Thứ hai, ngày 06/05/2024

Kỹ thuật - Công nghệ

Virus - Những rắc rối & cách phòng chống

(08/06/2010 10:23:54)

I. Tình huống Dữ liệu trên máy tính hoặc USB bị ẩn đi không nhìn thấy sau khi cắm USB vào máy tính khác đã bị nhiễm virus để copy dữ liệu. Quá trình tự kiểm tra thấy dung lượng ổ cứng hoặc thư mục của USB vẫn không thay đổi, (người sử dụng hay nhầm tưởng dữ liệu đã bị virus xóa mất).

            II. Nguyên nhân

            USB hoặc máy tính đã bị nhiễm virus. Một số loại virus hiện nay có khả năng đặt lại thuộc tính hệ thống (system), ẩn đi (hidden) và chỉ được phép xem (readonly) cho thư mục hoặc file, đồng thời khóa đặt thuộc tính cho các file khiến người dùng không nhìn thấy dữ liệu trên máy hoặc USB. Ngay cả sau khi quét và diệt được virus thì dữ liệu cũng vẫn không hiện lên do file đã bị đặt thuộc tính ẩn. Thêm vào đó, virus không cho tùy chỉnh thuộc tính hiện file ẩn (show hidden file) trong folder option để file ẩn không hiển thị được.

            Ví dụ với Virus Hide.I Trojan thường có xuất hiện với file "Phim nguoi lon.exe". Khi máy tính bị nhiễm file này nó tự nhân bản thành file có tên "isass.exe" nằm trong thư mục "C:\WINDOWS\system32\isass.exe". Đồng thời chỉnh sửa và thêm một số giá trị regedit như sau:

            Tạo mới giá trị sau trong Regedit

            [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"isass.exe"="C:\\WINDOWS\\system32\\isass.exe".

            Khóa này làm cho file isass.exe tự khởi động với windows

            Thay đổi giá trị các nhánh trong Regedit:

            1.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\ClassicViewState]

            "UncheckedValue"=dword:00000000 thành dword:00000001

            2.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hide FileExt]

            "UncheckedValue"=dword:00000000 thành dword:00000001

            3.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\SuperHidden] "UncheckedValue"=dword:00000001 thành dword:00000000.

            Mục đính: vô hiệu hóa thay đổi trong foder option khiến người dùng không thấy được hidden files.

Nếu máy tính có cắm USB, virus sẽ nhận diện USB và đổi thuộc tính folder thành Hidden + System + Readonly. Bởi vậy, người sử dụng thường hay nhầm tưởng dữ liệu bị virus "ăn mất’ hoặc thấy USB không chứa dữ liệu gì nhưng không thể copy thêm được do dung lượng đã bị đầy. Ngoài ra, virus còn tạo ra các file có tên trùng với thư mục chứa nó có thêm đuôi .exe. (VD: anh.exe, dulieu.exe nếu trong USB có thư mục tên là anh và dulieu).

            Ngoài ra còn một số virus cũng gây mất dữ liệu bằng cách ẩn file như Troj/Glupzy -A (dấu hiệu: đổi password Administrator" thành "hacked" tự tạo ra các files "systemID.pif" trong \Documents and Settings\Administrator\StartMenu\Programs\ Startup và Flashy.exe" (\Windows\System32).

            III. Cách khắc phục

            Hiện nay đa phần các phần mềm diệt virus đều có thể phát hiện và diệt được các loại virus trên, tuy nhiên để ngăn ngừa, người dùng nên chú ý những điều sau:

             - Quét virus usb trước khi cắm vào máy tính, không nên kích đúp vào biểu tượng USB trong My computer mà nên duyệt folder trong USB bằng cấu trúc tree trên cửa sổ explorer bên trái màn hình duyệt để tránh bị autorun trên USB.

             - Khi không nhìn thấy các file và folder trong thẻ nhớ, USB hoặc ổ đĩa thì có thể show chúng bằng các cách đơn giản như sau:

             - Trong Run: gõ cmd, cửa sổ command prompt hiện lên gõ lệnh sau:

"E:/attrib -s -h \s \d" trong đó E: là ổ dữ liệu cần hiển thị các file bị ẩn. Đây là lệnh xóa các thuộc tính system và hidden cho file

            Có thể tìm hiểu lệnh này bằng cú pháp "attrib /?" trong cmd.

             - Sử dụng FixAttrb của BKAV, công cụ này có thể khôi phục thuộc tính thành công trong phần lớn các trường hợp bị virus thông thường phá hoại: http://www.bkav.com.vn/home/Download/FixAttrb.exe

Ngoài ra còn có thể sử dụng rất nhiều các công cụ khác như SetAttributes.

             - Tuy nhiên hiệu quả nhất là sử dụng một trình duyệt khác thay cho Windows explorer, như Total Commander, snowbird, FreeCommander để nhìn ra các thư mục và files bị ẩn ngay cả khi bị virus khóa folder option, đặc biệt các chương trình như Total Commander có chức năng Change Attributes cho phép người dùng chỉnh lại thuộc tính cho file và folder.

            Trường hợp folder option bị khóa, không thể chỉnh sửa show hidden files

            1. Mở Registry Editor (chạy lệnh regedit từ cửa sổ Run).

            2.Tìm đến khóa HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

            3. Tại vùng bên phải, tìm khóa có tên CheckedValue và DefaultValue. Hãy chắc chắn rằng hai khóa này có kiểu dữ liệu là REG_DWORD. Nếu hai khóa trên có kiểu khác, hãy xóa đi và lần lượt tạo mới chúng với kiểu dữ liệu đều là REG_DWORD và giá trị lần lượt là 1 và 2.

            (Trong trường hợp virus disable Regedit có thể enable bằng cách sau:

            Start -Run, gõ Gpedit.msc

            Tìm dòng User Configuration - Administrative Templates - System

            Bên phải tìm đến "Prevent access to registry editing tools" Double click vào nó và chọn Not Configured.)

            Ngoài ra còn có thể một số công cụ khác như HijackThis, Wfixerxp... để fix các lỗi thông thường do virus gây ra.

            Trên đây là một số phương pháp khác phục và sửa chữa những rắc rối mà virus gây ra trong máy tính. Nhân viên kỹ thuật khuyến cáo người dùng "nên phòng hơn nên chống". Một thao tác đơn giản để chống lây nhiễm virus và bảo vệ máy tính của bạn đó là ngay sau khi cắm USB vào máy tính bạn cần scan USB bằng phần mềm usb security hoặc phần mềm diệt virus đã cài sẵn trên máy.

Chi đoàn TTKT (sưu tầm và bổ sung)
Theo Nội san Thông tấn, số 5/2010