Phòng chống và khắc phục sự cố máy tính nhiễm virus qua Yahoo! Messenger
Khi đề cập đến virus lây qua Internet, người dùng thường nghĩ đến các loại sâu trình thư điện tử: “Tưởng gì, chỉ cần không mở file đính kèm e-mail lạ là xong ngay ấy mà…”. Nay tình hình đã khác trước. Có lẽ thấy không còn “xơ múi” gì với trò “hãy mở tập tin trong thư này để xem nhé”, các hacker đã chuyển hướng bằng cách lợi dụng lổ hổng của chương trình Instant Messenger để lây nhiễm. Khi các virus này được giới tin tặc trong nước thu thập mã nguồn từ Internet rồi “Việt hóa”, tình hình càng thêm tệ hại!
Hiện trạng “nhức nhối”
Tháng 4-2006, virus Gaixinh được tung lên mạng để gài bẫy những kẻ hiếu kỳ hảo ngọt bằng lời dụ dỗ “Gai dep! …hay xem cai nay di…” . Trong khi biên bản vi phạm hành chánh của công an dành cho kẻ quấy rối chưa kịp ráo mực thì tháng 7 này, các virus nội YMHeart, Vlove lại giở trò lừa đảo người sử dụng Yahoo! Messenger bằng mánh lới mời nhấp chuột vào các đường link có nội dung “rẻ tiền” như: Nhan Vao Day De Gui 1 Trai Tim Cho Ban Be; nguoiiu.com/life/Tang ban tam thiep ne; Vui qua ne; Truyen cuoi do, vao di.. Thâm hiểm hơn, virus Viet8xYM còn lợi dụng tình hình rối ren để lừa nạn nhân “dính” thêm một virus khác: “Neu ai bi nhiem virus minhut.be thi vao day coi cach diet nhe”.
Khi đường link được kích hoạt, một file EXE ẩn trên Website sẽ được tải về máy đích. Nếu tình trạng an ninh của máy được đặt ở chế độ Cao (điều chỉnh trong Internet Explorer – Tools - Internet Options - Security Setting), bạn sẽ nhận được cảnh báo của Windows. Hãy nhấn Cancel để từ chối, nếu không mã virus sẽ được kích hoạt.
Nếu vì lý do nào đó tập tin EXE vẫn được thi hành (bạn đã nhấn Run, hoặc tình trạng an ninh trên máy bạn đang đặt ở chế độ Thấp), virus sẽ nhanh chóng khống chế hệ thống. Một trong những hành vi phổ biến là lấy cắp sổ địa chỉ và mật khẩu tài khoản trên máy. Do người Việt Nam chưa có thói quen giao dịch ngân hàng qua mạng, nên trước mắt thiệt hại của loại virus này là không lớn. Tuy nhiên khả năng tiềm ẩn nguy cơ rất cao, khi mà đối tượng chúng nhắm đến là cộng đồng sử dụng Yahoo! Messenger, môi trường giao lưu qua Internet phổ biến nhất hiện nay của thanh thiếu niên.
Cũng giống như sâu trình e-mail, để đề phòng loại virus này, tốt nhất bạn không nên nhấp chuột vào các đường link chưa rõ nguồn gốc, đặc biệt là trong lúc chat. Nghe có vẻ đơn giản, nhưng thật không dễ thực hiện chút nào, nhất là khi cuộc trò chuyện trực tuyến đang hồi thân mật. Sau đây tôi sẽ mách bạn một số mẹo nhỏ phòng khi máy tính bị nhiễm các loại virus Internet này.
Phát hiện máy nhiễm
Không có một kịch bản chung cho mọi trường hợp nhiễm virus. Khi nhiễm vào máy, VloveYM sẽ thay trang chủ của trình duyệt Internet Explorer thành địa chỉ trỏ đến fun.nguoiiu.com. Virus Myheart thì “ngụy trang” với hình trái tim và bông hoa đẹp kèm theo một đường link xuất hiện trên cửa sổ Yahoo Messenger. Một số virus khác che phần mở rộng của các tập tin rồi vô hiệu trình đơn Folder Options từ menu Tools của Windows Explorer để chèn file virus lẫn lộn vào cấu trúc folder hệ thống.
Nói chung khi nhiễm virus, máy tính sẽ hoạt động không bình thường: bạn thường xuyên nhận được các tin nhắn vớ vẩn từ những người không quen biết, hoặc thỉnh thoảng các popup lạ tự động bật lên yêu cầu connect vào một trang Web nào đó.
Như đã đề cập, khi nhiễm vào máy, virus sẽ chạy file EXE chứa mã lệnh của nó. Phần lớn các virus sẽ nằm thường trực để thực hiện định kỳ các tác vụ được giao phó: lấy và gửi từng phần danh bạ, giám sát hoạt động bàn phím để đánh cắp password…
Để giám sát các tiến trình đang chạy, đầu tiên bạn hãy kích hoạt trình Task Manager bằng tổ hợp phím CTrl-Alt-Del.
Nếu phát hiện các tập tin thực thi lạ trong thẻ Processes (ví dụ task.exe), bạn hãy chọn tập tin trong danh sách rồi nhấn nút End Process. Kế tiếp bạn dùng chức năng Search của Windows để tìm tập tin tương ứng (task.exe) trên đĩa cứng để xóa bỏ.
Vấn đề là làm sao phân biệt tiến trình lạ với các tiến trình hợp thức trên máy? Để làm được điều này, bạn cần thường xuyên giám sát và nhớ tên chúng. Có thể bạn sẽ thấy khó chịu khi hàng ngày phải quan sát danh sách các tiến trình buồn tẻ của Windows. Tuy nhiên việc làm này là cần thiết bởi vì bạn cần biết trong nhà mình có những món đồ nào. Hôm nào có vật lạ xuất hiện, bạn phải thắc mắc ngay: Cái này ở đâu ra? Ai đã đặt nó chỗ này? Lúc nào? Với mục đích gì? Nếu không, bạn có nguy cơ gặp rắc rối, ví dụ như bị công an chất vấn vì nghi có dính líu với vụ trộm nhà bên, trong khi món đồ đó do kẻ trộm quẳng vào nhà bạn trong lúc trốn chạy…
Để tránh xóa nhầm các file thực thi hữu ích, bạn có thể tham khảo địa chỉ
www.processlibrary.com. Trang Web này cung cấp cho bạn thông tin về các file thực thi EXE và DLL của Microsoft và các hãng phần mềm nổi tiếng. Nếu không tìm thấy tên tập tin cần truy vấn trên trang Web, có thể bạn đang sử dụng phần mềm của một hãng không tên tuổi, hoặc một virus lạ đang rình rập trên máy bạn.
Thông thường các virus đều khởi động cùng Windows để tiếp tục thường trú ở các phiên làm việc tiếp theo. Để khảo sát danh sách đăng ký tự kích hoạt, bạn có thể sử dụng lệnh MsConfig từ hộp thoại Run. Chọn thẻ Startup và đối chiếu tên tập tin virus trong Windows Task Manager, bạn tiến hành xóa hộp kiểm tương ứng trong danh sách.
Trong thực tế, một số virus khi thường trú thường ngăn cản bạn thực hiện những công việc này. Sẽ tốt hơn nếu máy hoạt động trong chế độ an toàn (nhấn phím F8 khi máy vừa khởi động, chọn Safe mode with command prompt).
Để gây khó khăn cho việc khắc phục sự cố, một số virus còn vô hiệu các công cụ hệ thống như Registry Editor, Task Manager…