (Rootkit)
Những con đường lây lan virus máy tính
-Qua Email
-Tải file từ Internet
-Copy và chạy file từ đĩa CD, USB và các thiết bị lưu trữ khác.
-Qua mạng nội bộ (LAN)
-Qua lỗ hổng phần mềm
-Để kiểm tra sơ bộ xem máy tính của mình có bị lây nhiễm virus hay chưa thì mình sẽ sử dụng một số chương trình để kiểm tra. Đa số chương trình kiểm tra đều căn cứ vào bộ thông số registry để kiểm tra vậy tại sao mình không vào thẳng trong đó kiểm tra lun nhỉ
- Tuy nhiên trước khi thao tác trong registry thì bạn cần nên export bộ registry ngon lành ra trước để khi mình vào đó có bị làm sao thì còn có cái để mà import ngược lại.
Thường thì virus hay có những chương trình khởi động cùng hệ điều hành cho nên chúng ta vào đường dẫn sau để rà soát:
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Startup Folder
o Các services, drivers
o …
Những chương trình được nạp cùng Windows Explorer
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar edTaskScheduler
o HKLM\SOFRWARE\Microsoft\Windows\CurrentVersion\Explorer\Shel lExecuteHooks
o …
Những chương trình nạp cùng Internet Explorer
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Help Objects
o HKCU\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
o …
IV) Cách xử lý virus:
A. Xử lý máy tính bị nhiễm virus lây USB
a) Một virus lây USB thông thường có thể hoạt động như sau:
o Copy vào một thư mục trên hệ thống
o Ghi vào 1 trong các key run, tạo services hoặc startup folder… để khởi động cùng hệ điều hành.
o Thường thì nằm trong những key này:
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• Startup Folder
• Các services, drivers
o Copy file virus và file autorun.inf vào USB
Ví dụ:
[Autorun]
Open=SCVHSOT.exe
Shellexe cute=SCVHSOT.exe
Shell\Open\command=SCVHSOT.exe
Shell=Open
o Người sử dụng khi double click vào USB thì lệnh trong file Autorun.inf sẽ được thực thi → virus tiếp tục lây lan
b) Cách xử lý:
Trước khi chống lại chúng thì chúng ta phải phòng ngừa chúng trước. Cách phòng ngừa như sau:
Tải chương trình quản lý USB và copy vào trong USB của mình http://myfreefilehosting.com/f/132a246ccc_0.38MB
Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là JACKY
Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start -> Run, sau đó gõ convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được. (tuy nhiên không nên sử dụng bước này vì dễ dẫn đến hiện tượng phải ra tiệm mua usb mới )
Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng được và copy vào thư mục gốc của ổ đĩa USB của bạn.
Bước 4: Click chuột phải vào file autorun.inf bạn vừa tạo và chọn thuộc tính cho file này là read-only, bạn cũng có thể chọn thêm hidden.
Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách Click vào Start -> Run, sau đó gõ cacls autorun.inf /D Everyone. Ví dụ như bạn sẽ gõ cacls E:autorun.inf /D Everyone
Tất nhiên là không thể nói là an toàn với tất cả các loại virus USB, nhưng phương pháp này cũng phần nào giúp cho USB của bạn an toàn trước đại đa số chuyên lây qua USB hiện nay. Và hơn hết, hãy cài lên máy của mình một chương trình diệt virus đáng tin cậy, đặc biệt nên có tính năng tự động cập nhật thường xuyên
Các bước 3+4+5 có thể làm tắt bằng cách sử dụng một chương trình cho phép mình tạo sẵn các file autorun đánh lừa. Đó chính là chương trình FixAuto
Bạn tải chương trình này về sau đó cho chạy file FixAuto.exe để sửa lỗi.
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1280x800 |
Sau khi tắt chức năng Autorun chúng ta dùng click chuột phải Start chọn Explorer. Sau khi vào Windows Explorer chúng ta dùng console tree để mở USB ra (chú ý hạn chế mở USB bằng cách double click vào thẳng USB) sau khi vào được USB, chúng ta làm tiếp tục như hình sau:
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1280x800 |
Sau khi đã mở thuộc tính ẩn, chúng ta sẽ thấy xuất hiện file autorun.inf và một số file có thuộc tính mờ thì chắc chắn là USB của chúng ta đã bị nhiễm virus. Click chuột chọn những file đó bấm tổ hợp phím Shift+Del. Đối với file autorun.inf thì chúng ta thực hiện như sau: click chuột phải chọn Open with và chọn Notepad. Sau đó xem trong file đó coi trong đó có dòng lệnh nào chạy file lạ nào hay không. Nếu không có thì chưa chắc USB của bạn đã bị nhiễm virus. Chúng ta không nên xóa file này và hãy bảo vệ usb của mình bằng phương pháp mà mình đã hướng dẫn ở bên trên.
Ngoài ra chúng ta có thể dùng những chương trình diệt virus tin cậy bên ngoài để có thể phát hiện những virus khó bảo. Có thể liệt kê được những phần mềm có thể diệt được các file tự chạy trong usb như Mcafee, Bitdefender, Kaspersky, Nod32, Bkav…
Ngoài những cách trên ra chúng ta còn có thể đánh lừa những virus bằng cách tạo y chang những file có trùng tên với loại virus đó ví dụ như : setup.exe, music.exe và cũng đặt cho chúng những thuộc tính chỉ đọc (Read Only) để có thể đánh lừa được virus. Khã dĩ khi virus xâm nhập vào trong usb, điều đầu tiên mà virus làm là kiểm tra xem trong usb đó có chứa những file đó chưa. Nếu chưa có chúng sẽ thực hiện tiếp những thao tác copy vào USB. Chúng ta lợi dụng điều đó và đánh lừa chúng. Phương pháp này cũng khá hữu ích đối với những loại virus hiện nay như kavo.exe ,…. (theo kinh nghiệm xương máu của mình đó. hehe)
Ngoài ra mình còn có thể phòng chống những con virus này bằng cách đi chỉnh Policy "Don't run Specified Window Applications" cấm không cho chạy các file có tên trùng với file virus.
Cách tạo những file này như sau: rất đơn giản là bạn chỉ cần mở notepad ra, nội dung tùy ý và save lại lấy đuôi và tên giống hệt tên những con virus mà bạn biết. ví dụ : kavo.exe… sau đó lưu vào usb của mình thế là xong.
Adware “Virus Alert”
Một adware thông thường có thể hoạt động như sau:
o Copy vào một thư mục trên hệ thống
o Ghi vào 1 trong các key để khởi động cùng hệ điều hành, windows explorer hoặc IE
Ví dụ:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar edTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shel lExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Help Objects
HKCU\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
Tìm kiếm trong những key đó nếu thấy những key nào bất thường thì chúng ta xóa ngay key đó đi.(chú ý phải export registry trước khi xóa)
Chúc mọi người sẽ tự bảo vệ cho máy tính yêu dấu của mình bằng một số thủ thuật trên.
Link: http://www.nhatnghe.com/forum/showthread.php?t=45747