Tôi có cách sau sử dụng phần mềm TweakUI rất hiệu quả để loại bỏ tính năng autoplay của hệ điều hành và ngăn chặn sự lây lan virus qua các ổ USB flash như cách sau.
Thực trạng lây nhiễm virus thông qua USB flash
Khác với những người sử dụng Internet trên thế giới bị lây nhiễm virus thông qua truy cập website, tải tập tin...thì có vẻ như giới học sinh, sinh viên và những người làm văn phòng ở Việt Nam lại bị quốc nạn virus lây nhiễm qua USB flash. Tôi gặp đến 95% những người sử dụng thiết bị nhớ này hoặc ngay trong các thẻ nhớ của điện thoại di động, máy ảnh số hoặc các loại thiết bị giải trí di động số như máy nghe nhạc MP3, xem hình MP4 đều đã từng bị nhiễm virus, có điều là đã được diệt hay chưa được diệt mà thôi.
Tại sao virus kiểu này lại không tha cả những loại thẻ nhớ? Bởi vì chúng không cần biết rằng thiết bị lưu trữ dữ liệu dưới hình thức nào, chỉ cần chúng được cắm vào máy tính - qua bất kỳ hình thức nào để tạo ra một ký tự phân vùng (C, D, E, F...đến Z không chừng) thì đều bị lây nhiễm hết.
Đến đây tôi mở ngoặc một chút thế này: Có người sử băn khoăn rằng liệu các virus đó lây nhiễm vào máy nghe nhạc MP3/MP4, máy ảnh...thì có làm hại đến các thiết bị đó hay không, hay làm nó chậm đi hay không? chụp sai, nghe sai hay không? Câu hỏi này có vẻ ngớ ngẩn đối với một số người hiểu biết, nhưng tôi thì muốn nói với người chưa biết thế này: Dù có bị lây nhiễm vào các thiết bị trên, loại virus này không phát tác được vì các hệ điều hành nhúng ở máy ảnh, máy nghe nhạc đó không phải là môi trường cho chúng phát tác. Điều hại chút xíu là nó chiếm mất một chút dung lượng thẻ nhớ, điều nguy hại lớn hơn là chúng bị lợi dụng bởi sự hiểu nhầm rằng các loại thiết bị này không bị nhiễm và phát tác virus, nên cắm vào một máy tính khác để sao chép nhạc, hoặc đơn giản là muốn chia sẻ những hình ảnh nóng hổi mới sưu tầm, thì kết quả là virus đang chứa sẵn lại có thêm một mảnh đất sống mới trên một máy tính mới.
Thế tôi mới gọi là quốc nạn, thói quen tốt là chúng ta đã sở hữu những thiết bị nhớ di động tiện lợi thay thế cho chiếc đĩa mềm quá nhiều nhược điểm, thói quen tốt là có những sự chia sẻ với nhau trong công việc, nhưng nó lại làm cho virus phát tán nhanh kỷ lục trong phạm vi toàn quốc (VN). Ai chặn được quốc nạn này, tôi phong anh hùng - còn nhiều người dùng đã phong anh hùng cho một phần mềm diệt virus gọn nhẹ đã thực hiện được việc diệt virus này.
Cơ chế lây nhiễm
Hành động lây lan virus qua USB flash thường là: Ngay khi cắm thiết bị nhớ USB flash vào máy thì máy tính đã bị lây nhiễm nếu không có một phần mềm diệt virus nào được cài đặt trên nó. Mà nếu có, nó vẫn có thể bỏ qua các phần mềm này nếu gặp một loại virus mới hơn khả năng nhận biết của phần mềm.
Vậy nhờ đâu nó lại phát tác được? Có lẽ nó quá thông minh để chưa kịp làm gì thì đã tự lây nhiễm chăng? Không. Nó phải nhờ tính năng tự động chạy các ổ đĩa của Windows để phát tác.
Virus sẽ tạo ra một tập tin autorun có phần mở rộng là inf . Tập tin này sẽ được Windows đọc nó để thực hiện những gì trên đó, có thể đơn giản chỉ là hiển thị biểu tượng (icon) cho đĩa CD/DVD đó, nhưng có thể là chỉ dẫn để chạy một tập tin thực thi nào đó.
 |
| Bỏ chọn ở các ô trên |
Ta biết rằng tính năng tự động chạy (autorun) rất hữu ích cho các CD-ROM cài đặt các phần mềm nào đó. Nó giúp cho người sử dụng không cần hiểu biết gì nhiều cũng có thể dễ dàng cài đặt các gói phần mềm được phân phối. Không những thế, nó còn có thể giúp cho các phần mềm tự chơi nhạc, tự bật video nếu các đĩa CD-ROM (hoặc đĩa DVD) được đưa vào khay của ổ đĩa. Một cách lười biếng thì người sử dụng chỉ việc thưởng thức các ca khúc hoặc xem video mà không cần nhiều thao tác gì cả. Thế nhưng, chính sự tiện lợi này lại gây ra phiền toái trong thời kỳ virus phát triển mạnh mẽ hiện nay.
Tập tin thực thi này có thể chính là các phần mềm được đặt sẵn trên đĩa CD/DVD hoặc USB flash đó. Trước đây tôi đã rất ngạc nhiên khi rõ ràng rằng mình cài đặt phần mềm nghe nhạc Winamp mới nhất, nhưng khi cho một đĩa vào thì thấy nó khởi động một trình Winamp cũ hơn, với giao diện (skin) loè loẹt hơn, sau tôi mới hiểu rằng đó chính là tính năng autorun, và hệ điều hành đã khởi động phần mềm nghe nhạc Winamp đã được chứa trên chính đĩa CD kia chứ không chạy phần mềm nghe nhạc của tôi cài trên ổ cứng.
Virus lợi dụng điều này, thay vì một phần mềm nào đó thì tập tin autorun đã mồi hệ điều hành thực thi tập tin virus hoặc là một tập tin nhìn có vẻ hiền lành, vô hại nhưng đội lốt nó là virus. Thế là hệ thống bị nhiễm virus bởi chế độ mặc định của hệ điều hành, nhưng tất nhiên Microsoft là hãng bị lợi dụng, tính năng này không có lỗi.
Khi Windows của bạn bị lây nhiễm, virus được nạp vào bộ nhớ chính mỗi khi khởi động, và nó nhân bản luôn nó và các tập tin autorun.inf vào các phân vùng trên ổ đĩa cứng. Không những thế, bất kỳ một loại thiết bị lưu trữ dữ liệu nào được gắn vào đều bị chúng ghi thêm tập tin autorun trên ổ đĩa đó - trong đó có các thiết bị nhớ USB flash của bạn - đó là điều gây ra quốc nạn trong thế giới máy tính của chúng ta.
Sử dụng TweakUI để ngăn chặn sự lây lan tự động
Để chống lại sự lây nhiễm virus, cần phải vô hiệu hoá tính năng autorun của hệ điều hành. Có nghĩa là phải làm cho nó không bị lây nhiễm vào hệ điều hành ngay khi bạn gắn thêm thiết bị nhớ USB flash vào máy tính. Một cách dễ hiểu rằng USB chứa virus thì nó chỉ phát tác khi mà phải thực thi nó. Người ta đã nói rằng virus thông minh đến nỗi không làm gì mà cứ cắm USB flash vào là bị lây nhiễm ngay - chính là chức năng autorun này.
Có các cách loại bỏ tính năng autorun khác nhau, nhưng chúng đòi hỏi thao tác khá phức tạp khiến cho người sử dụng bối rối. Nếu như có có phần mềm nào đó để thực hiện những điều này qua một vài cái click chuột thì đơn giản hơn là phải lọ mọ học cách chế ngự các khoá registry phức tạp, có thể gây lên các lỗi với hệ điều hành với chỉ một vài sai sót nhỏ.
TweakUI là một phần mềm đã được sử dụng từ rất lâu trước đây cho các hệ điều hành Windows của Microsoft (phiên bản cũ hơn bản tôi giới thiệu dưới đây là 1.33, còn bản này là 2.10 và đòi hỏi chạy trên Windows XP-SP1 trở lên, Vista thì chưa rõ có dùng được không). Tôi cũng không rõ rằng phần mềm này có phải do chính hãng Microsoft viết ra hay không bởi nó không có một dòng thông tin nào cả, nhưng nó đã được cung cấp trên website của hãng này.
Cách sử dụng phần mềm TweakUI để loại bỏ tính năng autorun của Windows như sau:
- Bạn tải về phần mềm TweakUI ở trang download của hãng Microsoft, rồi cài đặt chúng.
- Sau khi cài đặt thì thực thi TweakUI (nó mặc định đặt tại: Start>Programs>Powertoys for Windows XP>TweakUI)
- Thực thi TweakUI, chọn đến mục như hình bên (tức là phải chọn đến mục mẹ là My Computer rồi đến AutoPlay, rồi mới đến mục đó. Nếu hình khó nhìn, bạn tải hình này để phóng to lên, tôi phải để như vậy bởi không muốn làm cho chúng chiếm đứt bài viết trên các máy tính có độ phân giải bề ngang quá thấp)
- Thấy rằng cả hai ô được mặc định đánh dấu chọn, bạn bỏ chọn hai ô này (click một lần vào ô cho biểu tượng hình chữ V mất đi). Điều này có nghĩa rằng bạn không cho phép Windows có thể tự động chạy các đĩa CD/DVD và đối với các loại ổ đĩa USB flash, ổ đĩa tháo lắp để có thể bị lợi dụng lây nhiễm virus.
- Tìm đến mục gần đó: Drive (cũng trong mục lớn AutoPlay) bỏ chọn toàn bộ các ổ đĩa được liệt kê trong đó: Từ A đến Z - kể cả nó có dấu hỏi chấm đo đỏ. (Tại sao vậy? Bởi vì nó làm cho các ổ đĩa được gán các ký tự trên cũng không tự động chạy tập tin autorun được. Những dấu hỏi quanh hình tròn màu đỏ có ý nghĩa rằng các ký tự ổ đĩa đó chưa được gán cho các phân vùng và các ổ đĩa nào. Nếu như gắn thêm một ổ cứng, ổ đĩa lắp ngoài, thiết bị lưu trữ dữ liệu USB flash thì chúng được lần lượt gán tên theo các ký tự hiện nay chưa được gán. Việc bỏ kiểm chọn này không cho phép hệ điều hành có thể kích hoạt chế độ tự động chạy ở các ổ phân vùng, ổ đĩa hiện tại và các phân vùng, ổ đĩa được tiếp tục xuất hiện về sau này. Một cách chắc chắn thì bạn nên bỏ kiểm chọn đến ký tự Z, nhưng nếu đã đến M, L rồi mà thấy chán thì cũng dừng lại được rồi.)
- Sau khi thiết đặt xong, bạn phải bấm nút OK hoặc Apply (Apply cho mỗi lần thiết lập tại một trang trong phần mềm trên chắc ăn nhất) rồi khởi động lại máy tính.
Diệt virus USB bằng tay không?
Diệt virus bằng tay không là cách nói đến việc vô hiệu hoá virus mà không phải sử dụng bất kỳ công cụ nào của hãng thứ ba. Nếu như người sử dụng luôn cảnh giác trước Internet hoặc với người sử dụng thành thạo thì việc ngăn ngừa virus vào hệ thống mà không sử dụng phần mềm diệt virus là chuyện bình thường. Nhiều người dùng Linux có thể chẳng biết đến phần mềm diệt virus là gì - nhưng hãy coi chừng.
Nào, bạn tìm tập tin autorun.inf có trên các USB flash để xem nội dung của nó (bằng notepad) thì bạn có thể thấy rằng chúng chứa các đường dẫn đến các tập tin được lây nhiễm virus trên chính USB flash đó. Bạn có ngại ngần gì khi mở xem tập tin autorun.inf hay không, đừng ngại ngần gì cả, hãy mở ra để xem bởi chúng thì không thể chứa virus vì chứa các text thông thường, và kể cả chúng có chứa các đoạn mã độc thì cũng không thực hiện được bởi môi trường thực thi tập tin này là notepad có sẵn trên Windows, do đó bạn đừng ngại về điều này khi mở ra xem chúng.
Mở một tập tin autorun.inf, bạn sẽ thấy dạng như sau (phần màu đỏ):
[autorun]
OPEN=setup.exe
...với các nội dung linh tinh khác nữa mà tôi không nhớ (nhưng thật tiếc rằng tôi không tìm thấy một tập tin như vậy trong máy tính của mình để lấy ra làm minh hoạ cho trực quan hơn, tuy nhiên, tôi sẽ cố gắng tìm kiếm chúng trong vài ngày tới ở cơ quan tôi), chủ yếu những nội dung linh tinh này làm rối mắt bạn, nhằm tránh bạn cũng có thể thực hiện những điều tương tự như đang định làm ở đây.
Ở đây, bạn nhìn thấy dòng OPEN=setup.exe, tức là hệ điều hành sẽ thực thi tập tin setup.exe để chuẩn bị cho quá trình cài đặt phần mềm (một giao diện cài đặt mở ra như bạn thường thấy, và một mẹo nhỏ là nếu bạn đưa một đĩa CD/DVD chứa phần mềm vào mà nó tự mở ra như vậy thì có nghĩa cách vô hiệu hoá tính năng autorun như trên đã không thành công, hoặc là thành công rồi nhưng virus hoặc một phần mềm khác lại làm nó trở thành mặc định như ban đầu của Windows). Trong trường hợp cụ thể thì không phải là tập tin setup.exe nữa, mà là các tập tin cụ thể, chẳng hạn explorer.exe (giống của Windows cho tin tưởng) hoặc giả định là fun.exe...bất cứ cái gì chúng thích và không phải tập tin nằm ngay ở sau dấu bằng (=), mà ở các đường dẫn khác khôn khéo hơn.
Ở các tập tin autorun.inf mồi cho virus, đường dẫn đến tập tin chứa virus sẽ phức tạp hơn, có thể chúng nằm trong thư mục của thùng rác (Recycle bin, mỗi phân vùng có một thư mục như vậy, vì cơ chế làm việc của nó là tại từng phân vùng, đôi khi người ta lại cứ nghĩ là nó nằm ở màn hình desktop), bởi vì chúng lợi dụng một số phần mềm diệt virus đã bỏ qua các thư mục thùng rác mà không kiểm tra các tập tin chứa trong đó (thường các phần mềm có engine cũ thì không quét thùng rác, còn những phần mềm mới thì chúng lại đã quan tâm đến mọi thứ rác rưởi và kiểm tra chúng - ở đâu đó tôi đã nói rằng cố gắng sử dụng các phiên bản phần mềm diệt virus mới nhất một phần là thế)
Nếu như bạn có thể nhìn thấy chúng thì cũng có thể tiêu diệt được chúng - nhưng chỉ có điều rằng hãy cẩn thận, đừng bấm nhầm để thực thi chúng là được. Có cần nhắc lại với bạn cách xoá tập tin được cho là virus này không nhỉ? chỉ cần bạn chú ý đừng kích hoạt nó bằng cách click đúp (theo thiết đặt thông thường) là được. Tuy nhiên, có thể bạn đã không thể xoá được tập tin này, điều đó có hai nguyên nhân sau:
- Phần mềm diệt virus được cài trên máy bạn cố gắng cách ly tập tin nhiễm virus này ra khỏi sự tác động của người sử dụng. Trong trường hợp này nếu bạn có xoá được thì hệ điều hành sẽ thông báo lỗi rằng tập tin không tồn tại. Thường thì các phần mềm của hãng Symantec sẽ ngăn chặn ngay, bạn sẽ thấy tập tin đó bị biến mất ngay khi bạn vừa nhìn thấy một lát.
- Virus đã được kích hoạt, do một thao tác nào đó bị sai ở phía bên trên (bạn đã kích hoạt nó hoạt động) hoặc là chức năng autoplay của Windows đã làm việc rồi.
Có cần thết thực hiện những điều trên (diệt virus bằng tay - hoặc là kiểm tra virus xem chúng có hay không khi mà bạn đã có một phần mềm diệt virus để bảo vệ máy tính rồi? Thực tế là vẫn cần, bởi vì phần mềm diệt virus không phải lúc nào cũng nhận biết được các loại virus mới.
Tàn dư virus để lại
Còn có chuyện gì xảy ra nếu bạn không thể nào mở được phân vùng C, D, E...? hoặc ổ USB flash bằng cách click đúp vào nó. Nó thường thông báo rằng không tìm thấy một tập tin thực thi nào đó để có thể mở các phân vùng này.
Nếu như vậy thì có lẽ bạn đã từng bị nhiễm virus (đã diệt hoặc không diệt được). Khi thực hiện điều này có thể nó đã tạo ra một tập tin là autorun.inf ở trên các phân vùng này. Tập tin này sẽ định hướng cho việc tự động chạy một tập tin có khả năng thực thi được (thường đuôi mở rộng của chúng là EXE) để có thể lây nhiễm mã độc vào bộ nhớ và tiếp tục lây nhiễm tới bất kỳ ổ đĩa, phân vùng nào có thể hiện hữu ở hiện tại hoặc sẽ được gắn vào.
Để loại bỏ phiền toái này, bạn tìm các tập tin có tên autorun.inf trên các phân vùng, các ổ USB để xoá đi, rồi khởi động lại máy, lần sau bạn có thể kích đúp vào các ký tự của phân vùng ổ đĩa mà không gặp một thông báo không thấy tập tin liên quan nào đó. Tuy nhiên, tập tin này thường được đặt thuộc tính "Hệ thống" và thuộc tính "Ẩn". Để bắt nó hiện ra, bạn làm cách sau:
Mở Explorer, chọn vào Tools>>Folder Options>>View>>Chọn sang mục "Show hidden files and folders", ở mục dưới nó một chút, bỏ chọn ở "Hide protected operating system files".
Hai hành động này sẽ hiện hết tất cả các tập tin có thuộc tính ẩn và hệ thống. Từ đây bạn sẽ thấy các file hiện ra la liệt. Đừng xoá gì ngoài các tập tin mang tên autorun.inf. Thực ra thì tôi chẳng bao giờ phải làm loằng ngoằng như vậy, bởi tôi dùng phần mềm Total Commander (giống NC, nhưng nó chạy trên nền 32bit) để quản lý tập tin và thư mục (rất tiện lợi), nhưng không dám giới thiệu cách làm, vì thực tình không biết cách chỉ cho bạn ở chỗ nào an toàn mà tải phần mềm Total Commander này về.
Hãy nhớ rằng cho dù tập tin autorun.inf là vô tội, nó không phải virus (nhiều bạn đã cho rằng autorun.inf là virus). Do đó tập tin vẫn tồn tại khi mà USB đó hoàn toàn trong sạch (có lẽ là một phần mềm nào đó đã diệt chúng trước đó rồi). Do chúng còn có các công dụng khác nữa nên các phần mềm diệt virus chính thống không bao giờ xoá chúng đi. Vậy tại sao lại phải cố gắng xoá chúng đi? Bởi vì rằng chúng làm cho bạn không thể click đúp vào các phân vùng, ổ USB flash như đã nói ở trên (hãy nhớ rằng chúng ta đã coi như đã xoá được tập tin chứa virus rồi, và chỉ còn lại tàn dư của chúng theo đúng tên mục này).
Rồi bạn lại phải khởi động lại máy tính để các thiết lập này có hiệu lực (thực chất, bạn cũng có thể khởi động lại Explorer, nhưng cách này hơi phức tạp nên tôi lười hướng dẫn ra ^_^).
Nếu bạn không biết làm cách trên, bạn có thể mở các phân vùng, ổ đĩa bằng cách bấm tổ hợp phím Windows+E (phím Windows có logo windows của Microsoft), sau đó bấm vào tên phân vùng hoặc ổ đĩa ở cột bên trái, toàn bộ chúng sẽ hiển thị ở bên phải. Đây là cách mà bạn không xoá được tập tin autorun.inf thôi - Nhưng tôi tin rằng bạn làm được.
Với cách làm hiển thị các tập tin và thư mục ẩn như trên, sau khi xoá các tập tin autorun.inf, bạn cần đặt lại cho chúng ẩn lại như cũ, bởi vì bạn có thể khó chịu và ngứa ngáy xoá đi các tập tin khởi động của họ WindowsNT (các tập tin sau quan trọng: ntldr, NTDETECT.COM, boot.ini, IO.SYS, MSDOS.SYS ở phân vùng cài đặt hệ điều hành NT/2K/XP) khiến cho bạn không khởi động được máy tính (lỗi ntldr). Không phải là thừa khi nói vậy, nhiều người đã xoá đi chúng bởi thấy bẩn mắt, hoặc cố xoá một số thư mục hệ thống của hệ điều hành. Cũng thật tệ là một vài phần mềm diệt virus việt đã làm cách trên (bỏ mọi hiển thị ẩn và hệ thống của tập tin) để có thể nhìn thấy được các tập tin autorun này (tôi cho rằng để phục vụ việc truy cập vào các tập tin ẩn và các thư mục ẩn như thùng rác để diệt virus), rồi chúng không trả lại trạng thái ẩn nữa sau khi thực hiện việc quét virus. Điều này khiến cho người dùng cố gắng làm công việc mà họ cho rằng "dọn dẹp rác" (đã được đặt thuộc tính ẩn và hệ thống, trước không thấy, nay mới nhìn thấy ở đâu mọc ra).
Hạn chế của phương pháp
Mặc dù bản thân tôi có thể dùng phương pháp này để tóm các loại virus lây lan qua thiết bị lưu trữ dữ liệu USB flash mà không cần bất kỳ phần mềm diệt virus nào cả, nhưng bạn nên trang bị một phần mềm diệt virus để phòng ngừa tốt hơn. Phương pháp này không đảm bảo rằng nó sẽ được thiết lập như vậy vĩnh viễn. Các virus lại mới và thông minh hơn lại có thể thay đổi các khoá registry của Windows để các thiết lập trên lại được trở thành mặc định. Người viết ra virus thường là thông minh hơn những người muốn chế ngự nó nên có thể có loại virus sẽ được tích hợp tính năng thiết đặt lại các khoá registry của hệ điều hành họ Windows.
Sự thay đổi thiết lập này không độc quyền bởi TweakUI, các phần mềm khác nhau với các cách thiết lập khác cũng có thể thay đổi lại các thiết lập trên trở về mặc định. Như vậy, điều tốt nhất là bạn hãy quan tâm thường xuyên đến các thiết lập này bằng cách thỉnh thoảng lại kiểm tra xem nó có bị thay đổi hay không.
Các cách khác
Tôi không dám nói rằng cách này là tối ưu, để khách quan, tôi tìm kiếm để ra một số cách khác cho bạn tham khảo thêm, xem các bài trong "các cách khác" ở dưới.
______
Trang này dẫn đến chỗ tải về: http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
Địa chỉ tải về phần cài đặt TweakUI: http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe
(Để địa chỉ này cho bạn dễ nhìn thấy rằng nó đặt tại máy chủ của hãng Microsoft)
Các cách khác:
Các cách đơn giản để phòng tránh virus lây qua USB, Trần Ngọc Dũng, đăng trên VnExpress, 11/3/2008.
Giải pháp khắc phục tác hại của virus lây qua USB, Trần Ngọc Dũng, đăng trên VnExpress, 6/3/2008.
Xem thêm trên blog này:
Lưu ý:
- Tôi dùng từ virus trong bài này là chỉ virus máy tính hoặc các phần mềm độc hại - như một thói quen của những người dùng máy tính. Nó không phải các loại virus sinh học.
- Cách gọi tên: Phân vùng, ổ đĩa có thể khiến bạn khó hiểu? Hãy xem bài: Quy hoạch bộ nhớ trong Windows.
Trương Mạnh An (19-20/5/2008)
Không có nhận xét nào :
Đăng nhận xét
Hoan nghênh bạn chia sẻ/góp ý/phản hồi để bài viết được phổ biến hoặc hoàn thiện hơn!
- Nếu bạn thấy thích bài viết và muốn chia sẻ tới mọi người, xin vui lòng bấm nút "Like" và các nút chia sẻ tương ứng.
- Nếu bạn không có các tài khoản Blogger/WordPress... để phản hồi/bình luận bạn có thể chọn trong "Nhận xét với tư cách" phần "Ẩn danh" (Anonymous).
- Blog còn có các bài viết khác mà có thể bạn sẽ quan tâm, được liệt kê tại Mục lục.