Giới thiệu
Xin chào anh em, mình có thằng em tên là từa, hôm nay nó hí hửng bảo em mới tải được phần mềm tự tăng like trên facebook, kết quả chẳng thấy like đâu, chỉ thấy mất nick. Bây giờ lại nhờ mình kiểm tra máy, anh em cùng mình rà soát máy này xem như nào nhé.
Trước tiên mình sử dụng 2 công cụ đơn giản, dễ sử dụng của Microsoft đó là AutoRuns và Process Explorer. Anh em có thể tải bản mới nhất tại đây: Autoruns for Windows, Process Explorer.
Process Explorer
Về Process Explorer tool này từ bản 15 trở đi đã có thêm tính năng check VirusTotal, rất tiện lợi để kiểm tra virus nhanh chóng. Để kiểm tra virus đang chạy trên máy, anh em mở Process Explorer với quyền Administrator và bật 2 tính năng trong menu options: “Verify Image Signatures” và “VirusTotal.com -> Check VirusTotal.com”, 1 tính năng trong menu view: “Lower Pane View -> DLLs”. (Check virustotal thì máy phải có kết nối mạng nhé anh em).
Sau đó chúng ta sẽ kiểm tra lần lượt từng tiến trình với thông tin từ 2 cột: “Verified Signer”, “Virustotal”.
Cột Verified Signer: Tiến trình có được xác thực hay không.
- Verified nghĩa là đã xác thực.
- No signature was present in the subject nghĩa là không có chữ ký số, chưa xác thực (Virus hay thuộc loại này).
Cột VirusTotal: kết quả kiểm tra virus trên trang Virustotal.com
- Màu xanh (0/76): Không phát hiện virus.
- Màu đỏ (x/76): Có “x” phần mềm phát hiện đây là virus.
(Thông thường có một số tiến trình sẽ cho kết quả màu đỏ (1/76)… khi ấy cần dựa vào tính xác thực của phần mềm và các thông tin khác để đưa ra kết luận).
Sau khi kiểm tra máy này mình phát hiện được virus trên máy là một dll giả mạo có thông tin đó là “No signature was present in the subject và 49/74″: LBTServ.dll -> Như vậy đây chính là virus đang chạy trên máy.
Autoruns
Tiếp theo, vì có thể không phải lúc nào virus cũng sẽ chạy trên máy nên anh em cần kiểm tra, rà soát tiếp bằng tool AutoRuns. Tương tự Process Explorer, để kiểm tra virus trên máy, anh em mở AutoRuns với quyền Administrator và bật 2 tính năng trong menu Options -> Scan Options: “Verify Image Signatures” và “Check VirusTotal.com”.
Thông tin cần chú ý kiểm tra ở 2 cột: “Publisher” và “Virus Total”
Cột Publisher: Tiến trình có được xác thực hay không.
- Verified nghĩa là đã xác thực.
- Not Verified nghĩa là không có chữ ký số, hoặc chưa xác thực (Virus hay thuộc loại này).
Cột Virus Total: kết quả kiểm tra virus trên trang Virustotal.com
- Màu xanh (0/76): Không phát hiện virus.
- Màu đỏ (x/76): Có “x” phần mềm phát hiện đây là virus.
Đợi tool load xong, mình đã tìm ra virus trên máy:
Như vậy chỉ cần xóa 2 file virus này đi là máy của thằng từa em mình lại bình thường rồi. Trên đây là quá trình sử dụng 2 tool để rà soát máy rất đơn giản, chúc các bạn thành công để bảo vệ máy tính cũng như tài sản của bản thân nhé. Với những loại virus khác khó phát hiện rà soát hơn hẹn anh em ở những bài tiếp theo.
Lưu ý: chỉ xóa file đã chắc chắn là virus, nếu chưa chắc chắn có thể hỏi ý kiến các chuyên gia nhé.
Pingback: Hướng dẫn rà soát mã độc trong USB chuyên sâu - CRF Blogger