Tienkhanha13
19-02-2009, 10:20 AM
http://www22.24h.com.vn/upload/news/2008-07-27/vtc_205559_botnet277.jpgGỡ rối cho máy tính nhiễm spyware
Các loại virus, chương trình gián điệp (spyware hay malware) ngày càng được lập trình tinh vi để dễ dàng tìm kẽ hở của bộ lọc (filter) nội dung web tích hợp trong trình duyệt và tấn công máy tính. Nếu hiểu biết về các phương thức phát tán của chúng, bạn có thể dễ dàng giữ an toàn cho máy tính của mình.
Phương thức tấn công nguy hại nhất hiện nay được biết là botnet (mạng máy tính ma). Bất kỳ máy tính nào bị nhiễm virus dạng này sẽ bị tước quyền điều khiển để tạo lập một kênh đặc biệt trên hệ thống chat miễn phí IRC cho mục đích trao đổi thông tin và nhận lệnh chỉ huy từ xa nhằm khai thác dữ liệu cá nhân hay tiếp tục sứ mệnh phát tán vào các máy tính nối mạng khác.
Như vậy biện pháp tốt nhất để đẩy lùi các nguy cơ bảo bật này là ngăn chặn và phòng ngừa. Nếu bạn đã sử dụng công cụ anti-malware cho hệ thống máy tính thì nên thường xuyên cập nhật và chạy thêm một tiện ích tường lửa (firewall). Phần mềm này có nhiệm vụ quản lý và cấp phép cho những ứng dụng thực thi trên PC của bạn qua mạng hay các chương trình chạy cục bộ không có chức năng kết nối trực tuyến.
Bên cạnh đó, bạn cũng nên tự thiết lập cho mình một danh sách ranh giới của máy tính hoạt động bình thường theo hệ thống phần mềm của bạn cài đặt. Dựa trên căn cứ này, khi thấy xuất hiện các dấu hiệu khác thường như hiệu suất chậm đi hay phần mềm "không nghe lời" thì bạn có thể so sánh và tìm ra những gì đã bị thay đổi trên hệ thống phần mềm.
Nếu vẫn không thể tái lập được cấu hình ổn định như trước, bạn có thể vận dụng các phương pháp sau đây.
Kích hoạt công cụ anti-malware mới. Bạn có thể tải bản eEye Blink miễn phí sử dụng tại đây. Công cụ được đánh giá khá mạnh trong việc tìm và diệt tận gốc hầu hết các loại virus. Bên cạnh đó còn có dịch vụ của Trend Micro cho phép quét trực tuyến và tải về các thông tin nhận dạng mới nhất (signature) để bạn ra soát lại toàn bộ hệ thống. Tương tự như vậy, Symantec Norton Internet Security 2008 là một công cụ bảo mật toàn diện đã được nhiều tạp chí chuyên ngành CNTT đánh giá cao.
Tải bản HijackThis về sử dụng. Khi cho chạy công cụ này, hệ thống máy tính của bạn sẽ được kiểm tra và ghi lại thông tin về tình trạng hiện tại. Chương trình sẽ tự động gửi đi kết quả tới các mạng chuyên về an ninh máy tính. Khoảng một ngày sau, thậm chí có khi chỉ trong vài giờ, bạn sẽ nhận được sự tư vấn từ xa của chuyên gia bảo mật để từng bước khôi phục lại "sức khỏe" cho máy tính, loại bỏ các mã độc bị cài vào.
Kiểm tra bảng theo dõi của firewwall để thấy được tất cả các phần mềm ứng dụng chạy trên hệ thống gần đây cũng như lưu lượng dữ liệu được gửi đi hay nhận về qua mạng. Xóa hết các thông số cấu hình hoạt động của chương trình firewall và sau đó tái lập lại tất cả. Thao tác này khá bất tiện nhưng rất hiệu quả vì nó giúp bạn quản lý được các ứng dụng hoạt động trên hệ thống máy tính nối mạng.
Kiểm tra các file trong thư mục chủ. Bạn có thể tìm ra trong C:\Windows\System32\Drivers\Etc khá nhiều file do botnet ghi đè để đánh lừa máy tính tự động kết nối đến một địa chỉ IP của server. Thông thường trong file nguyên bản (chưa bị ghi đè) có dòng chữ 127.0.0.1 local host và còn có thể xuất hiện thêm ký tự % hay # để chỉ định hệ thống bỏ qua lệnh thực thi. Nếu bạn phát hiện thấy các dòng chữ khác xuất hiện thì hãy sao dự phòng file gốc, sau đó xóa hết các dòng chữ ghi ngờ và ghi đè file đã sửa.
Click vào Start chọn Run. Gõ chữ cmd rồi nhấn enter để chuyển sang thực hiện các câu lệnh trên môi trường DOS. Tiếp theo bạn gõ arp -a và ghi ra giấy hay chụp lại ảnh màn hình các thông số hiển thị. Nếu khả nghi máy tính bị nhiễm botnet, bạn lập lại bước này để kiểm tra danh sách các địa chỉ IP có sai lệch so với trước không. Thông số này mà khác đi thì nhiều khả năng hệ thống có vấn đề.
Cũng theo cách đó, bạn gõ netstat -a để liệt kê tất cả các kết nối mạng đang hoạt động. Như vậy, bạn có thể tìm ra các địa chỉ đáng ngờ. Đặc biệt, nếu kết quả của bước này giống với bước trên đây thì rất nhiều khả năng hệ thống đã nhiễm botnet.
Sử dụng tiện ích Windows Task Manager hay tốt hơn là Process Explorer để quan sát tất cả các ứng dụng đang chạy cục bộ trên hệ thống. Từng ứng dụng được sắp xếp theo thứ tự sử dụng tài nguyên bộ nhớ nhiều hay ít. Nếu bất cứ chương trình nào trong 10 phần mềm dẫn đầu mà bạn không hề biết gì về nó thì đó có thể là virus. Để thuận tiện hơn, bạn có công cụ FileAdvisor để hỗ trợ tìm ra manh mối của từng ứng dụng.
Dùng công cụ tìm kiếm để truy tìm từ khóa mang tên của ứng dụng và chữ "removal". Các bước loại bỏ chương trình lạ có thể phức tạp hơn nhiều so với thao tác cách đơn giản xóa đi một file nào đó. Vì botnet đã gây ra những thay đổi trong Registry và hậu quả khác trên hệ điều hành, nên bạn cần bình tĩnh cũng như kiên nhẫn để tập trung gỡ rối, đưa máy tính trở lại trạng thái hoạt động bình thường.
Các loại virus, chương trình gián điệp (spyware hay malware) ngày càng được lập trình tinh vi để dễ dàng tìm kẽ hở của bộ lọc (filter) nội dung web tích hợp trong trình duyệt và tấn công máy tính. Nếu hiểu biết về các phương thức phát tán của chúng, bạn có thể dễ dàng giữ an toàn cho máy tính của mình.
Phương thức tấn công nguy hại nhất hiện nay được biết là botnet (mạng máy tính ma). Bất kỳ máy tính nào bị nhiễm virus dạng này sẽ bị tước quyền điều khiển để tạo lập một kênh đặc biệt trên hệ thống chat miễn phí IRC cho mục đích trao đổi thông tin và nhận lệnh chỉ huy từ xa nhằm khai thác dữ liệu cá nhân hay tiếp tục sứ mệnh phát tán vào các máy tính nối mạng khác.
Như vậy biện pháp tốt nhất để đẩy lùi các nguy cơ bảo bật này là ngăn chặn và phòng ngừa. Nếu bạn đã sử dụng công cụ anti-malware cho hệ thống máy tính thì nên thường xuyên cập nhật và chạy thêm một tiện ích tường lửa (firewall). Phần mềm này có nhiệm vụ quản lý và cấp phép cho những ứng dụng thực thi trên PC của bạn qua mạng hay các chương trình chạy cục bộ không có chức năng kết nối trực tuyến.
Bên cạnh đó, bạn cũng nên tự thiết lập cho mình một danh sách ranh giới của máy tính hoạt động bình thường theo hệ thống phần mềm của bạn cài đặt. Dựa trên căn cứ này, khi thấy xuất hiện các dấu hiệu khác thường như hiệu suất chậm đi hay phần mềm "không nghe lời" thì bạn có thể so sánh và tìm ra những gì đã bị thay đổi trên hệ thống phần mềm.
Nếu vẫn không thể tái lập được cấu hình ổn định như trước, bạn có thể vận dụng các phương pháp sau đây.
Kích hoạt công cụ anti-malware mới. Bạn có thể tải bản eEye Blink miễn phí sử dụng tại đây. Công cụ được đánh giá khá mạnh trong việc tìm và diệt tận gốc hầu hết các loại virus. Bên cạnh đó còn có dịch vụ của Trend Micro cho phép quét trực tuyến và tải về các thông tin nhận dạng mới nhất (signature) để bạn ra soát lại toàn bộ hệ thống. Tương tự như vậy, Symantec Norton Internet Security 2008 là một công cụ bảo mật toàn diện đã được nhiều tạp chí chuyên ngành CNTT đánh giá cao.
Tải bản HijackThis về sử dụng. Khi cho chạy công cụ này, hệ thống máy tính của bạn sẽ được kiểm tra và ghi lại thông tin về tình trạng hiện tại. Chương trình sẽ tự động gửi đi kết quả tới các mạng chuyên về an ninh máy tính. Khoảng một ngày sau, thậm chí có khi chỉ trong vài giờ, bạn sẽ nhận được sự tư vấn từ xa của chuyên gia bảo mật để từng bước khôi phục lại "sức khỏe" cho máy tính, loại bỏ các mã độc bị cài vào.
Kiểm tra bảng theo dõi của firewwall để thấy được tất cả các phần mềm ứng dụng chạy trên hệ thống gần đây cũng như lưu lượng dữ liệu được gửi đi hay nhận về qua mạng. Xóa hết các thông số cấu hình hoạt động của chương trình firewall và sau đó tái lập lại tất cả. Thao tác này khá bất tiện nhưng rất hiệu quả vì nó giúp bạn quản lý được các ứng dụng hoạt động trên hệ thống máy tính nối mạng.
Kiểm tra các file trong thư mục chủ. Bạn có thể tìm ra trong C:\Windows\System32\Drivers\Etc khá nhiều file do botnet ghi đè để đánh lừa máy tính tự động kết nối đến một địa chỉ IP của server. Thông thường trong file nguyên bản (chưa bị ghi đè) có dòng chữ 127.0.0.1 local host và còn có thể xuất hiện thêm ký tự % hay # để chỉ định hệ thống bỏ qua lệnh thực thi. Nếu bạn phát hiện thấy các dòng chữ khác xuất hiện thì hãy sao dự phòng file gốc, sau đó xóa hết các dòng chữ ghi ngờ và ghi đè file đã sửa.
Click vào Start chọn Run. Gõ chữ cmd rồi nhấn enter để chuyển sang thực hiện các câu lệnh trên môi trường DOS. Tiếp theo bạn gõ arp -a và ghi ra giấy hay chụp lại ảnh màn hình các thông số hiển thị. Nếu khả nghi máy tính bị nhiễm botnet, bạn lập lại bước này để kiểm tra danh sách các địa chỉ IP có sai lệch so với trước không. Thông số này mà khác đi thì nhiều khả năng hệ thống có vấn đề.
Cũng theo cách đó, bạn gõ netstat -a để liệt kê tất cả các kết nối mạng đang hoạt động. Như vậy, bạn có thể tìm ra các địa chỉ đáng ngờ. Đặc biệt, nếu kết quả của bước này giống với bước trên đây thì rất nhiều khả năng hệ thống đã nhiễm botnet.
Sử dụng tiện ích Windows Task Manager hay tốt hơn là Process Explorer để quan sát tất cả các ứng dụng đang chạy cục bộ trên hệ thống. Từng ứng dụng được sắp xếp theo thứ tự sử dụng tài nguyên bộ nhớ nhiều hay ít. Nếu bất cứ chương trình nào trong 10 phần mềm dẫn đầu mà bạn không hề biết gì về nó thì đó có thể là virus. Để thuận tiện hơn, bạn có công cụ FileAdvisor để hỗ trợ tìm ra manh mối của từng ứng dụng.
Dùng công cụ tìm kiếm để truy tìm từ khóa mang tên của ứng dụng và chữ "removal". Các bước loại bỏ chương trình lạ có thể phức tạp hơn nhiều so với thao tác cách đơn giản xóa đi một file nào đó. Vì botnet đã gây ra những thay đổi trong Registry và hậu quả khác trên hệ điều hành, nên bạn cần bình tĩnh cũng như kiên nhẫn để tập trung gỡ rối, đưa máy tính trở lại trạng thái hoạt động bình thường.