Một khi chiếc máy tính của bạn đã được nối vào xa lộ thông tin thì những phần mềm gián điệp (spyware) cũng theo đó, qua những “kẻ hở”, xâm nhập vào máy. Kẻ hở này được bịt lại hôm nay thì mai kia kẻ gian lại tìm ra những kẽ hở khác. Vì vậy cho dù đã cài những “bản vá” cho hệ điều hành hay đã sử dụng những chương trình chống virus, tường lửa, bạn vẫn phải luôn cảnh giác. Ba kịch bản nêu trong bài viết sau sẽ giúp bạn nhận diện được 3 trường hợp điển hình về sự có mặt của phần mềm gián điệp, từ đó có cách phòng chống hữu hiệu.
Trường hợp 1:
- Kịch bản: xảy ra khi bạn vô tình truy cập vào một website “bẫy” đã được thiết lập sẵn những đoạn script phá hoại trong phần code. Dù cho bạn chỉ xem mà không bấm vào bất kỳ liên kết nào nhưng đoạn script phá hoại đó sẽ tự động cài đặt vào trong máy tính mà bạn không hề hay biết.
- Cách vô hiệu hóa: Một trong những website “nổi tiếng” về hành động này phải kể đến là http://www.ware...com của Nga. Khi truy cập phải, mặc định một Trojan mang tên Java.ClassLoader.C sẽ được cài đặt vào trong máy tính của bạn và tự động kích họat. Trojan này được đặt tại thư mục Temporary Internet Files trong Local Setting của User đang sử dụng. Vì chúng được tự động kích hoạt nên bạn không thể xóa chúng bằng phím Del được. Nếu máy tính bạn được trang bị chương trình diệt virus như Bit Defender thì loại trojan này sẽ được phát hiện ngay khi nó bắt đầu hoạt động. Bit Defender sẽ đưa ra thông báo, nhưng theo cấu hình mặc định, khi phát hiện các chương trình có hại thì chỉ được quyền vô hiệu hóa và cách ly mà không thể xóa chúng ngay được. Vì thế bạn phải vào phần Settings để chuyển sang chế độ Delete và thực hiện chế độ quét (Scan) tại nơi trojan này trú ẩn. Có như thế mới tiêu diệt triệt để được chúng.
Trường hợp 2:
- Kịch bản: Bạn đang lướt web bỗng nhiên nhận được thông báo như “Cảnh báo! Đã phát hiện các spyware nguy hiểm đang hoạt động trong máy tính”, kèm theo đó là danh sách tên các phần mềm có hại và yêu cầu bấm OK để loại bỏ chúng ra khỏi máy tính. Nếu trông thấy thông báo đó thì máy tính của bạn thật sự đã bị spyware xâm nhập, nhưng không phải các Spyware đã nêu trong danh sách mà là một biến thể với cách thức hoạt động vô cùng mới của Spyware. Đó là các chương trình gián điệp đưa các thông báo giả.
- Cách vô hiệu hóa: Hãy để ý một chút, bạn sẽ lật tẩy được loại Trojan này. Tất cả các thông báo dạng này xuất hiện dưới dạng giao diện của một cửa sổ trong Windows khiến bạn lầm tưởng là thông báo của một chương trình độc lập nào đó. Nếu nhìn kỹ bạn sẽ phát hiện được thông báo này thực chất là một ảnh chụp giao diện. Nếu bạn bấm phải dù bất cứ đâu trên ảnh đó thì lập tức trojan này sẽ đưa những thông tin thu thập được về cho “chủ” của nó. Bạn có thể thử nghiệm bằng cách tắt hết các kết nối Internet và bấm vào “lời khuyên” của Trojan này.
Mặc dù máy tính đã trang bị phần mềm diệt virus Bit Defender 8 update thường xuyên nhưng vẫn không thể phát hiện và vô hiệu hóa được nó ở thời gian thực. Một số Trojan loại này có thể kể đến như: Trojan.Downloader.Small.Gen; Exploit.Html.MhtRedir.Gen hoặc Exploit.ADODB.Tream.Gen... Hầu hết chúng được đặt trong thự mục Temporary Internet Files trong Local Settings của người dùng nên việc loại bỏ chúng cũng đơn giản. Tiến hành quét toàn bộ thư mục Local Settings hoặc cả phân vùng chứa hệ điều hành, khi đó Bit Defender 8 sẽ nhận biết và loại bỏ chúng hoàn toàn. Tuy nhiên đối với Norton Antivirus thì kết quả đôi khi không được như mong muốn vì khả năng nhận dạng lọai này kém hơn Bit Defender 8.
Trường hợp 3:
- Kịch bản: Trang chủ của trình duyệt Internet Explorer bị Hijacked - một biến thể của spyware - chiếm giữ làm cho mọi thao tác duyệt web đều dẫn đến một một địa chỉ nhất định nào đó được cài đặt sẵn trong phần code của Hijacked. Tuy không “thất thoát” thông tin quan trọng nhưng đặc biệt gây cảm giác rất khó chịu cho người dùng.
- Cách vô hiệu hóa: Việc vô hiệu hóa chúng không đơn giản như bạn tưởng. Ngay cả việc dùng Lavasoft Ad-ware hay Spybot Search & Destroy được cập nhật hàng ngày nổi tiếng chuyên trị Hijacked nhưng kết quả thu được rất đáng thất vọng, chỉ một số rất ít được nhận dạng và tiêu diệt. Tuy nhiên khi truy cập Internet thì trang chủ IE vẫn bị Hijacked chiếm giữ. Điều này khó tin nhưng hoàn toàn có thật. Cách tốt nhất là dùng những Tools được thiết kế riêng để vô hiệu hóa một loại Hijacked duy nhất. Có như thế kết quả đạt được là rất cao. Ví dụ như CoolWWWSearch.SmartKiller MiniRemoval dùng để tiêu diệt con CoolWWWsearch rất hiệu quả.
Do sự xuất hiện ngày càng nhiều loại Hijacked nên việc tìm kiếm các Tools chuyên dùng gặp nhiều khó khăn. Một cách khác hiệu quả không kém là kết hợp chương trình diệt virus Bit Defender 8 với “tường lửa” Browser Sentinel (được giới thiệu trên LBVMVT số 89). Tiến hành quét virus trên toàn bộ phân vùng chứa hệ điều hành bằng Bit Defender 8 để có thể tiêu diệt những Hijacked dựa trên cơ sở dữ liệu nhận dạng của chương trình. Sau đó kích hoạt Browser Sentinel hoạt động và chạy Internet Explorer, ngay lập tức bạn sẽ nhận được thông báo Add các HBO của các chương trình con. Nếu phát hiện những tập tin không quen thuộc mang dòng chữ Not Available thì chọn Disable và chọn Delete để vô hiệu hóa nó. Sau cùng dùng Browser Sentinel để lấy lại trang chủ mặc định của IE từ tay của Hijacked trong thẻ Miscellaneous.
GIANG VŨ VĂN