Ti_Teo_Tập_Yêu
Tổng số bài gửi : 490 Join date : 18/07/2009 Age : 40 Đến từ : Quẳng Ninh
| Tiêu đề: Phòng ngừa lây lan virus Autorun vào hệ thống! Tue Jul 21, 2009 5:36 pm | |
| Virus Autorun là tên mà dân IT gọi một số virus lây lan qua các thiết bị lưu trữ dựa vào chức năng Autoplay được bật sẵn trong Windows. Hiện giờ có lắm virus lây lan theo kiểu này, và cũng có lắm cách được đưa ra để phòng ngừa dòng virus Autorun này…
Virus Autorun đã gây không ít bức xúc cho phần lớn người dùng máy tính. Trên Google, tìm kiếm với từ khóa đơn giản là “diệt virus Autorun” và nhận được vô số kết quả về vấn đề này. Ngoài biện pháp dùng các phần mềm AntiVirus, tôi còn thấy nhiều cách “thủ công” để phòng ngừa những con virus loại này, xin dẫn ra một ví dụ:
Chuyển qua định dạng NTFS bằng cách vào Start > Run gõ cmd rồi Enter, nhập vào cửa sổ Command prompt dòng: convert X:/fs:ntfs trong đó X là ổ đĩa. Ví dụ: convert H:/fs:ntfs. Trước khi thực hiện chuyển đổi, ta nên chắc chắn là không một tiến trình nào còn hoạt động trên đĩa. Kế đến tạo một file Autorun.inf (viết hoa hay không đều được, không cần có nội dung) ngay trên USB, giữ phím Alt và bấm đôi vào nó chọn Read-only, OK . Sau đó vào lại Command prompt đánh dòng: cacls X:\autorun.inf /d everyone rồi Enter (với X là ổ USB) bấm tiếp Y và Enter . Vậy là từ nay file autorun.inf này sẽ “trơ” ra đó trước mọi thao tác open, copy, delete... Lưu ý là nếu dùng cách này, ta không thể tạo icon cho ổ đĩa. Nếu muốn file Autorun.inf trở lại bình thường ta vào Command promt sử dụng câu lệnh: cacls X:\autorun.inf /p everyone:fBạn cũng có thể làm tương tự để tạo thư mục Recycled và System Volume Information. Bây giờ virus có thể vào được USB nhưng ko còn có tự chạy được nữa
Nếu muốn bỏ file này bạn phải vào đúng máy mà bạn đã dùng khóa nó và gõ lệnh
cacls “:\autorun.inf” /g everyone:f Kết quả khi tìm kiếm trên Internet về cách diệt Virus Autorun
Cách phòng ngừa thông dụng nhất vẫn là cách phá bỏ chức năng Hidden, ReadOnly và System của file Autorun.inf trên USB rồi xóa nó bằng dòng lệnh (CMD), hoặc xóa trên trình duyệt tập tin (dùng My Computer, NC hay thậm chí là vào DOS để xóa). Sẽ có hai trường hợp xảy ra:
1. Nếu máy bạn chưa từng nhiễm virus Autorun (có thể kiểm tra bằng cách bật file ẩn, duyệt tất cả các thư mục gốc của các ổ đĩa xem có tồn tại Autorun.inf hay ko (nên mở bằng cây thư mục, đừng kích đúp vào các biểu tượng ổ đĩa trong My Computer vì như vậy sẽ vô tình kích hoạt virus trên ổ đĩa nếu có), nếu chỉ mỗi USB chứa Autorun.inf thì máy bạn có cơ may chưa bị nhiễm), khi này cách “xóa sổ” kia có thể còn đất để “dụng võ”.
2. Máy bạn đã nhiễm ít nhất 1 con loại này trong hệ thống, nó sẽ chạy ngầm và chạy theo kiểu “đại gia đình”, tức là chạy nhiều bản sao của nó cùng lúc, khi 1 con bị tắt trong Task Manager thì nó được con khác lại kích hoạt lại hoặc cho chạy một con khác theo cơ chế tự nhân bản. Chúng sẽ thi nhau quét trên tất cả ổ đĩa trong máy trung bình từ 1 đến 3 giây mỗi lần và tự tạo lại tập tin Autorun.inf và file virus (dạng EXE, DLL, BAT…) tương ứng trên các ổ đĩa, sau đó lại set thuộc tính hệ thống cho chúng. Bạn có thể thấy ngay trên một số máy là khi Delete xong file Autorun.inf thì các biểu tượng trên màn hình nháy 1 cái và một file Autorun.inf khác lại xuất hiện, sau đó nháy thêm cái nữa rồi biến mất (thực ra là bị ẩn đi). Một số con virus ma mãnh hơn lại khóa chức năng hiện file ẩn của hệ thống. Như vậy cách làm trên là vô ích và vô vọng.
Một số bạn khác lại cho rằng dùng các chương trình để phòng ngừa sự tạo tập tin Autorun.inf của virus như VnSecurity, Autorun Eater…
Nguyên tắc của các phần mềm này là quét các ổ đĩa như cách mà virus làm (như Autorun Eater chẳng hạn), sau đó tìm và hủy tập tin Autorun.inf (nếu có). Cách khác mà VnSecurity làm là tạo thư mục có tên Autorun.inf lên ổ đĩa để ngăn ghi tập tin Autorun.inf, rồi ghi thêm trong đó các thư mục mà hệ thống không thể tạo hay xóa bằng cách thông thường, đó là các thư mục có tên CON, LPT1, LPT2… để ngăn ngừa một số virus “thông minh” hơn sẽ xóa thư mục này Autorun.inf đi trước khi tạo file Autorun.inf. Tuy nhiên, việc cài thêm một phần mềm để chỉ dùng để… xóa một tập tin là không cần thiết, đôi khi còn gây chậm cho máy.
Riêng tôi thì xin một cách khác dựa trên thủ thuật của VnSecurity, rất đơn giản mà lại hiệu quả như sau: Bạn vào Notepad và soạn tập tin Lock.bat với nội dung như sau:
@echo off
set drive=F
echo Xóa file Autorun.inf (nếu có)
attrib -r -s -h %drive%:\Autorun.inf >nul
del /f %drive%:\Autorun.inf >nul
echo Tạo thư mục Autorun.inf
md %drive%:\Autorun.inf\
md %drive%:\Autorun.inf\.Lock..\
md %drive%:\Autorun.inf\CON\
attrib +r +s +h %drive%:\Autorun.inf
echo Ok. Nhấn phím để kết thúc… pause>nul
Đây là một cách tương đối hiệu quả, tuy nhiên cách này chỉ áp dụng được trên một số máy, hơn nữa chế độ Format mặc định của Windows không cho phép Format USB sang định dạng NTFS được nếu không thực hiện qua một số tiểu xảo khác.
Bạn thay kí tự F dòng thứ 2 tương ứng với kí tự ổ đĩa cần khóa. Kích hoạt file này để khóa file Autorun.inf trên ổ đĩa. Giờ bạn thử tạo hay chép bất kì file Autorun.inf nào lên ổ đĩa này thì bạn đều nhận một thông báo lỗi là không xử lí được.
Thư mục Autorun.inf được tạo ra trên ổ đĩa để ngăn ngừa Virus Autorun ghi thêm tập tin
Vì thư mục Autorun.inf tạo theo cách trên không thể xóa theo cách thông thường được nên để mở khóa ổ đĩa đã được khóa theo cách trên, bạn dùng Notepad soạn file UnLock.bat có nội dung như sau:
@echo off
set drive=F
attrib -r -s -h %drive%:\Autorun.inf
rd /q %drive%:\Autorun.inf\CON\
rd /s /q %drive%:\Autorun.inf\
attrib +r +s +h %drive%:\Autorun.inf
echo Ok. Nhấn phím để kết thúc…
pause>nul
Xin lưu ý là các cách trên chỉ có mục đích ngăn ngừa và bạn cần phải tháo USB ra trước khi cắm lại vào máy để đảm bảo an toàn. | |
|