- Virus là một chương trình nguy hiểm có khả năng tự sao chép từ đối tượng này sang đối tượng khác
- Malware: là phầm mềm xâm nhập và hoạt động trên hệ thống mà không được sự cho phép của người dung
- Để Virus có thể tự lây lan thì đầu tiên là nó phải chiếm được quyền điều khiển của file bị nhiễm, nên khi người dùng mở một file bị nhiễm virus thì thay vì nó mở file đó ra ngay thì nó bắt đầu kiểm tra ngày tháng, gây tác hại nếu đúng ngày, tự tìm các file khác, và copy các dòng lệnh để chiếm quyền điều khiển của file đó sau đó nó mới chạy trương trình mà người sử dụng yêu cầu.
2, Các loại Virus:
- Virus Boot: là loại lây vào Boot sector, các virus boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, nó chạy trước cả thời điểm hệ điều hành được nạp lên.
- Virus File: Virus lây vào những file chương trình, phổ biến nhất là trên HĐH Windows như các file có đuôi mở rộng là .com . exe .bat .pif, sys….
- Virus Macro: lây vào những file văn bản, bảng tính, file trình diễn của bộ Mirosoft Office (để có thể diệt chỉ có cách copy các sheet sang bảng tính mới và xoá file nhiễm đi)
- Trojan Horse: Luôn chạy âm thầm trên hệ thống và hoạt động theo sự chỉ đạo từ bên ngoài, nó khác virus là hoàn toàn không có tính chất lây lan ( Backdoor, Botnet)
- Wom: đây là loại nguy hiểm nhất, nó kết hợp sức phá hoại của virus, tính âm thầm của Trojan và có tốc độ lây lan nhanh nhất. nó có thể lây qua Mail, lỗ hổng của windows, IE, lây qua chat, lây qua mạng Lan.
- Spyware, adware: ăn trộm thông tin trên máy, thay đổi thông tin trình duyệt, hiện các popup quảng cáo
- Rootkit: Có thể hiểu như một phần mềm vệ sĩ, có tác dụng che chắn, bảo vệ cho virus.
3, Một số đường cơ bản lây lan của Virus:
- Qua Mail
- Tải từ Internet
- Copy hay chạy File từ các thiết bị lưu trữ ngoại vi như đĩa mềm, USB, Hdd box..
- Qua mạng Lan
- Qua lỗ hổng phần mềm
...............
4, Rà soát hệ thống bị nhiễm Virus:
Ta kiểm tra cơ bản trên 3 phần là Process ( những chương trình hoạt động ở mức ứng dụng của hệ điều hành) Service( Những chương trình hoạt động ở chế độ nền của hệ thống) và Key (những thông số của một phần mềm hay hệ điều hành được lưu trữ lại trong hệ thống để sử dụng lại nhiều lần sau đó)
+ Đầu tiên kiểm tra TaskManager:
Tắt hết các ứng dụng để kiểm tra TaskManager xem có ứng dụng nào chạy và chiếm tài nguyên của hệ thống hay không ( trong tab Processes), có ứng dụng nào lạ, mới xuất hiện hay không ?.
Hay có thể vào Service kiểm tra các ứng dụng đang chạy ( Control Panel --> Administrator Tool --> Service)
+ Xem hệ thống Registry Editor: Start --> Run --> Regedit
- Hầu hết các loại virus để sống được đều tìm cách khởi động cùng HĐH, đầu tiên nó copy file vào một thư mục trên hệ thống sau đó ghi vào 1 trong các Key Run, tạo Service hoặc Startup nên ta tiến hành kiểm tra những chương trình khởi động cùng hệ điều hành trước tiên,
Ta kiểm tra các nhánh sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Các chương trình khởi động cùng hệ thống đều nằm ở đây, ta xác định xem có mục nào lạ, mới xuất hiện thì xoá bỏ đi, nhiều trường hợp xoá bỏ đi nhưng sau đó lại xuất hiện lại là do nó đang chạy cùng hệ thống, lúc đó thì phải vào Task Manager ngắt nó đi rồi mới xoá ( Nếu không xác định được chương trình lạ là cái nào thì tiến hành đổi đường dẫn của từng cái để kiểm tra, nếu vẫn bó tay thì có thể xoá hết các mục này vì nó cũng không ảnh hưởng đến hệ thống, thông thường khi mới cài win xong thì chỉ có 2 hay 3 mục thôi, nếu có cái mới xuất hiện thì nó luôn xuất hiện từ dưới cùng vì thế khi kiểm tra nên bắt đầu kiểm tra từ dưới lên)
Tiếp đến kiểm tra Statup Folder, các Services, Drivers....
- Nếu máy có nối mạng, có dấu hiệu Spyware hay Adware thì thông thường nó hoạt động như sau: Copy vào một thư mục trên hệ thống ( thường trong System32 để đánh lừa người dùng) ghi vào1 trong các key để khởi động cùng hệ điều hành, Windows Explorer hoặc IE
Ta phải kiểm tra tiếp các chương trình khởi động cùng Exprorer, tìm đến các Key sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks
trong các key này các tên chương trình chạy khác bình thường ( vd: {438755C2-A8BA-11D1-B96B-00A0C90312E1}) vì thế không thể biết được nó là cái gì, có một mẹo nhỏ để xác định là Copy lấy tên key đó, rồi lên nhánh HKEY_CLASSES_ROOT nhấn Ctl + F để tìm kiếm rồi past vào, ta sẽ biết nó là ứng dụng nào ( nằm trong mục InprocSerrver32)
Kế tiếp kiểm tra các chương trình khởi động cùng trình duyệt IE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
Chú ý đến nhớ tên các trang web hay tự động xuất hiện sau đó tìm trong các key này và xoá bỏ hết
Trong nhiều trường hợp Virus khoá hết Registry, CMD, hay Task Manager thì lúc ta phải chạy lệnh Run --> gpedit.msc để mở khoá cho Registry, nếu bị khoá nốt Run hay lệnh Gpedit.msc thì hix, lúc đó phải dùng đến công cụ bên ngoài là các tool fix lỗi để mở các chương trình trên ra
V ào mục Clean Regedit ch ọn Dọn dẹp để khôi phục lại Registry
Một số Tool hữu ích có thể thay thế TaskManager, Regedit
( Kiểm soát các file chạy cùng hệ thống)
Download
http://www.mediafire.com/?0nw0wjmyj92( Kiểm soát các file qua Registry)
http://www.mediafire.com/?7qeawn2nu1b
