Ngăn chặn virus autorun lây lan

Dù AutoPlay đã được Microsoft cải tiến nhưng vẫn không khắc phục được hết những lỗ hổng bảo mật. Lựa chọn tối ưu cho người dùng là tắt hẳn tính năng AutoRun.

Tài liệuHow to disable the Autorun functionality in Windows (http://support.microsoft.com/kb/967715/) cho biết để đảm bảo vô hiệu tính năng Autorun, chúng ta cần cài đặt một bản cập nhật (nếu không thể cài đặt bản cập nhật KB967715 thành công, các bạn có thể cài đặt bản KB950582 thay thế) trước khi sửa giá trị NoDriveTypeAutoRun trong Registry hay sử dụng Group Policy (nếu chọn cách sửa NoDriveTypeAutoRun, hãy đặt giá trị 255 cho nó để cấm Autorun trên tất cả các ổ đĩa; các thiết bị nhớ USB U3 đã lừa Windows bằng cách thông báo nó vừa là thiết bị nhớ USB vừa là CD). Hơn thế nữa, tài liệu này còn chỉ cho chúng ta đường dẫn trỏ tới phương pháp cấm hẳn việc sử dụng các thiết bị nhớ USB. Tuy nhiên, đó là một câu chuyện khác.

Cách làm do Microsoft hướng dẫn tương đối phức tạp và mất thời gian, nhưng chúng ta có một cách đơn giản hơn, cách này xuất hiện lần đầu trên blog của Nick Brown và đã được Đội ứng cứu máy tính khẩn cấp của Mỹ – US CERT dẫn lại (Vulnerability Note VU#889747, http://www.kb.cert.org/vuls/id/889747), vì thế các bạn có thể an tâm sử dụng:

Tạo một subkey tên là autorun.inf trong mục

HKLMSoftwareMicrosoftWindows NTCurrentVersionIniFileMapping.

Đổi mục (Default) dưới subkey đó thành chuỗi @SYSoesNotExist

Nếu không quen sửa registry, các bạn có thể chép 3 dòng dưới đây vào một tệp NOAUTRUN.REG (thực ra là bất cứ tên gì cũng được miễn là với đuôi .REG) rồi nhấn đúp vào nó (trong Windows Explorer, chứ không phải nhấn đúp vào 3 dòng nội dung của tệp):

REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCu rrentVersion IniFileMapping Autorun.inf]
@=”@SYSoesNotExist”

Thực chất của cách làm này là thông báo cho Windows biết mỗi khi gặp tệp AUTORUN.INF thì không đọc nội dung tệp mà tìm đọc khóa

HKEY_LOCAL_MACHINESOFTWARE DoesNot Exist

trong registry. Vì khóa này không tồn tại nên sẽ không có gì “tự động” xảy ra. Để dễ hiểu, người dùng Việt Nam có thể đổi DoesNotExist thành KhongTonTai hoặc KhongKhongThay (theo bạn, tên nào hay hơn?).

Theo Nick Brown, Windows lưu các thông tin về tính năng AutoRun của các thiết bị nhớ USB đã được cắm vào máy tính tại mục

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorer MountPoints2

của registry (các bạn có thể dễ dàng kiểm chứng điều này). Vì vậy, ngay cả nếu tính năng AutoRun đã được vô hiệu bằng một trong hai cách trên, Windows vẫn có thể tự động chạy các ứng dụng – có thể là virus – trên các USB thân quen khi chúng được cắm lại vào máy. Theo Wiki, không có tài liệu nào của Microsoft mô tả về mục MountPoints2 trong registry vì nó được dùng để theo dõi việc sử dụng trái phép hệ điều hành bằng cách sao chép trực tiếp từ đĩa sang đĩa. Cũng không có thông tin nào cho thấy bản vá lỗi AutoRun của Microsoft đã khắc phục vấn đề do mục MountPoints2 gây ra hay chưa. Vì vậy, tốt nhất là các bạn nên xóa cả mục MountPoints2 của tất cả các tài khoản trên máy để tránh hậu họa.

Lưu ý, cả hai cách trên đều tắt được tính năng autorun một cách triệt để nhưng không đảm bảo chặn hoàn toàn các loại virus/worm thường lây qua đường autorun. Có ít nhất hai khả năng để các loại virus đó lây vào máy bạn: lây qua mạng (nhờ lỗ hổng của hệ điều hành) như Conficker, lây nhờ sự ngờ nghệch của người dùng khi họ nhấn đúp vào tệp thi hành của nó (Phimnguoilon.exe chẳng hạn ) – nếu bạn làm như vậy thì đừng nên kêu ca về việc bị nhiễm virus!

Ngăn chặn virus autorun lây vào USB

Ngan chan virus autorun lay lan

Có một mẹo ngăn virus lây vào các thiết bị nhớ USB được nhiều người phổ biến là tạo trước một tệp autorun.inf ở thư mục gốc của USB và đặt thuộc tính ẩn+chỉ đọc+hệ thống cho nó (hoặc thiết lập quyền hạn chế với người dùng thông thường trên tệp sau khi đã định dạng USB theo kiểu NTFS).

Tuy nhiên, cách làm đó đã thất bại vì virus luôn chiếm quyền và có thể ghi đè lên tệp autorun.inf giả. Tốt hơn, các bạn nên tạo hẳn một thư mục với tên là autorun.inf với các thư mục con và tệp ở bên trong (tất nhiên, điều này chỉ thực hiện được sau khi các bạn đã tiêu diệt xong virus autorun đang nằm sẵn trong USB). Làm như vậy sẽ đánh lừa được các loại virus autorun trong một thời gian nữa (cho đến khi những “chuyên gia viết virus” phát hiện ra mẹo này và sửa chương trình để xóa toàn bộ cây thư mục autorun.inf mà chúng gặp).

PCWorld.com.vn

Đối với những người yêu IT và có để ý 1 chút thì Làm theo cách dưới đây bạn sẽ ngăn chặn dược 100% virus Autorun thường chạy vào USB của bạn.

Để dễ hình dung hơn mình sẽ hướng dẫn từng bước một.

B1 : Bạn cần Format USB của bạn ở định dạng NTFS và tạo trong nó 1 thư mục ví dụ đặt tên thư mục là Data.

B2: bạn cần phân quyền cho USB của bạn chỉ đọc thôi nghĩa là không cho chép vào thư mục ngoài cùng của USB cả.

Bạn click phải chuột vào bên ngoài USB và chọn Properties, tiếp theo vào thẻ Security chọn Everyone, nhấp Edit, nhìn xuống dưới 1 chút tại Permission for Everyone bạn chọn các dấu check WriteDeny, nhấp  Apply > OK.

Ngan chan virus autorun lay lan

B3: Cho phép chép dữ liệu vào thư mục Data nếu bạn không làm bước này thì bạn sẽ không chép được Dữ liệu.
Bạn nhấp phải chuột vào thư mục Data và chọn Properties tiếp theo vào thẻ Security chọn Everyone, nhấp Edit nhìn xuống dưới 1 chút thấy bên dưới Permission for Everyone bạn chọn các dấu check Write Allow, nhấp  Apply > OK. Hình tương tự hình trên chỉ khác là check vào bên Allow mà thôi.
Chúc bạn thành công.
Nguồn: tip4pc

One thought on “Ngăn chặn virus autorun lây lan

Leave a Reply

Your email address will not be published. Required fields are marked *