Virus là một trong những mối đe dọa lớn nhất đối với người dùng máy tính, các chương trình virus máy tính được thiết kế để đánh cắp hoặc phá hủy các dữ liệu cá nhân của người dùng, nếu đang thắc mắc máy tính bị nhiễm Virus, làm sao để phát hiện? Bạn đọc tham khảo tiếp bài viết dưới đây của Mobitool.
Virus là các chương trình độc hại được thiết kế để đánh cắp dữ liệu hoặc tàn phá hệ thống máy tính được nhắm mục tiêu, nhằm hỗ trợ mục tiêu cho kẻ tấn công.
Các loại mã độc này ngày càng phát tán rộng rãi, số lượng máy tính người dùng nhiễm virus ngày càng gia tăng do không áp dụng các giải pháp bảo mật. Để phát hiện máy tính bị nhiễm virus, có 2 vấn đề quan trọng mà chúng ta cần phải giải quyết trước. Đầu tiên là tìm hiểu các dấu hiệu máy tính nhiễm virus và thứ 2 là áp dụng các phần mềm, chương trình anti-virus tích hợp cơ chế bảo vệ trong thời gian thực.
Virus máy tính có nhiều loại và kích thước khác nhau, nhưng điểm chung đều là tấn công máy tính nạn nhân để phục vụ các mục đích cho kẻ tấn công. Có 3 loại virus phổ biến nhất là Backdoor, Trojan và Rootkit. Trong các bài viết trước Mobitool đã giới thiệu cho tiết cho bạn về Backdoor, Trojan và Rootkit là gì. Bài viết này Mobitool sẽ đi sâu hướng dẫn cho bạn làm sao để phát hiện máy tính bị nhiễm virus.
Dưới đây là một số dấu hiệu nhận biết máy tính bị nhiễm virus:
Cách 1: Theo dõi hiệu suất máy tính
– Kiểm tra hoạt động ổ cứng: Nếu không chạy bất kỳ chương trình mà đèn ổ cứng liên tục bật và tắt, hoặc nếu vẫn nghe thấy tiếng ổ cứng vẫn đang hoạt động, rất có thể virus đang hoạt động trên nền background. Hay Ổ CD-ROM đóng mở bất thường
– Máy tính khởi động trong thời gian bao lâu: Nếu nhận thấy rằng máy tính bắt đầu mất nhiều thời gian để khởi động hơn bình thường, nhiều khả năng là do virus làm chậm quá trình khởi động. Hoặc nếu không thể đăng nhập Windows, ngay cả khi đã nhập các thông tin đăng nhập chính xác, khả năng cao là do virus.
– Quan sát đèn modem: Trường hợp nếu không có chương trình nào đang chạy trên nền background mà đèn chuyển modem liên tục nhấp nháy, dấu hiệu này có thể là do virus đang truyền dữ liệu qua mạng.
Cách 2: Theo dõi các chương trình, file, trình duyệt hệ thống
– Các ứng dụng có liên tục bị treo: Nếu các ứng dụng, chương trình thông thường liên tục gặp phải sự cố, bị treo, đóng băng thường xuyên, mất nhiều thời gian để tải hoặc thực thi, đây là một trong các triệu chứng máy tính bị nhiễm virus.
Làm sao để biết máy tính bị nhiễm virus?
– Cửa sổ popup liên tục hiển thị: Một khi máy tính nạn nhân bị nhiễm virus, trên màn hình sẽ liên tục hiển thị các cửa sổ popup quảng cáo hoặc thông báo lỗi, ngay cả khi không có chương trình nền nào đang chạy. Ngoài ra virus cũng có thể thay đổi hình nền máy tính mà không cần sự cho phép của người dùng. Nếu nhận thấy hình nền máy tính bị thay đổi mà bạn không thề thực hiện, coi chừng máy tính đã bị nhiễm virus.
Nguyên nhân máy tính bị nhiễm virus?
– Chương trình yêu cầu cấp quyền truy cập Firewall [tường lửa]: Nếu liên tục nhận được thông báo một chương trình bất kỳ yêu cầu quyền truy cập tường lửa, dấu hiệu đó cho thấy chương trình đã bị nhiễm virus. Sở dĩ có thông báo này vì chương trình đang cố truyền dữ liệu thông qua router.
– Các file, dữ liệu: Virus sau khi xâm nhập thường xóa hay thực hiện các thay đổi đối với các file, đặc biệt là các file Exe, Máy tính bị nhiễm virus exe có nguy cơ cao khi bạn lưu file cài đặt phần mềm lâu ngày, thư mục trên máy tính nạn nhân. Bỗng dưng một ngày các file, tài liệu quý giá của bạn không cánh mà bay, cần coi chừng virus.
– Trình duyệt: Trình duyệt web mà mở các trang chủ mới hoặc không cho phép đóng các tab, cửa sổ popup liên tục hiển thị trên cửa sổ trình duyệt, các dấu hiệu này cho thấy trình duyệt đã bị virus hoặc spyware tấn công.
Cách 3: Chạy các phần mềm, chương trình diệt virus
– Chạy các chương trình diệt virus: Bằng cách cài đặt các chương trình diệt virus hiệu quả trên máy tính và quét để kiểm tra xem máy tính có bị nhiễm virus hay không và loại bỏ virus nếu có.
Trên mạng Internet có vô vàn chương trình và phần mềm diệt virus khác nhau, xong lựa chọn phần mềm nào hiệu quả mới là vấn đề. Hơn nữa các chương trình độc hại có thể ngụy trang dưới dạng các phần mềm diệt virus hợp lệ để đánh lừa người dùng tải xuống và cài đặt.
Nếu chưa biết chương trình, phần mềm diệt virus nào hiệu quả, bạn đọc có thể tham khảo thêm bài viết top phần mềm diệt virus tốt nhất cho máy tính, laptop trên Mobitool để tìm hiểu và lựa chọn nhé.
Trong trường hợp nếu máy tính nhiễm virus và bạn không thể truy cập để tải xuống các phần mềm diệt virus, bạn có thể tải xuống các phần mềm này trên máy tính khác và chuyển file cài đặt vào ổ USB.
– Khởi động vào chế độ Safe Mode: Các chương trình, phần mềm diệt virus hoạt động hiệu quả hơn khi ở chế độ Safe Mode. Để truy cập chế độ Safe Mode, cách đơn giản nhất là khởi động lại máy tính của bạn và trong quá trình khởi động, nhấn liên tục phím F8 cho đến khi xuất hiện menu Advanced Boot. Tại đây bạn chọn Safe Mode từ menu.
Bên cạnh đó, còn rất nhiều dấu hiệu nhận máy tính máy tính, laptop của bạn đã bị nhiễm virus khác như:
Qua Email
– Bạn bè, đồng nghiệp nhận được thư từ mail của bạn, dù bạn không gửi thư đó
– Hộp thư chứa nhiều thông báo không có địa chỉ người gửi
Ngoài ra bạn đọc có thể tham khảo thêm bài viết cách vào Safe Mode trên Windows 7/8/10 trên Mobitool để biết thêm một số cách truy cập vào chế độ Safe Mode khác nhé.
Bài viết trên đây Mobitool vừa giải đáp cho bạn câu hỏi máy tính bị nhiễm Virus, làm sao để phát hiện? Ngoài ra nếu có bất kỳ thắc mắc hoặc câu hỏi nào, bạn đọc có thể để lại ý kiến của mình trong phần bình luận bên dưới bài viết nhé.
Sau những lỗ hổng giúp cho virus, rootkit nghiêm trong xâm nhập trên Linux như lỗ hổng SambaCry trên Linux, người dùng hệ điều hành này cần thực hiện những biện pháp bảo mật tối ưu hơn. Có nhiều công cụ mã nguồn mở mà bạn có thể sử dụng để quét và kiểm tra xem hệ thống Linux của bạn có đang bị phần mềm độc hại tấn công hay không. Tuy nhiên bạn cần lưu ý là không có công cụ, phần mềm nào là hoàn hảo cả. Dưới đây là 3 công cụ để quét Virus và Rootkit trên Linux hiệu quả nhất.
1. ClamAV
ClamAV là phần mềm diệt virus "chuẩn", và có lẽ đã quá quen thuộc với bạn, ngoài ra, phần mềm diệt virus ClamAV cũng có phiên bản dành cho Windows.
Cài đặt ClamAV và ClamTK
ClamAV và giao diện đồ họa là các gói riêng biệt. Điều này là bởi vì ClamAV có thể được chạy từ dòng lệnh mà không cần GUI [giao diện đồ họa người dùng]. Giao diện đồ họa ClamTK đơn giản hơn, phù hợp với nhiều đối tượng người dùng hơn. Dưới đây là cách cài đặt ClamAV và ClamTK.
Đối với distro Debian và Ubuntu:
sudo apt install clamav clamtk
Nếu không sử dụng distro của Ubuntu, bbạn có thể tìm clamav và clamtk trong trình quản lý gói.
Sau khi cài đặt xong 2 chương trình, bước tiếp theo bạn cần làm là cập nhật cơ sở dữ liệu virus của 2 chương trình. Không giống như các chương trình diệt virus khác, với ClamAV bạn sẽ phải thực hiện bằng lệnh root hoặc sudo:
sudo freshclam
Freshclam được chạy như một daemon. Để chạy freshclam bằng tay, bạn chặn daemon này lại bằng Systemd và sau đó chạy freshclam bình thường.
sudo systemctl stop clamav-freshclam
Quá trình trên sẽ mất một khoảng thời gian.
Quét Virus và Rootkit trên Linux
Trước khi quét virus và rootkit trên Linux, bạn click chọn nút Settings, đánh tích chọn các tùy chọn Scan files beginning with a dot, Scan files larger than 20 MB, và Scan directories recursively.
Quay trở lại màn hình chính, click chọn Scan A Directory. Chọn thư mục mà bạn muốn quét. Nếu muốn quét toàn bộ máy tính, chọn Filesystem. Bạn sẽ phải chạy lại ClamTK từ dòng lệnh bằng lệnh sudo để chương trình hoạt động.
Sau khi quá trình quét kết thúc, ClamTK sẽ cảnh báo cho bạn bất kỳ mối đe dọa nào được phát hiện và cho phép bạn xử lý các mối đe dọa này. Mặc dù giải pháp tốt nhất là xóa các mối đe dọa này đi, nhưng có thể sẽ gây lỗi hệ thống không ổn định.
2. Chkrootkit
Giải pháp tiếp theo để quét Virus và Rootkit trên Linux là cài đặt và sử dụng Chkrootkit. Chkrootkit sẽ quét các loại phần mềm độc hại cụ thể - rootkit cho hệ thống Unix giống như Linux và Mac. Đúng như tên gọi của nó, mục đích của rootkit là để đạt được quyền root trên hệ thống mà nó nhắm mục tiêu.
Chkrootkit quét các file hệ thống để tìm dấu vết của phần mềm độc hại và kiểm tra chúng dựa trên cơ sở dữ liệu của các rootkit đã biết.
Chkrootkit được tích hợp sẵn trong hầu hết các kho phân phối. Cài đặt Chkrootkit bằng trình quản lý gói:
sudo apt installchkrootkit
Kiểm tra Rootkits
Chỉ cần chạy lệnh với root hoặc sudo:
sudo chkrootkit
Lệnh sẽ chạy xuống danh sách các rootkit tiềm năng, và có thể tạm dừng một chút trong quá trình quét các file. Bạn sẽ nhìn thấy ghi chú “nothing found” hoặc “not infected” nằm kế bên mỗi file.
Chương trình không hiển thị báo cáo cuối cùng sau khi quá trình quét kết thúc, vì vậy bạn sẽ phải kiểm tra bằng tay để chắc chắn không có rootkit tiềm năng nào.
Ngoài ra bạn có thể đưa chương trình vào grep và tìm INFECTED, nhưng cách này không thể phát hiện mọi thứ.
Lỗi sai xác thực [false positive]
Chkrootkit được báo cáo là có một lỗi sai xác thực trên Linux / Ebury - Operation Windigo. Lỗi này đã được biết đến từ lâu và được thêm flag -G vào SSH.
Có một vài cách kiểm tra thủ công mà bạn có thể áp dụng để xác minh đó là lỗi sai xác thực.
Đầu tiên chạy lênh dưới đây làm lệnh root.
find /lib* -type f -name libns2.so
Lệnh trên không trả lại kết quả. Tiếp theo thử kiểm tra xem phần mềm độc hại có đang không sử dụng socket Unix hay không.
netstat -nap | grep "@/proc/udevd"
Nếu lệnh không trả về kết quả, tức là hệ thống của bạn an toàn.
Ngoài ra còn có lỗi sai xác thực mới với tcpd trên Ubuntu. Nếu lệnh trả về kết quả tích cực trên hệ thống của bạn, thử điều tra thêm, tuy nhiên cần lưu ý rằng kết quả có thể là không chính xác.
Bạn cũng có thể gặp các mục cho wted. Điều này có thể là do lỗi hệ thống bị treo hoặc lỗi đăng nhập. Sử dụng last để kiểm tra xem có phải là do lỗi hệ thống hay không. Trong trường hợp này, nguyên nhân cũng có thể là do những lỗi đó chứ không phải là do phần mềm độc hại.
3. Rkhunter
Rkhunter cũng là công cụ để quét và tìm kiếm rootkit trên Linux. Giải pháp lý tưởng là chạy cả Chkrootkit và Rkhunter trên hệ thống của bạn để đảm bảo không bị bỏ sót bất kỳ virus hay rootkit trong trường hợp xảy ra lỗi sai xác thực.
Rkhunter cũng nằm trong kho phân phối của bạn.
sudo apt install rkhunter
Quét Virus và Rootkit trên Linux
Bước đầu tiên là cập nhật cơ sở dữ liệu của rkhunter.
sudo rkhunter --update
Tiếp theo là thực hiện quét Virus và Rootkit trên Linux
sudo rkhunter --check
Chương trình sẽ dừng lại sau mỗi phần. Có thể bạn sẽ nhìn thấy một số cảnh báo trên màn hình, có thể là do phát sinh cấu hình phụ tối ưu. Sau khi quá trình quét kết thúc, chương trình sẽ hiển thị cho bạn bản ghi hoạt động đầy đủ của nó trong /var/log/rkhunter.log. Bạn có thể nhìn thấy nguyên nhân của các cảnh báo ở đó.
Ngoài ra rkhunter cũng cung cấp cho bạn một bản tóm tắt đầy đủ các kết quả quét.
Trên đây là 3 cách quét virus và rootkit trên Linux, bên cạnh đó, để tránh lây lan virus, rootkit hay những mã độc nghiêm trọng bạn cũng cần bảo vệ cổng USB trên Linux và trước khi đưa ra quyết định làm bất cứ điều gì, thử kiểm tra và xác minh lại kết quả mà bạn nhận được.
Nếu phát hiện có gì đó sai sót, cân nhắc các lựa chọn của bạn. Nếu phát hiện rootkit, tiến hành sao lưu các file dữ liệu của bạn và định dạng ổ đĩa đó để loại bỏ rootkit. Thường xuyên chạy các chương trình, phần mềm diệt virus để quét và loại bỏ virus, rootkit trên hệ thống của bạn.
Không những trên Windows, Linux mà trên Mac hay iOS cũng đều có những phần mềm, ứng dụng hỗ trợ diệt virus bảo vệ thiết bị 24/24, bạn có thể lựa chọn những ứng dụng diệt virus cho iPhone tốt nhất mà Taimienphi đã chia sẻ trước đây, trong số những ứng dụng diệt virus cho iPhone này, chắc các bạn cũng đã từng nghe thấy rồi.
Việc thực hiện phương án quét Virus và Rootkit trên hệ điều hành Linux sẽ giúp bạn bảo vệ an toàn cho dữ liệu của mình hơn, thay vì khi phát hiện ra hoặc cho rằng Linux khó bị nhiễm mã độc, virus giống trên Windows, thì chúng ta hãy phòng tránh trước cũng là điều nên làm.