Đồ án Virus máy tính
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án Virus máy tính", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- do_an_virus_may_tinh.doc
Nội dung text: Đồ án Virus máy tính
- Đồ án Virus Trường cao đẳng nghề Ispace Lời mở đầu Với sự ra đời của những chiếc máy vi tính đầu tiên, ngành công nghệ thông tin đã để lại một cột mốc to lớn trong lịch sử phát triển khoa học công nghệ của loài người. Theo thời gian cùng sự cải tiến không ngừng nghỉ, ngày nay mọi người đều có thể dễ dàng sở hữu một chiếc máy tính gọn nhẹ, hợp thời trang và cực kỳ đa dụng trong công việc. Trên nền cấu trúc phần cứng luôn được cải thiện đó là một cuộc đua đầy màu sắc của các công ty phát triển hệ điều hành và các phần mềm tiện ích khác phục vụ các nhu cầu khác nhau. Tuy nhiên, bên cạnh các phần mềm cực kỳ hữu ích, là các phần mềm được tạo ra với các mục đích xấu phục vụ cho 1 người hoặc 1 nhóm người có khả năng hiểu biết công nghệ thông tin. Ngày nay, sự phát triển các phần mềm đó gần như rầm rộ, sự đơn giản hoá về mặt giao diện làm cho ngay cả những người ít hiểu biết về kỹ thuật vẫn có thể dễ dàng sử dụng để phục vụ các ý đồ xấu của bản thân hay tổ chức. 1983, khái niệm virus máy tính được đưa ra tại Đại học miền nam California, chỉ định tất cả những phần mềm có tính chất phá hoại máy tính cũng như đánh cắp thông tin cho mục đích xấu. Và để hiểu rõ ràng hơn về vấn đề trên, nhóm chúng tôi đã đi sâu nghiên cứu và thực hiện đồ án “VIRUS MÁY TÍNH”, nhằm đem lại một kiến thức chính xác về hình ảnh “virus máy tính”, các mối ngay hại thực sự, cũng như cách phòng chống và khắc phục đối với 1 số loại phổ biến hiện nay. Nhóm chúng tôi hy vọng với đề tài trên, khái niệm virus máy tính sẽ trở nên sáng rõ với người dùng, mang lại những kiến thức nền tảng cơ bản hữu ích giúp người dùng có thể phòng chống và vô hiệu, nhằm tránh các tái hại khó lường do virus mang lại. Vì các lý do khách quan, đồ án này có thể vẫn còn nhiều khiếm khuyết, chúng tôi mong nhận được sự phản hồi tích cực từ người đọc để giúp chúng tôi hoàn chỉnh nhằm loại bỏ những hành vi xấu, góp phần vào sự phát triển có ích của xã hội. Xin chân thành cảm ơn! Nhóm 01 Trang 1
- Đồ án Virus Trường cao đẳng nghề Ispace NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Giảng viên hướng dẫn (Ký tên) Nhóm 01 Trang 2
- Đồ án Virus Trường cao đẳng nghề Ispace MỤC LỤC Phần I: Sơ lược về virus máy tính Trang 4 I. Quá trình hình thành và phát triển Trang 4 II. Đặc điểm một số loại virus thông dụng Trang 7 III. Cách phòng chống virus Trang 13 Phần II: Phương thức lây lan của virus máy tính Trang 17 I. Lây lan theo cách cổ điển Trang 17 II. Lây lan qua chương trình chat trực tuyến Trang 20 III. Lây lan qua truy cập web Trang 20 IV. Lây lan qua sử dụng email Trang 22 Phần III: Xử lý sự cố đặc trưng Trang 23 I. Tình huống Trang 23 II. Xử lý tình huống Trang 23 Tài liệu tham khảo Trang 29 Nhóm 01 Trang 3
- Đồ án Virus Trường cao đẳng nghề Ispace PHẦN I: SƠ LƯỢC VỀ VIRUS MÁY TÍNH I. Quá trình hình thành và phát triển: Có nhiều quan điểm khác nhau về lịch sử của virus máy tính. Ở đây chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus: Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính. Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus. Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II. Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay. Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây là loại "stealth virus" đầu tiên. Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS. Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh". Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm). Nhóm 01 Trang 4
- Đồ án Virus Trường cao đẳng nghề Ispace Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome). Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton. Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus. Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư này để tạo ra sự luân chuyển. Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook, Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point. Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của Nhóm 01 Trang 5
- Đồ án Virus Trường cao đẳng nghề Ispace máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính. Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù. Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút. Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích. Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ. Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất Nhóm 01 Trang 6
- Đồ án Virus Trường cao đẳng nghề Ispace như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình. II. Đặc điểm của một số loại virus thông dụng: a. Virus boot Những virus lây lan vào boot sector của ổ đĩa khởi động. Các Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên. * Dấu hiệu nhận biết: Dấu hiệu phát hiện là thấy tổng số byte của bộ nhớ quy ước thấp hơn 640 Kb. b. Virus file Những virus lây lan qua các chương trình thực thi của Windows như .com, .exe, .bat, .pif, .sys Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn để lây vào. Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?". Câu trả lời nằm ở lịch sử phát triển của virus máy tính. Như bạn đã biết qua phần trên, mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File. Tuy nhiên bạn cũng không phải quá lo lắng về loại virus này vì thực tế các loại virus lây file ngày nay cũng hầu như không còn xuất hiện và lây lan rộng nữa. Khi máy tính của bạn bị nhiễm virus lây file, tốt nhất là bạn nên diệt virus trong chế độ Safe Mode của hệ điều hành vì ở chế độ này, hệ điều hành (Windows ) chỉ nạp những dịch vụ tối thiểu nhất nên có thể hạn chế được khả năng thường trú, lây lan của virus. * Dấu hiệu nhận biết: Nhóm 01 Trang 7
- Đồ án Virus Trường cao đẳng nghề Ispace Dấu hiệu phát hiện là kích thước của file tăng lớn hơn thường lệ. Tuy nhiên cũng có nhiều con virus loại này không làm kích thước của file bị nhiễm tăng lên. c. Virus macro Là loại virus lây vào các file văn bản (Word), bảng tính (Excel) và file trình diễn (Powerpoint) trong bộ Microsoft Office. Macro là tên gọi chung của những đoạn mã được thiết kế để bổ sung thêm tính năng cho các file của Office. Chúng ta có thể cài đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tác giống nhau. Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó bằng một yêu cầu duy nhất. Ngày nay trên thực tế thì các loại virus Macro cũng gần như đã "tuyệt chủng" và hầu như không ai còn sử dụng đến các macro nữa. Bkav có một tuỳ chọn là diệt "Xóa tất cả Macro" hay "All Macros", khi chọn tuỳ chọn này thì Bkav sẽ xoá tất cả các macro có trong máy mà không cần biết chúng có phải là virus hay không, điều này đồng nghĩa với việc tất cả các virus macro có trong máy cũng sẽ bị diệt theo. Nếu bạn không dùng đến macro hay cũng chẳng để ý nó là cái gì thì bạn nên dùng tuỳ chọn này, nó sẽ giúp bạn loại bỏ nỗi lo với những virus macro bất kể chúng vừa xuất hiện hay xuất hiện đã lâu. Còn trong trường hợp bạn có sử dụng macro cho công việc của mình thì không nên chọn tuỳ chọn này (khi bạn không chọn tuỳ chọn "Xóa tất cả Macro" thì Bkav chỉ diệt những macro đã được xác minh chính xác là virus). * Dấu hiệu nhận biết: khó nhận biết khi chưa gây hại. Tình trạng gây hại tồi tệ nhất được ghi nhận là ổ cứng bị format. d. Trojan Là một đoạn mã chương trình không có tính chất lây lan, được kẻ viết ra dùng để lừa đối phương của mình sử dụng nhằm lấy cắp thông tin trên máy nạn nhân. Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy Lạp và người thành Tơ-roa. Thành Tơ-roa là một thành trì kiên cố, quân Hy Lạp không Nhóm 01 Trang 8
- Đồ án Virus Trường cao đẳng nghề Ispace sao có thể đột nhập vào được. Người Hy Lạp đã nghĩ ra một kế, giả vờ giảng hoà, sau đó tặng thành Tơ-roa một con ngựa gỗ khổng lồ. Sau khi ngựa được đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và đánh chiếm thành từ bên trong. Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng. Khác với virus, Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN. Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình hoặc ghép trojan đi kèm với các virus (đặc biệt là các virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân. Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình trước. *Dấu hiệu nhận biết: gần như spyware. e. Worm Sâu Internet -Worm là loại virus có sức lây lan rộng, nhanh và phổ biến nhất hiện, kết hợp sức phá hoại của virus, sự xâm phạm bí mật của trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc đường truyền Internet. Ngày nay khái niệm Worm đã được mở rộng để bao gồm cả các virus lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ đĩa usb hay các dịch vụ gửi tin nhắn tức thời (chat) và đặc biệt là các virus khai thác các lỗ hổng phần mềm để lây lan. Các phần mềm (nhất là hệ điều hành và các dịch vụ trên đó) luôn chứa đựng những lỗi tiềm tàng (ví dụ: lỗi tràn bộ đệm ) mà không phải lúc nào cũng có thể dễ dàng phát hiện ra. Khi một lỗ hổng phần mềm được phát hiện, không lâu sau đó sẽ xuất hiện các virus có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy tính từ xa một cách âm thầm mà người chủ máy Nhóm 01 Trang 9
- Đồ án Virus Trường cao đẳng nghề Ispace hoàn toàn không hay biết. Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng Internet với một cách thức tương tự. * Dấu hiệu nhận biết: cực kỳ khó phát hiện do chúng hoạt động âm thầm với các tác động gây hại ít biểu lộ. f. Spyware Thuật ngữ spyware trong tên gọi cũng đã chỉ ra nó là một phần mềm có thể âm thầm điều khiển hành vi của người sử dụng máy tính, khả năng của spyware là rất lớn. Spyware có thể thu thập nhiều loại thông tin cá nhân của người sử dụng, có thể cản trở quyền điều khiển máy tính trong khi sử dụng bằng nhiều cách như là tự cài đặt thêm phần mềm, tự động đổi liên kết sang một trang khác trong quá trình duyệt web, đưa người dùng tới các trang dễ bị nhiễm các loại phần mềm độc hại khác như worm, trojan, virus liên tục hiện các cửa sổ quảng cáo cho các công ty khác nhau – rất khó chịu. Không chỉ thế Spyware còn có thể thay đổi các thiết lập của máy tính, làm chậm đường truyền, làm mất kết nối, * Dấu hiệu nhận biết: 1. Hiện tượng bạn có thể dễ dàng nhận thấy nhất là toàn bộ hệ thống của bạn bị chậm đi một cách đáng kể đặc biệt là khi lướt web do vì có quá nhiều Spyware đang chạy thường trực. 2. Nếu trình duyệt của bạn đột ngột bung ra một trang web không theo ý muốn, một cửa sổ pop-up xuất hiện ngay cả khi bạn không duyệt web hoặc trình duyệt web xuất hiện thêm các thanh công cụ (toolbar) mới mà bạn không hề hay biết thì máy tính của bạn lúc này chắc chắn đã bị nhiễm spyware. 3. Trang chủ của trình duyệt web bị thay đổi một cách bất bình thường và hầu hết lại là những trang có nội dung không lành mạnh, điều làm bạn càng bực mình hơn là bạn không thể nào thay đổi lại các trang chủ này. Nhóm 01 Trang 10
- Đồ án Virus Trường cao đẳng nghề Ispace 4. Bạn liên tục nhận được các thông báo một cách bất bình thường, điều tệ hại hơn là bạn có thể bị ngưng các quá trình kết nối mạng hoặc tự động bị tắt trình duyệt web. 5. Khi bạn sử dụng một trang tìm kiếm ưa thích nào đấy như google thì trình duyệt lại tự ý đưa ra một trang web tìm kiếm khác mà hầu hết các trang tìm kiếm này đều có nội dung “vô bổ”. 6. Khi sử dụng các dịch vụ email, bạn thường xuyên bị Spam nghĩa là nhận quá nhiều mức cho phép các thư điện tử quảng cáo hoặc thậm chí là những email độc hại. 7. Bạn có thể nhận thấy các liên kết lạ được tự ý thêm vào danh sách Favorites hoặc trong menu Start. g. Adware Gây khó chịu cho người dùng khi cố tình thay đổi trang chủ của trình duyệt, thay đổi trang tìm kiếm mặc định, tự động bật ra các cửa sổ popup quảng cáo khi duyệt Web Chúng thường bí mật xâm nhập vào máy của bạn khi bạn vô tình “ghé thăm” những trang web có nội dung không lành mạnh, các trang web bẻ khóa phần mềm hoặc đi theo các phần mềm miễn phí không đáng tin cậy, các phần mềm bẻ khóa (crack, keygen). *Dấu hiệu nhận biết: Trình duyệt bị thay đổi trang chủ homepage. Khi đang lướt web tự nhiên thấy xuất hiện các trang quảng cáo với nội dung lặp đi lặp lại. h. Backdoor Là loại Trojan cài đặt vào máy tính nạn nhân và mở cửa hậu cho các hacker kết nối từ xa đến để điều khiển theo ý thích. Nhóm 01 Trang 11
- Đồ án Virus Trường cao đẳng nghề Ispace * Dấu hiệu nhận biết: Có những port lạ đang được mở và ở chế độ listening. Câu lệnh netstat –an trong cmd sẽ cho biết điều đó. i. Các loại khác. Keylogger: là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa. Phishing: là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử. Phishing thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại. Rootkit: là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang chạy, các file hoặc dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện. Người ta đã biết đến các rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số phiên bản của Microsoft Windows. Các rootkit thường sửa đổi một số phần của hệ điều hành hoặc tự cài đặt chúng thành các driver hay các môdule trong nhân hệ điều hành (kernel module). Nhóm 01 Trang 12
- Đồ án Virus Trường cao đẳng nghề Ispace Phần mềm tống tiền (Ransomware): là loại phần mềm sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại. III. Các biện pháp phòng chống virus: Có một câu nói vui rằng Để không bị lây nhiễm virus thì ngắt kết nối khỏi mạng, không sử dụng ổ mềm, ổ USB hoặc copy bất kỳ file nào vào máy tính. Nhưng nghiêm túc ra thì điều này có vẻ đúng khi mà hiện nay sự tăng trưởng số lượng virus hàng năm trên thế giới rất lớn. Không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước hiểm hoạ virus và các phần mềm hiểm độc, nhưng chúng ta có thể hạn chế đến tối đa có thể và có các biện pháp bảo vệ dữ liệu của mình. 1. Sử dụng phần mềm diệt virus Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được các virus mới. Trên thị trường hiện có rất nhiều phần mềm diệt virus. Một số hãng nổi tiếng viết các phần mềm virus được nhiều người sử dụng có thể kể đến là: McAfee, Symantec, Kaspersky 2. Sử dụng tường lửa Tường lửa (Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho các nhà cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng tường lửa để bảo vệ trước virus và các phần mềm độc hại. Khi sử dụng tường lửa, các thông tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý. Nếu một phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng. Tường lửa giúp ngăn chặn các kết nối đến Nhóm 01 Trang 13
- Đồ án Virus Trường cao đẳng nghề Ispace không mong muốn để giảm nguy cơ bị kiểm soát máy tính ngoài ý muốn hoặc cài đặt vào các chương trình độc hại hay virus máy tính. Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng Internet thông qua một modem có chức năng này. Thông thường ở chế độ mặc định của nhà sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép hiệu lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa bằng các phần mềm. Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows ngày nay đã được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so với tường lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm Security Suite của hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại, chống spam, và tường lửa. 3. Cập nhật các bản sửa lỗi của hệ điều hành Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát tán virus và các phần mềm độc hại. Người sử dụng luôn cần cập nhật các bản vá lỗi của Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất cả các phần mềm của hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho Windows). Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) của Windows. Tính năng này chỉ hỗ trợ đối với các bản Windows mà Microsoft nhận thấy rằng chúng hợp pháp. 4. Vận dụng kinh nghiệm sử dụng máy tính Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có khả năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa được cập nhật kịp thời đối với phần mềm diệt virus. Người sử dụng máy tính cần sử dụng triệt để các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh nghiệm khác để bảo vệ cho hệ điều hành và dữ liệu của mình. Một số kinh nghiệm tham khảo như sau: Nhóm 01 Trang 14
- Đồ án Virus Trường cao đẳng nghề Ispace Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử dụng máy tính không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay đổi khác thường của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt động khác của tường lửa). Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất cho phần mềm diệt virus hoặc thử sử dụng một phần mềm diệt virus khác để quét toàn hệ thống. Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động là gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng. Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus: Theo mặc định Windows thường cho phép các tính năng autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống. Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry. Nhóm 01 Trang 15
- Đồ án Virus Trường cao đẳng nghề Ispace Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến: Xem thêm phần "Phần mềm diệt virus trực tuyến" tại bài phần mềm diệt virus 5. Bảo vệ dữ liệu máy tính Nếu như không chắc chắn 100% rằng có thể không bị lây nhiễm virus máy tính và các phần mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn vẹn của dữ liệu của mình trước khi dữ liệu bị hư hỏng do virus (hoặc ngay cả các nguy cơ tiềm tàng khác như sự hư hỏng của các thiết bị lưu trữ dữ liệu của máy tính). Trong phạm vi về bài viết về virus máy tính, bạn có thể tham khảo các ý tưởng chính như sau: Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu. Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang ), hình thức này có thể thực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn. Tạo các dữ liệu phục hồi cho toàn hệ thống: không dừng lại các tiện ích sẵn có của hệ điều hành (ví dụ System Restore của Windows Me, XP ) mà có thể cần đến các phần mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản sao lưu hệ thống bằng các phần mềm ghost, các phần mềm tạo ảnh ổ đĩa hoặc phân vùng khác. Thực chất các hành động trên không chắc chắn là các dữ liệu được sao lưu không bị lây nhiễm virus, nhưng nếu có virus thì các phiên bản cập nhật mới hơn của phần mềm diệt virus trong tương lai có thể loại bỏ được Nhóm 01 Trang 16
- Đồ án Virus Trường cao đẳng nghề Ispace PHẦN II: PHƯƠNG THỨC LÂY LAN CỦA VIRUS MÁY TÍNH I. Virus lây nhiễm theo cách cổ điển Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số. Lây lan qua USB Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn. Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk ), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước. Tệp autorun.inf thông thường sẽ có nội dung: [autorun] open=virus.exe icon=diskicon.ico Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa là diskicon.ico. Những tệp này đều nằm ở thư mục gốc của thiết bị lưu trữ. Giả sử ổ USB của bạn là ổ G thì tệp đó sẽ nẳm ở G:\virus.exe. Khi cắm usb vào, máy tính sẽ mặc nhiên chạy tệp G:\virus.exe nếu chưa được config đúng cách. Cách ngăn chặn: Nhóm 01 Trang 17
- Đồ án Virus Trường cao đẳng nghề Ispace Để disable chế độ tự động autorun, bạn vào Start - Run, gõ regedit và ấn Ok, bên tay trái, bạn truy cập vào khóa: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer Bên tay phải bạn kích đúp vào biến NoDriveTypeAutoRun và chỉnh lại thành FF để vô hiệu hóa autorun của tất cả các ổ đĩa. Nhấp OK và restart lại máy để có hiệu lực. Tuy nhiên cũng chỉ hạn chế được tính năng tự động của tệp autorun. Nếu trong USB có tệp autorun mà bạn kích đúp vào ổ thì window vẫn mặc nhiên chạy nó. Vì vậy bạn nên dung các phương thức khác để truy cập vào USB mà không cần kích đúp, cũng như nên sửa thói quen truy cập gây hại này và thay vào đó là chuột phải, chọn Open: Nếu phát hiện trong USB có virus (hay tệp autorun), bạn có thể vào cmd và gõ 2 lệnh sau để xóa (phải gõ cả 2 lệnh theo tuần tự): Giả sử USB của bạn là ổ G: gõ G:\>attrib –r –a –s –h /s /d G:\>del autorun.inf Lệnh đầu dùng để gỡ bỏ thuộc tính ẩn của autorun.inf, lệnh sau có tác dụng xóa autorun.inf. Nếu bạn chỉ dung lệnh del thì cmd sẽ không phát hiện ra autorun.inf và lệnh sẽ không được thực thi. * Lây lan vào các tập tin thực thi Một ngày chủ nhật nào đó, bạn lướt web và tìm kiếm các phần mềm tiện ích để download về. Những trang web bạn truy cập đều là các trang web sạch (không chứa mã độc, không có virus và có thể là các trang web có uy tín). Nhưng dù vậy, bạn vẫn có nguy cơ bị dính virus mà không biết mình đã bị khi nào. Vì một lý do nào đó, chương trình ứng dụng gốc sau khi được chuyển dịch từ server này lên server khác đã bị "đính" thêm một con virus vào (đánh tráo thành một tệp bị nhiễm virus). Bạn không hề biết nó có nguy hiểm hay không mà Nhóm 01 Trang 18
- Đồ án Virus Trường cao đẳng nghề Ispace chỉ mẩy may bật vào, ngay lập tức, virus đã được extra và thực thi trên máy bạn từ file cài đặt của ứng dụng. * Cách ngăn chặn: Hacker sau khi download một ứng dụng nguyên bản từ trên mạng về, sẽ sử dụng một phần mềm "exe joiner" nào đó để có thể đính 2 tệp exe vào với nhau. Rồi tiếp tục đem lên các trang web khác phát tán ứng dụng đã được đính virus. Nguyên lý của việc đính exe này có thể hiểu đơn giản như sau: - Virus sẽ được quẳng vào cuối file của ứng dụng (hoặc một nơi nào đó không làm ảnh hưởng tới tiến trình). - Sau khi chạy ứng dụng, virus sẽ được tự động extra ra thư mục temp (thư mục tạm của window) rồi tự động chạy tệp exe vừa được extra ra. Cách ngăn chặn việc này rất khó, vì hacker có trăm phương nghìn kế để che mắt chúng ta. Ta chỉ có thể "xem qua" tính an toàn của ứng dụng. Nếu bạn đã biết qua cấu trúc của một tệp .exe chắc cũng biết phần MZ ở đầu một tệp .exe, khi nó được đính vào ứng dụng sẽ có một phần dấu hiệu nhận biết nào đó. Thông thường thì trong một tệp exe chỉ có một cụm chữ MZ, nếu có 2 cụm và ở phía trước có một dấu hiệu lạ nào đó thì tệp setup đã bị "dính virus". Bạn nên xóa tệp đó và báo cho nhà cung cấp hoặc nơi lưu trữ ứng dụng biết để không làm nhiều người khác bị nhiễm. Trên thực tế thì các phần mềm diệt virus hiện nay đều có tính năng nhận dạng những kiểu "đính virus lộ liễu như thế này. Nhưng vì khả năng phòng thủ và tấn công luôn luôn song hành nên bạn khó lòng có thể tránh khỏi. Bài viết này giúp bạn nắm bắt qua một số nguyên nhân khiến máy nhiễm virus, giúp bạn có chút kiến thức tự phòng tránh & ngăn chặn. II. Lây lan qua chương trình chat trực tuyến Nhóm 01 Trang 19
- Đồ án Virus Trường cao đẳng nghề Ispace *Những loại virus kiểu này có một thời rất được thịnh hành ở Việt Nam vì khả năng lây lan với tốc độ cao của nó. Thỉnh thoảng bạn gặp một vài tin nhắn rất hấp dẫn của bạn bè gửi cho và sau đó là đường link đến một trang web lạ nào đó. Đại loại như: click vào đây đi, hay lắm [Bạn vui lòng đăng nhập. Hoặc đăng ký tại đây để xem links này.] Và nếu ai không cảnh giác sẽ vô tình click vào, đột nhiên cửa sổ IE của bạn bị đơ cứng lại trong vài giây. Virus đã được tự động down về máy và kích hoạt, chỉ vài giây sau bạn sẽ gửi đi những tin nhắn vô tình gây hại cho người khác giống như bạn bè của bạn. * Cách ngăn chặn: Virus dạng này sử dụng một đoạn VBScript gắn trên link web được gửi có tác dụng tự động download file exe về máy và kích hoạt. - Hiện nay phần lớn các trình duyệt đều không hỗ trợ VbScript, chỉ có Internet Explorer (trình duyệt mặc định của Window) từ bản 6 trở xuống là vẫn hỗ trợ loại mã này. Nên tốt nhất bạn nên tải bản IE 6 trở lên hoặc sử dụng các trình duyệt khác có tính bảo mật hơn như FireFox, Opera - Ngoài ra trước mỗi link lạ, bạn có thể xem qua source của nó để khẳng định nó không có gì nguy hiểm, bạn có thể sử dụng các trang xem trước mã html (www. viewhtml. com). Nên chú ý các từ khóa đặc biệt như: vbscript, exe Tuy nhiên phương pháp này tỏ ra không hiệu quả vì trong trang web đó có thể embed thêm một số url khác, và sau một loạt các url embed mới đến link của trang web chứa script. III. Lây lan qua truy cập web Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay. Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau: Nhóm 01 Trang 20
- Đồ án Virus Trường cao đẳng nghề Ispace Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB ) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó. Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Winidow Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này. Cách ngăn chặn: bạn có thể sử dụng phần mềm tiếng Việt FireLion IE Protector 2.0 Phần mềm này sẽ tự động ngăn chặn AutoIt program ngay trước khi được thự thi và bảo vệ IE trước những lỗi chưa được công bố. Các chức năng của FireLion IE Protector 2.0: - Điều khiển: Chức năng này hoạt động thường trực để bảo vệ IE trên máy tính của bạn không bị nhiễm các loại tập tin lạ tự chạy khi bạn truy cập vào một trang web nào đó. - Kiểm tra AutoIt: Tự động tiêu diệt các chương trình AutoIt thông qua kiểm tra các tập tin, thư mục, bộ nhớ hoặc toàn bộ máy tính. Qua đó, bạn sẽ tiêu diệt được các ứng dụng AutoIt đang chạy. Khi bạn chọn tính năng nào đó, danh sách những ứng dụng viết bằng AutoIt (nếu có) sẽ được hiển thị trong mục "Đã phát hiện". Để vô hiệu hoá chúng thì bạn chỉ cần bấm vào nút "Diệt tất cả". Có thể sử dụng thêm các phần mềm chống virus có hỗ trợ tường lửa để hạn chế lây nhiễm dạng này. Nhóm 01 Trang 21
- Đồ án Virus Trường cao đẳng nghề Ispace IV. Lây lan qua Email, Outlook Express Tiện ích email thì chắc không ai còn lạ gì rồi, nhất là nếu bạn hay check mail, công việc khiến bạn phải tiếp xúc với email nhiều. Bạn rất khó phân biệt được email nào có nội dung tốt, xấu hay chỉ là spam. Hacker đã lợi dụng email để "giả dạng" một e mail với môt địa chỉ bất kì nào mà họ muốn, với nội dung là một tấm thiệp, một file attach hay đường link nào đó. Đó đều là những file malware gây nguy hiểm cho máy tính. Vậy làm sao để nhận dạng ? * Cách ngăn chặn: Phần này chủ yếu dựa trên kinh nghiệm hiểu biết của bạn. Bạn nên cảnh giác với những bức mail có nội dung chung chung. Giả sử như ở phần đầu của bức mail không có phần Gửi/Chào Hoặc không ghi rõ tên: Gửi bạn/Chào bạn những bức mail dạng này mà kèm theo attach file hay đường link nào đó thì bạn đừng nên down về, hoặc bạn nên quét virus cẩn thận trước khi chắc chắn mở nó ra. * Ghi chú: Mặc dù đối với từng loại virus ta có một số cách ngăn chặn đặc trưng; tuy nhiên; hiện tại ranh giới giữa các loại virus đang dần bị xoá nhoà vì các virus mới thường mang nhiều tính chất của nhiều loại kết hợp nên việc kết hợp tất cả các loại biện pháp trên sẽ giúp người dùng lẫn các nhân viên kỹ thuật hạn chế đến mức tối đa nguy cơ gây hại của virus. Nhóm 01 Trang 22
- Đồ án Virus Trường cao đẳng nghề Ispace PHẦN III: XỬ LÝ SỰ CỐ ĐẶC TRƯNG I. Tình huống Máy tính gần đây chạy rất chậm, các chương trình mở lên một lúc sau mới chạy được: máy tính có thể bị nhiễm spyware. Mở Task Manager lên thì gặp một thông báo lỗi có dấu chéo màu đỏ: máy tính bị nhiễm virus, virus đã khóa Task Manager trong máy. Dùng chương trình diệt virus rồi khởi động máy lại thì không vào được Windows, nhấp vào biểu tượng đăng nhập thì vào được Windows nhưng lập tức quay trở lại màn hình đăng nhập. Do chương trình diệt virus chỉ có thể diệt được virus chứ không thể sửa lại giá trị KEY mà virus đã thay đổi trong registry. II. Xử lý tình huống: Đây là KEY mà virus đó đã thay đổi: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurentVersion\Winlo gon\Userinit từ C:\WINDOWS\system32\userinit.exe thành C:\WINDOWS\”tên file virus”. Cách khắc phục là sửa lại giá trị của KEY đã bị virus thay đổi. Ðều này đồng nghĩa với việc bạn sẽ truy cập và chỉnh sửa registry ngay cả khi bạn chưa cần vào hệ điều hành. Vì vậy phải sử dụng CD cứu hộ. Để Boot bằng các đĩa CD cứu hộ này, bạn cần phải có nhất thiết lập nhất định để có thể Boot bằng các đĩa này. Với các BIOS khác nhau thì có cấu trúc thiết lập khác nhau, nên trong vấn đề này mình sẽ không đi sâu mà chỉ tập trung các thao tác để cứu hộ sau khi đã Boot thành công. Ở đây có 2 cách: Sử dụng đĩa Hiren’s boot: Nhóm 01 Trang 23
- Đồ án Virus Trường cao đẳng nghề Ispace - Sau khi máy tính đã boot vào đĩa Hiren’s boot ta chọn file manager (nếu phân vùng được định dạng là NTFS thì chọn NTFS Dos pro) chọn Win 98 hoặc bất cứ chương trình nào mà bạn thích miễn là vào được DOS. - Vào ổ đĩa cài Win gõ lệnh :cd windows\system32 enter. - Gõ tiếp :copy cmd.exe sethc.exe (chép đè file cmd.exe lên file sethc.exe). - Sau khi làm xong các bước trên bạn reboot lại máy, vào Windows như bình thường cho đến màn hình login bạn nhấn Shift 5 lần liên tục sẽ vào được DOS. - Sau khi cửa sổ DOS hiện ra bạn gõ lệnh :regedit enter cửa sổ Registry Editor hiện ra. - Bạn truy cập vào key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Tìm đến khóa Userinit (bên phải màn hình) và sửa giá trị lại như sau C:\Windows\System32\userinit.exe (Với C:\Windows là thư mục cài đặt hệ điều hành). Nhóm 01 Trang 24
- Đồ án Virus Trường cao đẳng nghề Ispace -Reboot lại máy để hoàn thành công việc ! Sử dụng đĩa mini PE ( Windows chạy trên CD) -Bạn sử dụng công cụ Avast!Registry Editor trong đĩa miniPE (Start -> Programs -> Avast!tools -> Avast!Registry Editor). Tiếp đến bạn chọn Load selected OS registry Nhóm 01 Trang 25
- Đồ án Virus Trường cao đẳng nghề Ispace Việc truy cập và chỉnh sửa registry được thực hiện giống như trong Windows bình thường. Nhóm 01 Trang 26
- Đồ án Virus Trường cao đẳng nghề Ispace - Bạn truy cập vào key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Tìm đến khóa Userinit (bên phải màn hình) và sửa giá trị lại như sau C:\Windows\System32\userinit.exe (Với C:\Windows là thư mục cài đặt hệ điều hành). -Reboot lại máy và vào Windows như bình thường. Ngoài ra, trong trường hợp xấu, file userinit.exe không tồn tại hoặc đã bị virus sửa đổi thành công (thường ít xảy ra vì Windows có khả năng bảo vệ, không cho phép xóa hoặc sửa file hệ thống). Bạn có thể vào thư mục i386\system32 của đĩa CD XP để tìm file userinit.exe hoặc qua máy tính khác copy file này sang thư mục C:\Windows\system32 của máy mình. Nhóm 01 Trang 27
- Đồ án Virus Trường cao đẳng nghề Ispace - OK. Reboot lại máy. Bây giờ máy tính của bạn đã hoạt động lại bình thường. Lưu ý Một số máy tính sau khi bị máy tính phá hoại, khi khởi động máy trở lại bình thường cho đến màn hình Desktop thì dừng lại mà không xuất hiện các Icon, thanh Start Nguyên nhân là file explorer.exe không hoạt động. Khắc phục: có 2 trường hợp: - Nếu hộp thoại Windows Task Manager không bị chặn lại. Để khắc phục lỗi này bạn nhấn tổ hợp phím Ctrl+Alt+Delete để gọi Windows Task Manager. Trong hộp thoại Windows Task Manager bạn chọn thẻ Applications. Bạn chọn New Task Hộp thoại Create New Task bạn nhập vào explorer.exe . Rồi ấn chọn OK. Sau đó bạn vào registry và chỉnh sửa lại giá trị của khóa Shell trở về giá trị ban đầu trước khi bị virus phá hoại. Đường dẫn key : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Giá trị mặc định: explorer.exe (Hay C:\Windows\explorer.exe) với C:\Windows là thư mục cài đặt hệ điều hành. - Nếu hộp thoại Windows Task Manager bị chặn lại: Bạn có thể sử dụng các thao tác cứu hộ như đã thực hiện với khóa Userinit mình đã trình bày ở phía trên để phục hồi giá trị giá trị của key Shell như ban đầu. Sau khi thực hiện xong bạn tiến hành reboot lại máy tính. Nhóm 01 Trang 28
- Đồ án Virus Trường cao đẳng nghề Ispace Tài liệu tham khảo - Diễn đàn website trường Cao đẳng nghề Ispace: - Bách khoa toàn thử mở wikipedia: áy_tính) - Website quản trị mạng - Sự hỗ trợ đắc lực của công cụ tìm kiếm Google: Nhóm 01 Trang 29