Mã độc (Malware) viết tắt của từ Malicious Software: Là những chương trình phần mềm được thiết kế để gây hại hoặc làm những hành động không mong muốn đối với người dùng trên hệ thống máy tính.
Như vậy: Mã độc bản chất là một phần mềm như những phần mềm khác trên máy tính mà chúng ta vẫn sử dụng hằng ngày, nó có đầy đủ những đặc điểm, tính chất của một phần mềm bình thường chỉ khác là nó có thêm tính độc hại (malicious)
Việc phòng tránh mã độc cần được thực hiện đồng bộ trên tất các thành phần trong hệ thống thông tin của các cơ quan, đơn vị. Sau đây là hướng dẫn các kỹ năng nâng cao trong việc phòng chống hiệu quả các loại mã độc thông thường đang hoạt động hiện nay.
Bước 1. Kiểm tra, phát hiện các tiến trình độc hại đang chạy trên máy tính.
Một trong những chức năng quan trọng thường có ở các mã độc là khả năng ẩn mình trên hệ thống bị lây nhiễm. Trong đó các tiến trình của mã độc thường sử dụng các tên gần giống hoặc giống hoàn thoàn với các tiến trình thật của máy tính.
Để người dùng phát hiện ra các tiến trình nghi ngờ là tiến trình của mã độc qua đó xác định và thực hiện các biện pháp bóc tách và loại bỏ mã độc này ra khỏi máy tính.
Trên máy tính chạy hệ điều hành Windows, người dùng có thể sử dụng chức năng Task Manager để thực hiện liệt kê các tiến trình đang chạy trong hệ thống. Tuy nhiên ứng dụng này thường chỉ cung cấp các thông tin cơ bản liên quan đến tiến trình mà thiếu đi các thông tin quan trọng khác phục vụ việc phân biệt rõ ràng đâu là tiến trình an toàn của hệ thống, đâu là tiến trình của mã độc.
Để khắc phục nhược điểm của ứng dụng có sẵn Task Manager. Chúng ta sử dụng 01 công cụ miễn phí khác là Process Explorer của hãng Microsoft. Công cụ này cung cấp nhiều hơn thông tin liên quan đến các tiến trình trên hệ thống cho người dùng và được download trực tiếp từ Website của Microsoft theo đường dẫn sau:
https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx
Thông qua chạy công cụ này, người dùng có thể thu thập được nhiều thông tin hơn về một tiến trình đang chạy trên hệ thống, bao gồm:
- Các tiến trình đang chạy
- Các thư viện “dll” mà tiến trình sử dụng
- Cây tiến trình để xác định tiến trình gốc khởi tạo
- Trạng thái của từng tiến trình
- Tài nguyên hệ thống mà tiến trình đang sử dụng
- Và nhiều thông tin liên quan khác
Để xác định một tiến trình bất thường, người dùng chú ý một số đặc điểm như sau:
- Tiến trình không có phần mô tả từ nhà sản xuất (Description)
- Tiến trình không có thông tin từ nhà sản suất (Company Name)
- Tiến trình có các hoạt động bất thường trên nền TCP/IP
- Tiến trình không thể xác thực chữ ký số của nhà sản xuất (Verified Signer)
- Kiểm tra tiến trình thông qua dịch vụ kiểm tra mã độc Virus Total được liên kết trực tiếp trên giao diện của công cụ.
Trong trường hợp xác định hoặc nghi ngờ tiến trình là mã độc. Người dùng tiến hành chức năng loại bỏ tạm thời tiến trình thông qua chức năng “kill” của công cụ.
Bước 2. Kiểm tra, phát hiện các tiến trình tự động khởi động của mã độc
Sau khi kiểm tra, phát hiện các tiến trình nghi ngờ là mã độc hại đang tồn tại trên hệ thống. Ngoài việc sử dụng tính năng “Kill” để tạm thời loại bỏ tiến trình ở bước 1. Chúng ta cần thực hiện kiểm tra, phát hiện các mã độc chạy tự động khi hệ thống khởi động. Bởi vì, ngoài khả năng che dấu bản thân theo tên các tiến trình thông thường, mã độc còn có khả năng thiết lập các cơ chế tự động khởi tạo theo hệ thống khi hệ thống khởi động.
Để có thể phân tích các tiến trình tự khởi động cùng hệ thống. Chúng ta sử dụng công cụ thứ 2 là Autoruns cũng do Microsoft phát triển. Công cụ này cung cấp nhiều thông tin hữu ích hơn so với ứng dụng Startup được tích hợp sẵn trong Windows và được tải trực tiếp từ Website của Microsoft theo đường dẫn sau:
https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Với việc sử dụng công cụ này, chúng ta có thể liệt kê tất cả các cơ chế tái khởi động của các tiến trình như sau:
- Các dịch vụ (Services) tự động khởi động cùng hệ thống
- Các tác vụ (tasks) đã được đặt lịch cùng hệ thống
- Các phần mở rộng (addons) của ứng dụng được đăng ký tự động khởi tạo.
- Và các thông tin khác
Tương tự như với ứng dụng Process Explorer, đối với ứng dụng Autoruns, người dùng cần chú ý đến các ứng dụng đã được đăng ký tái khởi động cùng hệ thống nhưng không có các đặc điểm sau đây để qua đó xác định các tiến trình nghi ngờ là mã độc:
- Tiến trình không có xác thực chữ ký số của nhà sản xuất (Verified Signer)
- Tiến trình không có phần mô tả từ nhà sản xuất (Description)
- Tiến trình không có thông tin từ nhà sản suất (Company Name)
Sau khi xác định được các tiến trình nghi ngờ, chúng ta có thể sử dụng các thông tin được cung cấp từ công cụ này để tìm đến đường dẫn đầy đủ của các ứng dụng sử dụng các tiến trình này và dò quét bằng dịch vụ VirusTotal để xác định ứng dụng có phải mã độc hay không.
Trong trường hợp xác định ứng dụng đó là mã độc, chúng ta có thể gỡ bỏ ứng dụng đó khỏi hệ thống đồng thời loại bỏ các tiến trình này trong việc tái khởi động cùng hệ thống ở những lần khởi động tiếp theo.
Bước 3. Thiết lập việc sử dụng USB, thiết bị lưu trữ ngoài
Các thiết bị lưu trữ bên ngoài cũng như USB là một trong những nguyên nhân chủ yếu gây ra việc lây lan mã độc trong môi trường mạng. Do đó, cần có các thiết lập đảm bảo an toàn thông tin cho việc sử dụng thiết bị lưu trữ ngoài trong hệ thống như:
Bước 3.1. Ngăn chặn chức năng tự chạy (Autorun) đối với thiết bị lưu trữ USB:
Thông thường, mã độc thường sử dụng chức năng Autorun để lây lan thông qua các thiết bị lưu trữ gắn ngoài như USB, các ổ cứng gắn ngoài…Việc cấu hình này giúp ngăn chặn chức năng Autorun cho các thiết bị lưu trữ gắn ngoài là công việc đơn giản, nhưng hữu hiệu trong việc phòng chống mã độc tại các máy tính cá nhân trong cơ quan, đơn vị.
Để vô hiệu hóa chức năng Autorun, người dùng có thể truy cập vào: Windows > Run gpedit.msc
Sau đó vào phần Computer Configuration > Administrative Templates > Windows Components > Autoplay Policies:
Mở chức năng Turn off Autoplay và chọn Enable cũng như tùy chọn All driver để xác nhận:
Bước 3.2. Dò quét mã độc trước khi sử dụng thiết bị:
Ngoài việc loại bỏ chức năng Autorun đối với các thiết bị lưu trữ, người sử dụng cần hình thành thói quen sử dụng chương trình diệt Virus để dò quét mã độc trước khi sử dụng thiết bị.
Trong trường hợp, trên máy tính chưa được trang bị phần mềm diệt Virus có bản quyền. Người dùng có thể sử dụng các phần mềm diệt Virus phiên bản miễn phí. Sau đây là danh sách các phần mềm miễn phí để chúng ta lựa chọn cài đặt.
Hoàng Anh Tuấn
Trung tâm CNTT&TT Thanh Hóa