Đôi khi, có những phần mềm hoàn toàn hợp pháp bị đánh dấu là tiềm ẩn nguy cơ gây hại, nguy hiểm hoặc đáng nghi ngờ là virus hoặc trojan. Thuật ngữ chỉ việc đánh giá sai này gọi là "False Positive" (xác định nhầm). Xác định, phát hiện hoặc cảnh báo nhầm xảy ra khi các chương trình diệt virus phát hiện ra một chuỗi bị coi là virus nhưng trên thực tế, tập tin chứa nó không gây hại.

Tuy tập tin như vậy không hề gây hại bằng một loại virus nhưng trong cấu trúc của nó lại chứa một chuỗi tương tự với chuỗi của một virus thực sự!

Các phần mềm diệt virus vẫn có thể nhầm lẫn, ngay cả Kaspersky, phần mềm tốt nhất cũng vậy. Do đó chính HI (Human Interlligence- trí tuệ con người) mới là...công cụ tốt nhất để xác định xem liệu đó có phải là virus hay không. Một số bước sau đây sẽ giúp bạn làm được điều đó.

Đầu tiên, bạn cần chuyển chế độ xem các tập tin đáng nghi ngờ bằng cách cấu hình lại trong Windows. Vào Control Panel > Folder Options, chuyển sang tab View và chọn vào các gợi ý:

1. Chọn: Show hidden file and folders (Xem các tập tin và thư mục ẩn)

2. Không chọn Hide extensions for known file types (Ẩn các thông tin mở rộng về tập tin để biết kiểu tập tin)

3. Không chọn Hide protected operating system files( Ẩn các tập tin hệ thống được bảo vệ)

Lựa chọn 1 và 3 có thể giúp ta xem bất kì tập tin hoặc thư mục ẩn nào bởi lẽ, nhiều loại virus thường được các tin tặc đặt chế độ hiển thị "khôn ngoan" ẩn mình. Lựa chọn 2 cũng rất quan trọng bởi lẽ, đa phần các virus thường giả lập 2 định dạnh tập tin để đánh lừa người dùng, chẳng hạn mypassword.txt.exe. Nếu bạn để chế độ ẩn định dạng tập tin thì tập tin này sẽ chỉ hiển thị là mypassword.txt trong khi định dạng thật là một tập tin thực thi (exe), chứ không phải tập tin txt. Vì tính chất quan trọng này, bạn hãy luôn lưu ý cấu hình chọn hiển thị tập tin khi thẩm định.

Tiếp theo, hãy tránh bị gây hại bằng virus autorun.inf. Rất nhiều các virus thực sự nguy hiểm lan tràn thông qua ổ đĩa flash USB với virus này. Khi USB của bạn bị nhiễm virus, chỉ cần cắm vào máy tính, click đúp vào tên ổ đĩa trong My Computer, lập tức Windows sẽ cho phép tập tin virus.inf thực thi và lúc đó virus sẽ gây hại cho máy tính của bạn. Để tránh bị virus tự động phá hoại này, hã tắt chức năng Autorun trong Windows.

Làm thế nào để xác định được liệu một tập tin có phải là virus hay không, khi chúng được tải ở một địa chỉ xa lạ hay công cộng, hoặc sao chép từ ổ đĩa USB, hoặc được đính kèm từ email...

Nếu đã có phần mềm diệt virus được cài đặt trước, đầu tiên, bạn hãy quét tập tin đó bằng chương trình. Nếu không có chuyện gì xảy ra, bạn vẫn còn lấn cấn về nó, hãy tải tập tin nghi ngờ đó lên trang VirusTotal, khi trang này có tới 36 loại chương trình diệt virus hỗ trợ. Rõ ràng, nếu tất cả 36 chương trình này phát hiện ra tập tin đó là chứa yếu tố nguy hại, thì bạn có thể kết luận đây thực sự là một tập tin nguy hiểm. Nếu như chỉ có 10 trong số đó coi là virus thì có lẽ bạn cần phải phân tích tập tin này với ThreatExpert. Ta giả sử ở đây có tập tin RemoveWGA.exe

Ảnh
Kiểm định của 36 phần mềm antivirus

ThreatExpert là một hệ thống phân tích tự động cao cấp được thiết kế để xác định mức độ ảnh hưởng của các virus máy tính, sâu, trojans, adware, spyware hoặc các nguy cơ liên quan đến an ninh khác. Chỉ trong một vài phút, ThreatExpert có thể "lấy mẫu" phân tích và đưa ra các thông số về mức độ nguy hại có thể một cách chi tiết, theo tiêu chuẩn công nghệ của các hãng sản xuất phần mềm diệt virus, có thể tìm thấy một cách thông thường trên các thư viện bách khoa về virus.

Chỉ cần click vào ThreatExpert, chọn tập tin bạn muốn đề xuất cho nhà phân tích, nhập email, đồng ý với điều kiện sử dụng và nhấp Submit. Trong vài phút, bạn sẽ nhận được email thông báo với link cho biết kết quả phân tích.

Sau đây là 2 ví dụ:

ThreatExpert Report on RemoveWGA: Link
ThreatExpert Report on Bifrost Trojan: Link

Báo cáo về tập tin Bifrost trojan cho thấy, nó sẽ tạo ra tập tin exe trong thư mục Windows\System32. Nó cũng sẽ đột nhập vào hệ thống registry để kích hoạt chức năng khởi động cùng Windows. Cuối cùng, tập tin này sẽ tạo một kết nối tới hacker.ipaddress.com thông qua cổng 2000.

Nếu không thể chắc chắn tập tin nào đó là nguy hiểm hay không sau khi quét với 36 loại phần mềm diệt virus cũng như thực hiện phân tích với ThreatExpert mà vẫn muốn sử dụng nó, có lẽ lúc này, bạn nên chạy nó trong môi trường ảo thông qua các ứng dụng (SandboxieSafeSpace).

Kết luận: có lẽ, việc xác định một tập tin nào đó là nguy hại hay không là dựa chính vào khả năng thẩm định của con người và một ít sự trợ giúp khác của các công cụ khác.

Văn Vượng (theo Raymond



Bình luận

  • TTCN (0)