Friday, November 16, 2007

Tự phát hiện virus,phần mềm gián điệp trong máy tính

Cùng với sự phát triển không ngừng và ồ ạt của Internet, các phần mềm gián điệp (spyware) và virus luôn “đeo bám” người sử dụng máy tính, chúng thứ thì phá hại dữ liệu và hệ thống, thứ thì thu thập thông tin người dùng, lợi dụng các kẽ hở trong phần mềm để đánh cắp thông tin cá nhân. Cho dù có các phần mềm chuyên biệt (có phí hay miễn phí) vẫn không thể ngăn chặn triệt để tác hại và ảnh hưởng của chúng.Để bảo vệ hệ thống của mình, bạn không chỉ trông cậy hoàn toàn vào các phần mềm, cò dù có cập nhật đều đặn dữ liệu thông tin virus, mà cần phải biết tự phát hiện, loại bỏ những phần mềm khả nghi, gây hại mà các chương trình quét virus, diệt spyware chưa nhận ra hoặc không nhận dạng được các biến thể của chúng.Bài viết này sẽ giới thiệu với bạn một số bước cơ bản để tự kiểm tra máy tính của mình, phát hiện và loại bỏ spyware, virus hay là một loại trojan mới.
1. Kiểm tra RegistryPhần lớn virus và spyware khi đã xâm nhập vào máy tính sẽ được kích hoạt khi Windows khởi động. Vì vậy, bạn cần phải kiểm soát được các chương trình nạp tự động khi khởi động máy tính.Trước tiên, bạn nên kiểm tra khóa HKLM\Software\Microsoft\Windows\CurrentVersion\Run trong Registry (menu Start/ Run, gõ lệnh regedit) thường xuyên để biết được những thay đổi bất thường đối với máy. Các khóa sau cũng thường bị spyware, virus thay đổi, thêm shortcut, đoạn mã lệnh để tự động kích hoạt chúng:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] Chú ý: Bất cứ chương trình nào có khóa registry được gán giá trị "%1 %*" sẽ cho phép thực thi bất cứ lúc nào như một tập tin nhị phân độc lập trong Windows (.exe, .com), ví dụ: "Trojan.exe %1 %*".[HKEY_CLASSES_ROOT\exefile\shell\open\command][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
2. Các dịch vụ, chương trình mặc địnhChúng ta không thể bỏ qua thư mục Startup trong menu Start. Bạn có thể mở thư mục này bằng cách nhấp đôi chuột lên nó hoặc bấm chuột phải vào nó rồi chọn Open. Hãy Delete các chương trình không cần thiết hay nghi ngờ.Một tính năng khác của Windows nhưng rất ít khi được quan tâm là Windows Scheduler. Hãy kiểm tra chúng, rất có thể một “kẻ lạ mặt” nào đó đã được lên kế hoạch kích hoạt khi máy tính khởi động. Nếu sử dụng Windows NT, 2000 hay XP, bạn có một lệnh đơn giản để xác định xem chương trình nào đã hoặc sắp nạp là lệnh AT trong cửa sổ dòng lệnh (vào menu Start/ Run, gõ lệnh cmd), nếu có, chúng sẽ hiển thị kết quả: Tình trạng, ID, ngày kích hoạt, thời gian kích hoạt và mã lệnh kích hoạt. Đối với Windows 9x/ME, bạn vào Windows Explorer và chuyển đến mục Task Scheduler dưới My Computer.Sử dụng lệnh msconfig trong Run để kiểm tra các tập tin hệ thống như: system.ini, win.ini, autoexec.bat, config.sys và xóa các lệnh kích hoạt tập tin khả nghi bị virus thêm vào. Bất kỳ tập tin có tên kỳ lạ, đáng nghi nào hoặc các tập tin lô (.BAT) rất có thể là các phần mềm gián điệp, bạn cần kiểm tra chúng một cách cẩn thận.
3. Đừng bị lừaVirus và các phần mềm gián điệp ngày càng “láu lỉnh”. Chúng lợi dụng sự tin tưởng của người dùng đối với hệ thống của mình, bằng cách có tên trùng (hay gần giống) với tên các tập tin hệ thống để che mắt người dùng thiếu cảnh giác. Phần lớn chúng được đặt vào các thư mục khác, hay các thư mục ít được biết và để ý tới, hay cùng một thư mục nhưng là phần mở rộng khác có thể kích hoạt được.Nếu sử dụng Windows Task Manager để kiểm tra các chương trình hay dịch vụ đang chạy, bạn sẽ cảm thấy bất ngờ và bối rối trước một số lượng chương trình khá lớn đang chạy nền trong hệ thống, đương nhiên thông tin của chúng không được biết một cách rõ ràng. Hãy sử dụng chương trình của một hãng thứ 3, cho phép bạn có được nhiều thông tin hơn. Tôi đề nghị bạn nên sử dụng chương trình
ShellExView của tác giả Nir Sofer (tải tại www.echip.com.vn).Dưới đây là một số tập tin thông dụng dễ bị giả mạo, chúng thường được chứa trong thư mục cài Windows như là C:\Windows hoặc C:\WINNT:- Explorer.exe: tập tin gốc luôn được lưu trong thư mục Windows hay WINNT chứ không phải là Windows\system32 hay WINNT\system32, hoặc bất kỳ chỗ nào khác.- Rundll32.exe: chỉ có trong thư mục Windows\system32 hay WINNT\system32, bất kỳ một nơi nào khác đều là giả mạo.- taskmngr.exe: tên chính xác là "taskmgr.exe", chứ không phải “taskmngr.exe”.Nên thường xuyên quét virus hay các phần mềm gián điệp bằng các chương trình chống virus, trojan, spyware... như AVG Antivirus, Lavasoft Ad-aware... Bất cứ một tập tin, tên, phần mở rộng đáng nghi nào đều tiềm ẩn mối nguy hại đối với hệ thống của bạn, hãy cảnh giác, đề phòng và kiểm tra thường xuyên luôn giúp bạn tránh được những sự cố không mong muốn.
NGUYỄN ĐÌNH QUÂN (Hà Nội)

No comments: