Các tiện ích bảo mật hỗ trợ miễn phí của Kaspersky
Trong bài viết sau đây, Quản Trị Mạng sẽ giới thiệu với các bạn những công
cụ hỗ trợ miễn phí, được nghiên cứu và phát triển bởi Kaspersky Lab – đặc
biệt tỏ ra hữu ích trong những trường hợp gần như “không thể cứu chữa” khi
người sử dụng gặp phải.

Kaspersky Virus Removal Tool

Được tạo ra để xóa bỏ tất cả những file đã bị lây nhiễm khỏi hệ thống. Phiên bản
mới nhất hiện nay là 9.0.0.722, với dung lượng khoảng 71.5 MB. Kaspersky Virus
Removal Tool 2010 được áp dụng những công nghệ nhận dạng hiểm họa tiên tiến
nhất của Kaspersky Anti Virus và AVZ. Việc sử dụng công cụ này thường chỉ áp
dụng trong những trường hợp khẩn cấp, và đây chỉ là phương án bảo mật dự
phòng. Sau khi loại bỏ các mối hiểm họa trên bất cứ 1 máy tính nào, các bạn cần
ngừng sử dụng công cụ này và cài đặt ứng dụng bảo mật khác vào hệ thống.

Các ưu điểm:
- Giao diện đơn giản, dễ sử dụng
- Có thể cài đặt vào các máy tính bị lây nhiễm, dù ở bất cứ mức độ nào. Có hỗ trợ
chế độ Safe Mode
- Kết hợp được chức năng quét và phòng chống sự lây lan trong hệ thống, phát
hiện các dấu vết và phân tích quá trình hoạt động
- Thu thập thông tin từ hệ thống và các hành động của mã độc để phòng tránh quá
trình lây nhiễm tiếp tục xảy ra

Những chức năng chính:
- Xóa bỏ virus, Trojan, worm, các module Spyware, adware theo chế độ tự động
hoặc thông thường
- Tiêu diệt tất cả các dòng rootkit phổ biến hiện nay

Yêu cầu tối thiểu của hệ thống:

- Dung lượng trống của ổ cứng tối thiểu 80 MB, có kết nối Internet
- Microsoft Windows 2000 Professional (Service Pack 4 hoặc cao hơn)
- Microsoft Windows XP Home Edition (Service Pack 2 hoặc cao hơn)
- Microsoft Windows XP Professional (Service Pack 2 hoặc cao hơn)
- Với những hệ điều hành trên thì phần cứng tối thiểu như sau CPU Intel Pentium
300 MHz, RAM 256 MB
- Microsoft Windows Vista Home Basic (32-bit)
- Microsoft Windows Vista Home Premium (32-bit)
- Microsoft Windows Vista Business (32-bit)
- Microsoft Windows Vista Enterprise (32-bit)
- Microsoft Windows Vista Ultimate (32-bit)
- Phần cứng áp dụng với những hệ điều hành trên là CPU Intel Pentium 800 MHz
32-bit (x86), RAM 512 MB
- Microsoft Windows 7 Home Premium (32/64 bit)
- Microsoft Windows 7 Professional (32/64 bit)
- Microsoft Windows 7 Ultimate (32/64 bit)
- Yêu cầu phần cứng CPU Intel Pentium 1 GHz 32-bit (x86) / 64-bit(x64), và
RAM 1 GB (32-bit) hoặc 2 GB (64-bit)

RectorDecryptor

Được áp dụng với loại mã độc Trojan-Ransom.Win32.Rector, phiên bản mới
nhất là 2.3.0.0, dung lượng nhỏ nhẹ, chỉ 188 KB. Tin tặc chủ yếu sử dụng mẫu
Trojan-Ransom.Win32.Rector để gây ảnh hưởng đến quá trình hoạt động bình
thường của máy tính nạn nhân, chỉnh sửa trái phép dữ liệu để người sử dụng không
thể truy cập được. Khi những dữ liệu này đã bị thay đổi (người dùng không thể
truy cập được nữa) thì họ sẽ nhận được những thông điệp từ phía tin tặc yêu cầu họ
cung cấp thông tin cá nhân hoặc 1 dạng phí như “tiền chuộc” - để đổi lại, họ có thể
sẽ nhận lại được dữ liệu gốc. Ứng dụng RectorDecryptor được các chuyên gia bảo

mật của Kaspersky nghiên cứu và phát triển, rât dễ sử dụng (vì chương trình có
giao diện đồ họa), người dùng chỉ việc tải về từ đường dẫn trên, giải nén và 1 thư
mục bất kỳ trên ổ cứng và chạy file RectorDecryptor.exe:

Bấm nút Start scan để bắt đầu quét, ứng dụng sẽ tìm kiếm tất cả những file đã bị
mã hóa và giải mã chúng. Chọn Delete crypted files after decryption để xóa tất
cả các bản sao của file mã hóa với phần đuôi mở rộng như vscrypt, .infected, .bloc,
.korrektor … Khi hoàn tất quá trình này, chương trình sẽ tạo ra file log ghi lại toàn
bộ chi tiết hoạt động tại ổ hệ thống (thông thường là ổ C) dưới dạng
UtilityName.Version_Date_Time_log.txt, ví dụ như
C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

Về bản chất, mẫu Trojan-Ransom.Win32.Rector thường chỉ nhắm vào những file
có phần mở rộng là .jpg, .doc, .pdf, .rar. Sau đó, tin tặc sẽ liên lạc với nạn nhân để
giải mã dữ liệu qua nickname ††KOPPEKTOP†† hoặc thông tin sau:
ICQ: 557973252 or 481095
EMAIL:
Hoặc địa chỉ website sau:
http://trojan sooot.cn/
http://malware 66ghz.com/
Những thông tin này được hiển thị trên màn hình desktop máy tính của nạn nhân.
TDSSKiller

Đây là “thuốc đặc trị” dòng mã độc Rootkit.Win32.TDSS, phiên bản mới nhất
2.4.2.1, dung lượng nhỏ - 1.13 MB, các bạn có thể tải trực tiếp tại đây. Dòng
Rootkit.Win32.TDSS bao gồm các biến thể khác nhau như Tidserv, TDSServ,
Alureon … khi những Rootkit này xâm nhập thành công vào máy tính người sử
dụng, hệ thống sẽ rất khó loại bỏ chúng, ngay cả khi được sự hỗ trợ của các sản
phẩm của Kaspersky Lab. Về cách thức cơ bản, TDSSKiller sẽ thay thế người sử
dụng can thiệp vào Registry để sửa lại những khóa đã bị thay đổi. Đối với những

máy tính sử dụng Windows, thuật ngữ rootkit được dùng để chỉ về 1 loại chương
trình đặc biệt có thể “chui” vào tất cả các hàm hệ thống (Windows API). Bằng việc
xâm nhập và chỉnh sửa lại những hàm chức năng ở mức thấp này – những loại mã
độc khác có thể ẩn mình dễ dàng hơn, can thiệp vào những tiến trình của hệ điều
hành, che giấu thư mục, file dữ liệu, chỉnh sửa registry … TDSSKiller rất đơn
giản, dễ sử dụng vì có giao diện đồ họa, hỗ trợ tốt hệ điều hành Windows 32 và 64
bit. Để sử dụng, các bạn tải trực tiếp từ đường dẫn trên, giải nén vào thư mục bất
kỳ trên ổ cứng và chạy file TDSSKiller.exe:

Nhấn nút Start Scan để bắt đầu quét toàn bộ hệ thống, chương trình sẽ rà soát và
phát hiện tất cả những đối tượng, file … bị lây nhiễm. Kết quả được chia ra làm 2
nhóm chính: malicious (được nhận dạng) và suspicious (không thể nhận dạng). Khi
quá trình quét kết thúc, chương trình sẽ hiển thị danh sách những đối tượng phát
hiện với thông tin chi tiết cụ thể. Với malicious objects chương trình sẽ tự động áp
dụng cách thức Cure hoặc Delete, với suspicious objects thì người dùng sẽ tự áp
dụng phương pháp (mặc định của chương trình là Skip). Hoặc các bạn có thể chọn
Quarantine để cách ly hoàn toàn đối tượng bị lây nhiễm, chúng sẽ được lưu vào
thư mục trên ổ hệ thống, ví dụ C:\TDSSKiller_Quarantine\23.07.2010_15.31.43

Sau khi bấm Next, chương trình sẽ áp dụng các phương pháp người dùng lựa chọn
và sau cùng là hiển thị kết quả. Các bạn nên khởi động lại máy tính để hoàn tất quá
trình:

File log này thường được lưu tại ổ hệ thống với dạng
UtilityName.Version_Date_Time_log.txt. Ví dụ ở đây là
C:\TDSSKiller_Quarantine\23.07.2010_15.31.43

Triệu chứng của máy tính bị nhiễm loại Rootkit.Win32.TDSS (thế hệ thứ nhất -
TDL1 và thứ 2 – TDL2), với những người có nhiều kinh nghiệm họ sẽ cố gắng
theo dõi dấu vết của các hàm chức năng sau: IofCallDriver, IofCompleteRequest,

NtFlushInstructionCache, NtEnumerateKey, NtSaveKey, NtSaveKeyEx bằng
việc sử dụng tiện ích Gmer:

Với những may tính bị lây nhiễm bởi Rootkit.Win32.TDSS thế hệ thứ 3 (TDL3),
chúng thường xuyên “bám” vào file driver hệ thống atapi.sys và thay thế đối tượng
device nguyên bản trong đó:

KidoKiller

Cái tên Kido chắc cũng không quá xa lạ với cộng đồng người sử dụng máy tính,
với tên nguyên bản là Net-Worm.Win32.Kido (hoặc còn gọi là Conficker,
Downadup), chúng chủ yếu tấn công vào những máy tính sử dụng hệ điều hành
Microsoft Windows dựa trên nền tảng workstation và server.

Những đặc điểm dễ nhận thấy nhất của dòng Net-Worm.Win32.Kido này là chúng
tự tạo ra file autorun.inf và RECYCLED\{SID< >}\tên_ngẫu_nhiên.vmx trên các
thiết bị lưu trữ di động, hoặc trên các thiết bị lưu trữ và chia sẻ dữ liệu trong mạng
nội bộ, mặt khác chúng tự lưu trữ trên hệ thống dưới dạng file DLL với tên bất kỳ,
ví dụ như sau c:\windows\system32\zorizr.dll. Tự tạo ra các dịch vụ hệ thống với
tên gọi ngẫu nhiên, ví dụ knqdgsm. Đồng thời, chúng cố gắng tấn công và xâm
nhập vào hệ thống máy tính qua cổng 445 hoặc 139 bằng lỗ hổng MS Windows
MS08-067, mặt khác chúng cố gắng dò ra địa chỉ IP chính xác của máy tính bằng
địa chỉ sau:
-
-
-
-
-
Tiếp đến là những dấu hiệu của hệ thống mạng, với lưu lượng dữ liệu tăng đột
biến, bắt nguồn từ máy tính bị lây nhiễm. Các chương trình bảo mật sẽ kích hoạt

chế độ Intrusion Detection System để thông báo về lỗ hổng
Intrusion.Win.NETAPI.buffer-overflow.exploit. Và dễ nhận biết nhất là máy tính
không thể truy cập vào website của các công ty bảo mật như: avira, avast, esafe,
drweb, eset, nod32, f-secure, panda, kaspersky … và do vậy, các bạn không thể
kích hoạt bản quyền các ứng dụng bảo mật qua Internet, rất hay gặp là trường hợp
của Kaspersky (không ít khách hàng gặp phải tình huống này và cho rằng key kích
hoạt không thích hợp, không đúng hoặc nhà cung cấp gửi sai mã cho họ). Nhưng
đối với hệ điều hành “cổ” như MS Windows 95, MS Windows 98 hoặc MS
Windows ME thì không bị ảnh hưởng bởi Kido. Để hạn chế những lỗ hổng có trên
hệ thống – qua đó Kido dễ dàng khai thác và xâm nhập, các chuyên gia bảo mật
của Microsoft yêu cầu người dùng áp dụng các bản vá lỗi sau đây: MS08-067,
MS08-068 và MS09-001.

Mặt khác, người sử dụng nên trang bị mật khẩu bảo vệ đủ dài và khó đoán (tối
thiểu 6 ký tự và không chứa thông tin có liên quan đến bản thân như ngày sinh
nhật, số điện thoại, địa chỉ … ), tắt bỏ tính năng autorun của hệ thống, tải
KidoKiller từ đường dẫn trên, giải nén vào bất cứ thư mục nào trên ổ đĩa và chạy
file kk.exe, chặn các truy cập đến cổng TCP 445 và 139 trong mục firewall. Sau
khi quét bằng kk.exe kết thúc, các bạn có thể giải phóng truy cập đến 2 cổng trên
như bình thường.

Nếu trên máy tính có cài đặt những ứng dụng sau:
- Kaspersky Internet Security 2009;
- Kaspersky Anti-Virus 2009;
- Kaspersky Internet Security 7.0;
- Kaspersky Anti-Virus 7.0;
- Kaspersky Internet Security 6.0;
- Kaspersky Anti-Virus 6.0;
- Kaspersky Anti-Virus 6.0 for Windows Workstations;
- Kaspersky Anti-Virus 6.0 SOS;

- Kaspersky Anti-Virus 6.0 for Windows Servers.
Thì hãy tắt tính năng File Anti-Virus (hoặc là Disable tạm thời Kaspersky) rồi mới
kích hoạt kk.exe.

SalityKiller

Nhiều người hay gọi đâylà “con virus” chuyên “ăn” những file *.exe trong hệ điều
hành Windows, triệu chứng dễ nhận thấy nhất là người dùng không thể sử dụng
được các file *.exe như bình thường, và biểu tượng của chúng bị biến đổi về mẫu
Classic. Công cụ SalityKiller hoạt động hiệu quả đối với những mẫu Sality sau
Virus.Win32.Sality.aa, Virus.Win32.Sality.ag và Virus.Win32.Sality.bh.

Nếu máy tính bị lây nhiễm nằm trong mô hình mạng local và thuộc domain: trước
tiên, các bạn cần tải SalityKiller.zip, giải nén vào thư mục bất kỳ nào đó và chạy
file SalityKiller.exe trên từng máy tính trên hệ thống (có thể áp dụng bằng
Kaspersky Administration Kit hoặc server group policy). Sau đó xóa bỏ hoàn toàn
các khóa registry bị thay đổi bằng công cụ sau Sality_RegKeys.zip, giải nén và
chạy file Disable_autorun.reg:

Sau khi quá trình quét trên kết thúc, chạy tiếp các file reg tương ứng với các hệ
điều hành từ file nén Sality_RegKeys.zip trên:

- với Windows 2000 - SafeBootWin200.reg
- với Windows XP - SafeBootWinXP.reg
- với Windows 2003 - SafeBootWinServer2003.reg
- với Windows Vista / 2008 - SafebootVista.reg
- với Windows 7 / 2008 R2 - SafebootWin7.reg

Với những máy tính độc lập (không thuộc hệ thống mạng local nào), thì trước tiên
các bạn cần tắt bỏ chức năng iSwift and iChecker của những ứng dụng Kaspersky

sau:

- Kaspersky Anti-Virus 7.0
- Kaspersky Internet Security 7.0
- Kaspersky Anti-Virus 6.0
- Kaspersky Internet Security 6.0
- Kaspersky Anti-Virus 2009;
- Kaspersky Internet Security 2009;
- Kaspersky Anti-Virus 2010;
- Kaspersky Internet Security 2010;
- Kaspersky Anti-Virus 2011;
- Kaspersky Internet Security 2011;
- Kaspersky PURE;
- Kaspersky Anti-Virus 6.0 for Windows Workstations
- Kaspersky Anti-Virus 6.0 SOS
- Kaspersky Anti-Virus 6.0 for Windows Servers