Phương pháp phát hiện và phòng tránh virus !!!
Đây là lần đầu tiên post bài nên mong mọi người thông cảm và bỏ qua cho nếu có sai
sot trong bài.
I) Khái niệm về virus
Virus máy tính là một chương trình máy tính có khả năng tự sao chép từ đối tượng
lây nhiễm này sang đối tượng lây nhiễm khác.
Malware (Malicious Software) là phần mềm xâm nhập, hoạt động trên hệ thống mà
không được sự cho phép của người sử dụng.
II) Cơ chế hoạt động của virus
Ví dụ:đơn giản với một chương trình virus biểu hiện dòng chữ “Hello”. Cách thực hiện
của con virus này như sau:
1. Xóa màn hình.
2. Hi
ện dòng chữ “Hello”.
3. Kết thúc.
Và đây là cơ chế hoạt động của virus:
0. Nhảy tới bước 4
1. Xóa màn hình
2. Hi
ện dòng chữ “Hello”
3. Kết thúc.
4. Kiểm tra ngày tháng, gây tác hại nếu đúng ngày?
5. Tìm các File khác, copy các b
ước 0,4,5,6 vào file tìm được.
6. Quay lại bước 1.
III) Các loại virus
1. Virus (File, Boot)
2. Macro
3. Trojan
4. Worm
5. Spyware (Ph

ần mềm gián điệp)
6. Adware (Phần mềm quảng cáo bất hợp pháp)
7. Rootkit
_Virus Boot: những virus lây vào Boot sector. Các Virus Boot sẽ được thi hành mỗi
khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên. (BleahC)
_Virus File: Nh
ững virus lây vào những file chương trình, phổ biến là trên hệ điều
hành Windows như các file có đuôi mở rộng : .com, .exe, .bat, .pif, .sys …. (CIH,
Pinfi…)
_Virus Macro: là lo
ại virus lây vào những file văn bản (Word), file bảng tính (Excel)
hay các file trình diễn (PowerPoint) trong bộ Microsoft Office.
Con ngựa Thành Tơ-roa – Trojan Horse: khac với virus, Trojan là một đoạn mã
chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN. (BackDoor, Botnet)
_Worm – sâu Internet: Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm
của Trojan, và hơn hết là tốc độ lây lan đáng sợ. Thường thì Worm lây qua Email, lây
qua l
ỗ hổng phần mềm (Windows, IE), lây qua chat và cuối cùng là lây qua hệ thống
mạng Lan
Spyware, Adware: ăn trộm thông tin, thay đổi thông số tr
ình duyệt, hiện các Pop-up
qu
ảng cáo… (Rootkit)
Những con đường lây lan virus máy tính
-Qua Email
-T
ải file từ Internet
-Copy và chạy file từ đĩa CD, USB và các thiết bị lưu trữ khác.
-Qua mạng nội bộ (LAN)
-Qua lỗ hổng phần mềm

-Để kiểm tra sơ bộ xem máy tính của mình có bị lây nhiễm virus hay chưa thì mình
s
ẽ sử dụng một số chương trình để kiểm tra. Đa số chương trình kiểm tra đều căn cứ
vào bộ thông số registry để kiểm tra vậy tại sao mình không vào thẳng trong đó
kiểm tra lun nhỉ
- Tuy nhiên trước khi thao tác trong registry thì bạn cần nên export bộ registry ngon
lành ra trước để khi m
ình vào đó có bị làm sao thì còn có cái để mà import ngược lại.
Thường
thì virus hay có những chương trình khởi động cùng hệ điều hành cho nên
chúng ta vào đường dẫn sau để rà soát:
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Startup Folder
o Các services, drivers
o …
Nh
ững chương trình được nạp cùng Windows Explorer
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar
edTaskScheduler
o HKLM\SOFRWARE\Microsoft\Windows\CurrentVersion\Explorer\Shel lExecuteHooks
o …
Nh
ững chương trình nạp cùng Internet Explorer
o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Help
Objects
o HKCU\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
o …
IV) Cách xử lý virus:
A. Xử lý máy tính bị nhiễm virus lây USB

a) Một virus lây USB thông thường có thể hoạt động như sau:
o Copy vào một thư mục trên hệ thống
o Ghi vào 1 trong các key run, tạo services hoặc startup folder… để khởi động cùng
h
ệ điều hành.
o Thường thì nằm trong những key này:
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• Startup Folder
• Các services, drivers
o Copy file virus và file autorun.inf vào USB
Ví d
ụ:
[Autorun]
Open=SCVHSOT.exe
Shellexe cute=SCVHSOT.exe
Shell\Open\command=SCVHSOT.exe
Shell=Open
o Người sử dụng khi double click vào USB thì lệnh trong file Autorun.inf sẽ được thực
thi  virus tiếp tục lây lan
b) Cách xử lý:
Trước khi chống lại chúng th
ì chúng ta phải phòng ngừa chúng trước. Cách phòng
ng
ừa như sau:
Tải chương trình quản lý USB và copy vào trong USB của
mình />Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và
xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là JACKY
Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start -> Run, sau
đó gõ convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS. Lưu ý, nếu ổ

USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu
không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được.
(tuy nhiên không nên sử dụng bước này vì dễ dẫn đến hiện tượng phải ra tiệm mua
usb mới )
Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng được và
copy vào thư mục gốc của ổ đĩa USB của bạn.
Bước 4: Click chuột phải v
ào file autorun.inf bạn vừa tạo và chọn thuộc tính cho file
này là read-only, bạn cũng có thể chọn thêm hidden.
Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách Click
vào Start -> Run, sau đó gõ cacls autorun.inf /D Everyone. Ví dụ như bạn sẽ gõ cacls
E:autorun.inf /D Everyone
T
ất nhiên là không thể nói là an toàn với tất cả các loại virus USB, nhưng phương
pháp này cũng phần nào giúp cho USB của bạn an toàn trước đại đa số chuyên lây
qua USB hi
ện nay. Và hơn hết, hãy cài lên máy của mình một chương trình diệt virus
đáng tin cậy, đặc biệt nên có tính năng tự động cập nhật thường xuy
ên
Các bước 3+4+5 có thể làm tắt bằng cách sử dụng một chương trình cho phép mình
t
ạo sẵn các file autorun đánh lừa. Đó chính là chương trình FixAuto
B
ạn tải chương trình này về sau đó cho chạy file FixAuto.exe để sửa lỗi.
Click this bar to view the small image.
Sau khi tắt chức năng Autorun chúng ta dùng click chuột phải Start chọn Explorer.
Sau khi vào Windows Explorer chúng ta dùng console tree để mở USB ra (chú ý hạn
chế mở USB bằng cách double click vào thẳng USB) sau khi vào được USB, chúng ta
làm tiếp tục như hình sau:
Sau khi đã mở thuộc tính ẩn, chúng ta sẽ thấy xuất hiện file autorun.inf và một số

file có thuộc tính mờ thì chắc chắn là USB của chúng ta đã bị nhiễm virus. Click chuột
chọn những file đó bấm tổ hợp phím Shift+Del. Đối với file autorun.inf thì chúng ta
th
ực hiện như sau: click chuột phải chọn Open with và chọn Notepad. Sau đó xem
trong file đó coi trong đó có dòng lệnh nào chạy file lạ nào hay không. Nếu không có
thì chưa chắc USB của bạn đã bị nhiễm virus. Chúng ta không nên xóa file này và
hãy b
ảo vệ usb của mình bằng phương pháp mà mình đã hướng dẫn ở bên trên.
Ngoài ra chúng ta có th
ể dùng những chương trình diệt virus tin cậy bên ngoài để có
thể phát hiện những virus khó bảo. Có thể liệt kê được những phần mềm có thể diệt
được các file tự chạy trong usb như Mcafee, Bitdefender, Kaspersky, Nod32,
Bkav…
Ngoài những cách trên ra chúng ta còn có thể đánh lừa những virus bằng cách tạo y
chang những file có trùng tên với loại virus đó ví dụ như : setup.exe, music.exe và
cũng đặt cho chúng những thuộc tính chỉ đọc (Read Only) để có thể đánh lừa được
virus. Khã dĩ khi virus xâm nhập vào trong usb, điều đầu tiên mà virus làm là kiểm
tra xem trong usb đó có chứa những file đó chưa. Nếu chưa có chúng sẽ thực hiện
tiếp những thao tác copy vào USB. Chúng ta lợi dụng điều đó và đánh lừa chúng.
Phương pháp này cũng khá hữu ích đối với những loại virus hiện nay như kavo.exe
,…. (theo kinh nghiệm xương máu của mình đó. hehe )
Click this bar to view the small image.