Cách nhận biết máy tính bị nhiễm trojan

Chương trình phần mềm bảo mật lậu cố gắng làm cho bạn tưởng rằng máy tính của mình bị nhiễm vi-rút và thường nhắc bạn tải xuống hoặc mua một sản phẩm loại bỏ vi-rút đó. Tên của các sản phẩm này thường chứa các từ như Antivirus [Diệt vi-rút], Shield [Tấm chắn], Security [Bảo mật], Protection [Bảo vệ] hoặc Fixer [Trình xử lý lỗi]. Điều này làm cho chúng nghe có vẻ là các chương trình chính thống. Chúng thường chạy ngay sau khi bạn tải chúng xuống hoặc vào lần tiếp theo máy tính của bạn khởi động. Phần mềm bảo mật lậu có thể ngăn các ứng dụng, chẳng hạn như Internet Explorer, mở ra. Phần mềm bảo mật lậu cũng có thể hiển thị các tệp Windows quan trọng và chính thống ở dạng tệp lây nhiễm. Các thông báo lỗi thông thường hoặc các thông báo bật lên có thể chứa những cụm từ như sau:

Cảnh báo! Máy tính của bạn đã bị nhiễm!

Máy tính này bị nhiễm phần mềm gián điệp và phần mềm quảng cáo.

Lưu ý Nếu bạn nhận được thông báo trong hộp thoại bật lên giống như cảnh báo này, hãy nhấn ALT + F4 trên bàn phím để đóng hộp thoại. Đừng bấm vào bất kỳ mục gì bên trong hộp thoại đó. Nếu một cảnh báo, chẳng hạn như cảnh báo ở đây, tiếp tục xuất hiện khi bạn cố gắng đóng hộp thoại, đó là dấu hiệu tốt cho thấy thông báo là độc hại.

Bạn có chắc chắn muốn dẫn hướng từ trang này không? Máy tính của bạn đã bị nhiễm! Chúng có thể gây mất dữ liệu và hỏng tệp và cần được xử lý sớm nhất có thể. Nhấn HỦY để chặn. Quay lại Bảo mật Hệ thống và tải chương trình này xuống để bảo vệ PC của bạn.

Nhấn OK để Tiếp tục hoặc Hủy bỏ để tiếp tục ở trang hiện tại.

Nếu bạn thấy loại thông báo này thì đừng tải xuống hoặc mua phần mềm.

Để biết thêm thông tin, hãy xem mục Tự bảo vệ khỏi nạn lừa đảo hỗ trợ kỹ thuật. 

Trojan là gì? Hầu hết mọi người vẫn nghĩ về Trojan là virus. Tuy nhiên, thực tế là nó và virus rất khác nhau, cả từ cách thức hoạt động và cách lây nhiễm. Tuy nhiên, Trojan cũng có khả năng lây nhiễm và tiêu diệt nhanh như virus, ảnh hưởng nghiêm trọng đến dữ liệu máy tính.

Một trong những mánh khóe của Trojan là nó giúp máy tính của khách hàng chống lại virus, nhưng thay vì làm như vậy, nó lại làm ngược lại, đó là đưa virus vào máy tính. Vậy Trojan là gì? Làm thế nào để ngăn chặn? Bài viết sau sẽ cho bạn kinh nghiệm để đối phó với loại virus này.

Virus Trojan là một trong những chương trình độc hại được ngụy trang với lớp vỏ bên ngoài mang tính chất vô hại để người dùng thao tác.

Một ví dụ thực tế để bạn hiểu rõ hơn là bạn có thể tải một tập tin ảnh trên mạng mà mình yêu thích về máy nhưng khi mở ra thì đó là chương trình thu thập dữ liệu từ máy tính của bạn để gửi cho bên quan tâm. xâm nhập với mục đích xấu.

Lúc này, máy tính của bạn vô tình trở thành công cụ do bên thứ 3 điều khiển để thực hiện các hành vi trá hình cho một cuộc tấn công mạng [DDOS] hoặc những thứ tương tự như vậy. Trojan có rất nhiều biểu hiện cũng như con đường để thâm nhập và gây hại.

• Trojan truy cập từ xa – Cho phép kẻ tấn công kiểm soát toàn bộ hệ thống từ xa.
• Trojan gửi dữ liệu – Trojan sẽ gửi thông tin nhạy cảm của nạn nhân cho những kẻ tấn công
• Trojan phá hủy – Một loại Trojan phá hủy hệ thống
• Denied-of-Service –  DoS Attack Trojan: Trojan cho các cuộc tấn công DoS.
• Proxy Trojan –  là loại trojan được thiết kế để có thể sử dụng máy tính của nạn nhân như một máy chủ proxy.
• HTTP, FTP Trojan – Trojan tự tạo ra như một máy chủ HTTP hoặc FTP để những kẻ tấn công khai thác.
• Phần mềm bảo mật Vô hiệu hóa Trojan – Có tác dụng tắt các tính năng bảo mật trong máy nạn nhân.

• Đánh cắp thông tin của thẻ tín dụng để trục lợi cá nhân
• Đánh cắp thông tin tài khoản cá nhân như: Email, Mật khẩu, Tên người dùng…
• Đánh cắp dữ liệu bí mật
• Đánh cắp thông tin tài chính: Tài khoản ngân hàng, tài khoản hệ thống giao dịch trực tuyến…
• Sử dụng máy tính của nạn nhân để thực hiện một việc gì đó, chẳng hạn như tấn công, quét các lỗ hổng hệ thống hoặc làm ngập mạng của nạn nhân.

Một số loại virus Trojan có mức độ thiệt hại thấp khi xâm nhập vào máy tính sẽ để lại một số dấu hiệu nhận biết cho người dùng như: ổ đĩa CD-ROM tự động mở và đóng, có vài dấu hiệu lạ trên màn hình máy tính, hình nền máy tính của người dùng sẽ tự động thay đổi, máy tính sẽ tự động thay đổi phông chữ và các cài đặt khác, chuột máy tính bị lỗi như chuột không hiển thị, nhầm lẫn 2 bên chuột.

Tất nhiên, những dấu hiệu ở trên chỉ là một vài khả năng mà bạn có thể dễ dàng nhận ra về virus Trojan đơn giản. Giờ đây, virus Trojan ngày càng tinh vi hơn vì chúng không để lại dấu vết và có nhiều dạng khác nhau.

• Truy cập từ xa: Loại Trojan này sẽ cho phép tin tặc truy cập từ xa vào hệ thống máy tính của nạn nhân.
• Phần mềm gián điệp máy tính: Theo dõi các hành động của người dùng để lấy cắp thông tin tài khoản cá nhân.
• Zombie Trojan: Kiểm soát máy tính để khởi động một cuộc tấn công DDoS.

Để ngăn chặn tình trạng này, bạn không nên nhấp vào các tệp và liên kết trong email được gửi từ người lạ và không tải phần mềm mà không biết ai đã viết nó, ứng dụng đó có virus hay không, có yêu cầu quyền truy cập vào quyền riêng tư của người dùng hay không. Phương thức nổi bật để có thể phòng chống Trojan hiện nay vẫn là tường lửa.

Bao nhiêu phần mềm chống virus hiện nay có thể đáp ứng được phòng chống Trojan?

Ngoài ra, người dùng máy tính không click trực tiếp vào link rút gọn adf.ly hoặc các link rút gọn khác được chia sẻ trên các diễn đàn, mạng xã hội. Vui lòng sao chép liên kết và dán vào virustotal để kiểm tra. Nếu liên kết an toàn, hãy tải xuống để xem nội dung trực tiếp. Cập nhật đầy đủ các bản vá lỗ hổng bảo mật thường xuyên cho các ứng dụng sử dụng hệ điều hành Windows và các phần mềm khác.

Đây là một số phương pháp phòng chống hiệu quả khác:

• Luôn sử dụng phần mềm và chương trình bảo mật trên Internet khi bật máy tính của bạn
• Cập nhật máy tính của bạn với hệ điều hành và ứng dụng mới nhất
• Hạn chế quyền truy cập và tải xuống phần mềm và ứng dụng không đáng tin cậy.

Với những thông tin trên, chắc chắn bạn sẽ phần nào hiểu được Trojan là gì và đặc điểm của chúng. Webdanhgia.vn hi vọng các bạn sẽ tìm ra nguyên nhân và cách khắc phục loại mã độc này để đảm bảo an toàn và bảo mật cho website của mình. Tại Việt Nam, loại virus này cũng đã gây hại nhiều cho kinh tế. Với thủ thuật trên, bạn hãy làm sao để phòng tránh cũng như hướng dẫn mọi người giải pháp cùng phòng ngừa nó như thế nào nhé.

Mời bạn xem thêm:

Macbook có bị Virus không? Cách nhận biết Macbook bị nhiễm Virus

Ngoài việc sử dụng các chương trình diệt virus được cập nhật đầy đủ như Avast, Kaspersky, Nob32 …thì chúng ta có thể căn cứ vào những hành vi bất thường của máy tính như các thông báo lỗi lạ  để Nhận Biết Máy Tính Bị  Nhiễm Trojan, CDROM hoạt động đóng mở tự động cho chúng ta biết máy tính đang có vấn đề và có khả năng bị lây nhiễm trojan / backdoor.
Chúng ta còn có thể giám sát các cổng trên hệ thống Windows với lệnh như C:\netstat – na để xem những cổng lạ nào đang mở, nếu có những cổng như trong hình minh họa sau thì có lẽ máy tính đa bị nhiễm mã độc. Ngoài ra, việc sử dụng các chương trình giám sát mạng như Wireshark để phát hiện những kết nối bất hợp lý, những truyền thông khả nghi là biện pháp rất tốt để phát hiện các trojan / backdoor tinh vi. Vì nhiều mã độc có khả năng ẩn mình qua mặt cả những chường trình diệt virus, không xuất hiện trong danh sách task list hay các tiến trình đang chạy nhưng khi chúng truyền thông với hacker để nhận lệnh thì các gói tin này không thể nào qua mặt được những ứng dụng giám sát đường truyền như Wireshark, đây cũng là phương pháp tôi tư vấn cho một số học viên trước đây làm việc tại Bộ tài chính để phát hiện ra các trojan nguy hiểm chuyên đánh cắp dữ liệu và gởi sang một máy chủ đặt tại nước ngoài. Cũng vì sự hữu ích của mình mà hiện nay Wireshark được xếp số 1 trong 125 công cụ bảo mật hàng đầu trên trang www.sectools.org.
Thế Nào Là “Wrapping” ? Để có thế phát tán các mã độc hay trojan / backdoor hacker thường đính kèm những công cụ này vào những công cụ hợp lệ khác, ví dụ như thời gian gần đây website unikey.org bị hacker tấn công và chèn mã độc vào chương trình này để khi người dùng download ứng dụng unikey về máy cài đặt sẽ vô tình cài luôn chương trình nguy hiểm của hacker. Và những ứng dụng cho phép gắn một trojan hay backdoor vào một chương trình khác được gọi là các wrapper và quá trình này gọi là Wrapping hay đóng gói.

Những công cụ đóng gói trojan :

• Graffiti là một chương trình game hoạt họa có thể dùng để gói một trojan và khi người dùng tải về máy tính để chơi thì sẽ cài luôn cả trojan được đóng gói.
• Silk Rope 2000 là một wrapper kết hợp BackOrifice server và một ứng dụng thông thường khác.
• EliTeWrap là ứng dụng cao cấp chuyên đóng gói các chương trình .exe hoạt động trên hệ thống Windows. EliteWrap có thể tạo ra những ứng dụng cài đặt để có thể bung nén vào những thư mục đã được chỉ định.
• IconPlus là ứng dụng dùng để chuyển đổi các icon theo nhiều định dạng khác nhau cũng được các hacker dùng cho việc phân tán các mã độc nguy hiểm.
• Ngoài ra, có một ứng dụng hữu ích là chương trình AutoIT cho phép người dùng tạo ra các công cụ hay những script theo các lệnh và hàm thư viên của Windows.

Mặc dù đây là một công cụ hữu ích nhưng lại bị nhiều hacker Việt Nam lạm dụng để tạo ra các công cụ nguy hiểm như virus Yahoo! Messenger trước đây. Và AutoIt tích hợp sẳn một wrapper là UPX để đóng gói các kịch bản được tạo ra vì vậy ứng dụng diệt virus BKAV đã mặc nhiên xem các chương trình được tạo bằng Auto IT là virus do phát hiện có header của UPX. Tuy nhiên, đây là một dạng “diệt nhầm hơn bỏ sót” vì nhiều chương trình hữu ích được viết bằng Auto IT chứ không phải tất cả ứng dụng tạo bởi Auto It đều xấu ví dụ như kịch bản lockscreen.exe do tôi tạo ra để người dùng có thể nhanh chóng khóa màn hình khi rời khỏi bàn làm việc chỉ với một cái click chuột.
Trojan Construction Kit và Trojan Maker Trojan construction kit va trojan maker là những công cụ mà các hacker dùng để t75 tạo ra các biến thể trojan / backdoor nguy hiểm của riêng mình , với các cấu hình riêng như khởi tạo kết nối trên những kênh IRC riêng, dựa vào các số hiệu cổng mà những chương trình diệt virus hay trojan scanning tool có thể không nhận biết được vì không có những dấu hiệu trùng lắp trong cơ sở dữ liệu do mới được tạo ra. Một số công cụ dùng để tạo trojan như Senna Spy Generator, Trojan Horse Construction Kit, Pandora’s Box. Phòng Chống Trojan Hầu hết các ứng dụng phòng và diệt virus hiện nay đều có khả năng phòng chống trojan, ngăn ngừa chúng lây nhiễm trên hệ thống máy tính. Tuy nhiên, các bạn nên sử dụng các chương trình antivirus được cập nhật đầy đủ để có thể phát hiện ra các biến thể mới nhất của mã độc. Trong trường hợp sử dụng các chương trình diệt virus miễn phí nên chọn các ứng dụng được đánh giá tốt nhất, như AVAST ! Antivirus Free có thể cài trên các hệ thống Windows XP, Windows 7, Windows Vista hiện tôi đang sử dụng với hiệu quả cao, cảnh báo đầy đủ những virus mới và những website chứa mã độc. Tuy nhiên, các phiên bản thương mại vẫn có nhiều tính năng mạnh mẽ hơn, khả năng phòng chống trojan cao hơn so với các bản miễn phí. Do đó, nếu đặt yếu tố hiệu quả lên hàng đầu thì nên chọn các sản phẩm thương mại của AVAST, Kaspersky hay NOB 32.

Bên cạnh đó, kết hợp thêm một phiên bản BKAV, CMC miễn phí [hay có phí] nhằm ngăn ngừa những virus nội cũng là một giải pháp đáng quan tâm. Ngoài ra, chúng ta nên cẩn thận khi sử dụng những phần mềm crack hay chạy các tập tin vá, chương trình lấy keygen vì đây là những nguồn lây nhiễm trojan, virus hàng đầu. Trong trường hợp cần cài đặt thử nghiệm những ứng dụng không tin cậy hãy cài trước trên máy ảo để xem có tác hại hay hành động khả nghi nào không [giám sát với các chương trình Wiresharke, Process Monitor, dùng lệnh netstat –na để kiểm soát các session trên máy tính…]

1. Fport : Công cụ miễn phí của Foundstone báo cáo về tình trạng của tất cả các cổng TCP / UDP đang mở cùng với dịch vụ tương ứng hoạt động trên những cổng này. Hãy ứng dụng Fport để nhanh chóng phát hiện tình trạng hoạt động của cổng và dịch vụ trên máy  tính của bạn.
2. TCP View : Chương trình hoạt động trên hệ điều hành Windows hiển thị chi tiết các điểm đầu cuối tham gia truyền thông trên TCP / UDP bao gồm các địa chỉ local và remote cũng như tình trạng của các kết nối TCP [tại sao chúng ta không nói đến tình trạng của “kết nối UDP”, đ1o là do UDP không phải là một giao thức hướng liên kết, cần ghi nhớ để tránh bị bẫy trong các câu hỏi của CEH]
3. PrcView : Là ứng dụng dùng để giám sát các tiến trình đang hoạt động, đây là công cụ dạng dòng lệnh rất hay, có khả năng kill [đóng] các tiến trình nguy hiểm.
4. Inzider : Là một ứng dụng hữu ích liệt kê những tiến trình đang hoạt động trên hệ thống Windows và các cổng tương ứng, Inzider có thể phát hiện một số trojan như BackOrifice mặc dù chúng tự chèn vào trong các tiến trình của hệ thống để ẩn trên danh sách của Task list nhưng trojan này vẫn phải mở các cổng xác định.
5. Tripwire : Ứng dụng trên Linux dùng để kiểm tra tính toàn vẹn của hệ thống tập tin, sử dụng một thuật toán băm để có thể xác định được tình trạng của các tập tin hệ thống và nhận biết khi có sự thay đổi xảy ra. Tripwire tạo ra một thiết lập chuẩn [baseline] của hệ thống và thường xuyên quét các tập tin nếu có sự thay đổi xảy ra sẽ cảnh báo cho quản trị hệ thống.

Phòng Chống Trojan Bằng Cách Kiểm Tra Tính Toàn Vẹn Của tập Tin Trên hệ thống Windows Server 2003 trở về sau có một tính năng gọi là Windows File Protection [WFP] giúp ngăn ngừa việc thay thế các tập tin được bảo vệ. WFP kiểm tra tính toàn vẹn của tập tin khi có sự tác động đến các tập tin SYS, DLL, OCX, TTF hay EXE. Điều này bảo đảm chỉ có các tập tin đã được xác thực bởi Microsoft mới thay đổi được các tập tin hệ thống. Ngoài ra, chúng ta có thể sử dụng công cụ sigverif xem các tập tin có được xác thực bởi Microsoft hay không thông qua các thao tác sau :

Tổng Kết

Như vậy, trong chương này chúng ta đã tìm hiểu về trojan và backdoor với những đặc điểm khác biệt của chúng. Các bạn cần ghi nhớ những cổng thông dụng mà trojan hay backdoor thường sủ dụng cũng như các phương pháp dùng để kiểm tra sự có mặt của các phần mềm độc hại này. Trong các câu hỏi của bài thi chứng chỉ CEH thường hay đề cập đến những cổng mà trojan như Subseven, BackOrofice hay Netbus hoạt động, và những điểm lưu ý khác là các tùy chọn quan trọng của trojan Netcat.