Công cụ phòng chống virus lây qua USB

(Link gốc của bài viết http://microsync.net/shinichi/blog/post/17/)

I. Lời nói đầu

Ngày nay, cùng với tốc độ của sự phát triển về công nghệ thông tin, các loại mã độc (virus, trojan,...) cũng nương theo đó với tốc độ phát triển xấp xỉ hoặc nhanh hơn nhiều. Ngoài nguồn gốc lây nhiễm chính từ Internet (các trang web chứa mã độc :crack, hack, XXX,...) hiện nay, một nguồn lây khác còn kinh khủng hơn nhiều. Đó là các thiết bị lưu trữ di động (trong bài viết này, tác giả gọi chung là thiết bị USB)

Nếu trước kia, với giá cả gần cả triệu đồng, USB là thứ hàng xa xỉ mà chỉ có dân IT mới dám sắm sửa đeo tòn teng trước ngực. Tôi còn nhớ lúc đại học, cầm trong tay chiếc USB 32 MB thôi cũng là "oách" lắm rồi. Công nghệ phát triển. Dung lượng ổ USB tăng lên chóng mặt (64, 128, 256, 512, 1 GB, 2 GB, 4 GB...) giá cả thì thả dốc không phanh. Bây giờ nếu bạn thấy bà hàng tôm hàng cá nói chuyện với nhau kiểu như vầy : "Này, mai tôi đưa bà cái u-ết-bi bà về chép để tôi xem cô Vàng Anh Vàng Em gì đó ra sao nhé !" thì cũng chớ có ngạc nhiên .

Với hiểu biết rất ít về cách sử dụng, bảo quản USB, hiện nay phần đông số người dùng đều không biết đang vô tình tiếp tay cho sự lây lan mạnh mẽ của các đoạn mã độc qua chiếc USB xinh xăn của mình.


II. Nguyên nhân chính gây ra sự lây lan :

Tại sao chiếc USB vô cùng xinh xắn, vô cùng tiện lợi, vô cùng nhỏ gọn,... lại tiềm ẩn trong nó một nguy cơ "chết người", ủa nhầm , "chết máy (tính)" như vậy ?

Nguyên nhân nằm ở một tập tin có tên là Autorun.inf. Đây nguyên gốc là một tập tin vô hại, hỗ trợ cho việc tự động chạy một số tập tin nào đó mỗi khi ta cắm USB vào máy. Nhưng điểm tiện lợi đó lại được các lập trình viên ác ý sử dụng như là một công cụ phát tán các đoạn mã độc. Và vì thế, bỗng chốc autorun.inf trở thành một kẻ phá hoại đáng ghét ! Bây giờ với một người dùng có chút kinh nghiệm, họ sẽ tá hỏa và "đì-nít" ngay lập tức khi thấy nó xuất hiện trên một ổ đĩa nào đó trên máy tính. Cách phòng chống thủ công đó đôi khi lại có hiệu quả, ít ra là khi đó chúng ta có thể tạm thời "chung sống hòa bình" với đoạn mã độc trên máy cho đến khi tìm ra cách "nhổ cỏ tận gốc"

Tuy vậy, đôi khi việc loại trừ các tập tin autorun.inf lại không đơn giản. Nhất là khi đoạn mã độc đã kích hoạt và "khóa cứng" để bảo vệ nguồn "cộng sinh" của nó. Mọi nỗ lực cố gắng xóa bỏ đều nhận được một thông báo lạnh lùng "Access denied". Và sẽ mất rất nhiều thời gian khi cứ ít lâu lại duyệt từng ổ đĩa để tìm và xóa bằng tay ? Ước gì có một chương trình tự động làm thao tác đó nhỉ ?

MicroSYNC.Autorun.Detetor ! (MSAD)


III. Giới thiệu về MSAD

1. Thực chất MSAD là gì ?

MSAD là một công cụ phát triển bằng ngôn ngữ C#, công việc của nó là giám sát toàn bộ các ổ đĩa hệ thống, các thiết bị lưu trữ USB để dò tìm và phát hiện ngay lập tức các thao tác có liên quan đến tập tin Autorun.inf. Các thao tác sau đây sẽ được MSAD cảnh báo cho bạn ngay lập tức :

- Một tập tin Autorun được tạo mới
- Một tập tin Autorun được sao chép vào ổ đĩa hệ thống
- Một tập tin Autorun bị đổi thành tên khác và ngược lại
- Một tập tin Autorun bị xóa
- Một tập tin Autorun bị đổi nội dung / thuộc tính !

Theo ý kiến chủ quan của tác giả, ngày nay việc để tồn tại tập tin autorun.inf trong bất kỳ ổ đĩa nào là không cần thiết và vô tình duy trì một nguy cơ tiềm ẩn. Do vậy, MSAD được mặc định chức năng tự động xóa. Nghĩa là với phương châm "thà giết lầm còn hơn bỏ sót" MSAD sẽ "hạ sát" mọi tập tin autorun.inf mà nó tìm thấy !

Bênh canh đó, MSAD còn giám sát các cổng USB, mỗi khi bạn cắm đĩa USB vào, MSDU cũng sẽ nhận ra và tiến hành quét đĩa USB đó một cách tự động.


2. Giao diện và cách sử dụng :

Cách sử dụng MSAD rất đơn giản, chỉ cần download về máy, giải nén và chạy file sau (không cần cài đặt) :



Màn hình Giới thiệu của MSAD



Màn hình Cấu hình của MSAD



Trong phiên bản thử nghiệm 0.1 này, một số tùy chọn chưa được kích hoạt.

Download: (Down cả 2 cái về giải nén là ok)

Phần 1 (1,4 MB):
http://microsync.net/shinichi/blog/a...ent.php?fid=54
Phần 2 (1,2 MB):
http://microsync.net/shinichi/blog/a...ent.php?fid=55