Virus USB và xử lý!

Entry for October 23, 2007

Phòng chống Virus Autorun lây lan qua USB Flash Drive

Filed under: Anti-virus — Huỳnh Nhật Hoàng @ 2:27 pm

Tên bài : Phòng chống Virus lây lan qua USB Flash Drive

Ngày viết: June 11, 2007 bởi Hoàng Huỳnh

Thể loại : Anti-virus

Độ Khó : Trung bình

Công cụ : Tay, không cần CT Anti-virus

Hệ ĐHành : Windows anything

Thực trạng

Gần đây các virus lây lan qua đường USB Flash Drive (trong bài này gọi tắt là virus) xuất hiện khá nhiều và hoành hành ở VN, gây nên nhiều tổn thất lớn. Thực tế, cách thức tấn công chất phác của các virus này không đáng gây nên những tổn thất như vậy, vấn đề cơ bản là ý thức ngây thơ của người dùng là điều kiện dung túng virus tốt nhất.

Mục đích

Mặc dù không am hiểu nhiều về lĩnh vực virus và anti-virus, tôi vẫn mạo muội viết bài này, với mục đích cơ bản là cung cấp cho người dùng những cái nhìn logic và “vật lý” hơn về virus, không còn nỗi ám ảnh về “bóng ma” virus và sự e dè khi sử dụng USB Flash Drive. Bài viết chỉ đề cập đến các virus hay xuất hiện ở USB Flash Drive.

Khuyến cáo

Nội dung bài viết này có phần hướng dẫn, tuy không mang tính kỹ thuật cao nhưng nếu thực hiện không cẩn thận có thể sẽ gây nên những hậu quả nguy hại đến máy tính của bạn. Use it as your own risk.

Cách thức lây lan cơ bản của virus

Cơ chế thứ nhất — autorun (tự chạy)

Nếu bạn đã từng đẩy một đĩa CD vào khay và chờ 1 chút, 1 chương trình cài đặt hiện lên, mọi thứ bắt đầu. Nếu tinh ý bạn sẽ thấy là có một cơ chế tự động (autorun) đằng sau đó, và chắc chắn ít nhiều đã có một chương trình nào đó được thực thi. Chuyện gì xảy ra nếu chương trình vừa chạy này là một chương trình xấu, chứa những dòng mã hiểm độc nhằm hủy hoại máy tính của bạn? Đó là virus.
Cũng tương tự như ổ CD-ROM của bạn, tất cả các ổ đĩa khác bao gồm đĩa cứng, đĩa mềm và USB Flash Drive, đều có thể ẩn chứa khả năng autorun này. Tôi không nói rằng autorun là một tính năng xấu, nhưng đây là cơ chế lây lan cơ bản của hầu hết các virus. Bạn sẽ phải dè chừng nó.

Cơ chế thứ hai — fake icon (giả icon)

Virus do con người viết nên, hơn nữa nó tồn tại trong máy tính — vốn cũng do con người tạo nên và được bạn tin tưởng mua về. Do đó bạn có thể yên tâm loại bỏ ý nghĩ rằng virus là thứ siêu nhiên và vô hình, có quyền lực tuyệt đối và chỉ có Jesus Christ Anti-virus mới trừng trị được.
Nhớ: Phải có một chương trình nào đó được thực thi thì virus mới lấy nhiễm được vào máy tính của bạn.
Trong trường hợp trên, cơ chế autorun đã thực thi virus. Còn trường hợp phổ biến thứ 2, một “con” virus (dưới dạng một file .exe) giả dạng làm một thư mục hay file quen thuộc của bạn. Virus ngụy trang bằng cách mang trong mình icon của folder/file y hệt như icon thật, điều đó làm bạn dễ nhầm lẫn double click vào icon này. Sau khi bạn click, chẳng có thư mục hay file nào được mở ra cả, tất cả những gì bạn làm là đã thực thi 1 file .exe — vậy là máy của bạn nhiễm virus.

Phòng chống

Các động tác cơ bản

Trước hết bạn cần nhớ rằng nếu bạn đang sử dụng một tài khoản giới hạn (limit account) của Windows thì virus sẽ khó mà lộng hành được gì. Bởi vì mọi ngõ ngách đều bị khóa đối với limit account. Do đó tốt nhất bạn nên tạo một tài khoản giới hạn bên cạnh tài khoản quản trị của mình, login vào tài khoản giới hạn này và yên tâm làm việc với các USB Drive (tất nhiên nếu máy tính của bạn đã bị nhiễm virus rồi thì việc này thật vô nghĩa).
Trước khi bắt đầu với đám virus, chúng ta nên có một số thao tác đón đầu trước để cuộc sống dễ dàng hơn:

  • Vào My Computer, chọn menu Tool > Folder Options…
  • Chọn trong cửa sổ Folder Options chọn tab View, cuộn thanh cuộn xuống 1 chút và cấu hình như sau:

Tôi sẽ giải thích chuyện này:

  • Chọn Show hidden files and folders để hiển thị các file ẩn (hidden file) ra, bởi vì lẽ dĩ nhiên các virus tự ẩn mình đi.
  • Bỏ chọn Hide extensions for known file types để hiển thị đuôi (vd .exe .doc .txt) cho tất cả các file. Chút nữa đọc xuống dưới bạn sẽ hiểu tại sao lại làm vậy.
  • Bỏ chọn Hide protected operating system files để hiển thị những file hệ thống quan trọng. Bạn sẽ thấy là mục này được đánh mác Recommended, tức là khuyến cáo là nên chọn chứ không nên cho hiện hết ra. Cũng đúng thôi, vì sau khi chọn mục này, bạn sẽ thấy xuất hiện nhiều file hệ thống lờ mờ trên khắp các ổ cứng của mình, nếu không may xóa phải các file này thì rất có thể máy của bạn sẽ gặp rắc rối. Tuy nhiên các virus cũng tự ngụy trang mình bằng cách “ban” cho nó làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục này. Nhớ: không xóa bất kỳ file nào loại này mà bạn chưa chắc chắn là virus.

Được rồi, bây giờ chúng ta đi vào chi tiết.

Phòng chống Autorun

Khi cắm một USB Drive đã bị nhiễm virus vào máy tính, có thể không cần bạn làm gì tiếp theo cả, mọi thứ sẽ được nhanh chóng thực thi, virus nhanh chóng nhiễm luôn vào máy tính.

  1. Do đó động tác đầu tiên cần thực hiện là đè phím Shift bên trái cho đến khi Windows báo là nhận xong phần cứng là USB Drive bạn cắm vào. Nếu USB Drive của bạn đã được máy tính nhận diện trước đó, bạn nên đè Shift đủ lâu trước và sau khi cắ
    m USB Drive. Động tác này báo cho Windows hoãn không thực thi lệnh autorun (nếu có).
  2. Tiếp theo, bạn kiểm tra xem USB Drive vừa cắm vào có tính chuyện autorun trên máy của bạn hay không. Việc kiểm tra khá đơn giản nhưng bạn cần cẩn thận đừng double click lung tung, vì việc double click vào một ổ đĩa autorun đồng nghĩa với việc thực thi autorun này.
    Bạn chỉ cần vào My Computer hay Explorer, click chuột phải vào ổ USB Drive mà bạn muốn xem. Nếu menu hiện ra có dòng AutoPlay (đầu tiên) thì ổ đĩa này có chứa những thông tin autorun.
    Ngược lại, nếu ổ đĩa không có thông tin autorun thì thủ tục mặc định là Open.
  3. Nếu trên USB Drive có Autorun, chúng ta xem xét kỹ hơn liệu đây có là virus. Bạn click chuột phải lên ổ USB Drive này và chọn Open, hoặc dùng frame bên trái của Explorer (nhớ: không double click). Nếu bạn thấy có nhiều file ẩn trong ổ đĩa (những file mờ), đây là dấu hiệu virus đầu tiên.
  4. Bạn tìm đến file autorun.ini hay antorun.inf và mở nó lên (đây là file text nên bạn double click thoải mái, hoặc click chuột phải rồi open). Nội dung file này có dạng kiểu như:

    Bạn chú ý đến dòng
    open=gì gì đó.exe

  5. Trở lại với My Computer, lần theo tên file này trong USB Drive, bạn sẽ thấy 1 file thực thi. Nếu file này được ẩn đi và có vẻ mờ ám (không có icon, size nhỏ, properties về nhà phát hành không rõ ràng…) thì 99% đây là virus. Bạn có thể xóa file .exe này đi, và xóa luôn cả file autorun. Hoặc nếu muốn, bạn có thể đưa tên file hoặc/và chụp ảnh màn hình USB Drive của bạn đưa lên đây để mọi người giúp bạn. Các file ẩn còn lại (nếu có) bạn cũng có thể xóa đi (đặc biệt là file .exe).

Bây giờ bạn cẩn thận thực hiện lại các bước 1-5 đối với tất cả các ổ cứng để xem máy của mình đã bị nhiễm virus loại này chưa.

Nhớ: Nếu có thì bạn đừng xóa gì cả, chuyển xuống đọc bài 2: Cách diệt Virus.

Phòng chống Fake icon

Mỗi chương trình, mỗi loại file mang trên mình mỗi icon, muôn hình vạn trạng, bạn thấy đó:

Vấn đề là nếu một chương trình virus mang icon của một folder/file khác, thật khó phân biệt và người dùng dễ nhầm lẫn double click thực thi chương trình này. Mặc định, Windows giấu đi phần đuôi của những chương trình, file đã biết. Vd: file STARTUP.exe được hiển thị trong My Computer chỉ còn là STARTUP. Nếu file này mang icon của một thư mục, thật khó phân biệt. Chẳng hạn như ở hình dưới, bạn cứ ngỡ STARTUP là một thư mục:

Nhưng nếu bạn cho hiện hết đuôi các file ra (xem lại Các động tác cơ bản), thì các file này “loài đuôi” ra ngay là file thực thi:

Bạn cũng có thể xem file ở dạng Details (chọn menu Views > Details), lúc này hãy chú ý đến sự khác biệt giữa một thư mục (folder) và ứng dụng (application):

  • Ở cột Type, ứng dụng được gọi là Application còn thư mục là File Folder.
  • Ở cột Size, ứng dụng có size còn thư mục thì không.
    Cần lưu ý, các virus còn giả danh các file thường dùng, như file text (.txt), file word document (.doc), file ảnh (.jpg) v.v.

Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại này không, bạn có thể truy cập vào USB, bật chế độ hiện hết các đuôi file và chú ý đến các đuôi .exe. Hoặc cũng có thể view ở chế độ details và chú ý đến các Application. Nếu gặp các virus loại này? Hãy xóa thẳng tay.
Bây giờ bạn thử dạo qua một vòng ổ cứng của mình và một vài thư mục con để kiểm tra xem máy đã bị nhiễm virus loại này chưa.

Tóm lại

Tóm lại, để phòng chống virus:

  1. Khi đưa USB Drive vào nhớ đè phím Shift bên trái để tránh autorun.
  2. Kiểm tra xem ổ USB Drive có autorun hay không bằng cách click chuột phải.
    Nếu có: xóa các file autorun và file .exe tìm thấy.
  3. Kiểm tra xem có các file .exe giả mạo icon hay không bằng cách xem đuôi file.

Cách diệt Virus lây lan qua USB Flash Drive

Filed under: Anti-virus — Huỳnh Nhật Hoàng @ 3:40 pm


Tên bài : Cách diệt Virus lây lan qua USB Flash Drive

Ngày viết: June 24, 2007 bởi Hoàng Huỳnh

Thể loại : Anti-virus

Độ Khó : Trung bình

Công cụ : Tay, không cần CT Anti-virus

Hệ ĐHành : Windows anything

Thực trạng

bài trước, tôi đã nói sơ về các cơ chế lây lan cơ bản của các Virus hay xuất hiện trên USB Flash Drive (trong bài này gọi tắt là virus). Tôi cũng đã nói chi tiết về cách phòng chống các virus này. Như vậy, nếu các bạn thực hiện tốt các phương án phòng chống thì có thể yên tâm là máy không bị nhiễm thêm virus nữa.
Nhưng nếu máy bạn đã bị nhiễm virus từ trước? Trong bài này chúng ta tìm hiểu cách vô hiệu hóa chúng.

Mục đích

Như tên bài viết, chúng ta sẽ đi trực tiếp vào cách diệt virus: xuất phát từ cách mở khóa các CT bị virus cô lập (regedit, folder options, cmd etc.), sau đó chúng ta cô lập virus và đánh trả.

K
huyến cáo

Bài viết hướng dẫn gỡ bỏ virus bằng tay, việc làm này liên quan đến việc cấu hình những thành phần quan trọng trong Windows, nếu thực hiện không cẩn thận có thể sẽ gây nên những hậu quả nguy hại. Bạn nên chắc chắn là đã sao lưu các dữ liệu quan trọng trước khi thực hiện. Use it as your own risk.

Thủ thuật của virus

Thử tưởng tượng một ngày đẹp trời bạn tìm thấy một rương gỗ, với tài năng + ổ khóa lỏng lẻo của cái rương bạn nhanh chóng mở được khóa và tìm thấy bên trong 1 kho báu kết sù. Kho báu quá lớn nên bạn quyết định lần này chỉ vơ vét 1 phần, rồi làm gì tiếp theo? Tât nhiên bạn sẽ khóa nó lại với ổ khóa mới của bạn, đảm bảo rằng chủ nhân thực sự của chiếc rương cũng không thể tách bạn ra khỏi cái rương.
Virus cũng vậy, nó khóa windows của bạn lại để độc chiếm. Bạn không thể chạy những chương trình có thể gây nguy hại đến virus: regedit, cmd, task manager, folder options… Chúng ta sẽ xem liệu virus có thông minh như tên cướp biển gian xảo.

Kiểm tra tình trạng hiện tại của bạn

Ghi chú: việc kiểm tra này rất có khả năng làm cho máy của bạn restart, hãy lưu hết dữ liệu.
Nếu tin rắng máy tính của mình đã bị nhiễm virus, bạn hãy thử xem virus này là một sinh vật thông minh đến cỡ nào.

Kiểm tra: thử mở các ứng dụng sau và xem virus đã khóa ứng dụng nào. Một ứng dụng bị khóa sẽ không thể được thực thi (thông báo lỗi, menu bị mờ đi…) hoặc làm cho máy bạn restart. Danh sách này bao gồm:

  1. Task Manager: bấm Ctrl+Alt+Del hoặc click chuột phải vào thanh Start, chọn Task Manager.
  2. Regedit: Vào Run từ menu Start > Run… (hoặc tổ hợp phím windows+R), gõ regedit rồi enter.
  3. Folder Options: Mở My Computer, trong menu Tools thử xem có thể chạy Folder Options… không.
    Nếu có thể mở Folder Options, vào tab View và xem mục Show hidden files and folders có ở đó không.
  4. Cmd: Vào Run, gõ cmd rồi enter.

Mở khóa

Bây giờ bạn đã biết virus “khóa cẳng” bạn ở điểm nào, trò chơi bắt đầu…
Cẩn trọng: Trong suốt quá trình, mọi thứ có thể trơn tru nhưng cũng có thể virus sẽ restart máy của bạn liên tục và chẳng làm được gì nhiều. Trong trường hợp này bạn hãy

  1. Tắt chức năng system restore: click chuột phải vào logo My Computer trên desktop chọn Properties. Trong cửa sổ mới hiện ra chọn tab System Restore rồi tick vào Turn off System Restore on all drives, OK.
  2. Restart máy tính về safe-mod: restart lại máy tính, bấm F8 lúc máy boot và chọn Safe-Mode.
  3. Thực hiện tất cả các thao tác trong windows ở chế độ Safe-mode.

Ghi chú: Tôi có đính kèm 1 phần mềm đơn giản ở cuối phần này, nếu thích bạn có thể download về và chạy. Task Manager, Regedit và Folder Options sẽ được enable hết, nhưng như thế thì mất đi tính manual của hướng dẫn.

Regedit

Nếu virus đã khóa Regedit của bạn (thường hiện lên thông báo kiểu như Registry editing disabled by Adminstrator trong khi bạn đang là Adminstrator), hãy thử enable lại regedit:

Cách 1: tạo file .reg

  1. Login vào máy bằng tài khoản Administrator
  2. Mở notepad và dán vào đoạn mã sau:
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    “DisableRegistryTools”=dword:00000000
  3. Lưu lại với tên file .reg, ví dụ: regopen.reg
  4. Từ nội dụng của file .reg vừa tạo, bạn có thể đoán được rằng file này hướng dẫn Windows tìm đến key System và sửa chuỗi DisableRegistryTools về giá trị 0. Double click để chạy file này, kết quả giống hệt như bạn vừa sửa regedit vậy
  5. Kiểm tra lại regedit

Cách 2: tạo chương trình .NET Framework thực thi đoạn mã như file .reg

Ghi chú: máy của bạn phải có cài .NET Framework. Có thể kiểm tra bằng cách xem thư mục C:\WINDOWS\Microsoft.NET\Framework\vx.x.xxxx\ có tồn tại hay không (với C:\WINDOWS là nơi cài Windows của bạn; vx.x.xxxx là phiên bản Framework hiện tại, vd: v1.0.3705, v2.0.50727). Nếu không có, bạn có thể tải về nhanh chóng từ trang Windows Update của Microsoft.

  1. Mở notepad và dán vào đoạn mã sau:
    using System;
    using Microsoft.Win32;
    class RestoreReg
    {
    static void Main ()
    {
    RegistryKey polKey = Registry.CurrentUser.OpenSubKey
    (@”Software\Microsoft\Windows\CurrentVersion\Policies\System”, true) ;
    polKey.SetValue (”DisableRegistryTools”, 0) ;
    polKey.Flush () ;
    }
    }
  2. Lưu lại với tên file .cs, vd: restorereg.cs

    Mẹo: Bạn nên lưu file ở nơi nào dễ truy cập, như C:\ chẳng hạn

  3. Lưu xong, mở Command Prompt lên (vào Start > Run… > cmd rồi ENTER)
  4. Di chuyển vào đường dẫn .NET Framework bạn tìm được ở trên, dùng lệnh cd, chẳng hạn:
    cd %windir%\Microsoft.NET\Framework\v1.1.4322
  5. Tiếp theo ta chuyển file nguồn .cs ở trên thành file thực thi .exe bằng lệnh
    csc c:\restorereg.cs
    csc ở đây là file csc.exe dùng để biên dịch có trong thư mục vx.x.xxxx
    c:\restorereg.cs là đường dẫn đến file .cs mà bạn lưu ở trên. Chú ý nếu đường dẫn này có khoảng trắng thì bạn phải dùng cặp dấu ngoặc “” để nhóm lại, vd:
    csc "c:\new folder\restore regedit.cs"
  6. Nếu không có sai sót gì thì file restorereg.exe đã được tạo ra trong thư mục vx.x.xxxx, bạn chạy file restorereg.exe, regedit sẽ được mở.
    Nếu nhác, bạn có thể download file restorereg.exe tôi đã biên dịch tại đây

Cách 3: dùng Group Policy Editor (Windows XP Professional only)

  1. Login vào máy bằng tài khoản Administrator
  2. Chạy Run và gõ gpedit.msc rồi enter
  3. Tìm đến User Configuration | Administrative Templates | System

  4. Double-click lên mục Disable registry editing tools và chọn Not Configured
  5. Thoát khỏi Group Policy Editor hoặc tiếp tục đọc phần sau nếu Task Man
    ager của bạn cũng có vấn đề

Task Manager (Ctrl+Alt+Del)

Cách 1: sửa regedit

  1. Vào Run gõ regedit rồi enter. Tìm chính xác đến HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  2. Ở khung bên phải chú ý mục “DisableTaskMgr” (đang có giá trị ‘1′), double click vào đó đổi giá trị DWORD của nó thành 0
  3. Thoát khỏi regedit

Cách 2: dùng Group Policy Editor (Windows XP Professional only)

  1. Vào Group Policy Editor như hướng dẫn ngay trên
  2. Tìm đến User Configuration | Administrative Templates | System | Ctrl+Alt+Del Options

  3. Double-click lên mục Remove Task Manager và chọn Not Configured
  4. Thoát khỏi Group Policy Editor (hoặc tiếp tục mày mò, có một số trò vui khác nếu bạn thích mạo hiểm)

Folder Options

Sau khi chắc chắn Regedit của bạn đã có thể chạy được, bạn có thể mở khóa cho Folder Options.

  1. Vào Run gõ regedit rồi enter. Tìm chính xác đến
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  2. Ở khung bên phải chú ý mục “NoFolderOptions” đang có giá trị ‘1′, double click vào đó đổi giá trị DWORD của “NoFolderOptions” thành 0 hoặc xóa luôn cả mục “NoFolderOptions” cũng được
  3. Thoát khỏi Regedit

Ghi chú: Trong cùng địa chỉ Registry này còn có một số thông số thú vị khác như DisallowRun, NoControlPanel NoDriveTypeAutoRun, NoLowDiskSpaceChecks.

“Show Hidden Files and Folders”

Nếu bạn có thể truy cập Folder Options nhưng phần “Show Hidden Files and Folders” bị mất, phục hồi theo các cách sau:

Cách 1

  1. Vào Run gõ regedit rồi enter. Tìm chính xác đến
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
  2. Ở khung bên phải chú ý mục “Type”, double click vào và nhập giá trị là group.
  3. Sửa xong bấm F5 để refresh, kiểm tra lại Folder Options
  4. Thoát khỏi Regedit

Cách 2

  1. Vào regedit tìm chính xác đến
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
  2. Ở khung bên phải chú ý mục CheckedValue, sửa giá trị lại là 1
  3. Thoát khỏi Regedit

Tiện ích mở khóa

Như đã nói ở trên, có một tiện ích nhỏ giúp bạn nhanh chóng mở khóa của Task Manager, Regedit và Folder Options. Bạn chỉ cần tải về và chạy là xong, yên tâm đây là tiện ích “sạch”.
Bạn có thể tải về tại đây.

Xóa virus

  1. Tắt System Restore và khởi động vào safe-mode (hướng dẫn ở trên).
  2. Thực hiện các bước mở khóa cho windows, tham khảo lại bài 1 (cách phòng chống virus) để hiện các file ẩn nhằm nhận dạng virus.
  3. Cẩn thận dùng Explorer dạo qua tất cả các ổ cứng và xóa hết các thông tin autorun và file thực thi (.exe) của virus.
    Ghi chú: đừng double click — tham khảo lại bài 1.
  4. Nếu máy tính nhiễm các virus dạng giả icon, hãy xem properties của 1 file như vậy, lấy file size và tiến hành search toàn bộ các ổ cứng (nhớ search cả file ẩn và file system) với file size vừa lấy được, định dạng file tìm kiếm là application file.
  5. Khi quá trình tìm kiếm hoàn tất, kiểm tra lại các file này, tránh xóa nhầm những file “hiền” (những file virus thường có logo thư mục và file size không đổi). Chọn tất cả các file virus và tiến hành xóa.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s


%d bloggers like this: