Phòng chống Virus Autorun lây lan qua USB Flash Drive


Tên bài :
Phòng chống Virus lây lan qua USB Flash Drive
Ngày viết: June 11, 2007 bởi Hoàng Huỳnh
Thể loại : Anti-virus
Độ Khó : Trung bình
Công cụ : Tay, không cần CT Anti-virus
Hệ ĐHành : Windows anything

Thực trạng

Gần đây các virus lây lan qua đường USB Flash Drive (trong bài này gọi tắt là virus) xuất hiện khá nhiều và hoành hành ở VN, gây nên nhiều tổn thất lớn. Thực tế, cách thức tấn công chất phác của các virus này không đáng gây nên những tổn thất như vậy, vấn đề cơ bản là ý thức ngây thơ của người dùng là điều kiện dung túng virus tốt nhất.

Mục đích

Mặc dù không am hiểu nhiều về lĩnh vực virus và anti-virus, tôi vẫn mạo muội viết bài này, với mục đích cơ bản là cung cấp cho người dùng những cái nhìn logic và “vật lý” hơn về virus, không còn nỗi ám ảnh về “bóng ma” virus và sự e dè khi sử dụng USB Flash Drive. Bài viết chỉ đề cập đến các virus hay xuất hiện ở USB Flash Drive.

Khuyến cáo

Nội dung bài viết này có phần hướng dẫn, tuy không mang tính kỹ thuật cao nhưng nếu thực hiện không cẩn thận có thể sẽ gây nên những hậu quả nguy hại đến máy tính của bạn. Use it as your own risk.

 

Cách thức lây lan cơ bản của virus

Cơ chế thứ nhất — autorun (tự chạy)

Nếu bạn đã từng đẩy một đĩa CD vào khay và chờ 1 chút, 1 chương trình cài đặt hiện lên, mọi thứ bắt đầu. Nếu tinh ý bạn sẽ thấy là có một cơ chế tự động (autorun) đằng sau đó, và chắc chắn ít nhiều đã có một chương trình nào đó được thực thi. Chuyện gì xảy ra nếu chương trình vừa chạy này là một chương trình xấu, chứa những dòng mã hiểm độc nhằm hủy hoại máy tính của bạn? Đó là virus.
Cũng tương tự như ổ CD-ROM của bạn, tất cả các ổ đĩa khác bao gồm đĩa cứng, đĩa mềm và USB Flash Drive, đều có thể ẩn chứa khả năng autorun này. Tôi không nói rằng autorun là một tính năng xấu, nhưng đây là cơ chế lây lan cơ bản của hầu hết các virus. Bạn sẽ phải dè chừng nó.

Cơ chế thứ hai — fake icon (giả icon)

Virus do con người viết nên, hơn nữa nó tồn tại trong máy tính — vốn cũng do con người tạo nên và được bạn tin tưởng mua về. Do đó bạn có thể yên tâm loại bỏ ý nghĩ rằng virus là thứ siêu nhiên và vô hình, có quyền lực tuyệt đối và chỉ có Jesus Christ Anti-virus mới trừng trị được.
Nhớ: Phải có một chương trình nào đó được thực thi thì virus mới lấy nhiễm được vào máy tính của bạn.
Trong trường hợp trên, cơ chế autorun đã thực thi virus. Còn trường hợp phổ biến thứ 2, một “con” virus (dưới dạng một file .exe) giả dạng làm một thư mục hay file quen thuộc của bạn. Virus ngụy trang bằng cách mang trong mình icon của folder/file y hệt như icon thật, điều đó làm bạn dễ nhầm lẫn double click vào icon này. Sau khi bạn click, chẳng có thư mục hay file nào được mở ra cả, tất cả những gì bạn làm là đã thực thi 1 file .exe — vậy là máy của bạn nhiễm virus.

Phòng chống

Các động tác cơ bản

Trước hết bạn cần nhớ rằng nếu bạn đang sử dụng một tài khoản giới hạn (limit account) của Windows thì virus sẽ khó mà lộng hành được gì. Bởi vì mọi ngõ ngách đều bị khóa đối với limit account. Do đó tốt nhất bạn nên tạo một tài khoản giới hạn bên cạnh tài khoản quản trị của mình, login vào tài khoản giới hạn này và yên tâm làm việc với các USB Drive (tất nhiên nếu máy tính của bạn đã bị nhiễm virus rồi thì việc này thật vô nghĩa).
Trước khi bắt đầu với đám virus, chúng ta nên có một số thao tác đón đầu trước để cuộc sống dễ dàng hơn:

  • Vào My Computer, chọn menu Tool > Folder Options…
  • Chọn trong cửa sổ Folder Options chọn tab View, cuộn thanh cuộn xuống 1 chút và cấu hình như sau:

Tôi sẽ giải thích chuyện này:

  • Chọn Show hidden files and folders để hiển thị các file ẩn (hidden file) ra, bởi vì lẽ dĩ nhiên các virus tự ẩn mình đi.
  • Bỏ chọn Hide extensions for known file types để hiển thị đuôi (vd .exe .doc .txt) cho tất cả các file. Chút nữa đọc xuống dưới bạn sẽ hiểu tại sao lại làm vậy.
  • Bỏ chọn Hide protected operating system files để hiển thị những file hệ thống quan trọng. Bạn sẽ thấy là mục này được đánh mác Recommended, tức là khuyến cáo là nên chọn chứ không nên cho hiện hết ra. Cũng đúng thôi, vì sau khi chọn mục này, bạn sẽ thấy xuất hiện nhiều file hệ thống lờ mờ trên khắp các ổ cứng của mình, nếu không may xóa phải các file này thì rất có thể máy của bạn sẽ gặp rắc rối. Tuy nhiên các virus cũng tự ngụy trang mình bằng cách “ban” cho nó làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục này. Nhớ: không xóa bất kỳ file nào loại này mà bạn chưa chắc chắn là virus.

Được rồi, bây giờ chúng ta đi vào chi tiết.

Phòng chống Autorun

Khi cắm một USB Drive đã bị nhiễm virus vào máy tính, có thể không cần bạn làm gì tiếp theo cả, mọi thứ sẽ được nhanh chóng thực thi, virus nhanh chóng nhiễm luôn vào máy tính.

  1. Do đó động tác đầu tiên cần thực hiện là đè phím Shift bên trái cho đến khi Windows báo là nhận xong phần cứng là USB Drive bạn cắm vào. Nếu USB Drive của bạn đã được máy tính nhận diện trước đó, bạn nên đè Shift đủ lâu trước và sau khi cắm USB Drive. Động tác này báo cho Windows hoãn không thực thi lệnh autorun (nếu có).
  2. Tiếp theo, bạn kiểm tra xem USB Drive vừa cắm vào có tính chuyện autorun trên máy của bạn hay không. Việc kiểm tra khá đơn giản nhưng bạn cần cẩn thận đừng double click lung tung, vì việc double click vào một ổ đĩa autorun đồng nghĩa với việc thực thi autorun này.
    Bạn chỉ cần vào My Computer hay Explorer, click chuột phải vào ổ USB Drive mà bạn muốn xem. Nếu menu hiện ra có dòng AutoPlay (đầu tiên) thì ổ đĩa này có chứa những thông tin autorun.
    Ngược lại, nếu ổ đĩa không có thông tin autorun thì thủ tục mặc định là Open.
  3. Nếu trên USB Drive có Autorun, chúng ta xem xét kỹ hơn liệu đây có là virus. Bạn click chuột phải lên ổ USB Drive này và chọn Open, hoặc dùng frame bên trái của Explorer (nhớ: không double click). Nếu bạn thấy có nhiều file ẩn trong ổ đĩa (những file mờ), đây là dấu hiệu virus đầu tiên.
  4. Bạn tìm đến file autorun.ini hay antorun.inf và mở nó lên (đây là file text nên bạn double click thoải mái, hoặc click chuột phải rồi open). Nội dung file này có dạng kiểu như:

    Bạn chú ý đến dòng
    open=gì gì đó.exe
  5. Trở lại với My Computer, lần theo tên file này trong USB Drive, bạn sẽ thấy 1 file thực thi. Nếu file này được ẩn đi và có vẻ mờ ám (không có icon, size nhỏ, properties về nhà phát hành không rõ ràng…) thì 99% đây là virus. Bạn có thể xóa file .exe này đi, và xóa luôn cả file autorun. Hoặc nếu muốn, bạn có thể đưa tên file hoặc/và chụp ảnh màn hình USB Drive của bạn đưa lên đây để mọi người giúp bạn. Các file ẩn còn lại (nếu có) bạn cũng có thể xóa đi (đặc biệt là file .exe).

Bây giờ bạn cẩn thận thực hiện lại các bước 1-5 đối với tất cả các ổ cứng để xem máy của mình đã bị nhiễm virus loại này chưa.

Nhớ: Nếu có thì bạn đừng xóa gì cả, chuyển xuống đọc bài 2: Cách diệt Virus.

Phòng chống Fake icon

Mỗi chương trình, mỗi loại file mang trên mình mỗi icon, muôn hình vạn trạng, bạn thấy đó:

Vấn đề là nếu một chương trình virus mang icon của một folder/file khác, thật khó phân biệt và người dùng dễ nhầm lẫn double click thực thi chương trình này. Mặc định, Windows giấu đi phần đuôi của những chương trình, file đã biết. Vd: file STARTUP.exe được hiển thị trong My Computer chỉ còn là STARTUP. Nếu file này mang icon của một thư mục, thật khó phân biệt. Chẳng hạn như ở hình dưới, bạn cứ ngỡ STARTUP là một thư mục:

Nhưng nếu bạn cho hiện hết đuôi các file ra (xem lại Các động tác cơ bản), thì các file này “loài đuôi” ra ngay là file thực thi:

Bạn cũng có thể xem file ở dạng Details (chọn menu Views > Details), lúc này hãy chú ý đến sự khác biệt giữa một thư mục (folder) và ứng dụng (application):

  • Ở cột Type, ứng dụng được gọi là Application còn thư mục là File Folder.
  • Ở cột Size, ứng dụng có size còn thư mục thì không.
    Cần lưu ý, các virus còn giả danh các file thường dùng, như file text (.txt), file word document (.doc), file ảnh (.jpg) v.v.

Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại này không, bạn có thể truy cập vào USB, bật chế độ hiện hết các đuôi file và chú ý đến các đuôi .exe. Hoặc cũng có thể view ở chế độ details và chú ý đến các Application. Nếu gặp các virus loại này? Hãy xóa thẳng tay.
Bây giờ bạn thử dạo qua một vòng ổ cứng của mình và một vài thư mục con để kiểm tra xem máy đã bị nhiễm virus loại này chưa.

Tóm lại

Tóm lại, để phòng chống virus:

  1. Khi đưa USB Drive vào nhớ đè phím Shift bên trái để tránh autorun.
  2. Kiểm tra xem ổ USB Drive có autorun hay không bằng cách click chuột phải.
    Nếu có: xóa các file autorun và file .exe tìm thấy.
  3. Kiểm tra xem có các file .exe giả mạo icon hay không bằng cách xem đuôi file.

kỳ sau: Cách diệt virus

7 responses to “Phòng chống Virus Autorun lây lan qua USB Flash Drive

  1. Pingback: Vô hiệu hóa chức năng autorun để phòng ngừa virus « Hoang Huynh on WordPress

  2. Pingback: Cách diệt Virus lây lan qua USB Flash Drive [3] « Hoang Huynh on WordPress

  3. Mọi cách này đều hay nhưng với những người hiêu biết về máy tính họ còn để ý chứ mấy người văn phòng giáo viên, những người chỉ dùng USB cop tài liệu ko hiểu biết toàn làm lây nhiễm Virus mà số lượng người này chiếm đa số vì vậy mình nghĩ cần một cao thủ Lập chương trình đơn giản thui cắm USB vào tự động xoá file Autorun.inf và file Exe mà file đó gọi nếu có và mở USB dưới dạng Folder như thế dễ hơn vì rất nhiều người do không hiểu hoặc vội vàng là bấm kép lun!!

  4. Sao bạn lại gắn liền nhân viên văn phòng với giáo viên thế nhỉ🙂 .
    Về ý tưởng của bạn, tôi nghĩ không có cao thủ nào viết cái chương trình đó tốt hơn là Symantec hay McAfee cả. Và họ cũng đã viết rồi. Tôi thấy nếu dùng máy tính mà không có kỹ năng sử dụng thiết yếu thì vin vào cả chục chương trình anti-virus và tin rằng mình an toàn thì thật là nguy hiểm. Cái tôi muốn nói là ý thức của người dùng, như kiểu thế này.

  5. Bác ới máy em nó khóa luôn cả run rồi sao làm nhưng bác nới được đó là chứa nói đến vụ nó khóa luôn cả turn off system trong Manage Computer đó!
    Bác chỉ em làm sao “bắt hết cái lũ virus này cái” nó chơi ác quá!
    Có gì bác vô blog hoikhoahoc.info của em PMMm nha!
    làm ơn giúp em!

  6. nè pác ơi USB của em có 1 folder duy nhất dẫn vào các file quan trọng em làm theo các bước mà pác chỉ thì nó hiện 2 file autorun em liền xoá nó đi hôk bít em làm thế đúng hay sai

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s