Cách thức xác định tập tin lạ có nguy

hiểm hay không.

Kích cỡ Font:
Đôi khi, có những phần mềm hoàn toàn hợp pháp bị đánh dấu là tiềm ẩn
nguy cơ gây hại, nguy hiểm hoặc đáng nghi ngờ là virus hoặc trojan

Thuật ngữ chỉ việc đánh giá sai này gọi là "False Positive" (xác định nhầm). Xác định,
phát hiện hoặc cảnh báo nhầm xảy ra khi các chương trình diệt virus phát hiện ra một
chuỗi bị coi là virus nhưng trên thực tế, tập tin chứa nó không gây hại.

Tuy tập tin như vậy không hề gây hại bằng một loại virus nhưng trong cấu trúc của nó lại
chứa một chuỗi tương tự với chuỗi của một virus thực sự!

Các phần mềm diệt virus vẫn có thể nhầm lẫn, ngay cả Kaspersky, phần mềm tốt nhất
cũng vậy. Do đó chính HI (Human Interlligence- trí tuệ con người) mới là...công cụ tốt
nhất để xác định xem liệu đó có phải là virus hay không. Một số bước sau đây sẽ giúp
bạn làm được điều đó.

Đầu tiên, bạn cần chuyển chế độ xem các tập tin đáng nghi ngờ bằng cách cấu hình lại
trong Windows. Vào Control Panel > Folder Options, chuyển sang tab View và chọn vào
các gợi ý:
1. Chọn: Show hidden file and folders (Xem các tập tin và thư mục ẩn)

2. Không chọn Hide extensions for known file types (Ẩn các thông tin mở rộng về tập tin
để biết kiểu tập tin)

3. Không chọn Hide protected operating system files( Ẩn các tập tin hệ thống được bảo
vệ)

Lựa chọn 1 và 3 có thể giúp ta xem bất kì tập tin hoặc thư mục ẩn nào bởi lẽ, nhiều loại
virus thường được các tin tặc đặt chế độ hiển thị "khôn ngoan" ẩn mình. Lựa chọn 2 cũng
rất quan trọng bởi lẽ, đa phần các virus thường giả lập 2 định dạnh tập tin để đánh lừa
người dùng, chẳng hạn mypassword.txt.exe. Nếu bạn để chế độ ẩn định dạng tập tin thì
tập tin này sẽ chỉ hiển thị là mypassword.txt trong khi định dạng thật là một tập tin thực
thi (exe), chứ không phải tập tin txt. Vì tính chất quan trọng này, bạn hãy luôn lưu ý cấu
hình chọn hiển thị tập tin khi thẩm định.

Tiếp theo, hãy tránh bị gây hại bằng virus autorun.inf. Rất nhiều các virus thực sự nguy
hiểm lan tràn thông qua ổ đĩa flash USB với virus này. Khi USB của bạn bị nhiễm virus,
chỉ cần cắm vào máy tính, click đúp vào tên ổ đĩa trong My Computer, lập tức Windows
sẽ cho phép tập tin virus.inf thực thi và lúc đó virus sẽ gây hại cho máy tính của bạn. Để
tránh bị virus tự động phá hoại này, hã tắt chức năng Autorun trong Windows.

Làm thế nào để xác định được liệu một tập tin có phải là virus hay không, khi chúng
được tải ở một địa chỉ xa lạ hay công cộng, hoặc sao chép từ ổ đĩa USB, hoặc được đính
kèm từ email...

Nếu đã có phần mềm diệt virus được cài đặt trước, đầu tiên, bạn hãy quét tập tin đó bằng
chương trình. Nếu không có chuyện gì xảy ra, bạn vẫn còn lấn cấn về nó, hãy tải tập tin
nghi ngờ đó lên trang VirusTotal, khi trang này có tới 36 loại chương trình diệt virus hỗ
trợ. Rõ ràng, nếu tất cả 36 chương trình này phát hiện ra tập tin đó là chứa yếu tố nguy
hại, thì bạn có thể kết luận đây thực sự là một tập tin nguy hiểm. Nếu như chỉ có 10 trong
số đó coi là virus thì có lẽ bạn cần phải phân tích tập tin này với ThreatExpert. Ta giả sử
ở đây có tập tin RemoveWGA.exe

Kiểm định của 36 phần mềm antivirus

ThreatExpert là một hệ thống phân tích tự động cao cấp được thiết kế để xác định mức độ
ảnh hưởng của các virus máy tính, sâu, trojans, adware, spyware hoặc các nguy cơ liên
quan đến an ninh khác. Chỉ trong một vài phút, ThreatExpert có thể "lấy mẫu" phân tích
và đưa ra các thông số về mức độ nguy hại có thể một cách chi tiết, theo tiêu chuẩn công
nghệ của các hãng sản xuất phần mềm diệt virus, có thể tìm thấy một cách thông thường
trên các thư viện bách khoa về virus.
Chỉ cần click vào ThreatExpert, chọn tập tin bạn muốn đề xuất cho nhà phân tích, nhập
email, đồng ý với điều kiện sử dụng và nhấp Submit. Trong vài phút, bạn sẽ nhận được
email thông báo với link cho biết kết quả phân tích.

Sau đây là 2 ví dụ:

ThreatExpert Report on RemoveWGA: Link

ThreatExpert Report on Bifrost Trojan: Link

Báo cáo về tập tin Bifrost trojan cho thấy, nó sẽ tạo ra tập tin exe trong thư mục
WindowsSystem32. Nó cũng sẽ đột nhập vào hệ thống registry để kích hoạt chức năng
khởi động cùng Windows. Cuối cùng, tập tin này sẽ tạo một kết nối tới
hacker.ipaddress.com thông qua cổng 2000.

Nếu không thể chắc chắn tập tin nào đó là nguy hiểm hay không sau khi quét với 36 loại
phần mềm diệt virus cũng như thực hiện phân tích với ThreatExpert mà vẫn muốn sử
dụng nó, có lẽ lúc này, bạn nên chạy nó trong môi trường ảo thông qua các ứng dụng
(Sandboxie và SafeSpace).

Kết luận: có lẽ, việc xác định một tập tin nào đó là nguy hại hay không là dựa chính vào
khả năng thẩm định của con người và một ít sự trợ giúp khác của các công cụ khác.

benhvientinhoc.com (Theo Raymond)