07/04/2010

Hiren’s BootCD 10.3 có virus?

Nhiều người đã biết Hiren’s BootCD là đĩa công cụ phục vụ khắc phục, sửa chữa, sao lưu, phục hồi… hệ thống máy tính khi gặp sự cố. Nhiều người thường tải các phiên bản Hiren’s BootCD mới nhất mỗi khi nó phát hành để có được các tính năng mới và sửa chữa lỗi nếu có ở các tool cũ, tôi cũng thế.

Hôm trước khi thấy trên 9down có bản Hiren’s BootCD 10.3 liền vào tải về. Thông thường thì trên 9down có liên kết đến một trang nào đó cho tải về và có các trang mirror để giảm gánh nặng trong link tải chính, một trong các mirror đó còn trên chính 9down. Lần này không thấy mirror của 9down nên phải tải về thông qua các server khác bị chậm hơn đối với các tài khoản miễn phí thông thường tại hotfile, rapidshare…

Sau khi tải hoàn tất file 9Down.COM_Hirens.BootCD.10.3.rar về máy tính thì thấy Norton Internet Security báo rằng file có virus mà cụ thể là file hbcdcustomize.exe (hình dưới)

Chi tiết hơn:

Virus nhiễm vào file này được đặt tên là Suspicious.MH690.A, thông thường thì bạn có thể hiểu rằng đây là tên của một loại virus, tuy nhiên nếu chú ý thêm một chút và đọc thêm về “virus” này trên website của Symantec thì đây có lẽ chưa phải là một loại virus cụ thể nào, mà chúng được phát hiện dựa trên công nghệ nhận dạng virus thông minh của hãng Symantec. File này có thể chứa đoạn mã của virus nào đó biến thể, hoặc loại virus mới chưa được nhận dạng ra (mà loại này thì có nhiều bởi hàng ngày số lượng mã độc mới xuất hiện luôn lớn hơn số đã được phát hiện bởi các phần mềm diệt virus). Khi phát hiện có những dấu hiệu của virus của file trên, Norton Internet Security 2010 đã “nhốt” chúng lại và đồng thời gửi mẫu về trung tâm để phân tích.

Vậy thì với các phần mềm bảo mật hoặc phần mềm diệt virus thông thường (không có công nghệ nhận dạng thông minh) thì sẽ phát hiện được gì không? Có thể là có hoặc có hoặc không: Có nếu như đoạn mã nhận dạng đã được cập nhật vào cơ sở dữ liệu của phần mềm diệt virus đó; Không (mà phần lớn là không) bởi hoặc chưa cập nhật mẫu, hoặc đã cập nhật nhưng virus đã kịp “biến” thành một loại virus khác mà thoát khỏi sự nhận dạng của phần mềm diệt virus thông thường. Để đối phó với các virus tự biến thể thì chỉ có các phần mềm diệt virus có công nghệ nhận dạng thông minh mới trị được chúng. Symantec Internet Security 2010 là một trong các phần mềm đứng hàng đầu năm 2010 (theo PCWorld) có công nghệ nhận dạng như vậy – nên đã phát hiện ra.

Khi thử quét Hiren’s BootCD 10.3 bằng bộ phần mềm bảo mật Symantec Client Security 10.1.9.9000 cũng của Symantec thì phần mềm này không nhận ra mã độc. Mặc dù dù cùng sử dụng cơ sở dữ liệu virus với Norton Internet Security nhưng rõ ràng là Symantec Client Security (phiên bản mới nhất) không có tính năng tự động nhận dạng thông minh nên đã để lọt lưới mã độc.

Symantec Client Security hiện nay được nhiều người sử dụng, thậm chí còn sử dụng các bản có engine 10.1.7 (rất cũ), bởi chúng không đòi hỏi nhiều về bản quyền như các sản phẩm mới hơn của Symantec.

Vậy thì trong số hơn 19.000 lượt xem tại trang này ở 9down thì có bao nhiêu là tải về, bao nhiêu là máy tính sẽ bị nhiễm mã độc chưa được biết đến và bao nhiêu máy tính khác được những người thạo IT (sử dụng được đĩa công cụ Hiren’s BootCD để sửa chữa sự cố phần mềm máy tính) này tiếp tục gây lây nhiễm? Con số đó có lẽ không nhỏ, do đó không có gì khó hiểu khi hàng ngày rất nhiều máy tính cá nhân trên thế giới gia nhập vào hệ thống botnet để tiếp tục truyền mã độc sang máy tính khác hoặc tham gia vào các vụ tấn công DDoS.

Như vậy tóm lại là: – Qua tải file trên Internet có nhiều nguy cơ bị lây nhiễm mã độc; – File bị nhiễm mã độc nhưng chưa chắc phần mềm diệt virus của bạn đã phát hiện được bởi chúng quá thông minh và tự mình thay đổi để tránh sự phát hiện; – Để bảo vệ tốt nhất, hãy dùng phần mềm bảo mật có thương hiệu trên thế giới thay vì cảm tính hoặc lựa chọn theo quảng cáo (thật may là hiện nay ở Việt Nam, đa số người sử dụng đã trở thành “người tiêu dùng thông minh” khi lựa chọn đúng phần mềm bảo mật).

Trương Mạnh An (4/2010)

Cập nhật: Đến ngày 08/4/2010 đã có bản Hiren’s BootCD 10.4 (sửa một số lỗi nhỏ so với bản 10.30), tuy nhiên bản này vẫn còn mã độc.

_________________________________

Các thay đổi so với bản 10.2

+ Total Commander 7.50a
+ PST (Outlook) Password Recovery 1.12
+ DiskCryptor 0.8
+ TeamViewer 1.85
+ InstalledCodec 1.15
+ Bulk Rename Utility 2.7.1.1
+ AlternateStreamView 1.12
- Streams
+ RegFromApp 1.20
- Data Advisor 2005 (Dos)
+ GMER 1.0.15
- DosCDroast
+ Network Password Recovery 1.23
+ Smart Partition Recovery 3.3
+ ShellMenuNew 1.01
- Ghost Walker (Dos)
+ Kon-Boot 1.1
+ BootSect 6.0.6
+ AccessGain MiniFilter 1.0 (Mini Xp)
+ exFat Driver (Mini Xp)
- GDisk (Dos)
+ Process Monitor 2.8
+ H2testw 1.4
Offline NT/2000/XP/Vista/7 Password Changer 2008-08-02
Hard Link Shell Extension 3.2 (Mini Xp)
Added/Updated Drivers in Mini Xp
Process Explorer 12.1
Malwarebytes Anti-Malware 1.45 (0404)
7-Zip 9.12b
CCleaner 2.30.1130
Unlocker 1.8.9
Recuva 1.36.479
SIW 2010-03-10
CPU-Z 1.54
GPU-Z 0.4.0
SuperAntispyware 4.35.1002 (0404)
UnknownDevices 1.4.20 (0404)
PCI 32 Sniffer 1.4 (0404)
PCI and AGP info Tool (0404)
SpywareBlaster 4.2 (0404)
ComboFix (0404)
Spybot - Search & Destroy 1.6.2 (0404)
Dr.Web CureIt! Antivirus (0404)

Không có nhận xét nào :

Đăng nhận xét

Hoan nghênh góp ý/phản hồi của bạn tới các bài viết!
- Nếu bạn không có các tài khoản Blogger/WordPress... để phản hồi/bình luận bạn có thể chọn trong "Nhận xét với tư cách" phần "Ẩn danh" (Anonymous).
- Blog còn có các bài viết khác mà có thể bạn sẽ quan tâm, được liệt kê tại Mục lục.