bao cao bai tap lon
TRANSCRIPT
Y BAN NHÂN DÂN THÀNH PH H I PHÒNGỦ Ố Ả
TR NG CAO Đ NG C NG Đ NGƯỜ Ẳ Ộ Ồ--------- ---------
BÁO CÁO BÀI T P L N Ậ Ớ
MÔN B O TRÌ H TH NGẢ Ệ Ố
Đ TÀI: VIRUS MÁY TÍNH VÀ HI M H AỀ Ể Ọ
H tên sinh viênọ : Nguy n Văn Đ cễ ứ
: Nguy n H ng Hàễ ằ
: Nguy n Trung Tháiễ
L p ớ : 10Q303A
Gi ng viên h ng d nả ướ ẫ : Nguy n Văn Quangễ
H i Phòng năm 2013ả
LỜI NÓI ĐẦU
Sự phát triển của internet đã mang lại những thay đổi lớn và tác động vào mọi lĩnh vực
xã hội, đồng thời nó cũng mang đến mỗi nguy hiểm khôn lường. khi nhắc đến mối
nguy hiểm của máy tính chúng ta không thể không nhắc đến VIRUS. Là nguyên nhân
phá hủy các tài liệu ăn cắp thông tin gây trục chặc cho máy tính. Vấn đề này hiện nay
là vấn đề đau đầu của tất cả mọi người dùng internet.
Virus tin học hiện nay đang là nỗi băn khoăn lo lắng của những người làm công tác tin
học, là nỗi lo sợ của những người sử dụng khi máy tính của mình bị nhiễm virus. Khi
máy tính của mình bị nhiễm virus, họ chỉ biết trông chờ vào các phần mềm diệt virus
hiện có trên thị trường, trong trường hợp các phần mềm này không phát hiện hoặc
không tiêu diệt được, họ bị lâm phải tình huống rất khó khăn, không biết phải làm như
thế nào.
Hiện nay, mỗi khi nhắc đến vấn đề về virus thì đây thực sự là một nỗi đau đầu. Vì các
chương trình này luôn ở trạng thái không mời mà đến, thực hiện các tác vụ gây ra hậu
quả xấu cho người sử dụng như đánh cắp thông tin, phá hoại tài liệu & các phần mềm
khác, tiêu tốn năng lực xử lý của máy tính, gây ra các trục trặc liên tục cho PC. Vậy
thì, Virus là gì? Chúng đã có tác động phá hoại thế nào & mức độ nguy hiểm của
chúng ra sao? Làm thế nào để tự bảo vệ & chống loại sự xâm nhập của Virus lên một
máy tính. Hệ thống máy tính? Đó là vấn đề mà tập thể Nhóm 05 – Lớp 10Q303A xin
trình bày trong bài tài liệu này.
Hải Phòng, Ngày 06 tháng 03 năm 2013
1
Mục LụcChương 1 - Virus tin học là gì...............................................................................3
Chương 2 - Nguồn gốc lịch sử phát triển của virus...............................................4
Chương 3 - Phân loại virus, các hình thức lây nhiễm và biện pháp phòng chống
.............................................................................................................................10
3.1 Phân Loại..................................................................................................10
3.1.1 Phân loại theo đối tượng lây nhiễm.....................................................10
3.1.2 Phân loại theo mã nguồn ( Ngôn ngữ lập trình ra Virus )...................11
3.2 Hình thức lây nhiễm..................................................................................11
3.2.1 Virus lây nhiễm theo cách cổ điển.......................................................11
3.2.2 Virus lây nhiễm qua thư điện tử..........................................................11
3.2.3 Virus lây nhiễm qua mạng Internet.....................................................12
3.3 Biện pháp phòng chống.............................................................................12
3.3.1 Sử dụng phần mềm diệt virus..............................................................13
3.3.1 Sử dụng tường lửa...............................................................................13
3.3.3 Cập nhật các bản sửa lỗi của hệ điều hành..........................................14
3.3.4 Vận dụng kinh nghiệm sử dụng máy tính............................................15
3.3.5 Bảo vệ dữ liệu máy tính.......................................................................15
Chương 4 - Cơ chế hoạt động, một số loại virus phổ biến và cách diệt..............16
4.1 Cơ chế hoạt động.......................................................................................16
4.1.1 Tạo khóa khởi động.............................................................................16
4.2 Một số loại virus phổ biến và cách diệt.....................................................18
4.2.1 Keylogger............................................................................................18
4.2.2 Trojan...................................................................................................18
4.2.3 Sâu máy tính.......................................................................................19
4.2.4 Rootkit.................................................................................................20
4.2.5 Phần mềm gián điệp (Spyware, Malware…).......................................20
4.2.6 Một số loại MalWare khác..................................................................21
2
4.2.7 Giới thiệu một số Virus hay gặp..........................................................21
Chương 5 - Một số phần mềm diệt virus phổ biến hiện nay...............................26
5.1 Avira...........................................................................................................26
5.2 Bitdefender Antivirus 2012........................................................................27
5.3 Norton Antivirus 2012...............................................................................28
5.4 Avast, AVG................................................................................................29
5.5 BKAV Antivirus........................................................................................29
5.6 CMC Antivirus...........................................................................................30
5.7 Kaspersky Anti-Virus 2012.......................................................................30
3
CHƯƠNG 1: VIRUS TIN HỌC LÀ GÌ?
Mã độc hại được định nghĩa là “một chương trình (program) được chèn một cách
bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính
sẵn sàng của hệ thống”. Định nghĩa này sẽ bao hàm rất nhiều thể loại mà chúng ta vẫn
quen gọi chung là virus máy tính ở Việt nam như: worm, trojan, spyware, ... thậm chí
là virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng như:
backdoor, rootkit, key-logger.
Trong số các mã độc, có số lượng nhiều nhất, có khả năng biến đổi đa dạng nhất
chính là: Virus máy tính. Định nghĩa này sẽ bao hàm rất nhiều thể loại mà chúng ta
vẫn quen gọi chung là virus máy tính ở Việt nam như: worm, trojan, spyware, ... thậm
chí là virus hoặc các bộ công cụ để tấn công hệ thống mà các hacker thường sử dụng
như: backdoor, rootkit, key-logger. Trong số các mã độc, có số lượng nhiều nhất, có
khả năng biến đổi đa dạng nhất chính là: Virus máy tính.
Virus máy tính là : Là 1 dạng Malware rất nguy hiểm & khả năng lây nhiễm với
tốc độ cao. Virus máy tính thực chất là một chương trình máy tính có khả năng tự sao
4
chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các
file chương trình, văn bản, đĩa mềm, USB...).
có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng bạn chỉ cần
nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó thường dùng để phục
vụ những mục đích không tốt.
Virus máy tính là do con người tạo ra. Quả thực cho đến ngày nay, chúng ta có thể
coi virus máy tính như mầm mống gây dịch bệnh cho những chiếc máy tính, chúng ta
là những người bác sĩ phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp
mới để hạn chế và tiêu diệt chúng. Như những vấn đề phức tạp ngoài xã hội, khó tránh
khỏi việc có những loại bệnh mà chúng ta phải dày công nghiên cứu mới trị được hoặc
cũng có những loại bệnh gây ra những hậu quả khôn lường. Chính vì vậy, "phòng hơn
chống" là phương châm cơ bản và luôn đúng đối với virus máy tính.
5
CHƯƠNG 2 : NGUỒN GỐC VÀ LỊCH SỬ PHÁT
TRIỂN CỦA VIRUS
Có thể nói virus máy tính có một quá trình phát triển khá dài, và nó luôn song
hành cùng “người bạn đồng hành” của nó là những chiếc máy tính (tuy nhiên người
bạn máy tính của nó chẳng thích thú gì). Khi mà công nghệ phần mềm cũng như phần
cứng phát triển thì virus cũng phát triển theo. Hệ điều hành thay đổi thì virus máy tính
cũng thay đổi để có thể ăn bám, ký sinh trên hệ điều hành mới. Tất nhiên là virus máy
tính không tự sinh ra. Chúng do con người tạo ra nên chắc chắn sẽ diệt được.
Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản chỉ là
một thú đùa vui (nhiều khi ác ý. Nhưng những bộ óc này khiến chúng ta phải đau đầu
đối phó và cuộc chiến này không bao giờ chấm dứt, nó đã, đang và sẽ luôn luôn tiếp
diễn.
Có nhiều tài liệu khác nhau nói về xuất xứ của virus máy tính, điều này cũng dễ
hiểu, bởi lẽ vào thời điểm đó con người chưa thể hình dung ra một "xã hội" đông đúc
và nguy hiểm của virus máy tính như ngày nay. Điều đó cũng có nghĩa là không nhiều
người quan tâm tới chúng. Chỉ khi chúng gây ra những hậu quả nghiêm trọng như
ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy vậy, đa số các câu chuyện xoay
quanh việc xuất xứ của virus máy tính đều ít nhiều liên quan tới những sự kiện sau:
Năm 1983 - Để lộ nguyên lý của trò chơi “Core War”: “Core War” là một cuộc
đấu trí giữa hai đoạn chương trình máy tính do 2 lập trình viên viết ra. Mỗi đấu thủ sẽ
đưa một chương trình có khả năng tự tái tạo gọi là Organism vào bộ nhớ máy tính. Khi
bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và tái tạo
Organism của mình. Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất. Hiện
6
trò chơi này vẫn còn được khá nhiều người quan tâm, bạn có thể tham khảo trên trang
web http://www.corewars.org/.
Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson người đã viết
phiên bản đầu tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận một trong những giải
thưởng danh dự của giới điện toán - Giải thưởng A.M Turing. Trong bài diễn văn của
mình ông đã đưa ra một ý tưởng về virus máy tính dựa trên trò chơi "Core War". Cũng
năm 1983, tiến sỹ Frederik Cohen đã chứng minh được sự tồn tại của virus máy tính.
Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả về "Core
War" và cung cấp cho độc giả những thông tin hướng dẫn về trò chơi này. Kể từ đó
virus máy tính xuất hiện và đi kèm theo nó là cuộc chiến giữa những kẻ viết ra virus và
những chuyên gia diệt virus.
Năm 1986 - Virus Brain: Có thể được coi là virus máy tính đầu tiên trên thế giới.
Tháng 1 năm 1986, Brain âm thầm đổ bộ từ Pakistan vào nước Mỹ với mục tiêu đầu
tiên là Trường Đại học Delaware. Một nơi khác trên thế giới cũng đã mô tả sự xuất
hiện của virus, đó là Đại học Hebrew - Israel.
Năm 1987 - Virus Lehigh xuất hiện
Lại một lần nữa liên quan tới một trường Đại học. Lehigh - Tên trường Đại học - cũng
chính là tên của virus xuất hiện năm 1987 tại trường Đại học này. Trong thời gian này
cũng có một số virus khác xuất hiện, đặc biệt Virus Worm (virus loại sâu), cơn ác
mộng với các hệ thống máy chủ cũng xuất hiện. Cái tên Jerusalem chắc sẽ làm cho
công ty IBM nhớ mãi với tốc độ lây lan đáng nể: 500.000 nhân bản trong 1 giờ.
Năm 1988 - Virus lây trên mạng: Ngày 2 tháng 11 năm 1988, Robert Morris phát tán
virus vào mạng máy tính quan trọng nhất của Mỹ, gây thiệt hại lớn. Từ đó trở đi người
ta mới bắt đầu nhận thức được tính nguy hại của virus máy tính.
7
Năm 1989 - AIDS Trojan
Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa". Chúng không phải là virus
máy tính vì chúng không có khả năng “tự” lây lan, nhưng chúng luôn đi cùng với khái
niệm virus. Những “con ngựa thành Tơ-roa" này khi đã hoạt động trên máy tính thì nó
sẽ lấy cắp thông tin mật trên đó và gửi đến một địa chỉ mà chủ của chú ngựa này muốn
vận chuyển đến, hoặc đơn giản chỉ là phá huỷ dữ liệu trên máy tính.
Năm 1991 - Virus Tequila
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánh dấu một
bước ngoặt trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy tính. Đây
thực sự là loại virus phức tạp và quả thật không dễ dàng gì để diệt chúng. Chúng có
khả năng tự “thay hình đổi dạng” sau mỗi lần lây nhiễm, làm cho việc phát hiện ra
chúng không hề dễdàng.
Năm 1992 - Virus Michelangelo Tiếp nối sự đáng sợ của "virus đa hình" năm 1991,
thì công cụ năm 1992 này tạo thêm sức mạnh cho các loại virus máy tính bằng cách
tạo ra virus đa hình cực kỳ phức tạp.
Năm 1995 - Virus Concept
8
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại virus đầu tiên
có nguyên lý hoạt động gần như thay đổi hoàn toàn so với những “tiền bối” của nó.
Chúng gây ra một cú sốc lớn cho những công ty diệt virus cũng như những người tình
nguyện trong lĩnh vực phòng chống virus máy tính trên toàn thế giới. Rất tự hào rằng
khi virus Concept xuất hiện, trên thế giới chưa có loại "kháng sinh" nào thì tại Việt
Nam một sinh viên trường Đại học Bách Khoa Hà Nội đã đưa ra giải pháp rất đơn giản
để diệt trừ loại virus này, đó cũng chính là thời điểm Bkav bắt đầu được mọi người sử
dụng rộng rãi trên toàn quốc.
Sau này, những virus theo nguyên lý của Concept được gọi chung là Virus macro.
Chúng tấn công vào các hệ soạn thảo văn bản của Microsoft Office (Word, Exel,
Powerpoint). Tuy nhiên ngày nay, cùng với việc mọi người không còn sử dụng các
macro trong văn bản của mình nữa thì các virus macro hầu như không còn tồn tại và
đang dần bị quên lãng…
Năm 1996 - Virus Boza
Khi hãng Microsoft chuyển sang hệ điều hành Windows95, họ tuyên bố rằng virus
không thể công phá thành trì của họ được, thì ngay năm 1996 xuất hiện virus lây trên
hệ điều hành Windows95.
9
Năm 1999 - Virus Melissa, BubbleBoy
Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới. Sâu Melissa
không những kết hợp các tính năng của sâu Internet và virus marco, mà nó còn biết
khai thác một công cụ mà chúng ta thường sử dụng hàng ngày là Microsoft Outlook
Express để chống lại chính chúng ta. Khi máy tính bị nhiễm Mellisa, nó sẽ “phát tán”
mình đi mà khổ chủ không hề hay biết. Và người sử dụng sẽ rất bất ngờ khi bị mang
tiếng là kẻ phát tán virus.
Chỉ từ ngày thứ Sáu tới ngày thứ Hai tuần sau, virus này đã kịp lây nhiễm 250.000
máy tính trên thế giới thông qua Internet, trong đó có Việt Nam, gây thiệt hại hàng
trăm triệu USD. Một lần nữa cuộc chiến lại sang một bước ngoặt mới, báo hiệu nhiều
khó khăn bởi Internet đã được chứng minh là một phương tiện hữu hiệu để virus máy
tính có thể lây lan trên toàn cầu chỉ trong vài giờ đồng hồ.
BubbleBoy là sâu máy tính đầu tiên không dựa vào việc người nhận e-mail có mở file
đính kèm hay không. Chỉ cần thư được mở ra, nó sẽ tự hoạt động. Năm 1999 đúng là
một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu, ngoài Melissa,
BubbleBoy, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng triệu
máy tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26 tháng 4 năm 1999.
Năm 2000 - Virus DDoS, Love Letter
10
Có thể coi là một trong những vụ phá hoại lớn nhất của virus từ trước đến thời
điểm đó. Love Letter có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ
trong vòng 6 tiếng đồng hồ virus đã kịp đi vòng qua 20 nước trong đó có Việt Nam,
lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ USD. Năm 2000 cũng là năm ghi nhớ
cuộc "Tấn công Từ chối dịch vụ phân tán" - DDoS (Distributed Denial of Service ) qui
mô lớn do virus gây ra đầu tiên trên thế giới, nạn nhân của đợt tấn công này là Yahoo!,
Amazon.com... Tấn công "Từ chối dịch vụ" – DoS - là cách tấn công gây "ngập lụt"
bằng cách từ một máy gửi liên tiếp các yêu cầu vượt mức bình thường tới một dịch vụ
trên máy chủ, làm ngưng trệ, tê liệt khả năng phục vụ của dịch vụ hay máy chủ đó.
Những virus loại này phát tán đi khắp nơi và “nằm vùng” ở những nơi nó lây nhiễm.
Chúng sẽ đồng loạt tấn công theo kiểu DoS vào các hệ thống máy chủ khi người điều
hành nó phất cờ, hoặc đến thời điểm được định trước.
Năm 2001 – Virus Winux (Windows/Linux), Nimda, Code Red
Virus Winux đánh dấu dòng virus có thể lây được trên các hệ điều hành Linux
chứ không chỉ Windows. Chúng ngụy trang dưới dạng file MP3 cho download
Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiều con đường
khác nhau (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm...),
làm cho việc phòng chống vô cùng khó khăn. Cho đến tận cuối năm 2002, ở Việt Nam
11
vẫn còn những cơ quan với mạng máy tính có hàng trăm máy tính bị virus Nimda quấy
nhiễu. Chúng cũng chỉ ra một xu hướng mới của các loại virus máy tính là "tất cả
trong một", trong một virus bao gồm nhiều virus, nhiều nguyên lý khác nhau
Năm 2002 - Sự ra đời của hàng loạt loại virus mới
Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này lây những file
.SWF, điều chưa từng xảy ra trước đó (ShockWaveFlash - một loại công cụ giúp làm
cho các trang Web thêm phong phú). Tháng 3 đánh dấu sự ra đời của loại virus viết
bằng ngôn nhữ C#, một ngôn ngữ mới của Microsoft. Con sâu .Net này có tên SharpA
và được viết bởi một người phụ nữ.
Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL. Tháng 6, có
vài loại virus mới ra đời: Perrun lây qua Image JPEG (có lẽ người sử dụng máy tính
nên cảnh giác với mọi thứ). Scalper tấn công các FreeBSD/Apache Web server. Người
sử dụng máy tính trên thế giới bắt đầu phải cảnh giác với một loại chương trình độc
hại mới mang mục đích quảng cáo bất hợp pháp - Adware - và thu thập thông tin cá
nhân trái phép - Spyware (phần mềm gián điệp). Lần đầu tiên các chương trình
Spyware, Adware xuất hiện như là các chương trình độc lập, không đi kèm theo các
phần mềm miễn phí như trước đó. Chúng bí mật xâm nhập vào máy của người dùng
khi họ vô tình “ghé thăm” những trang web có nội dung không lành mạnh, các trang
web bẻ khóa phần mềm…Và với nguyên lý như vậy, ngày nay Adware và Spyware đã
thực sự trở thành những "bệnh dịch" hoành hành trên mạng Internet.
12
Năm 2003 - Các virus khai thác lỗ hổng phần mềm
Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ của các virus khai thác lỗ hổng
phần mềm để cài đặt, lây nhiễm lên các máy tính từ xa - đây cũng chính là xu hướng
phát triển hiện nay của virus trên thế giới. Đầu tiên là virus Slammer khai thác lỗ hổng
phần mềm Microsoft SQL 2000 servers, chỉ trong vòng 10 phút đã lây nhiễm trên
75.000 máy tính trên khắp thế giới. Tiếp đến là hàng loạt các virus khác như Blaster
(MsBlast), Welchia (Nachi), Mimail, Lovgate... khai thác lỗi tràn bộ đệm trong công
nghệ DCOM - RPC trên hệ điều hành Window2K, XP. Xuất hiện trên thế giới vào
ngày 11/8, virus Blaster nhanh chóng lây lan hơn 300.000 máy tính trên khắp thế giới.
Những người sử dụng máy tính ở Việt Nam hẳn không quên được sự hỗn loạn vì hàng
loạt máy tính bị Shutdown tự động trong ngày 12/8 khi virus Blaster đổ bộ vào các
máy tính ở Việt Nam. Virus cũng bắt đầu được sử dụng như một công cụ để phát tán
thư quảng cáo (spam) nhanh nhất. Các virus họ Sobig nổi lên như những cỗ máy phát
tán một lượng thư quảng cáo khổng lồ trên khắp thế giới. Cũng trong năm này, thế hệ
những virus mới như Lovgate, Fizzer đã bắt đầu sử dụng những mạng chia sẻ file
ngang hàng peer to peer (như KaZaa) để phát tán virus qua các thư mục chia sẻ trên
mạng.
Năm 2004 - Cuộc chạy đua giữa Skynet và Beagle
Cuộc chạy đua giữa hai họ virus cùng có nguồn gốc từ Đức và lây nhiễm nhiều
nhất trong năm này, bắt đầu bằng việc các biến thể mới của virus Skynet khi lây nhiễm
vào một máy tính sẽ tìm cách loại bỏ các virus họ Beagle ra khỏi máy đó và ngược lại.
Mỗi biến thể của Skynet xuất hiện trên thế giới thì gần như ngay lập tức sẽ có một biến
13
thể của Beagle được viết ra để chống lại nó và ngược lại. Cuộc chạy đua này kéo dài
liên tục trong mấy tháng đã làm cho số lượng virus mới xuất hiện trong năm 2004 tăng
lên một cách nhanh chóng. Năm 2004 cũng là năm xuất hiện virus khai thác lỗ hổng
của dịch vụ LSASS (Local Security Authority Subsystem Service) trên hệ điều hành
Window 2K, Window XP để lây lan giữa các máy tính - virus Sasser. Cũng giống như
virus Blaster, virus Sasser nhanh chóng gây nên một tình trạng hỗn loạn trên mạng khi
làm Shutdown tự động hàng loạt máy tính mà nó lây nhiễm.
Năm 2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting
Các dịch vụ chatting trực tuyến như Yahoo!, MSN bắt đầu được virus lợi dụng như
một công cụ để phát tán virus trên mạng. Theo thống kê của Bkav thì trong vòng 6
tháng đầu năm này, đã có tới 7 dòng virus lây lan qua các dịch vụ chatting xuất hiện ở
Việt Nam. Trong thời gian tới những virus tấn công thông qua các dịch vụ chatting sẽ
còn tiếp tục xuất hiện nhiều hơn nữa khi số người sử dụng dịch vụ này ngày càng tăng.
Năm 2006 – Người dùng trong nước quen dần với sự hiện diện của virus. Mối lo ngại
từ năm trước đã trở thành sự thật. Năm 2006, những người dùng dịch vụ chatting
Yahoo! Messenger ở Việt Nam đã có lúc rơi vào tình cảnh ngập lụt tin nhắn chứa link
độc của virus. Kể từ khi mã nguồn virus Gaixinh được công bố, “phong trào” viết
virus lây qua Yahoo! Messenger đã thực sự “nở rộ” trong nước. Người dùng với ý
thức cảnh giác không cao đã vô tình gián tiếp tiếp tay cho đại dịch này. Năm 2006
cũng có thể coi là thời kỳ hoàng kim của virus lây lan qua “con đường giao lưu dữ
liệu” quen thuộc của chúng ta: USB. Trong hầu hết các thống kê của Bkav về tình hình
lây lan của virus, các virus có cơ chế lây lan qua USB luôn chiếm vị trí cao nhất. Thực
tế cho thấy rằng đây là một cơ chế lây lan đơn giản nhưng rất hiệu quả vì dường như
rất khỏ bỏ thói quen mở USB ngay khi chúng được cho vào máy.
Đến đây chúng ta đã nhìn nhận được phần nào lịch sử phát triển của virus máy tính,
chúng cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao. Đây
14
cũng chính là lý do mà các phần mềm diệt virus luôn phải phát triển song hành để
phòng chống, tiêu diệt chúng. Và nếu bạn sử dụng máy tính, chúng tôi khuyên bạn nên
cảnh giác bởi như bạn đã thấy, dường như tất cả mọi thứ đều có thể bị nhiễm virus,
chúng không tha bất cứ cái gì và chúng sẽ xâm nhập vào máy tính thông qua tất cả
những con đường có thể. Bạn hãy trang bị cho mình giải pháp xử lý, phòng chống
virus hiệu quả.
CHƯƠNG 3: PHÂN LOẠI VIRUS, CÁC HÌNH THỨC LÂY
NHIỄM VÀ BIỆN PHÁP PHÒNG CHỐNG.
3.1 Phân Loại
3.1.1 Phân loại theo đối tượng lây nhiễm
Virus Boot - Virus lây vào Boot sector.
Virus thường lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng ta dùng
đĩa mềm làm đĩa khởi động máy, vì vậy hiện giờ ít gặp.
Virus Files - Là những virus lây vào những file chương trình như
file .com, .exe, .bat, .pif, .sys...
Virus Macro - Là loại virus lây vào những file văn bản (Microsoft Word) hay
bảng tính (Microsoft Excel) và cả (Microsoft Powerpoint) trong bộ Microsoft
Office.
3.1.2 Phân loại theo mã nguồn ( Ngôn ngữ lập trình ra Virus )
Compiled Virus
Là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch
để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus như (Michelangelo
và Stoned), file virus (như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc
nhóm này, compiled virus cũng có thể là pha trộn bởi cả boot virus va file virus trong
cùng một phiên bản.
Interpreted Virus
15
Là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ trợ của một ứng
dụng cụ thể hoặc 1 dịch vụ cụ thể trong hệ thống. Một cách đơn giản, virus kiểu này
chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi. Macro virus,
scripting virus là các virus nằm trong dạng này. Macro virus rất phổ biến trong các
ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát việc tạo và mở file để
thực thi và lây nhiễm. VD: Melisa (macro virus), Love Stages (scripting virus)…
Ngoài ra còn có các phương pháp phân loại dựa theo môi trường hoạt động như
môi trường HĐH DOS hay Windows, Unix ,Linux,
3.2 Hình thức lây nhiễm
3.2.1 Virus lây nhiễm theo cách cổ điển
Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là
thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương
trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm
rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa
cứng di động hoặc các thiết bị giải trí kỹ thuật số.
3.2.2 Virus lây nhiễm qua thư điện tử
Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển
hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.
Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư
điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ
tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị
phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi
tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong
một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ
quan trên toàn thế giới trong một thời gian rất ngắn.
Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có
thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác
trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự
gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.
16
Phương thực lây nhiễm qua thư điển tử bao gồm: Lây nhiễm vào các file đính kèm
theo thư điện tử (attached mail). Khi đó người dùng sẽ không bị nhiễm virus cho tới
khi file đính kèm bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường
được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm
với giá vô cùng rẻ)
Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có
thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng
của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn
mã, và máy tính bị có thể bị lây nhiễm virus.
Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa
cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus.
Cách này cũng thường khai thác các lỗi của hệ điều hành.
3.2.3 Virus lây nhiễm qua mạng Internet
Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức
lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày
nay.
Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như
sau:
Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển,
nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa
USB...) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm...
Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô
tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây
nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy
cập vào các trang web đó.
Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi
bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm
của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy
nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm
sẵn có trên hệ điều hành (ví dụ Windows Media Player) hoặc lỗi bảo mật
của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm
17
virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên
kết với các phần mềm này.
3.3 Biện pháp phòng chống
Có một câu nói vui rằng Để không bị lây nhiễm virus thì ngắt kết nối khỏi mạng,
không sử dụng ổ mềm, ổ USB hoặc copy bất kỳ file nào vào máy tính. Nhưng
nghiêm túc ra thì điều này có vẻ đúng khi mà hiện nay sự tăng trưởng số lượng virus
hàng năm trên thế giới rất lớn. Không thể khẳng định chắc chắn bảo vệ an toàn 100%
cho máy tính trước hiểm hoạ virus và các phần mềm hiểm độc, nhưng chúng ta có thể
hạn chế đến tối đa có thể và có các biện pháp bảo vệ dữ liệu của mình.
Những dấu hiệu nhận biết máy tính có virus hay không?
Khi có một số dấu hiệu bất ổn như CPU phải làm việc liên tục ngay cả khi bạn
không làm gì (CPU Usage 90 – 100%), máy tính chạy chậm lại, khởi động một
ứng dụng nào đó chậm, máy tính khởi động chậm... thì đều có thể nghi ngờ là
tồn tại virus trong máy.
Khi có những dấu hiệu bất ổn ở một máy tính bình thường như : Bị khóa
Regedit, Task Manager, MSConfig.
Có những tiến trình và những chương trình khởi động cùng hệ thống lạ.
Sự xuất hiện chức năng Autorun trên USB.
Các chương trình (Có phần mở rộng .exe , .scr) có icon giống hình thư mục.
18
Các chương trình có tên gần giống, hoặc giống như khác thư mục lưu trữ với
một số chương trình hệ thống.
Đang chat thì tự nhiên phần mềm chúng ta đang chat ấy gửi những thông điệp
lung tung trong khi bạn không thực hiện.
3.3.1 Sử dụng phần mềm diệt virus
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều
loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được
các virus mới. Trên thị trường hiện có rất nhiều phần mềm diệt virus. Một số hãng nổi
tiếng viết các phần mềm virus được nhiều người sử dụng có thể kể đến là: McAfee,
Symantec, Kapersky, Bitdefender, AVG, BKAV, D32….
3.3.1 Sử dụng tường lửa
19
Tường lửa (Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho các
nhà cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng
tường lửa để bảo vệ trước virus và các phần mềm độc hại. Khi sử dụng tường lửa, các
thông tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý.
Nếu một phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet
thì tường lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng.
Tường lửa giúp ngăn chặn các kết nối đến không mong muốn để giảm nguy cơ bị kiểm
soát máy tính ngoài ý muốn hoặc cài đặt vào các chương trình độc hại hay virus máy
tính.
Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng Internet
thông qua một modem có chức năng này. Thông thường ở chế độ mặc định của nhà
sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để
cho phép hiệu lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an
toàn bởi chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng
tường lửa bằng các phần mềm.
Sử dụng tường lửa bằng phần mềm Ngay các hệ điều hành họ Windows ngày nay
đã được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các
phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so
với tường lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm
20
Security Suite của hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các
phần mềm độc hại, chống spam, và tường lửa.
3.3.3 Cập nhật các bản sửa lỗi của hệ điều hành
Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính
bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều
khiển hoặc phát tán virus và các phần mềm độc hại. Người sử dụng luôn cần cập nhật
các bản vá lỗi của Windows thông qua trang web Microsoft Update (cho việc nâng cấp
tất cả các phần mềm của hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng
cho Windows). Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự động (Automatic
Updates) của Windows. Tính năng này chỉ hỗ trợ đối với các bản Windows mà
Microsoft nhận thấy rằng chúng hợp pháp.
3.3.4 Vận dụng kinh nghiệm sử dụng máy tính
Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có
khả năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa được
cập nhật kịp thời đối với phần mềm diệt virus. Người sử dụng máy tính cần sử dụng
triệt để các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh nghiệm khác
để bảo vệ cho hệ điều hành và dữ liệu của mình. Một số kinh nghiệm tham khảo như
sau:
Phát hiện sự hoạt động khác thường của máy tính Đa phần người sử dụng
máy tính không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm
hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được
sự thay đổi khác thường của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động
chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua
tường lửa của hệ điều hành hoặc của hãng thứ ba (thông qua các thông báo hỏi
sự cho phép truy cập ra ngoài hoặc sự hoạt động khác của tường lửa). Mọi sự
hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi
ngờ sự xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập
nhật dữ liệu mới nhất cho phần mềm diệt virus hoặc thử sử dụng một phần mềm
diệt virus khác để quét toàn hệ thống.21
soát các ứng dụng đang hoạt động Kiểm soát sự hoạt động của các phần
mềm trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ
ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ
thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu,
chiếm CPU bao nhiêu, tên file hoạt động là gì...ngay khi có điều bất thường của
hệ thống (dù chưa có biểu hiện của sự nhiễm virus) cũng có thể có sự nghi ngờ
và có hành động phòng ngừa hợp lý. Tuy nhiên cách này đòi hỏi một sự am
hiểu nhất định của người sử dụng.
Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây
nhiễm virus Theo mặc định Windows thường cho phép các tính năng autorun
giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa
CD hoặc đĩa USB vào hệ thống. Chính các tính năng này được một số loại virus
lợi dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm
vào hệ thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây
thông qua các ổ USB bằng cách tạo các file autorun.ini trên ổ USB để tự chạy
các virus ngay khi cắm ổ USB vào máy tính). Cần loại bỏ tính năng này bằng
các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry.
Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến
3.3.5 Bảo vệ dữ liệu máy tính
Nếu như không chắc chắn 100% rằng có thể không bị lây nhiễm virus máy tính và các
phần mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn vẹn của dữ liệu của mình trước
khi dữ liệu bị hư hỏng do virus (hoặc ngay cả các nguy cơ tiềm tàng khác như sự hư
hỏng của các thiết bị lưu trữ dữ liệu của máy tính). Trong phạm vi về bài viết về virus
máy tính, bạn có thể tham khảo các ý tưởng chính như sau:
Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu.
Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các
thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang...), hình thức này có thể
thực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của
dữ liệu của bạn.
Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có của
hệ điều hành (ví dụ System Restore của Windows Me, XP...) mà có thể cần đến các 22
phần mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản sao lưu hệ thống bằng các
phần mềm ghost, các phần mềm tạo ảnh ổ đĩa hoặc phân vùng khác.
Thực chất các hành động trên không chắc chắn là các dữ liệu được sao lưu không bị
lây nhiễm virus, nhưng nếu có virus thì các phiên bản cập nhật mới hơn của phần mềm
diệt virus trong tương lai có thể loại bỏ được chúng.
CHƯƠNG 4: CƠ CHẾ HOẠT ĐỘNG, MỘT
SỐ LOẠI VIRUS PHỔ BIẾN
4.1 Cơ chế hoạt động
4.1.1 Tạo khóa khởi động
Virus nhiễm vào máy tính, không tức là nó có thể “sống” trong máy tính ấy.
Các virus khi muốn tiếp tục hoạt động để tiếp tục lây lan... thì bắt buộc chúng phải tìm
cách để sau khi bạn tắt máy, vào lần bật máy sau thì virus ấy sẽ được kích hoạt và tiếp
tục làm việc. Để làm được điều này, các virus thường tự ghi các giá trị vào một số địa
chỉ nhất định trong registry để trong lần khởi động sau của hệ điều hành thì virus ấy sẽ
tiếp tục được gọi.
Khởi động hợp pháp
Trong registry có một số địa chỉ mà windows tạo ra để bạn dễ dàng đưa chương
trình mình hoặc file được chạy sau khi máy được khởi động. Sở dĩ gọi nó đây là cách
23
“hợp pháp” là vì với những giá trị (Chứa thông tin về file sẽ sẽ được khởi động) này
thì chương trình Quản lý những chương trình khởi động cùng hệ thống có sẵn trong
Windows là System Configuration Utility có thể quản lý chúng. ghi key regedit theo
các địa chỉ sau:
HKEY_LOCAL_MAHINE\software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Phương pháp sử dụng thư mục khởi động: C:\Documents and Settings\ABC\Start
Menu\Programs\Startup
ABC = Tên sử dụng trong hệ thống
Khởi động bất hợp pháp
Ngược lại với các khởi động “hợp pháp” ở phía trên, đây là những cách khởi
động mà chương trình quản lý các trình khởi động cùng hệ thống sẽ không quản lý.
Sửa đổi Key trong Regedit.
Đường dẫn key:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
Currentversion\Winlogon\Userinit
Giá trị mặc định:
C:\Windows \System32\userinit.exe Với C:\Windows là thư mục cài đặt hệ điều hành.
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Curentversion\
winlogon\shell
Giá trị mặc định: explorer.exe (Hay C:\Windows\explorer.exe) Với C:\Windows là thư
mục cài đặt hệ điều hành. Đường dẫn ghi ở 2 key này sẽ được Windows khởi động
ngay cả trong SafeMode. Đây cũng chính là lý do mà một số virus vẫn hoạt động ngay
cả khi bạn làm việc trên SafeMode của hệ điều hành.
Ý nghĩa các key: Khi Windows khởi động qua màn hình chào (Welcome),
Windows sẽ tiếp tục đọc giá trị ở key Userinit để tìm chương trình để khởi động tiếp
theo. Với giá trị là file userinit.exe thông thường, thì file userinit.exe này sẽ được chạy.
Sau đó file này tiếp tục gọi explorer.exe và chúng ta có môi trường làm việc trên
explorer.exe. Vấn đề lớn sẽ xảy ra nếu hệ điều hành không thể khởi động có đường
24
dẫn tương ứng với giá trị tại key Userinit. Lúc này file explorer.exe không gọi và
chúng ta sẽ bị Log Out trở lại màn hình Welcome. Các virus khi giá trị là đường dẫn
của mình vào key Userinit thường ghi thành dạng như sau:
Đường dẫn key:
KEY_LOCAL_MAHINE\SOFTWARE\Microsoft\WindowsNT\Currentversion\
winlogon\Userinit
Giá trị: C:\Windows\System32\userinit.exe, Đường dẫn virus Với C:\Windows là thư
mục cài đặt hệ điều hành.
Điều này có nghĩa rằng, cả userinit.exe và cả virus đều được chạy. Và như thế
hệ điều hành vẫn sẽ không hiện tượng gì bất ổn mà virus vẫn sẽ được khởi động. Đây
là một giải pháp an toàn. Tuy nhiên không phải virus nào cùng làm vậy, một số virus
đã ghi vào key này với giá trị chính là đường dẫn virus. Điều này đồng nghĩa với việc
chỉ có virus đó được kích hoạt khi khởi động với key Userinit. Lúc này, nếu virus
không gọi file explorer.exe thì hệ thống sẽ bị ngừng hoạt động. Đây là vấn đề rất lớn
mà rất đông người dùng máy tính gần đây mắc phải. Để tránh tình trạng tê liệt này,
bạn nên chú ý tới các key này khi diệt virus.
Một số key khác Windows thực hiện các lệnh trong khu vực
HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* của Registry. Lệnh
nhúng đây sẽ mở khi bất kỳ file chạy nào được thực thi.
Có thể có những file khác:
[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\
command]=”\”%1\”%*”
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\
command]="\"%1\“ %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\
command]="\"%1\“ %*"
25
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\
Command]="\"%1\“ %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\
command]="\"%1\"%*"
Nếu các khoá không có giá trị "\"%1\" %*" như trên và bị thay đổi một số thứ kiểu
như "\"somefilename.exe %1\" %*" thì chúng sẽ tự động gọi một file đặc tả.
4.2 Một số loại virus phổ biến và cách diệt
4.2.1 Keylogger
Keylogger là phần mềm gây hại có kích thước rất nhỏ nhẹ, chúng hầu như vô
hình khi hoạt động, bạn không có cách nào phát hiện ra chúng – tác dụng chính
của Keylogger là ghi lại những gì bạn gõ từ bàn phím và gửi thông tin đó tới kẻ
đã bày cách này hay cách khác cài Keylogger lên máy tính bạn sử dụng.
Keylogger đặc biệt nguy hiểm bởi nó được sử dụng chủ yếu nhằm đánh cắp các
loại thông tin cá nhân ví dụ như số thẻ tín dụng, mật khẩu… Ở Việt Nam,
Keylogger được dùng chủ yếu đánh cắp các tài khoản game trực tuyến và mật
khẩu email, chat… Điều này gây thiệt hại tiền bạc hoặc uy tín trực tiếp cho nạn
nhân.
Cách xử lý: Nếu bạn nghi ngờ máy đang sử dụng đã bị cài keylogger, bạn
không nên gõ bất cứ thứ gì bằng bàn phím. Trong trường hợp cần đăng nhập
vào email hay tài khoản game, bạn có thể sử dụng phần mềm bàn phím ảo tích
hợp sẵn trong mọi hệ điều hành Windows (On-Screen Keyboard). Bàn phím
này cho phép bạn nhập liệu thông qua việc nhấn chuột.Trước khi có thể gỡ bỏ
keylogger, bạn cần phải tìm ra nó, bạn có thể vào Task Manager (Alt + Ctrl +
Del) rồi nhấn vào tab Processes để xem thông tin về các ứng dụng đang chạy
(kể cả các loại ẩn). Nếu bạn thấy thành phần nào đáng nghi, hãy chọn nó rồi
nhấn End Task, sau đó bạn cập nhật phiên bản trình duyệt Virus của mình lên
26
cơ sở dữ liệu mới nhất và quét toàn bộ hệ thống (Full System Scan). Lưu ý nên
sử dụng những phiên bản có uy tín như Kaspersky hay Avira…
4.2.2 Trojan
Có tên gọi xuất phát từ sự tích thần thoại Hy Lạp, Trojan là một chương trình
bất hợp pháp được chứa bên trong một chương trình hợp pháp. Chương trình
không hợp pháp này thực hiện những công việc bí mật mà người dùng không
biết hay không cần đến. Ví dụ như bạn download một file trên mạng như
YM.EXE chẳng hạn, có thể Trojan được gắn trong đó nếu bạn không biết rõ
nguồn gốc file YM.EXE này.
Sự khác biệt lớn nhất giữa Trojan và virus thông thường là chúng Trojan
không thể tự nhân bản. Nói một cách khác, Trojan không có khả năng lây vào
một tập tin nào: nó lây vào chính hệ thống. Về cơ bản, Trojan có thể chia làm
các loại sau:
Backdoor - Một khi được kích hoạt, nó cho phép chủ nhân điều khiển máy tính
của người khác thông qua mạng Internet mà không bị phát hiện.
Kẻ trộm mật khẩu - Những trojan loại này thường được nhúng vào các tập tin
với nhiệm vụ đánh cắp mật khẩu. Thông thường các tiện ích bẻ khóa phần mềm
rất hay bị đính kèm với trojan kiểu này.
Bom Logic - Bom Logic sẽ thực hiện các tác vụ phá hoại hoặc bẻ gãy hàng rào
bảo mật của hệ thống khi nhận được tín hiệu điều khiển thích hợp.
Công cụ tấn công từ chối dịch vụ DOS - DOS Trojan khi lây vào một máy
tính sẽ gửi những thông tin được định sẵn tới đích (thường là một website nào
đó) để gây nghẽn băng thông mạng.
27
Cách xử lý: Bạn hãy sử dụng phần mềm diệt Virus rà quét các tập tin để phát
hiện ra thành phần của Trojan. Khi phát hiện, bạn hãy làm theo hướng dẫn của
phần mềm để tiêu diệt các tập tin đáng ngờ. Bạn cũng có thể ghi lại đường dẫn
và tên tập tin của Trojan để kiểm tra lại về sau.
4.2.3 Sâu máy tính
Sâu máy tính rất giống với virus, tuy nhiên nó không cần một tập tin chủ để tự
nhân bản mình. Sâu mạng có khả năng tự phân chia thành 2 bản sao giống hệt
nhau và lan truyền thông qua các hình thức kết nối của máy tính (mạng nội bộ,
internet…). Sâu mạng có nhiều đặc điểm tồn tại giống với trojan ví dụ như
không thể tự lây vào tập tin mà trực tiếp lây vào hệ thống.
Thông thường, các loại sâu mạng lây lan qua email nhờ vào cơ cấu SMTP tích
hợp sẵn, nó cũng có thể sử dụng các phần mềm quản lý Email thông dụng như
Microsoft Outlook hay Outlook Express, các dịch vụ tin nhắn tức thời hoặc
phần mềm chia sẻ dữ liệu kiểu như KaZaA, Bearshare hay Limewire.
Cách xử lý - Cách an toàn và hiệu quả nhất để giải phóng một chiếc máy tính
khỏi sâu là sử dụng tiện ích diệt riêng. Thông thường những tiện ích dạng này
được các nhà sản xuất phần mềm diệt Virus cung cấp miễn phí trên trang chủ
của họ. Đôi khi, bạn nên dùng tiện ích này để diệt sâu vì nó hiệu quả và an toàn
hơn so với các phần mềm diệt virus thông thường (dù cho các phần mềm này
vẫn có thể phát hiện được sâu đang lẩn quất trong hệ thống).
28
4.2.4 Rootkit
Rootkit là phần mềm (hoặc một nhóm các phần mềm) với khả năng kiểm soát
gốc của một hệ thống máy tính mà không cần bất cứ sự cho phép nào của chủ
nhân máy. Thông thường, rootkit không mấy khi điều khiển trực tiếp phần cứng
mà nó chỉ kiểm soát hệ điều hành hoặc phần mềm chạy trên một thiết bị phần
cứng nhất định. Thông thường rootkit tự che giấu mình khỏi các phép quản lý
của hệ điều hành và có cách hành động na ná như Trojan. Trong năm 2006-
2007, đã từng có nhiều vụ kiến cáo lộn xộn vì một số hãng sản xuất âm nhạc đã
sử dụng rootkit để quản lý bản quyền, gây bức xúc cho cộng đồng người dùng.
Cách xử lý Vẫn với phương thức tìm và diệt tận gốc với các ứng dụng chuyên
dụng, tuy nhiên sự tồn tại của Rootkit lại gây ra nhiều rắc rối. Trước tiên, bạn
cần tiêu diệt rootkit, sau đó bạn mới có thể gỡ bỏ phần mềm gây hại mà rootkit
đang che giấu. Do rootkit thường kiểm soát và tích hợp rất chặt chẽ vào hệ điều
hành nền bạn khó lòng có thể gỡ bỏ nó mà không bị rắc rối với Windows ví dụ
như vướng phải hiện tượng mất ổn định hoặc một số chức năng nào đó bị vô
hiệu hóa. Cách hiệu quả nhất là sử dụng một tiện ích sao lưu đĩa cứng như
Norton Ghost hay Acronis Disk Image để khôi phục lại trạng thái đĩa từ các bản
sao lưu trước khi rootkit được cài đặt.
4.2.5 Phần mềm gián điệp (Spyware, Malware…)
29
Phần mềm gián điệp là một công cụ máy tính, sau khi được cài đặt lên một PC,
nó sẽ chiếm một số quyền điều khiển của người dùng.
Mặc dù cái tên gián điệp tạo cảm giác rằng Spyware chỉ theo dõi các hành vi
của người dùng, trên thực tế, nó còn gây hại nhiều hơn thế. Các phần mềm gián
điệp có thể thu thập thông tin cá nhân của chủ nhân chiếc máy mà nó được cài
vào ví dụ như thói quen sử dụng Internet, các trang web truy cập… Một số loại
phần mềm gián điệp còn có thể thay đổi tùy chọn của máy tính, vô hiệu hóa các
thành phần phần mềm (kể cả phần mềm diệt virus). Thông thường khi máy tính
bị nhiễm phần mềm gián điệp, nó sẽ hoạt động khá chậm với trang chủ của
trình duyệt bị đổi lung tung kèm theo sự biến mất hoặc xuất hiện đầy bí ẩn của
các phần mềm cài đặt.
Trong số các phần mềm gián điệp (Spyware) thì phần mềm quảng cáo
(Adware) là thông dụng nhất. Đây không hẳn là một loại Virus phá hoại nhưng
cũng phiền toái không kém, nó thường được tích hợp trong các phần mềm miễn
phí hoặc dùng thử để giúp tác giả kiếm chác chút đỉnh thông qua việc hiển thị
các thông điệp quảng cáo nhất định. Khoản tiền này thường được tái đầu tư để
phát triển phần mềm tốt hơn, do đó Adware có thể xấu hoặc tốt tùy theo cách
đánh giá của mỗi người.
Cách xử lý - Khác với virus, phần mềm gián điệp thường chỉ bị gỡ bỏ khi người
dùng sử dụng công cụ quét riêng (Anti-Spyware) ví dụ như Ad-aware 2008 hay
Ccleaner… Sau khi quét dọn xong, bạn nên khởi động lại máy tính.
4.2.6 Một số loại MalWare khác
30
Zoombie (có thể đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ
thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của
Zoombie là các agent dùng để tổ chức một cuộc tấn công DDoS.
Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép
thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính năng
này để xâm hại hệ thống.
Email Generator là những chương trình cho phép tạo ra và gửi đi một số
lượng lớn các email. Mã độc hại có thể gieo rắc các email generator vào trong
hệ thống…
4.2.7 Giới thiệu một số Virus hay gặp
Virus Gaixinh và biến thể của nó là loại Virus tấn công qua Yahoo Message,
Virus này lây lan với tốc độ nhanh khủng khiếp trong cộng đồng online. Cơ chế hoạt
động của loại virus này như sau: Trong Yahoo Messenger, khi ai đó click vào tin nhắn
“xem thử cái này đi”, “tặng bạn này”, “em xinh nè”… kèm theo một đường link thì lập
tức máy tính của người đó bị nhiễm virus. Virus này sẽ tự động gửi tin vào tất cả
contact trong list của người bị nhiễm và từ đó nhân rộng ra rất nhanh. Khi virus hoạt
động nó tự động copy một phiên bản chính nó thành tệp %Windir%\Messenger.exe.
(%Windir% là thư mục Windows mặc định là C:\Windows\System đối với Windows
95/98/Me/XP và C:\Winnt, đối với Windows NT/2000). Khi tệp ứng dụng có tên là
Gaixinh.jpg.exe được nạp vào bộ nhớ, nó sẽ thay đổi Registry trên máy nạn nhân như
sau:
HKEY_CURRENT_User\Software\Microsoft\Windows\CurrentVersion\
Policies\System để khoá không cho truy cập vào Regedit.
HKEY_CURRENT_User\Software\Microsoft\InternetExplorer\Main\Start Page
về: http://67.15.40.2/~tranphu/forumtp
KEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast.
Virus Secret.exe ( hay còn gọi là Phimnguoilon.exe )
Hoạt động Virus tạo một file autorun và 1 file có tên "Secret.exe" trên USB
Cách diệt:
B1: Khởi động từ đĩa Hiren's Boot, sử dụng chương trình quản lý file trong
Hiren's Boot để vào thư mục System3231
B2: Thay thế file Sethc.exe bằng cmd.exe (bằng cách gõ: copy cmd.exe
sethc.exe /y)
B3: Lấy đĩa Hiren's Boot ra và Khởi động lại máy
B4: Tại cửa sổ Logon, nhấn Shilt 5 lần để hiện cửa sổ Command Line
B5: gõ vào regedit.exe
Virus .Worm.Win32.VB.ck ( Thư mục .exe )
Hoạt động
Vô hiệu hóa Folder Options, Run, Task Manager (sẽ nói sau)
Tắt chế độ hiển thị đuôi file để người dùng không thể phân biệt được cái nào là thư
mục, cái nào là virus. Nếu máy tính có cài Mozilla FireFox thì virus sẽ xóa đi file
firefox.exe trong program Files để buộc người dùng sử dụng IE.
Tạo mới file ẩn C:\Windows\lsass.exe có hình dạng như một thư mục.
Tạo một file ẩn có tên msconfig.exe trong thẻ Common Startup của Windows (Chức
năng của Startup trong Windows là bạn chỉ cần bỏ file vào đó thì khi khởi động file sẽ
được nạp mà không cần can thiệp vào Registry)
Cách khắc phục
Phương pháp phục hồi hệ thống:
1. Sử dụng Hijack This hoặc Process Viewer để kill process C:\Windows\lsass.exe và
msconfig.exe (nếu có)
2. Chép đoạn Code sau để sửa chữa Registry, tất nhiên là lưu dưới dạng file reg (khả dĩ
làm được vì con virus này không vô hiệu hóa Registry): CODE Windows Registry
Editor
Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"=[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion
\Policies\Explorer]"NoFolderOptions"=-"NoRun"=[HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Control Panel]
"Homepage"=dword:00000000
[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz]
32
"content url"=-
[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast]
"content url"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies
\Explorer]
"NoFolderOptions"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon]
"Shell"="explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\
SystemRestore]
"DisableConfig"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
3. Vào Folder Options bật chế độ hiển thị file ẩn và hệ thống. Nếu các chức năng của
Folder Options không chạy ở dạng chuẩn thì do một loại virus khác phá hoại.
4. Xóa các file C:\Windows\lsass.exe, C:\Documents and Settings\All Users\Start
Menu\Programs\Startup\msconfig.exe, file cmd.exe trong thư mục Windows\System,
các file New Folder.exe trong các ổ đĩa, xóa file autorun.inf, boot.exe, New Folder.exe
trong USB (không được nhấp đúp chuột vào ổ đĩa). Có thể bật chế độ hiển thị đuôi file
làm cho dễ.
5. Khởi động lại máy dùng bình thường.
Virus Kavo và một số biến thể
Ẩn các thư mục chính
Mất Taskmanager, Folder Options
Tạo ra các thư mục mạo danh với đuôi .exe
Không và được regedits để chỉnh sửa lại hệ thống
Máy bị khởi động lại liên tục
Không vào được Windows
33
Tạo ra hàng loạt file Autorun.inf
Cách diệt :
Download Autorun Eater 2.2 tại đây: http://www.softpedia.com/dyn-
postdownload.php?p=85585&t=3&i=1 Giải nén và cài đặt
Khởi động lại máy trong chế độ SafeMod(F8)
Chương trình tự khởi động cùng Window và sẽ tự tìm file Autorun.inf và diệt.
Dùng chương trình BKAV Home mới nhất
Chọn quét toàn bộ ổ cứng và hệ thống, diệt không cần hỏi
Sau khi quét xong, tiến hành khởi động lại máy bình thường.
Cách diệt Virus có chức năng Autorun trong USB
Đầu tiên bạn nên để chế độ hiện tất cả các file ẩn bằng cách vào My
Computer -> Tools ->Folder Options.. -> View -> Chọn Show hidden
files and folders và bỏ Hide protected system files.
Các Virus lây qua Usb thường có các file Autorun.inf để khi ta click qua Usb
thì chương trình Virus đã đc khởi động, vậy thì bạn hãy tạo sẵn file autorun.inf
trong USB của mình.
Nếu chỉ tạo file Autorun.inf không thôi có lẽ chưa đủ, vì một số loại Virus có
khả năng ghi đè lên file này. Điều này bạn cũng hoàn toàn có thể làm được dễ
dàng với USB nếu như bạn chuyển hệ thống file của USB sang NTFS và đặt
quyền cấm ghi đè cho file Autorun.inf . Việc chuyển hệ thống files sang NTFS
thì USB của bạn sẽ không thể dùng được trên Windows 98/ME, nhưng chắc
rằng Windows 98/ME thì cũng không tự động nhận được USB của bạn, hơn
nữa Windows 98/ME hiện nay cũng hơi hiếm thấy.
+ Các bước thực hiện
34
Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My
Computer và xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là
STORAGE
Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start ->
Run, sau đó gõ convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E:
/FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3
thì nên bỏ qua bước này. Nếu không, có thể phần mềm chơi nhạc của bạn sẽ
không thể chạy các file MP3 được.
Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng
được và copy vào thư mục gốc của ổ đĩa USB của bạn.
Bước 4: Click chuột phải vào file autorun.inf bạn vừa tạo và chọn thuộc tính
cho file này là read-only, bạn cũng có thể chọn thêm hidden.
Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách
Click vào Start -> Run, sau đó gõ cacls \autorun.inf /D Everyone. Ví dụ
như bạn sẽ gõ cacls E:\autorun.inf /D Everyone
Cách diệt Virus AutoRun
Nếu máy của bạn bị nhiễm mà ỗ đĩa C không bị thì làm thế này: Vào Run gõ
lệnh cmd để vào DOS , sau đó về cây thư mục ỗ đĩa bị nhiễm mình giả sử máy bị
nhiễm là ỗ đĩa D nhé Bạn gõ lệnh : D:/attrib nếu máy bị nhiễm thì bạn sẻ nhìn thấy file
copy.exe , host.exe, autorun.inf, sau đó gõ tiếp lệnh:
D:/ attrib copy.exe -s -h -r
D:/ attrib host.exe -s -h -r
D:/ attrib autorun.inf -s -h –r
Trường hợp máy bị nhiễm ỗ đĩa C thì có chút thay đổi: Vào run gõ cmd để vào
DOS Sau đó gõ C:/autonrun.inf khi đó nó sẻ mở file autorun.inf lên trong đó sẻ có
dòng copy.exe hoặc là host.exe tùy theo nó xuất hiện file nào bạn copy dòng đó vào
regedit để seach và xóa nó đi.
35
CHƯƠNG 5: MỘT SỐ PHẦN MỀM DIỆT VIRUS
HIỆN NAY.
Bảng so sánh phần mềm diệt virus
5.1 Avira
36
Avira Antivirus Premium 2012 mang lại rất nhiều tính năng quan trọng bảo vệ bạn
chống lại phishing online. Chỉ với vài click chuột, bạn sẽ không phải tốn nhiều thời
gian nhưng vẫn có giải pháp chống virus và bảo mật hoàn hảo. Ngoài ra phần mềm
còn không làm chậm đi hiệu suất máy tính của bạn.
5.2 Bitdefender Antivirus 2012
Bitdefender 2012 có gì mới?
Safebox – Sao lưu trực tuyến & Đồng bộ hóa tập tin. Bitdefender
Safebox theo dõi các tập tin quan trọng và sao lưu chúng một cách trực tiếp lên
máy chủ an toàn từ xa của Bitdefender và tự động đồng bộ hóa chúng khi có bất
kỳ thay đổi nào được phát hiện. Bitdefender 2012 và cụ thể là Bitdefender Total
Security 2012 cung cấp cho người dùng 2 GB dung lượng lưu trữ miễn phí.
37
Rescue Mode. Nếu các mối nguy hiểm như rootkits không thể bị xóa bỏ khi
hệ điều hành Windows đang hoạt động, máy tính được khởi động lại trong chế
độ “An toàn” giúp người dùng dọn dẹp và khôi phục hệ thống.
Virtualized Browser. Chạy trình duyệt trong môi trường được cung cấp bởi
Bitdefender, được cô lập với hệ điều hành Windows. Nó giúp ngăn chặn các
mối nguy hiểm lợi dụng lỗ hở bảo mật của trình duyệt để giành quyền kiểm soát
toàn bộ hệ thống của bạn.
Auto Pilot. Giúp loại loại bỏ các rắc rối khi sử dụng phần mềm bằng cách tối
ưu hóa các quyết định liên quan đến bảo mật mà không cần bạn phải thiết lập.
Điều này có nghĩa là sẽ không còn pop-up, cảnh báo, cấu hình nữa.
Scan Dispatcher. Sử dụng những khoảng thời gian hệ thống sử dụng tài
nguyên giảm xuống dưới một ngưỡng nhất định để thực hiện quét định kỳ toàn
bộ hệ thống của bạn. Bằng cách này, BitDefender không ảnh hưởng tới hoạt
động sử dụng máy tính của bạn cũng như không tác động tới hệ thống.
Dịch vụ đám mây được tích hợp. Những trao đổi toàn cầu thời gian thực
của dữ liệu giữa các máy chủ BitDefender trong đám mây và các sản phẩm
BitDefender 2012 đảm bảo rằng các mối đe dọa trực tuyến đang nổi lên, chẳng
hạn như bùng phát virus và làn sóng thư rác lớn, … đều sẽ được xử lý nhanh
chóng.
Bảo vệ mạng xã hội. BitDefender ngăn chặn những mạng xã hội tiềm tàng
nguy hiểm đặc biệt là các mối đe dọa trực tuyến bằng cách quét các liên kết bạn
nhận được từ tài khoản Facebook của bạn và từ bạn bè trên Twitter, theo dõi
các thiết lập bảo mật của bạn.
5.3 Norton Antivirus 2012
38
Norton AntiVirus 2012 và Norton Internet Security 2012 được thiết kế để cải thiện
những hế mạnh sẵn có của các sản phẩm này về khả năng bảo vệ và hiệu suất. Norton
2012 mang đến nhiều tính năng mới để giải quyết các mối nguy hiểm mới nhất hiện
nay và khả năng bảo vệ mạnh mẽ giúp chống lại một trong những mối quan tâm lớn
nhất của người tiêu dùng ngày nay đó chính là đảm bảo bí mật thông tin trực tuyến cá
nhân. Ngoài ra, Norton còn mang lại một sự kết hợp mạnh mẽ giữa công nghệ bảo mật
dựa trên danh tiếng của tập tin, hành vi của tập tin và cộng đồng mạng để cung cấp sự
bảo vệ toàn diện nhất hiện nay. Công nghệ bảo mật và cải tiến chính bao gồm:
Norton Identity Safe in the Cloud – Bảo vệ thông tin cá nhân và tài chính
khỏi những tên trộm cắp trên mạng và giữ người dùng an toàn khỏi các trang
web lừa đảo. Giao diện người dùng được sắp xếp hợp lý mới, đăng nhập đơn
giản và khả năng lưu trữ mật khẩu trong đám mây giúp dễ dàng truy cập từ mọi
máy tính với Norton Internet Security 2012 được cài đặt.
Norton Management – Chức năng dựa trên nền tảng web mới cho phép người
dùng quản lý các sản phẩm Norton của họ từ xa ở mọi nơi trên thế giới. Người
dùng có thể thêm các sản phẩm của Norton từ xa, quản lý các thiết lập bảo mật
và đăng ký nhận bản tin mới, giúp bạn dễ dàng kiểm tra tình trạng của các thiết
bị của bạn hoặc sửa chữa các vấn đề mà không cần phải có mặt tại máy tính đó.
Norton Insight – Công nghệ bảo mật dựa trên danh tiếng độc quyền của
Norton ngăn chặn các phần mềm vô danh bằng sự đóng góp của hàng triệu
người dùng Norton trên toàn thế giới, nhằm tự động xác định và ngăn chặn các
phần mềm độc hại mà bạn chưa bao giờ nhìn thấy.
39
Download Insight – Kiểm tra tất cả các tập tin tải về có an toàn hay không
trước khi cài đặt.
SONAR – Công nghệ SONAR được cải thiện giám sát các ứng dụng đang
chạy để phát hiện và ngăn chặn các hành vi đáng ngờ nhằm nhanh chóng vô
hiệu hóa các mối đe dọa chưa từng được biết tới.
Norton User Experience – Từ giao diện người dùng được sắp xếp hợp lý,
Norton 2012 cung cấp các lối tắt để truy cập vào Norton Mobile Security Lite,
Norton Cybercrime Index, Norton Online Family và Norton Safe Web.
5.4 Avast, AVG
AVG, Antivir đã từng được xếp hàng đầu vì người ta đưa tiêu chí free lên trước, hiện
có Avast tôi thấy xài cũng khá tốt, Avast có khả năng chặn Virus ngay lúc chưa tải file
trên mạng về. Antivir quét khá hiệu quả nhưng càng về sau lại bị "nhiềm" bệnh của
các đàn anh là chạy khá nặng nề, hơn nữa đối với các virus mà Antivir phát hiện bởi
chức năng Auto mà không diệt được thì nó liên tục báo ===> treo máy. AVG thì chức
năng free không được tốt ==> bầu PA khác :Avast vì thỏa mãn an toàn, hiệu quả và
chạy nhẹ nhàng
Ngòai những Anti Virus ngoại hay dùng chúng ta kể đến một số AntiVirus Việt như :
5.5 BKAV Antivirus40
Bkav Pro Internet Security là phần mềm diệt virus tiên phong trong sử dụng công
nghệ điện toán đám mây, đạt chứng chỉ đẳng cấp quốc tế VB100 do tổ chức kiểm định
hàng đầu thế giới Virus Bulletin chứng nhận. Kết hợp giữa công nghệ diệt virus thông
minh và công nghệ bảo vệ truy cập Internet, Bkav Pro có những tính năng ưu việt mà
phiên bản miễn phí Bkav Home không có như: Diệt virus siêu đa hình (metamorphic
virus), diệt rootkit, nhận diện virus theo hành vi, bảo vệ usb, tường lửa cá nhân, công
nghệ chống bùng nổ.
Đặc biệt, Bkav Pro được trang bị công nghệ đột phá Safe Run - thực thi an toàn. Trong
chế độ Safe Run, thậm chí người dùng vô tình mở file virus hay trang web có chứa mã
độc thì cũng vô hại với hệ thống.
Bkav Pro có tính năng cập nhật hoàn toàn tự động, thay vì phải cập nhật thủ công như
với phiên bản miễn phí. Ngoài ra khách hàng sử dụng BkavPro có bản quyền sẽ được
hỗ trợ trực tiếp từ các chuyên gia hàng đầu về virus máy tính trong suốt quá trình sử
dụng.
5.6 CMC Antivirus
CMC Antivirus là phần mềm diệt virus hoàn toàn miễn phí dành cho người
dùng cá nhân, cung cấp khả năng bảo mật và thực hiện kiểm soát toàn cục các dữ liệu
vào ra của hệ thống đồng thời bảo vệ máy tính khỏi: Virus, Spyware, Worm… bằng
cách quét tập tin, thư điện tử, các trang web khi truy cập. Khả năng bảo vệ máy tính
41
của bạn của CMC Antivirus không kém gì các phần mềm Antivirus nổi tiếng khác mà
bạn đã biết.
Tính năng chính của CMC Antivirus
Khả năng nhận dạng tốt: Danh mục nhận dạng trên 2,800,000 mẫu virus.
Bảo vệ thời gian thực: Quản lý toàn bộ hoạt động trên máy với thời gian thực:
các tác vụ về file, các tiến trình đang chạy, các sự khiện khác hệ thống
Quét định dạng file: Quét định dạng file nén thông thường.
Bảo vệ tập tin: Cho phép quét tất cả các file có chứa trong ổ cứng, CD và các ổ
cắm ngoài của máy tính.
Tự động phát hiện và tiêu diệt virus ở tất cả các tập tin khi bạn truy cập.
Bảo vệ thư điện tử: Bảo vệ mail của bạn trước sự tấn công của Virus, Trojan và
các loại phần mềm có tính chất ăn cắp thông tin khác.
Bảo vệ Web: Chức năng này bảo đảm cho hệ thống của bạn sẽ được bảo vệ an
toàn tuyệt đối trước những tấn công của các loại Virus, sâu máy tính và các
chương trình ăn cắp thông tin khác khi duyệt web.
5.7 Kaspersky Anti-Virus 2012
Kaspersky Anti-Virus 2012 cung cấp sự bảo vệ trong thời gian thực giúp máy tính
chống lại các virus và phần mềm độc hại mới nhất. Họat động thầm lặng với các thao
42
tác quét thông minh và cập nhật thường xuyên, Kaspersky Anti- Virus chủ động bảo
vệ bạn khỏi các mối đe dọa đã biết và mới xuất hiện trên Internet. Hãy tận hưởng sự
bảo vệ thiết yếu và không làm chậm hệ thống từ Kaspersky Anti-Virus 2012!
Kaspersky Anti-Virus 2012 cung cấp sự bảo vệ tự động trong thời gian thực giúp máy
tính chống lại hàng lọat các mối đe dọa tiềm tang trong thế giới số:
Bảo vệ trong thời gian thực giúp máy tính chống lại các virus và phần mềm
gián điệp Cải tiến! Quét email và website phát hiện mã độc Cải tiến!
Bảo vệ thông tin tài khỏan của bạn mọi nơi mọi lúc Cải tiến!
Quét tìm lỗ hổng bảo mật và cố vấn cách khắc phục
Desktop gadget dễ tiếp cận và sử dụng mới!
Tính năng chính
Kaspersky Anti-Virus 2012 đưa ra các tính năng mới và cải tiến cùng công nghệ bảo
mật độc đáo giúp phát hiện những mối đe dọa mới nhất trên mạng, giúp máy tính họat
động tốt và cho phép tùy chỉnh bảo mật tùy theo họat động của bạn:
Cải tiến: Đĩa CD giải cứu giúp phục hồi hệ thống sau khi bị phần mềm độc hại
tấn công
Cải tiến: Công nghệ chống phần mềm độc hại tân tiến cho phép cài đặt ngay
cả trên các máy bị nhiễm virus
Hệ thống phân tích giúp giám sát, ngăn chặn và khống chế các hành vi đáng
ngờ dựa trên phương pháp tự rút kinh nghiệm.
Mới: Desktop gadget giúp tiếp cận nhanh với các tính năng của phần mềm khi cần
thiết.
43
Kết luận
Internet là một phần cuộc sống của bạn: gửi email, mạng xã hội, tải nhạc, chơi
game... luôn có một lý do để bạn hoạt động trực tuyến. Đó là lý dó tại sao bạn
nên bảo đảm cuộc sống mạng của mình luôn an toàn.
Tương lai, virus vẫn sẽ phát triển tập trung chính trên phương pháp lây nhiễm tinh vi
hơn và xây dựng thêm nhiều biến thể phức tạp, đồng thời phát triển trên nhiều môi
trường khác nhau, khai thác các lỗi bảo mật hệ thống… tiếp tục là mối hiểm họa cho
thế giới IT, cũng như cuộc chiến chưa bao giờ kết thúc! Bên cạnh việc cài đặt các
chương trình Antivirus tương đối mạnh của nước ngòai thì chúng ta cũng nên cần cài
đặt một chương trình Antivirus nội và một chương trình để chống Spyware. Tuy nhiên
việc cài đặt cả 3 chương trình Antivirus trên sẽ khiến máy tính của bạn phần nào đó
chậm chạp và hơn nữa có thể ba chương trình Antivirus gây xung đột nhau. Vì vậy
44
không nhất thiết chúng ta cần phải cài đặt cả 3 chương trình, vì nếu bạn cảm thấy máy
tính của mình có Virus & cần tiêu diệt thì nên cài đặt và update bản mới nhất. Sau khi
quét xong chúng ta có thể Remove đi.
Tài liệu tham khảo Kiến thức cơ bản về Virus:
http://www.911.com.vn/news_details.asp?newsID=NEW_050927061326
http://vi.wikipedia.org/wiki/Virus_%28m%C3%A1y_t%C3%ADnh%29
Tổng quan về Virus:
http://virusvn.com/forum/showthread.php?t=625
1 Số loại Malware & cách phòng chống:
http://www.xtremevn.com/forum/showthread.php?t=10216
Lịch sử phát triển của Virus:
http://vietsciences.free.fr/lichsu/virusmaytinh.htm
Phân loại Malware (cách nhìn của VN & Thế giới)
http://www.misoft.com.vn/?q=vi/node/164
45