Mã độc trong các tập tin tải từ các nguồn trên internet luôn là vấn đề nguy hiểm cho người sử dụng máy tính. Làm sao để có thể kiểm tra và đảm bảo an toàn cho máy tính trước các loại mã độc đó? Bài viết sau sẽ hướng dẫn các bạn một cách đơn giản để có thể kiểm tra mã độc trên các tập tin và đường link.
Mã độc là gì?
Mã độc là những đoạn mã máy tính (code) được kẻ tấn công (hacker) viết ra nhằm vào các mục đích xấu như: ăn cắp thông tin tài khoản người dùng, theo dõi máy tính của người dùng, điều khiển máy tính từ xa,…
Cách mã độc hoạt động trong tập tin là như thế nào?
Thời trước thì mã độc thường được chèn vào trực tiếp trong code của một tập tin nào đó thường được người sử dụng tải về và sử dụng, ví dụ như các tập tin cài đặt phần mềm hay các tập tin nhạc MP3… Tức là khi bạn tại 1 tập tin mà bạn tưởng rằng an toàn (vì bạn thấy rằng bạn chỉ tải về duy nhất 1 tập tin) thì trong code của tập tin đó đã bị chèn mã độc, bộ code nguyên bản của nó đã bị thay đổi bởi hacker.
Trong những năm gần đây, hacker đã phát triển nó sang một hình thức khác đối với tập tin đó là sử dụng các tập tin liên kết với nhau. Điều này dễ dàng qua mắt các phần mềm antivirus (vì đối với cách chèn trực tiếp vào code của tập tin gốc như ở trên, antivirus có thể quét ra nhờ vào việc kiểm tra sự toàn vẹn của tập tin gốc); ví dụ, khi bạn tải 1 tập tin cài đặt phần mềm nào đó (CCleaner, FireFox,…) từ nguồn không phải nguồn gốc thì bạn sẽ tải về 1 “tập hợp” các tập tin. Có thể có nhiều tập tin trong tập hợp này nhưng nhìn chung đều có 3 loại tập tin trong này: tập tin phần mềm gốc, tập tin thư viện (dành cho mã độc), tập tin mã độc. Lúc này, khi người sử dụng bấm cài đặt tập tin phần mềm gốc thì nó sẽ gọi đến tập tin thư viện để thêm thư viện vào máy tính và tập tin thư viện khi được gọi sẽ lại gọi tiếp tập tin mã độc hoạt động. Như vậy, bạn có thể hình dung mã độc được gọi một cách dây chuyền, từ A -> B -> C; và điều này lý giải vì sao nó có thể qua mắt các trình antivirus vì khi quét từng tập tin 1 thì nó chỉ là những đoạn mã bình thường.
Cách mã độc hoạt động thông qua đường link
Mã độc qua đường link thì nó có một điểm khác một chút mà người sử dụng thường ít chú ý đó là ngay sau khi bạn nhấp vào đường link có chứa mã độc thì ngay lập tức mã độc đã được chèn vào trình duyệt hoặc tự động tải về máy tính của bạn để thực thi. Việc đề phòng các link có chứa mã độc là hết sức quan trọng, nhất là khi người sử dụng thường có thói quen lưu mật khẩu, tài khoản mail… trên trình duyệt.
VirusTotal là gì?
VirusTotal là một dịch vụ web miễn phí có chức năng phân tích và phát hiện mã độc trong các tập tin, đường link. Nó là một công ty con của Google, sử dụng các công cụ chống virus và quét website để nâng cao khả năng bảo mật cho ngành công nghiệp thông tin.
VirusTotal sử dụng rất nhiều các trang quét mã độc online và các trình phát hiện virus của nhiều hãng bảo mật khác nhau để đưa ra kết quả cuối cùng. Việc sử dụng VirusTotal để quét mã độc sẽ được trình bày ở dưới.
Quét tập tin
Tính năng đầu tiên của VirusTotal cho phép bạn quét mã độc trong các tập tin mà bạn đã tải về máy; các tập tin này có thể ở bất kì định dạng nào, từ tập tin nén .RAR cho đến các file cài đặt .EXE, các file nhạc.MP3, …
Đầu tiên, bạn truy cập đến website:
Bạn nhìn ở ngay giữa cửa sổ, bạn để tab File và bấm Choose File để tải lên tập tin cần quét mã độc. Trong ví dụ mình sẽ tải lên tấm hình ở trên trong bài viết để demo.
Sau khi tải lên tập tin, bạn chờ ít phút để hệ thống bắt đầu phân tích và đưa ra kết quả như hình dưới. Bạn để ý dòng kết quả Detection ratio: 0/57 – Tức là file được quét thông qua trình antivirus của 57 nhà cung cấp dịch vụ bảo mật (hoặc cung cấp dịch vụ quét mã độc online) và không có phát hiện mã độc nào ở tập tin hình này. Phần bên dưới kết quả chính là danh sách các trình antivirus mà VirusTotal sử dụng.
Quét đường link
Việc thực hiện quét đường link cũng tương tự như ở trên, bạn chọn tab URL, dán (hoặc gõ) đường link vào ô nhập của VirusTotal và bấm Scan it! ở dưới.
Hình dưới là thông báo cho biết đường dẫn website http://huongdanit.com đã từng được quét và không có phát hiện mã độc nào. Bây giờ bạn có thể chọn phân tích lại bằng việc bấm nút Reanalyse hoặc xem kết quả của lần quét trước bằng việc bấm nút View last analysis. Trong demo, mình chọn bấm Reanalyse để xem lần quét mới nhất (vì website thay đổi theo thời gian mà).
Và dưới đây là kết quả, cách xem thì nó tương tự như phần quét tập tin.
Tìm kiếm kết quả trong VirusTotal
Chức năng này của VirusTotal cho phép bạn tìm kiếm các kết quả có sẵn trong hệ thống dữ liệu của nó. Thay vì bạn phải tải tập tin lên và ngồi chờ nó phân tích (nếu tập tin lớn thì thời gian có thể sẽ lâu) thì bạn có thể tìm kiếm kết quả của tập tin đó nếu nó đã được quét (bởi một ai đó).
Bạn chuyển sang tab Search và gõ thứ bạn cần tìm vào ô tìm kiếm (có thể là đường link, tên tập tin, IP, tên miền…) và bấm Search it! như trong hình dưới.
Kết quả tìm kiếm. Nếu bạn để ý và so sánh với kết quả ở phần quét link thì nó có báo là “9 minutes ago“, tức là đường dẫn này được quét 9 phút trước và giờ nó chỉ hiện kết quả ra cho bạn xem mà không cần phân tích gì nữa.
Lời kết
Qua cách sử dụng những tính năng của VirusTotal thì hy vọng bạn có thể nâng cao khả năng tự bảo vệ thông tin cá nhân của mình trước những kẻ tấn công tiềm tàng trên mạng internet.
Trích http://huongdanit.com/
No comments:
Post a Comment