Kinh nghiệm phòng chống virus
Khái niệm
Trong bài viết này, chúng tôi chỉ giới thiệu một số loại virus "quen thuộc" với
người dùng gia đình. Một số loại hầu như đã "tuyệt chủng" vì không theo kịp sự
phát triển của máy tính, của Internet do chỉ lây lan trong đối tượng bị nhiễm,
khả năng gây nguy hại không cao, dễ bị phát hiện. Tuy nhiên, đây không phải là
tin mừng vì chúng ta phải tiếp tục "đối đầu" với thế hệ kế tiếp của chúng: tinh
quái hơn, hiểm độc hơn, lây nhiễm nhanh hơn, khả năng phá hoại khủng khiếp...
Virus: Là một đoạn mã, một chương trình nhỏ được viết ra nhằm
thực hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép hoặc
người dùng không biết. Chúng có khả năng tự nhân bản, lây lan sang các tập tin,
chương trình khác trong máy tính và sang máy tính khác. Virus máy tính thường
được chia thành một số loại như: File virus (Jerusalem, Cascade...) là loại
virus lây vào những tập tin của một số phần mềm thường sử dụng trong hệ điều
hành Windows như tập tin .com, .exe, .bat, .pif, .sys...; Boot virus (Disk
Killer, Michelangelo, Stoned...) là loại virus lây nhiễm vào đoạn mã trong cung
từ khởi động (boot sector) của đĩa cứng; Macro virus (W97M.Melissa, WM.NiceDay,
W97M.Groov...) lây nhiễm vào tập tin trong MS. Office. Ngoài ra, còn một số loại
virus khác như virus lưỡng tính (kết hợp giữa boot virus và file virus), master
boot record virus...
Trojan horse: Là những chương trình được ngụy trang bằng vẻ
ngoài vô hại nhưng ẩn chứa bên trong những đoạn mã nguy hiểm nhằm đánh cắp thông
tin cá nhân, mở các cổng để hacker xâm nhập, biến máy tính bị nhiễm thành nguồn
phát tán thư rác hoặc trở thành công cụ tấn công một website nào đó, chẳng hạn
như W32.Mimic. Không như virus và worm, Trojan horse không có khả năng tự nhân
bản để lây lan, vì vậy chúng thường kết hợp với virus, worm để xâm nhập vào máy
tính người dùng.
Spyware: Là phần mềm theo dõi những hoạt động của bạn trên máy
tính. Chúng thu thập tất cả những thông tin cá nhân, thói quen cá nhân, thói
quen lướt web của người dùng và gửi về cho tác giả. Spyware là mối đe dọa lớn
nhất đối với sự an toàn của một máy tính, một hệ thống máy tính.
Adware: Đơn giản là một dạng phần mềm quảng cáo lén lút cài đặt
vào máy tính người dùng hoặc cài đặt thông qua một phần mềm miễn phí, được người
dùng cho phép (nhưng không ý thức được mục đích của chúng). Tuy nhiên, chúng
không dừng lại ở tính đơn giản là quảng cáo khi kết hợp với những loại virus
khác nhằm tăng "hiệu quả” phá hoại.
Worm: Sâu máy tính là một loại phần mềm có sức lây lan nhanh,
rộng và phổ biến nhất hiện nay. Không giống với virus thời "nguyên thủy", worm
không cần đến các tập tin "mồi" để lây nhiễm. Chúng tự nhân bản và phát tán qua
môi trường Internet, mạng ngang hàng, dịch vụ chia sẻ...
Nhận biết máy tính bị nhiễm virus
Sau khi xâm nhập vào hệ thống, một số máy virus lập tức thực hiện việc phá hoại.
Số khác lại ẩn nấp, âm thầm lây lan sang những máy tính khác, chờ đợi giờ G để
đồng loạt "tổng tấn công" khiến người dùng trở tay không kịp; điển hình như
virus CIH, Melissa. Một số hiện tượng thường gặp khi máy tính nhiễm virus: Có
những triệu chứng bất thường như đĩa cứng bị truy cập liên tục; hệ thống hoạt
động ì ạch; một số trang web lạ, popup quảng cáo tự động nhảy ra khi bạn làm
việc. Nếu sử dụng Windows NT/2000/XP, bạn có thể tham khảo thông tin trong
Windows Task Manager như CPU Usage luôn ở mức 100%, xuất hiện một số tập tin
thực thi lạ trong tab Processes của Windows Task Manager...
Quét virus
Khi đã nghi ngờ hệ thống nhiễm virus, bạn cần tìm phần mềm để kiểm tra và tiêu
diệt chúng. Lưu ý: phòng chống virus trước khi chúng xâm nhập vào hệ thống bao
giờ cũng đơn giản hơn việc tiêu diệt chúng. Bài viết "Vũ
khí chống Virus mới" giới thiệu 10 sản phẩm chống virus tốt nhất có thể
chống đỡ cả những hiểm họa đã biết lẫn chưa biết. Mỗi sản phẩm đều có những điểm
mạnh yếu khác nhau từ miễn phí cho đến có phí để bạn tự mình chọn lựa phần mềm
thích hợp.
Sau khi lựa chọn phần mềm phù hợp, bạn cần cài đặt chúng vào hệ thống. Một số
virus "quỷ quái" đến mức sau khi lây nhiễm vào hệ thống, chúng ngăn chặn người
dùng cài đặt hoặc khống chế luôn những phần mềm này để không phát hiện được
chúng, ngăn chặn việc truy cập đến website của nhà sản xuất. Nếu không cài đặt
được ở chế độ Normal trong Windows, hãy thử cài đặt ở chế độ Safe mode. Để khởi
động máy tính trong chế độ Safe mode, thực hiện như sau:
1. Sử dụng System Configuration Utility hoặc nhấn phím F8 trong quá trình
khởi động Windows để vào chế độ Safe mode.
- Đóng tất cả các ứng dụng đang sử dụng.
- Chọn Start. Run. Gõ dòng lệnh msconfig và nhấn Ok để mở cửa sổ System
Configuration Utility
- Trong tab BOOT.INI, đánh dấu tùy chọn /SAFEBOOT trong mục Boot Options
- Nhấn Ok và chọn Restart để xác nhận việc khởi động lại máy tính để vào chế độ
Safe mode.
Lưu
ý:
Khởi động lại máy tính trong chế độ Normal: Thực hiện các bước trên và bỏ tùy
chọn /SAFEBOOT trong mục Boot Options.
Cập nhật danh sách virus. Như đã đề cập bên trên, nếu không thể truy cập đến các
website của nhà sản xuất, không thể cập nhật danh sách virus (virus definition)
trực tuyến; bạn hãy tải chúng về từ máy tính khác để cập nhật.
Tắt System Restore. Nếu sử dụng Windows ME hoặc XP, bạn nên tắt tính năng System
Restore khi máy tính bị nhiễm virus. Mặc định trong Windows ME và XP, tính năng
này được kích hoạt để giúp bạn khôi phục hệ thống khi gặp sự cố. Các phần mềm
chống virus không thể quét được thư mục System Volume Information, nơi System
Restore lưu trữ những tập tin, thư mục giúp khôi phục hệ thống. Vì vậy sẽ xảy ra
tình trạng "tái nhiễm" virus khi System Restore phục hồi hệ thống các bản lưu
trữ bị nhiễm virus.
Để tắt System Restore trong Windows XP, thực hiện như sau:
- Nhấn phải chuột trên My Computer, chọn Properties
- Trong cửa sổ System Properties, tab System Restore, đánh dấu tùy chọn Turn off
System Restore on all drivers và nhấn OK
- Chọn Yes khi xuất hiện yêu cầu xác nhận việc này.
Nếu sử dụng Windows ME, thực hiện như sau:
- Trên màn hình Desktop, nhấn phải chuột vào biểu tượng My Computer và chọn
Properties.
- Trong cửa sổ System Properties, chọn Performance. File System. Troubleshooting
- Đánh dấu tùy chọn lên Disable System Restore và nhấn OK
- Chọn Close và Yes để khởi động lại Windows
Lưu
ý: tắt tính năng System Restore đồng nghĩa
với việc xóa tất cả các điểm khôi phục (restore points). Bạn hãy tạo thủ công
một điểm khôi phục khi System Restore được bật trở lại.
Quét ở chế độ đầy đủ (full system scan). Thiết lập mặc định của một số chương
trình phòng chống virus chỉ quét một số loại tập tin được chỉ định trước. Để
chắc ăn, bạn nên thiết lập "full system scan" để máy tính được kiểm tra đầy đủ
nhất. Một số lưu ý trong quá trình quét:
- Nếu gặp thông báo lỗi phần mềm không thể xóa được virus hoặc một tập tin nào
đó của virus. Bạn hãy khởi động lại máy tính ở chế độ Safe mode và tiếp tục việc
kiểm tra
- Kết thúc quá trình quét, chương trình sẽ đưa ra báo cáo tổng kết những virus
được phát hiện và cách xử lý chúng. Nếu chương trình không thể diệt được một vài
loại virus nào đó, bạn thử diệt chúng một cách thủ công. Sử dụng công cụ tìm
kiếm với từ khóa là tên virus đó, bạn sẽ tìm thấy những thông tin hướng dẫn cách
tiêu diệt tại một số website nhà sản xuất phần mềm phòng chống virus.
- Sau khi khởi động lại Windows trong chế độ Normal, nếu gặp thông báo lỗi tương
tự như "Windows cannot find [FILE NAME]. Make sure you typed the name correctly,
and then try again. To search for a file, click the Start button, and then click
Search". Ví dụ: với virus W32.Lecna.A, bạn sẽ gặp thông báo lỗi không tìm thấy
tập tin iexplore.exe. Đây là những "tàn tích" còn sót lại của virus W32.Lecna.A
dù chúng đã bị diệt. Để xóa chúng, bạn cần tìm và xóa những khóa do virus này
thêm vào trong Registry. Chúng tôi vẫn lưu ý bạn đọc nên sao lưu Registry trước
khi bạn "đụng" đến chúng. Tham khảo cách sao lưu Registry trong bài viết "Chăm
sóc và bảo dưỡng Windows Registry", ID: A0502_90.
Chọn Start. Run để mở cửa sổ DOS Prompt; gõ vào lệnh "regedit" để mở cửa sổ
Registry Editor. Nếu gặp thông báo lỗi "Registry editing has been disable by
your administrator", tham khảo thông tin liên quan đến lỗi này trong bài viết
"Internet Explorer luôn truy cập trang web lạ”, ID: A0604_154.
Tìm và xóa các khóa có liên quan đến spyware trong các nhánh sau:
- KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Xóa khoá
"iexplore.exe" = "iexplore.exe" ở khung bên phải.
- HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentNetInf. Xóa khóa "hostid" =
"[RANDOM NUMBER]" và "pid" = "[ENCRYPTED DATA]"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Xóa khóa "forceguest"
= "0"
Thoát khỏi Registry Editor và khởi động lại máy tính.
Cập nhật các bản sửa lỗi cho HĐH, phần mềm. Một số virus như W32.Blaster.Worm
thường khai thác lỗ hổng trong dịch vụ Remote Procedure Call của HĐH Windows
NT/2000/XP để phá hoại. Nếu sử dụng các phần mềm của Microsoft, bạn có thể cập
nhật bản sửa lỗi từ
http://www.microsoft.com/downloads/Search.aspx?displaylang=en, tránh tình
trạng tái nhiễm sau khi quét.
"Phòng cháy hơn chữa cháy!" Trong bài viết kỳ tới chúng tôi sẽ cung cấp
cho bạn đọc một số kinh nghiệm, thủ thuật để bảo vệ máy tính của mình trong thời
đại bùng nổ Internet và bùng nổ... virus. |
|