thegioivanconchuadu
New Member
Code:
Tên bài : Phòng chống Virus lây lan qua USB Flash Drive
Ngày viết: June 11, 2007 bởi fa2f
Thể loại : Anti-virus
Độ Khó : Trung bình
Công cụ : Tay, bất cần CT Anti-virus
Hệ ĐHành : Windows anything
Thực trạng
Gần đây các virus lây lan qua đường USB Flash Drive (trong bài này gọi tắt là virus) xuất hiện khá nhiều và hoành hành ở VN, gây nên nhiều tổn thất lớn. Thực tế, cách thức tấn công chất phác của các virus này bất đáng gây nên những tổn thất như vậy, vấn đề cơ bản là ý thức ngây thơ của người dùng là điều kiện dung túng virus tốt nhất.
Mục đích
Mặc dù bất am hiểu nhiều về lĩnh vực virus và anti-virus, tui vẫn mạo muội viết bài này, với mục đích cơ bản là cung cấp cho người dùng những cái nhìn logic và "vật lý" hơn về virus, bất còn nỗi đen tối ảnh về "bóng ma" virus và sự e dè khi sử dụng USB Flash Drive. Bài viết chỉ đề cập đến các virus hay xuất hiện ở USB Flash Drive.
Khuyến cáo
Nội dung bài viết này có phần hướng dẫn, tuy bất mang tính kỹ thuật cao nhưng nếu thực hiện bất cẩn thận có thể sẽ gây nên những sau quả nguy hại đến máy tính của bạn. Use it as your own risk.
Cách thức lây lan cơ bản của virus
Cơ chế thứ nhất -- autorun (tự chạy)
Nếu bạn vừa từng đẩy một đĩa CD vào khay và chờ 1 chút, 1 chương trình cài đặt hiện lên, tất cả thứ bắt đầu. Nếu tinh ý bạn sẽ thấy là có một cơ chế tự động (autorun) đằng sau đó, và chắc chắn ít nhiều vừa có một chương trình nào đó được thực thi. Chuyện gì xảy ra nếu chương trình vừa chạy này là một chương trình xấu, chứa những dòng ngựa hiểm độc nhắm hủy hoại máy tính của bạn? Đó là virus.
Cũng tương tự như ổ CD-ROM của bạn, tất cả các ổ đĩa khác bao gồm đĩa cứng, đĩa mềm và USB Flash Drive, đều có thể ẩn chứa tiềm năng autorun này. tui bất nói rằng autorun là một chức năng xấu, nhưng đây là cơ chế lây lan cơ bản của hầu hết các virus. Bạn sẽ phải dè chừng nó.
Cơ chế thứ hai -- fake icon (giả icon)
Virus do con người viết nên, hơn nữa nó còn tại trong máy tính -- vốn cũng do con người làm ra (tạo) nên và được bạn tin tưởng mua về. Do đó bạn có thể yên tâm loại bỏ ý nghĩ rằng virus là thứ siêu nhiên và không hình, có quyền lực tuyệt cú đối và chỉ có Đức Chúa Trời Anti-virus mới trừng trị được.
Do đó: Phải có một chương trình nào đó được thực thi thì virus mới lấy nhiễm được vào máy tính của bạn.
Trong trường hợp trên, cơ chế autorun vừa thực thi virus. Còn trường hợp phổ biến thứ 2, một "con" virus (dưới dạng một file .exe) giả dạng làm một thư mục hay file quen thuộc của bạn. Virus ngụy trang bằng cách mang trong mình icon của folder/file y hệt như icon thật, điều đó làm bạn dễ nhầm lẫn double click vào icon này. Sau khi bạn click, chẳng có thư mục hay file nào được mở ra cả, tất cả những gì bạn làm là vừa thực thi 1 file .exe -- vậy là máy của bạn nhiễm virus.
Phòng chống
Các động tác cơ bản
Trước hết bạn cần nhớ rằng nếu bạn đang sử dụng một tài khoản giới hạn (limit account) của Windows thì virus sẽ khó mà lộng hành được gì. Bởi vì tất cả ngõ ngách đều bị khóa đối với limit account. Do đó tốt nhất bạn nên làm ra (tạo) một tài khoản giới hạn bên cạnh tài khoản quản trị của mình, login vào tài khoản giới hạn này và yên tâm làm chuyện với các USB Drive (tất nhiên nếu máy tính của bạn vừa bị nhiễm virus rồi thì chuyện này thật không nghĩa).
Trước khi bắt đầu với đám virus, chúng ta nên có một số thao tác đón đầu trước để cuộc sống dễ dàng hơn:Vào My Computer, chọn menu Tool > Folder Options...
Chọn trong cửa sổ Folder Options chọn tab View, cuộn thanh cuộn xuống 1 chút và cấu hình như sau:
tui sẽ giải thích chuyện này:Chọn Show hidden files and folders để hiển thị các file ẩn (hidden file) ra, bởi vì lẽ dĩ nhiên các virus tự ẩn mình đi.
Bỏ chọn Hide extensions for known file types để hiển thị đuôi (vd .exe .doc .txt) cho tất cả các file. Chút nữa đọc xuống dưới bạn sẽ hiểu tại sao lại làm vậy.
Bỏ chọn Hide protected operating system files để hiển thị những file hệ thống quan trọng. Bạn sẽ thấy là mục này được đánh mác Recommended, tức là khuyến cáo là nên chọn chứ bất nên cho hiện hết ra. Cũng đúng thôi, vì sau khi chọn mục này, bạn sẽ thấy xuất hiện nhiều file hệ thống lờ mờ trên khắp các ổ cứng của mình, nếu bất may xóa phải các file này thì rất có thể máy của bạn sẽ gặp rắc rối. Tuy nhiên các virus cũng tự ngụy trang mình bằng cách "ban" cho nó làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục này. Nhớ: bất xóa bất kỳ file nào loại này mà bạn chưa chắc chắn là virus.
Được rồi, bây giờ chúng ta đi vào chi tiết.
Phòng chống Autorun
Khi cắm một USB Drive vừa bị nhiễm virus vào máy tính, có thể bất cần bạn làm gì tiếp theo cả, tất cả thứ sẽ được nhanh chóng thực thi, virus nhanh chóng nhiễm luôn vào máy tính.Do đó động tác đầu tiên cần thực hiện là đè phím Shift bên trái cho đến khi Windows báo là nhận xong phần cứng là USB Drive bạn cắm vào. Nếu USB Drive của bạn vừa được máy tính nhận diện trước đó, bạn nên đè Shift đủ lâu trước và sau khi cắm USB Drive. Động tác này báo cho Windows hoãn bất thực thi lệnh autorun (nếu có).
Tiếp theo, bạn kiểm tra xem USB Drive vừa cắm vào có tính chuyện autorun trên máy của bạn hay không. Việc kiểm tra khá đơn giản nhưng bạn cần cẩn thận đừng double click lung tung, vì chuyện double click vào một ổ đĩa autorun cùng nghĩa với chuyện thực thi autorun này.
Bạn chỉ cần vào My Computer hay Explorer, click chuột phải vào ổ USB Drive mà bạn muốn xem. Nếu menu hiện ra có dòng AutoPlay (đầu tiên) thì ổ đĩa này có chứa những thông tin autorun.
Ngược lại, nếu ổ đĩa bất có thông tin autorun thì thủ tục mặc định là Open.
Nếu trên USB Drive có Autorun, chúng ta xem xét kỹ hơn liệu đây có là virus. Bạn click chuột phải lên ổ USB Drive này và chọn Open, hay dùng frame bên trái của Explorer (nhớ: bất double click). Nếu bạn thấy có nhiều file ẩn trong ổ đĩa (những file mờ), đây là dấu hiệu virus đầu tiên.
Bạn tìm đến file autorun.ini hay antorun.inf và mở nó lên (đây là file text nên bạn double click thoải mái, hay click chuột phải rồi open). Nội dung file này có dạng kiểu như:
Bạn chú ý đến dòng
Code:
open=gì gì đó.exe
Trở lại với My Computer, lần theo tên file này trong USB Drive, bạn sẽ thấy 1 file thực thi. Nếu file này được ẩn đi và có vẻ mờ đen tối (không có icon, size nhỏ, properties về nhà phát hành bất rõ ràng...) thì 99% đây là virus. Bạn có thể xóa file .exe này đi, và xóa luôn cả file autorun. hay nếu muốn, bạn có thể đưa tên file hoặc/và chụp ảnh màn hình USB Drive của bạn đưa lên đây để tất cả người giúp bạn. Các file ẩn còn lại (nếu có) bạn cũng có thể xóa đi (đặc biệt là file .exe).
Bây giờ bạn cẩn thận thực hiện lại các bước 1-5 đối với tất cả các ổ cứng để xem máy của mình vừa bị nhiễm virus loại này chưa. Nhớ: Nếu có thì bạn đừng xóa gì cả, chuyển xuống đọc phần Cách diệt Virus.
Phòng chống Fake icon
Mỗi chương trình, mỗi loại file mang trên mình mỗi icon, muôn hình vạn trạng, bạn thấy đó:
Vấn đề là nếu một chương trình virus mang icon của một folder/file khác, thật khó phân biệt và người dùng dễ nhầm lẫn double click thực thi chương trình này. Mặc định, Windows giấu đi phần đuôi của những chương trình, file vừa biết. Vd: file STARTUP.exe được hiển thị trong My Computer chỉ còn là STARTUP. Nếu file này mang icon của một thư mục, thật khó phân biệt. Chẳng hạn như ở hình dưới, bạn cứ ngỡ STARTUP là một thư mục:
Nhưng nếu bạn cho hiện hết đuôi các file ra (xem lại Các động tác cơ bản), thì các file này "loài đuôi" ra ngay là file thực thi:
Bạn cũng có thể xem file ở dạng Details (chọn menu Views > Details), lúc này hãy chú ý đến sự khác biệt giữa một thư mục (folder) và ứng dụng (application):
Ở cột Type, ứng dụng được gọi là Application còn thư mục là File Folder.
Ở cột Size, ứng dụng có size còn thư mục thì không.
Cần lưu ý, các virus còn giả danh các file thường dùng, như file text (.txt), file word document (.doc), file ảnh (.jpg) v.v.
Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại này không, bạn có thể truy cập vào USB, bật chế độ hiện hết các đuôi file và chú ý đến các đuôi .exe. hay cũng có thể view ở chế độ details và chú ý đến các Application. Nếu gặp các virus loại này? Hãy xóa thẳng tay.
Bây giờ bạn thử dạo qua một vòng ổ cứng của mình và một vài thư mục con để kiểm tra xem máy vừa bị nhiễm virus loại này chưa.
Tóm lại
Tóm lại, đểphòng chốngchống virus:
Khi đưa USB Drive vào nhớ đè phím Shift bên trái để tránh autorun.
Kiểm tra xem ổ USB Drive có autorun hay bất bằng cách click chuột phải.
Nếu có: xóa các file autorun và file .exe tìm thấy.
Kiểm tra xem có các file .exe giả mạo icon hay bất bằng cách xem đuôi file.
kỳ sau: Cách diệt virus