07/04/2010

Hiren’s BootCD 10.3 có virus?

Nhiều người đã biết Hiren’s BootCD là đĩa công cụ phục vụ khắc phục, sửa chữa, sao lưu, phục hồi… hệ thống máy tính khi gặp sự cố. Nhiều người thường tải các phiên bản Hiren’s BootCD mới nhất mỗi khi nó phát hành để có được các tính năng mới và sửa chữa lỗi nếu có ở các tool cũ, tôi cũng thế.

Hôm trước khi thấy trên 9down có bản Hiren’s BootCD 10.3 liền vào tải về. Thông thường thì trên 9down có liên kết đến một trang nào đó cho tải về và có các trang mirror để giảm gánh nặng trong link tải chính, một trong các mirror đó còn trên chính 9down. Lần này không thấy mirror của 9down nên phải tải về thông qua các server khác bị chậm hơn đối với các tài khoản miễn phí thông thường tại hotfile, rapidshare…

Sau khi tải hoàn tất file 9Down.COM_Hirens.BootCD.10.3.rar về máy tính thì thấy Norton Internet Security báo rằng file có virus mà cụ thể là file hbcdcustomize.exe (hình dưới)

Chi tiết hơn:

Virus nhiễm vào file này được đặt tên là Suspicious.MH690.A, thông thường thì bạn có thể hiểu rằng đây là tên của một loại virus, tuy nhiên nếu chú ý thêm một chút và đọc thêm về “virus” này trên website của Symantec thì đây có lẽ chưa phải là một loại virus cụ thể nào, mà chúng được phát hiện dựa trên công nghệ nhận dạng virus thông minh của hãng Symantec. File này có thể chứa đoạn mã của virus nào đó biến thể, hoặc loại virus mới chưa được nhận dạng ra (mà loại này thì có nhiều bởi hàng ngày số lượng mã độc mới xuất hiện luôn lớn hơn số đã được phát hiện bởi các phần mềm diệt virus). Khi phát hiện có những dấu hiệu của virus của file trên, Norton Internet Security 2010 đã “nhốt” chúng lại và đồng thời gửi mẫu về trung tâm để phân tích.

Vậy thì với các phần mềm bảo mật hoặc phần mềm diệt virus thông thường (không có công nghệ nhận dạng thông minh) thì sẽ phát hiện được gì không? Có thể là có hoặc có hoặc không: Có nếu như đoạn mã nhận dạng đã được cập nhật vào cơ sở dữ liệu của phần mềm diệt virus đó; Không (mà phần lớn là không) bởi hoặc chưa cập nhật mẫu, hoặc đã cập nhật nhưng virus đã kịp “biến” thành một loại virus khác mà thoát khỏi sự nhận dạng của phần mềm diệt virus thông thường. Để đối phó với các virus tự biến thể thì chỉ có các phần mềm diệt virus có công nghệ nhận dạng thông minh mới trị được chúng. Symantec Internet Security 2010 là một trong các phần mềm đứng hàng đầu năm 2010 (theo PCWorld) có công nghệ nhận dạng như vậy – nên đã phát hiện ra.

Khi thử quét Hiren’s BootCD 10.3 bằng bộ phần mềm bảo mật Symantec Client Security 10.1.9.9000 cũng của Symantec thì phần mềm này không nhận ra mã độc. Mặc dù dù cùng sử dụng cơ sở dữ liệu virus với Norton Internet Security nhưng rõ ràng là Symantec Client Security (phiên bản mới nhất) không có tính năng tự động nhận dạng thông minh nên đã để lọt lưới mã độc.

Symantec Client Security hiện nay được nhiều người sử dụng, thậm chí còn sử dụng các bản có engine 10.1.7 (rất cũ), bởi chúng không đòi hỏi nhiều về bản quyền như các sản phẩm mới hơn của Symantec.

Vậy thì trong số hơn 19.000 lượt xem tại trang này ở 9down thì có bao nhiêu là tải về, bao nhiêu là máy tính sẽ bị nhiễm mã độc chưa được biết đến và bao nhiêu máy tính khác được những người thạo IT (sử dụng được đĩa công cụ Hiren’s BootCD để sửa chữa sự cố phần mềm máy tính) này tiếp tục gây lây nhiễm? Con số đó có lẽ không nhỏ, do đó không có gì khó hiểu khi hàng ngày rất nhiều máy tính cá nhân trên thế giới gia nhập vào hệ thống botnet để tiếp tục truyền mã độc sang máy tính khác hoặc tham gia vào các vụ tấn công DDoS.

Như vậy tóm lại là: – Qua tải file trên Internet có nhiều nguy cơ bị lây nhiễm mã độc; – File bị nhiễm mã độc nhưng chưa chắc phần mềm diệt virus của bạn đã phát hiện được bởi chúng quá thông minh và tự mình thay đổi để tránh sự phát hiện; – Để bảo vệ tốt nhất, hãy dùng phần mềm bảo mật có thương hiệu trên thế giới thay vì cảm tính hoặc lựa chọn theo quảng cáo (thật may là hiện nay ở Việt Nam, đa số người sử dụng đã trở thành “người tiêu dùng thông minh” khi lựa chọn đúng phần mềm bảo mật).

Trương Mạnh An (4/2010)

Cập nhật: Đến ngày 08/4/2010 đã có bản Hiren’s BootCD 10.4 (sửa một số lỗi nhỏ so với bản 10.30), tuy nhiên bản này vẫn còn mã độc.

03/04/2010

Yahoo!Messenger 10: Bỏ quảng cáo

Ngày xưa mình cài đặt phần mềm Symantec Client Security (v10.1.9000.9) thì có thiết đặt loại bỏ tất cả các quảng cáo hiển thị trong trình duyệt, do đó mà khi dùng Yahoo! Messenger không thấy hiển thị các quảng cáo rối mắt. Hôm nay cảm thấy nhức mắt vì quảng cáo nhấp nháy trên Yahoo! Messenger nên muốn tìm cách loại bỏ nó đi. Cái lại phần mềm bảo mật cũ thì không được vì bản hiện tại tốt hơn, đành tìm trên Google xem có cách nào thực hiện lại điều này. Kết quả tìm kiếm của Google đã cho ra một số cách mà không cần thay đổi phần mềm bảo mật đang cài, cũng không cần cài đặt các phần mềm khác, cách mà mình lựa chọn như trình bày dưới đây.

Cách thức này là sửa file host của Windows, thực hiện được trên Windows XP, còn lại với Windows Vista và Windows 7 thì mình chưa thử thực hiện nên chưa rõ nó có tương thích hay không

Bước 1: Mở file hosts của Windows

Tìm file hosts của Windows bằng cách: Mở Windows Explorer, vào thư mục cài đặt Windows (thông thường ở phân vùng C của máy tính), thư mục chứa file hosts này thông thường sẽ có đường dẫn:

C:\Windows\System32\drivers\etc

(có thể copy đường dẫn trên và dán vào Windows Explorer cũng được)

Tại thư mục này, bạn sẽ thấy có khoảng 5 file, chỉ cần chú ý đến file tên là hosts (không có phần mở rộng). Chuột phải vào file này và chọn Open.

Bước 2: Sửa đổi file hosts của Windows

Bởi vì file hosts này không có phần mở rộng nên Windows không biết nó được mở với phần mềm nào cả, do đó một bảng thông báo sau sẽ xuất hiện. Bảng này hỏi bạn sử dụng các phần mềm/ứng dụng nào đã được cài đặt vào Windows để mở file đó.

File hosts của Windows chứa nội dung text là chủ yếu, do đó bạn chọn trong hộp trên để mở file này bằng Notepat. Sau khi chọn, bấm OK sẽ mở file này bằng Notepad (như hình dưới).

Phần lớn nội dung của file host là phần hướng dẫn, chỉ có một dòng duy nhất mà đằng trước nó không có dẫu # là có ý nghĩa, đó là dòng 127.0.0.1 localhost (nếu có thêm nhiều dòng nữa có nghĩa là file này trong Windows của bạn đã bị thay đổi, có thể thay đổi theo hướng tích cực hoặc có hại bởi virus).

Tuỳ theo phiên bản Yahoo! Messenger đang sử dụng mà bạn thêm một dòng text vào cuối cùng:

Nếu bạn sử dụng phiên bản Yahoo! Messenger tiếng Việt, bạn thêm dòng này:

127.0.0.1 vn.insider.msg.yahoo.com

Nếu là bản YM tiếng Anh, bạn thêm dòng này vào cuối

127.0.0.1 insider.msg.yahoo.com

Sau đó bấm Ctrl + S để ghi lại file hosts

File hosts của Windows có công dụng như một DNS (hệ thống phân giải tên miền) trên chính máy tính của bạn. Khi máy tính của bạn bắt đầu kết nối với một DNS trên Internet thì nó sẽ đọc file hosts trước để xem đã có sẵn chưa, nếu có sẵn nó không cần phải nhờ đến DNS khác.

127.0.0.1 là địa chỉ IP mặc định của máy tính hiện tại bạn đang sử dụng, nếu file hosts chỉ sang địa chỉ này thì nó sẽ không kết nối đi đâu cả :)

Dòng 127.0.0.1 vn.insider.msg.yahoo.com có ý nghĩa: Nếu như YM của bạn (hoặc bất kỳ ứng dụng nào) kết nối đến địa chỉ vn.insider.msg.yahoo.com thì nó sẽ … không kết nối đi đâu cả, mà chỉ ở lại trên máy tính của bạn. Địa chỉ trên là địa chỉ mà YM tải phần quảng cáo xuống, như vậy quảng cáo sẽ không tải được, và sẽ không hiển thị quảng cáo.

Do đặc tính này của file hosts nên một số virus đã sửa đổi nội dung của file này để máy tính của bạn không thể kết nối với máy chủ của các hãng viết phần mềm diệt virus, do đó các phần mềm diệt virus trên máy tính của bạn sẽ không cập nhật được các mẫu virus mới nhất. Cũng nhờ đặc tính này của file host mà đã có nhiều cách để tạo cache cho DNS hoặc các thủ thật khác…

Được rồi, bây giờ bạn thử tắt Yahoo! Messenger (nếu đang sử dụng nó) rồi bật lại phần mềm này, có thể phần quảng cáo phía dưới của Yahoo! Messenger sẽ không còn nữa.

Ngoài cách trên, khi tìm trên Google mình còn thấy có một phần mềm nhỏ chuyên dùng cho việc loại bỏ các quảng cáo trên Yahoo! Messenger, đó là Ad Banner Remover Plus (như bài hướng dẫn sử dụng phần mềm này tại đây). Có lẽ phần mềm này triệt tiêu quảng cáo tốt hơn nhưng mỗi khi có một phiên bản của YM mới thì lại phải cài đặt một phiên bản Ad Banner Remover Plus tương thích cho bản YM đó (mình đã thử tải bản Ad Banner Remover Plus như ở bài hướng dẫn kể trên nhưng nó không hỗ trợ phiên bản YM 10.0.0.1258 hiện tại nên không dùng được, sau đó tìm ra một bản mới hơn hỗ trợ bản này thì muốn tải nó lại phải đăng ký nên đã bỏ qua ^^).

Trương Mạnh An (04/2010)

_______________________________________

Phần dưới đây là nội dung mà mình tìm được qua Google, chép lại ra đây để bạn tham khảo hoặc thực hiện theo cách còn lại (cách 3).

Tuy phần dưới đây có 3 cách nhưng bạn không nên thực hiện theo cách 1 (phần chữ bị gạch đi, mà mình cũng bỏ các link ở trong đó) bởi chúng có nguy cơ chứa mã độc hoặc làm YM hoạt động không ổn định bởi file bị sửa chữa.

Cách 3 tuy được giới thiệu là hiệu quả hơn nhưng nó chứa nhiều rủi ro nếu như bạn không hiểu mình đang làm gì hoặc tác hại của nó (ví dụ việc chuyển định dạng từ FAT sang NTFS, xoá url có thể không vào room được…).

Cách 1: Gỡ bỏ hoàn toàn quảng cáo trên Yahoo Messenger 10 (Patch)

  • Tải bộ cài đặt Yahoo Messenger 10 offline install tại: Yahoo Messenger 10 Beta Download và tiến hành cài đặt Yahoo Messenger 10 Beta
    Tải file này về: Patch Yahoo Messenger 10.exe
    Copy file vừa tải được vào C:\Program Files\Yahoo!\Messenger\ đè vào file gốc (Nhớ Backup file gốc trước khi copy đè đề fòng trường hợp cần restore lại)
    Xong xuôi rồi, vào lại chat thử xem còn hiện quảng cáo không nhé
    Lưu ý: Vì thay đổi file gốc nên có thể Yahoo sẽ thông báo phiên bản cũ cần nâng cấp
Cách 2: đơn giản và hiệu quả để loại bỏ quảng cáo của Yahoo Messenger mọi phiên bản (cả 9x, 10x)
Ưu điểm:
  • 1. Không cần sửa registry: sửa registry luôn phải chạy theo phiên bản YM mới Click the image to open in full size.
    2. Không cần file patch (có thể có virus, trojan...)
    3. Chỉ cần Notepad

Nguyên tắc:

  • Chặn server quảng cáo của Yahoo (cái này Yahoo không thể thay đổi liên tục được Click the image to open in full size.)
Hướng dẫn:
  • 1. Dùng Notepad.
    2. Mở file sau:
    C:\Windows\system32\drivers\etc\hosts
    3. Thêm dòng sau vào cuối file:
    127.0.0.1 insider.msg.yahoo.com #chan server quang cao yahoo
    4. Save lại, restart YM nếu đang bật -> đã xong \^^/
Cách 3 (Hiệu quả hơn)
Yahoo! Messenger 9 lấy các link quảng cáo từ file cache\urls.xml trong thư mục cài đặt. Vì vậy muốn vô hiệu hoá các đoạn quảng cáo, bạn chỉ cần xoá trắng file này, sau đó đặt thuộc tính sao cho chương trình không thể thay đổi được nội dung của nó. Các bước thực hiện như sau:
- Đầu tiên hãy tắt hẳn chương trình bằng cách click phải vào biểu tượng của YM trên Task Bar, chọn Exit.
- Giả sử thư mục cài đặt của Yahoo! Messenger nằm trong ổ C, hãy vào C:\Program Files\Yahoo!\Messenger\cache > click chuột phải vào file urls.xml > Open With, chọn Notepad, sau đó xoá trắng toàn bộ file này và đóng lại.
Khuyên: Dòng nào có chữ ad thì xóa đi. Mấy dòng kia nên giữ lại
- Tiếp theo hãy khoá file urls.xml đã được xoá nội dung. Để làm điều này ổ C cần phải ở định dạng NTFS. Nếu ổ C đang ở định dạng FAT, hãy ấn tổ hợp Windows + R > gõ vào cmd > Enter để mở Command Line rồi nhập lệnh convert C: /fs:ntfs để chuyển định dạng ổ C sang NTFS.

Di chuyển vào thư mục cache bằng dòng lệnh cd C:\Program Files\Yahoo!\Messenger\cache, sau đó nhập lệnh cacls urls.xml /D Everyone để khoá file urls.xml. Chương trình sẽ hỏi lại xem bạn có chắc chắn muốn khoá file urls.xml không, gõ y và Enter để xác nhận.

Sau khi thực hiện các bước trên, mở lại Yahoo! Messenger sẽ thấy quảng cáo biến mất.

____________________

Có thể bạn nên xem thêm những bài liên quan đến Yahoo! Messenger: