Truy bắt các phần mềm độc hại

09:28 23/10/2007
Bấm ngay
Đăng Ký xem video hay mới nhất

Truy bat cac phan mem doc hai

Thật khó chịu khi bạn tìm tới ứng dụng Task Manager và phát hiện một đống các chương trình bạn chưa biết tới đang chạy và tiêu tốn tài nguyên hệ thống. Điều không may là chúng ta không phải là các chuyên gia để biết hết các ứng dụng thực sự có ích cũng như những ứng dụng chạy ở trạng thái nền. Bài viết này sẽ hướng dẫn bạn nhận dạng một số tệp tin hệ thống của Windows, từ đó bạn có thể xác định những tệp tin ẩn đang gây hại cho máy tính.

Trên thực tế, rất khó có thể dự đoán và phòng ngừa những đợt tấn công mới nhất của các phần mềm độc hại. Ngay cả khi bạn chạy tường lửa, sử dụng các chương trình rà quét virus và phần mềm gián điệp mới nhất cũng như tuân theo các quy tắc về bảo mật, máy tính của bạn vẫn có thể là nạn nhân của những hình thức tấn công mới nhất.

Các ứng dụng bảo mật cần các bản nâng cấp thường xuyên mới có thể hoạt động hiệu quả vì chúng không thể ngăn chặn một chương trình độc hại chưa được đưa vào “danh sách đen”. Thông thường, máy tính người dùng luôn phải chịu một khoảng thời gian “nằm trong tầm ngắm” cho tới khi mã nguồn của ứng dụng nguy hại được chuyển tới tay các chuyên gia bảo mật. Thời gian này có thể là vài phút, vài ngày hoặc lâu hơn nữa.

Rất may là một khi bị phát hiện, các ứng dụng nguy hại chạy ẩn trong máy tính thường dễ bị vô hiệu hoá. Hãy tuân theo những công đoạn sau đây để có một chiếc PC khoẻ mạnh.

An toàn trước đã!


Bước đầu và cũng là bước quan trọng nhất bạn phải nhớ mình đang tác động tới hệ điều hành. Chính vì vậy không nên tuỳ tiện xoá các tệp hệ thống ngay sau khi phát hiện máy tính có vấn đề. Nếu quên đi nguyên tắc này, rất có thể bạn sẽ làm cho Windows không thể khởi động được.

Thứ hai, bạn phải nghĩ tới phương án khôi phục hệ thống. Tiện ích System Restore (trong Windows XP và Me) có thể khôi phục hệ thống quay trở lại thời điểm trước khi phát sinh sự cố (do bạn gây ra). Để sử dụng tiện ích này, nhấn Start/Programs/Accessories/System Tools/System Restore. Tiếp đến nhấn nút chọn Create a restore point và làm theo hướng dẫn.

Bạn cũng nên loại bỏ tính năng ẩn (không hiển thị) của các tệp tin hệ thống. Mở Windows Explorer (phím nóng Windows + E) hoặc bất cứ thư mục nào, chọn Tools/Folder Options/View. Chọn Show hidden files and folders và đảm bảo rằng cả hai dòng "Hide extensions for known file types""Hide protected operating system files (Recommended)" đều bị loại bỏ. Chọn Yes nếu bạn thấy bất cứ cảnh báo nào của Windows.

Bước tiếp theo là chạy các ứng dụng diệt virus và phần mềm gián điệp mới nhất trước khi xoá đi những tệp tin mà bạn chắc chắn là bộ phận của những ứng dụng nguy hại.

Xác định những tệp tin đang chạy

Giờ bạn hãy sẵn sàng xác định những ứng dụng và dịch vụ đang ở trạng thái kích hoạt trong máy tính. Vì tiện ích Task Manager của Windows không thể xác minh hết những tệp tin đang chạy nên bạn hãy sử dụng tiện ích của một hãng thứ ba. Theo những người đã có kinh nghiệm sử dụng, bạn nên cài đặt thêm tiện ích Process Explorer của Sysinternals (có thể tìm thấy tại địa chỉ http://www.sysinternals.com/Utilities/ProcessExplorer.html )

Giải nén tệp tin procexpnt.zip, nhấn chuột kép vào tệp tin procexp.exe. Process Explorer thực sự là sự lựa chọn hoàn hảo bổ khuyết cho tiện ích Task Manager nằm sẵn trong máy tính. Giao diện ứng dụng không mấy bắt mắt nhưng rất hiệu quả và đáng tin cậy. Tuyệt vời nhất là ứng dụng này hoàn toàn miễn phí.

Khi sử dụng bạn lưu ý là một số thông tin hữu ích của Process Explorer được đặt ẩn ở chế độ mặc định. Để nhìn thấy những tính năng này, nhấn chuột vào tên một cột và chọn Select Columns. Hãy chọn cả Company NameCommand Line bên cạnh Process Name và Description. Nhấn chuột vào tab DLL, chọn Path và nhấn OK. Tiếp đến, chọn View và chọn Show Lower Pane. Thao tác sau cùng là chọn View/Lower Pane View/DLLs.

Sau khi kích hoạt hết các tính năng của Process Explorer, bạn có thể chọn bất cứ tiến trình (process) nào đang chạy và xem những tệp tin nào ứng dụng sử dụng ở cửa sổ phía dưới. Cột Command Line chỉ vị trí trên ổ cứng của các ứng dụng hoặc dịch vụ đang chạy (một số dịch vụ chạy dưới svchost.exe). Ngoài ra, Process Explorer cũng xác minh các trường hợp mà tệp tin svchost.exe kích hoạt dịch vụ đó.

Bất cứ tiến trình nào chạy trong thư mục Temp sẽ được “dán” một lá cờ đỏ. Các phần mềm gián điệp thường có “thói quen” chạy từ những ngóc ngách ít ngờ đến như thư mục Temp. Tương tự, nếu một tiến trình mà những tệp tin DLL hỗ trợ xuất xứ từ thư mục Temp, bạn cũng phải đề phòng. Trường hợp duy nhất khi một tiến trình nào đó chạy từ thư mục này là khi bạn đang cài đặt một chương trình nào đó có sử dụng các tiện ích cài đặt (ví dụ InstallShield).

Ngoài Explorer.exe, người sử dụng Windows XP còn thấy các tiện ích khác ở trạng thái được kích hoạt bao gồm smss.exe, winlogon.exe, services.exe, alg.exe và lsass.exe. Đây đều là những tệp tin hệ thống quan trọng và tốt nhất là bạn đừng nên... đụng tới chúng.

Một tệp tin Windows hợp lệ nhưng cũng hay bị nghi ngờ nhất trong các tiến trình là rundll32.exe. Một số loại sâu hoặc phần mềm nguy hại tự giấu mình thông qua việc sử dụng chương trình này như là “bệ phóng”. Task Manager chỉ phát hiện rundll32 đang chạy, trong khi đó trường Command Line của Process Explorer có thể chỉ rõ tệp tin DLL nào có quan hệ với rundll32. Tuy nhiên, hãy lưu ý rằng một số card thiết bị sử dụng rundll32 cho mục đích hợp lệ. Chính vì vậy trước khi “hạ” tiến trình này, hãy đảm bảo chắc chắn rằng đó là tiến trình đang gây hại. Tên thư mục ở cuối đường dẫn tệp tin có thể cung cấp thông tin cho bạn trong việc xác minh.

Xác minh các tiến trình nghi vấn

Có thể sẽ có vài tệp tin ứng dụng chạy song hành với các tệp tin của hệ điều hành, bao gồm cả các tệp tin hỗ trợ các ứng dụng và dịch vụ chạy nền như card phần cứng. Những tệp tin này thông thường khởi động cùng Windows. Kiểm tra mô tả (Description), tên công ty (Company Name) và thông tin ở Command Line đối với mỗi tiến trình. Bạn có thể xác minh được hầu hết các chương trình gắn với các tiến trình khi bạn cài đặt thêm phần mềm mới hay những phần mềm được cài đặt lại.

Khi nhà sản xuất phần mềm không cung cấp được mô tả hoặc tên công ty kèm theo phần mềm của họ, bạn sẽ phải thận trọng và kiểm tra kỹ hơn nữa. Nhấn chuột phải vào đầu mục của ứng dụng hiển thị trong danh sách của Process Explorer, chọn Properties. Nếu thông tin dưới thẻ Image khó hiểu đối với bạn, nhấn chuột vào thẻ Services. Một số dịch vụ hợp lệ được liệt kê ở cột ngay dưới services.exe trong cửa sổ chính của Process Explorer (trường Description rỗng) sẽ xuất hiện dưới tab này.

Ví dụ, trong trường hợp Process Explorer hiển thị hai tiến trình chạy trong PC mà không có mô tả hoặc tên công ty. Một trong những trường hợp này là slee81.exe. Khi nhìn vào tiến trình từ tab Services, tác giả bài viết phát hiện công cụ xác định tệp tin như là tiện ích mã hoá của Steganos Live (Steganos Live Encryption Engine). Trước đó máy tính đã được cài phần mềm của Steganos, do vậy sẽ không mấy ngạc nhiên khi một số bộ phận của ứng dụng chạy ở dạng nền. Đây không phải là một mối đe doạ bảo mật nhưng nếu bạn không sử dụng Steganos để mã hoá và giải mã các tệp tin, tốt hơn là tắt dịch vụ để tiết kiệm tài nguyên hệ thống.

Tệp tin thứ hai, WLTRYSVC.EXE, thậm chí còn dễ gây nhầm lẫn hơn khi nằm trong danh sách các dịch vụ đang chạy. Trong khi tên của tiến trình (WLTRYSVC service) hoàn toàn không rõ ràng hơn tên của tệp tin chút nào, một tệp tin nằm ngay dưới có trong cửa sổ chính Process Explorer- điều đó có nghĩa là WLTRYSVC đã kích hoạt một ứng dụng khác mang tên BCMWLTRY.EXE. Tệp tin này được xác minh là Broadcom Wireless Network Tray Applet, được cài đặt để hiển thị tín hiệu Wi-Fi. Nếu muốn hiển thị tín hiệu này một cách thường xuyên, bạn nên giữ lại tiến trình này.

Hãy làm theo những thao tác này để xác định tất cả các dịch vụ và ứng dụng đang chạy ở dạng ẩn. Khó khăn chỉ đến khi bạn không thể xác minh được lai lịch của một tiến trình hoặc không hiểu được tác dụng của chúng. Trong trường hợp này, biện pháp tốt nhất là hãy tìm tới các hướng dẫn phù hợp thông qua mạng Internet.

Lần theo tung tích qua mạng Internet

Nếu nghi ngờ một tệp tin DLL là giả mạo, địa chỉ đầu tiên bạn nên tham chiếu là cơ sỡ dữ liệu DLL Help của Microsoft. Trang web cho phép người truy nhập tìm kiếm thông tin về các tệp tin DLL.

Nếu nghi ngờ một tệp tin có liên quan tới phần mềm gián điệp, hãy kiểm tra trên trang web của Trung tâm thông tin Spyware của Hiệp hội máy tính Mỹ (CA) ( http://www3.ca.com ). Một nguồn dữ liệu khác là cuốn “bách khoa” về các loại sâu máy tính tại PestPatrol Center ( http://www.pestpatrol.com ). Thống kê sơ bộ, trang web này lưu trữ thông tin của hơn 27.000 dạng phần mềm nguy hại.

Nếu gặp khó khăn trong việc xem xét tính hợp lệ của một tệp tin, bạn có thể kiểm tra trên các trang web Task List Programs tại địa chỉ http://AnswersThatWork.com . Ngoài ra, các công cụ như WinPatrol và WinTasks 5 Professional của Uniblue cũng cung cấp những thông tin khá chi tiết để giúp bạn phân biệt một chương trình hay một tệp tin DLL là hợp lệ hay giả mạo. Cả hai công cụ này đều có kết nối trực tiếp tới những cơ sở dữ liệu trực tuyến lưu trữ thông tin về hàng nghìn tệp tin DLL và các ứng dụng bạn có thể gặp phải. Đặc biệt, WinTasks còn có thể lập “danh sách đen” những tiến trình cụ thể và ngăn chặn việc kích hoạt những tiến trình này.

Nếu bạn muốn “săn lùng” các ứng dụng nguy hại một cách chủ động, tiện ích Security Task Manager của Neuber Software cho phép bạn thẩm định các tệp tin chạy, driver hoặc DLL ngay cả khi tệp tin đó có được kích hoạt hay không.

Thay lời kết

Bạn không thể luôn tin tưởng những kết quả đầu tiên khi tìm kiếm thông tin về một tệp tin bạn chưa biết qua mạng Internet. Ngay cả khi có tới hàng trăm website nhỏ cung cấp thông tin về một phần mềm độc hại, chỉ một trang web của Microsoft khẳng định tính hợp lệ của tệp tin này có thể gây ra một cuộc “đụng độ”. Thực tế là bạn càng nắm rõ về tệp tin trước khi tìm kiếm thêm thông tin qua mạng bao nhiêu, cơ hội bạn “hạ thủ” những tiến trình, ứng dụng hợp lệ... càng ít bấy nhiêu.

(Theo TC BCVT & CNTT)

contentlength: 15407
Chia sẻ
Bấm ngay
Đăng Ký xem video hay mới nhất

Video nổi bật

Smartphone phát nổ cháy như súng phun lửa
00:00 / --:--