Sunday, January 16, 2011

Cách phát hiện sớm các tập tin có mã độc của tin tặc

Source: http://huynhlely.multiply.com/journal/item/2111/2111


Để phát hiện sớm các tập tin có cài mã độc tin tặc gửi đến, bạn cần làm, cần lưu ýnhững điều sau đây:


  • Hiển thị phần mở rộng của tập tin lên trong Windows 

  • Thấy người lạ gửi  tập tin .RAR, ZIP hay các dạng nén khác như 7z, gzip, tar, cab, z, arj, ….. thì phải nghi ngờ và hết sức cẩn trọng

  • Nếu giải nén ra và thấy tên tập tin thật dài thì rất là đáng nghi và phải kiểm lại ngay coi tập tin thuộc dạng nào

  • Nếu nhận được một tập tin lạ, không bao giờ lấy quyết định chỉ dựa vào hình icon của tập tin. Phải kiểm lại phần mở rộng xem thuộc dạng nào.


Tại sao nhiều người sử dụng vi tính vẫn hay bị mắc bẫy của tin tặc để mở các tập tin có cài mã độc khiến máy vi tính bị dính spyware   Để hiểu tại sao và biết cách tránh né, xin mời bạn đọc phần trình bày sau đây:
Trong máy vi tính sử dụng hệ điều hành Windows XP, Vista, Win7, tên của tập tin có hình dạng như sau: 

Tên tập tin . phần mở rộng 
File name . file extension

Thí dụ như:  VuotTuongLua.DOC,   firewall.PDF,  winword.EXE, v.v….
Phần mở rộng trong tên tập tin giúp người dùng biết được tập tin thuộc loại nào. Nếu bạn nhận được một tập tin .DOC của ai đó gửi đến thì có lẻ bạn sẽ mở ra xem thử. Còn nếu ai đó gửi cho bạn một tập tin dạng .EXE thì bạn sẽ rất ngần ngại để mở ra vì biết đâu chừng đây là mã độc. 
Điều đáng tiếc là Windows lúc cài đặt vào máy xong thì nó mặc định tắt hẵn đi phần mở rộng của tên tập tin. Do đó thay vì thấy 

VuotTuongLua.DOC,   firewall.PDF,  winword.EXE, v.v….
Thì bạn chỉ còn thấy:
VuotTuongLua,   firewall,  winword, v.v….

Để đoán biết tập tin thuộc dạng nào, bạn chỉ có thể nhìn vào icon của tập tin đó:
 



Đại đa số người sử dụng khi mua máy vi tính về dùng thì để nguyên tình trạng mặc định như vậy.  Vì thế tin tặc mới lợi dụng điểm này để gửi mã độc dạng .EXE nhưng lại trá hình làm tập tin dạng .DOC.  
Nếu tin tặc gửi tập tin có tên là  "Tin giut gan sot deo.DOC.EXE" đến cho bạn và vì máy mặc định không hiển thị phần mở rộng cho nên khi nhận được bạn chỉ thấy là "Tin giut gan sot deo.DOC". Bạn đinh ninh đây là tập tin dạng .DOC. Chẳng những thế tin tặc còn đổi hình icon của tập tin lại theo đúng hình icon DOC khiến cho bạn đinh chắc đây là tập tin .DOC.  Bạn bấm mở ra xem.Tin tặc cẩn thận cho hiển thị một bài .DOC hiện ra cho bạn xem khiến bạn không chút hoài nghi là mình đang mở một tập tin .DOC ra xem mà không ngờ rằng mã độc đang âm thầm chạy và cài đặt vào trong máy. 
Đến đây thì bạn chắc đã thấy nhu cầu bắt buộc phải hiển thị phần mở rộng của tập tin lên để có thể biết được mình đang xem loại tập tin gì, có an toàn để mở ra xem không. Cuối bài viết này sẽ chỉ cho bạn cách hiển thị phần mở rộng lên. 
Tuy nhiên mưu mô của tin tặc chưa hết đâu. Xin trình bày tiếp để bạn biết rõ những trò tinh ranh của tin tặc. 
Nếu máy bạn đã hiển thị phần mở rộng và tin tặc gửi tập tin với tên tương đối ngắn như là "Tin giut gan sot deo.DOC.EXE" thì sẽ không qua mặt được bạn. Do đó chúng sẽ đặt tên cho tập tin thật là dài, thí dụ như là: 
Cac vi tri nhan su dai hoi dang XI cua CSVN vao thang 1 nam 2011 sap toi.exe
Với cái tên dài thường thượt như thế, trên màn ảnh của bạn chỉ thấy là
 


Nhìn thoáng qua thấy có vẻ đúng là tập tin dạng .DOC, nhiều người sẽ mắc lừa và bấm mở ra xem. Do đó khi bạn thấy một tập tin nào mà tên dài thật là dài đến độ không thấy phần mở rộng đâu cả thì chớ vội mở ra xem. Mà nên xem phần đặc tính (properties) của tập tin 
 


Tin tặc thường dùng email miễn phí như Gmail hay Yahoo để phát tán mã độc. Các dịch vụ Gmail, Yahoo thì không cho phép gửi tập tin dạng .EXE. Do đó tin tặc thường phải nén lại thành dạng RAR hay ZIP là những dạng nén phổ thông. Thành ra khi bạn nhận đuợc tập tin .RAR, ZIP từ người lạ thì phải nghi ngờ liền. 
Tóm tắt lại, để phát hiện sớm các tập tin có cài mã độc tin tặc gửi đến, bạn cần làm, cần lưu ý những điều sau đây

  • Hiển thị phần mở rộng của tập tin lên trong Windows

  • Thấy người lạ gửi  tập tin .RAR, ZIP hay các dạng nén khác như 7z, gzip, tar, cab, z, arj, ….. thì phải nghi ngờ và hết sức cẩn trọng

  • Nếu giải nén ra và thấy tên tập tin thật dài thì rất là đáng nghi và phải kiểm lại ngay coi tập tin thuộc dạng nào

  • Nếu nhận được một tập tin lạ, không bao giờ lấy quyết định chỉ dựa vào hình icon của tập tin. Phải kiểm lại phần mở rộng xem thuộc dạng nào.



Cách hiển thị phần mở rộng trong Windows

Cho Windows XP
Mở bất cứ ngăn (folder) nào đó ra. Từ menu chính, chọn Tools, rồi Folder Options
 


Khi khung Folder Options hiện ra, bấm vào bảng View, trong phần Advanced settings, tắt (đừng đánh dấu)  hàng Hide extensions for known file types như hình dưới đây. Bấm nút OK để hoàn tất.

 


Cho Windows Vista, Windows 7
Mở bất cứ ngăn (folder) nào đó ra. Trong thanh công cụ bên trên, chọn Organize, rồi chọn Folder and search options.

 



Khi khung Folder Options hiện ra, bấm vào bảng View, trong phần Advanced settings, tắt (không đánh dấu) hàng Hide extensions for known file types như hình dưới đây. Bấm nút OK để hoàn tất.

No comments:

Post a Comment