Đăng Nhập
Tìm kiếm
Top posting users this month
| No user |
Thống Kê
Hiện có 3 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 3 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Cảnh báo hiện tượng phần mềm diệt virus làm hỏng Windows
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Thông tin IT cập nhật IT by Security 2TVN :: Báo IT thường ngày IT by Security 2TVN
Trang 1 trong tổng số 1 trang
12062010
Cảnh báo hiện tượng phần mềm diệt virus làm hỏng Windows
Thời gian gần đây, Trung tâm An ninh mạng Bkis nhận được đề nghị trợ giúp
của nhiều người sử dụng phản ánh tình trạng máy tính bị tê liệt, không
sử dụng được sau khi diệt virus. Hiện tượng mà những người sử dụng này
gặp phải là cứ thực hiện thao tác đăng nhập (login) vào Windows lập tức
bị thoát ra ngoài (logout). Hoặc đăng nhập vào được nhưng cũng không
thực hiện thêm được thao tác nào.
Hầu hết mọi người đều đổ lỗi cho virus đã làm hỏng hệ điều hành của mình và
phải cài lại Windows, nhiều trường hợp bị mất toàn bộ dữ liệu trên máy
tính.
Tuy
nhiên, sự thật không phải như vậy. Các thử nghiệm cho thấy, virus không
phải là thủ phạm làm hỏng Windows. Thủ phạm lại chính là các phần mềm
diệt virus BitDefender, Kaspersky, McAfee và Symantec.
Chúng
tôi đã phát hiện sự việc từ 6 tháng trước, nhưng dự định không cảnh báo
cho người sử dụng vì xét thấy có thể sẽ gây sự hiểu lầm là Bkis tự tạo
lợi thế cạnh tranh trước các phần mềm diệt virus của nước ngoài. Tuy
nhiên, khi sự việc xảy ra nhiều đến mức báo động, gây nhiều thiệt hại
cho người sử dụng (tới nay đã có ít nhất 47.000 máy tính bị nhiễm các
loại virus này). Với trách nhiệm của mình, Bkis thấy cần phải có cảnh
báo, giúp người sử dụng tránh được những rắc rối và sự thiệt hại không
đáng có.
Để
làm rõ vấn đề, ngày 12/11/2008 Trung tâm An ninh mạng Bkis đã có buổi
thử nghiệm thực tế với các phần mềm BitDefender, Kaspersky, McAfee,
Symantec và Bkav. Để đảm bảo tính khách quan, chúng tôi đã mời các
phóng viên công nghệ thông tin đến từ các báo VnExpress, Bưu điện Việt
Nam, PCWorld và Dân trí tham dự buổi thử nghiệm.
Sau
3 giờ đồng hồ tiến hành thử nghiệm dưới sự quan sát của các phóng viên,
kết quả cho thấy các phần mềm của nước ngoài nêu trên có thể nhận ra và
diệt virus nhưng lại không thể khôi phục được file chuẩn khiến hệ điều
hành Windows bị hỏng.
Cũng
trong những tình huống này, sử dụng Bkav để diệt virus, hệ thống được
khôi phục về trạng thái ban đầu, Windows trở lại hoạt động bình thường.
Chi tiết kết quả thử nghiệm xin xem ở phần cuối.
Theo khảo sát của VnExpress, đã có 67% người sử dụng gặp hiện tượng này
Chi tiết thử nghiệm
Thử
nghiệm được thực hiện trên 4 máy tính được tạo môi trường sạch, tắt kết
nối Internet và theo quy trình: cho virus nhiễm vào máy tính =>
restart máy => cài phần mềm diệt virus phiên bản mới nhất =>
restart máy, diệt virus.
Thử nghiệm 1: BitDefender 2009 với virus Xpack có xuất xứ từ Trung Quốc
Đây
là loại virus sau khi nhiễm vào máy tính sẽ “nằm vùng” như một “gián
điệp” và liên tục tải các malware khác từ Internet về. Chuyên gia thử
nghiệm tiến hành cho lây nhiễm lên máy tính. Sau đó, cài đặt
BitDefender 2009 và khởi động lại máy tính. Phần mềm BitDefender 2009
xác nhận có virus và tiến hành diệt. Khi diệt xong, máy tính được
restart lần nữa nhưng không thể đăng nhập vào hệ điều hành. Người dùng
gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và
hiện lên cửa sổ yêu cầu đăng nhập lại, quá trình cứ lặp lại như thế,
Windows đã bị hỏng.
Nguyên
nhân được xác định là do: virus đã sao chép chính nó lên file
UserInit.exe. BitDefender 2009 đã diệt virus bằng cách xóa file này mà
không thể khôi phục lại file chuẩn của hệ thống nên đã làm hỏng hệ điều
hành Windows.
Thử nghiệm 2: Norton Antivirus 2009 của Symantec với virus OnlineGameJYA
Đây
là loại virus chuyên ăn cắp mật khẩu và các thông tin cá nhân của người
chơi game trực tuyến. Sau khi để virus lây nhiễm vào máy tính, các
chuyên gia tiến hành cài đặt Norton Antivirus và khởi động lại máy.
Phần mềm này đã phát hiện và diệt virus. Nhưng khi được restart lần
nữa, sau khi gõ mật khẩu đăng nhập xong, thanh Taskbar bị mất, không
kéo thả được file và thư mục, phím Windows không sử dụng được, chức
năng copy – paste cũng không thể sử dụng. Windows trên máy tính lúc này
đã bị hỏng.
Nguyên
nhân của tình trạng này được xác định là do: file hệ thống rpcss.dll mà
virus ghi đè đã bị Norton Antivirus 2009 xóa mất nhưng không khôi phục
lại file gốc.
Thử nghiệm 3: Kaspersky 2009 với virus ExpdownB
Mẫu
virus này cũng thuộc dòng virus “nằm vùng” tương tự như Xpack. Quy
trình thử nghiệm trên máy tính cũng được thực hiện tương tự như hai lần
trước. Sau khi diệt xong virus, khởi động lại máy tính và đăng nhập hệ
điều hành, màn hình desktop không thể sử dụng được.
Nguyên nhân cũng là do: Kaspersky 2009 khi diệt virus đã xóa luôn file Explorer.exe mà không khôi phục lại file chuẩn.
Thử nghiệm 4: McAfee 2009 với virus Xpack
Vì
phần mềm này có quá trình cập nhật (update) tương đối phức tạp nên được
các chuyên gia cài sẵn trên máy tính thử nghiệm. Sau khi cho nhiễm
Xpack lên máy này, McAfee được kích hoạt đã phát hiện và đồng thời cô
lập virus trên file UserInit.exe. Tuy nhiên sau khi khởi động lại, máy
tính gặp hiện tượng giống như đã thử nghiệm với BitDefender 2009: Người
dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout)
và hiện lên cửa sổ yêu cầu đăng nhập lại, không thể vào Windows được
nữa.
Hình ảnh giải mã virus ghi đè file UserInit.exe
Thử nghiệm 5: Bkav với cả 4 dòng virus
Thử
nghiệm được tiến hành với phiên bản miễn phí BkavHome. Cũng với quy
trình như đã làm với các phần mềm và virus kể trên, sau khi cho virus
lây nhiễm lên máy tính thử nghiệm, chuyên gia thử nghiệm tiến hành cài
đặt BkavHome và khởi động lại máy. Sau mỗi lần như vậy với lần lượt
từng loại virus, chức năng bảo vệ tự động (Auto Protect) của Bkav đều
tự động phát hiện và diệt virus tìm được.
Thuật
toán có trong phần mềm Bkav đã giải mã được đoạn mã gốc và khôi phục
lại các file chuẩn của hệ điều hành và giúp Windows trở lại tình trạng
như trước khi bị nhiễm virus.
Kết luận:
Hiện
tượng máy tính bị tê liệt, không sử dụng được sau khi diệt virus nêu
trên có nguyên nhân do chính các phần mềm diệt virus BitDefender,
Kaspersky, McAfee, Symantec gây ra. Hiện tượng này rất dễ bị hiểu nhầm
là do hành động phá hoại của virus.
Khuyến cáo người sử dụng:
Với
những dòng virus như nêu trên (những virus này thường có xuất xứ từ
Trung quốc, hiện nay xuất hiện rất nhiều) người sử dụng không nên diệt
virus bằng BitDefender, Kaspersky, McAfee và Symantec.
Trong
trường hợp đã sử dụng các phần mềm nói trên và gặp hiện tượng Windows
bị hỏng, người sử dụng có thể khắc phục bằng cách thực hiện repair lại
Windows theo cách sau: [You must be registered and logged in to see this link.]
Theo Bkis
của nhiều người sử dụng phản ánh tình trạng máy tính bị tê liệt, không
sử dụng được sau khi diệt virus. Hiện tượng mà những người sử dụng này
gặp phải là cứ thực hiện thao tác đăng nhập (login) vào Windows lập tức
bị thoát ra ngoài (logout). Hoặc đăng nhập vào được nhưng cũng không
thực hiện thêm được thao tác nào.
Hầu hết mọi người đều đổ lỗi cho virus đã làm hỏng hệ điều hành của mình và
phải cài lại Windows, nhiều trường hợp bị mất toàn bộ dữ liệu trên máy
tính.
Tuy
nhiên, sự thật không phải như vậy. Các thử nghiệm cho thấy, virus không
phải là thủ phạm làm hỏng Windows. Thủ phạm lại chính là các phần mềm
diệt virus BitDefender, Kaspersky, McAfee và Symantec.
Chúng
tôi đã phát hiện sự việc từ 6 tháng trước, nhưng dự định không cảnh báo
cho người sử dụng vì xét thấy có thể sẽ gây sự hiểu lầm là Bkis tự tạo
lợi thế cạnh tranh trước các phần mềm diệt virus của nước ngoài. Tuy
nhiên, khi sự việc xảy ra nhiều đến mức báo động, gây nhiều thiệt hại
cho người sử dụng (tới nay đã có ít nhất 47.000 máy tính bị nhiễm các
loại virus này). Với trách nhiệm của mình, Bkis thấy cần phải có cảnh
báo, giúp người sử dụng tránh được những rắc rối và sự thiệt hại không
đáng có.
Để
làm rõ vấn đề, ngày 12/11/2008 Trung tâm An ninh mạng Bkis đã có buổi
thử nghiệm thực tế với các phần mềm BitDefender, Kaspersky, McAfee,
Symantec và Bkav. Để đảm bảo tính khách quan, chúng tôi đã mời các
phóng viên công nghệ thông tin đến từ các báo VnExpress, Bưu điện Việt
Nam, PCWorld và Dân trí tham dự buổi thử nghiệm.
Sau
3 giờ đồng hồ tiến hành thử nghiệm dưới sự quan sát của các phóng viên,
kết quả cho thấy các phần mềm của nước ngoài nêu trên có thể nhận ra và
diệt virus nhưng lại không thể khôi phục được file chuẩn khiến hệ điều
hành Windows bị hỏng.
Cũng
trong những tình huống này, sử dụng Bkav để diệt virus, hệ thống được
khôi phục về trạng thái ban đầu, Windows trở lại hoạt động bình thường.
Chi tiết kết quả thử nghiệm xin xem ở phần cuối.
Theo khảo sát của VnExpress, đã có 67% người sử dụng gặp hiện tượng này
Chi tiết thử nghiệm
Thử
nghiệm được thực hiện trên 4 máy tính được tạo môi trường sạch, tắt kết
nối Internet và theo quy trình: cho virus nhiễm vào máy tính =>
restart máy => cài phần mềm diệt virus phiên bản mới nhất =>
restart máy, diệt virus.
Thử nghiệm 1: BitDefender 2009 với virus Xpack có xuất xứ từ Trung Quốc
Đây
là loại virus sau khi nhiễm vào máy tính sẽ “nằm vùng” như một “gián
điệp” và liên tục tải các malware khác từ Internet về. Chuyên gia thử
nghiệm tiến hành cho lây nhiễm lên máy tính. Sau đó, cài đặt
BitDefender 2009 và khởi động lại máy tính. Phần mềm BitDefender 2009
xác nhận có virus và tiến hành diệt. Khi diệt xong, máy tính được
restart lần nữa nhưng không thể đăng nhập vào hệ điều hành. Người dùng
gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và
hiện lên cửa sổ yêu cầu đăng nhập lại, quá trình cứ lặp lại như thế,
Windows đã bị hỏng.
Nguyên
nhân được xác định là do: virus đã sao chép chính nó lên file
UserInit.exe. BitDefender 2009 đã diệt virus bằng cách xóa file này mà
không thể khôi phục lại file chuẩn của hệ thống nên đã làm hỏng hệ điều
hành Windows.
Thử nghiệm 2: Norton Antivirus 2009 của Symantec với virus OnlineGameJYA
Đây
là loại virus chuyên ăn cắp mật khẩu và các thông tin cá nhân của người
chơi game trực tuyến. Sau khi để virus lây nhiễm vào máy tính, các
chuyên gia tiến hành cài đặt Norton Antivirus và khởi động lại máy.
Phần mềm này đã phát hiện và diệt virus. Nhưng khi được restart lần
nữa, sau khi gõ mật khẩu đăng nhập xong, thanh Taskbar bị mất, không
kéo thả được file và thư mục, phím Windows không sử dụng được, chức
năng copy – paste cũng không thể sử dụng. Windows trên máy tính lúc này
đã bị hỏng.
Nguyên
nhân của tình trạng này được xác định là do: file hệ thống rpcss.dll mà
virus ghi đè đã bị Norton Antivirus 2009 xóa mất nhưng không khôi phục
lại file gốc.
Thử nghiệm 3: Kaspersky 2009 với virus ExpdownB
Mẫu
virus này cũng thuộc dòng virus “nằm vùng” tương tự như Xpack. Quy
trình thử nghiệm trên máy tính cũng được thực hiện tương tự như hai lần
trước. Sau khi diệt xong virus, khởi động lại máy tính và đăng nhập hệ
điều hành, màn hình desktop không thể sử dụng được.
Nguyên nhân cũng là do: Kaspersky 2009 khi diệt virus đã xóa luôn file Explorer.exe mà không khôi phục lại file chuẩn.
Thử nghiệm 4: McAfee 2009 với virus Xpack
Vì
phần mềm này có quá trình cập nhật (update) tương đối phức tạp nên được
các chuyên gia cài sẵn trên máy tính thử nghiệm. Sau khi cho nhiễm
Xpack lên máy này, McAfee được kích hoạt đã phát hiện và đồng thời cô
lập virus trên file UserInit.exe. Tuy nhiên sau khi khởi động lại, máy
tính gặp hiện tượng giống như đã thử nghiệm với BitDefender 2009: Người
dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout)
và hiện lên cửa sổ yêu cầu đăng nhập lại, không thể vào Windows được
nữa.
Hình ảnh giải mã virus ghi đè file UserInit.exe
Thử nghiệm 5: Bkav với cả 4 dòng virus
Thử
nghiệm được tiến hành với phiên bản miễn phí BkavHome. Cũng với quy
trình như đã làm với các phần mềm và virus kể trên, sau khi cho virus
lây nhiễm lên máy tính thử nghiệm, chuyên gia thử nghiệm tiến hành cài
đặt BkavHome và khởi động lại máy. Sau mỗi lần như vậy với lần lượt
từng loại virus, chức năng bảo vệ tự động (Auto Protect) của Bkav đều
tự động phát hiện và diệt virus tìm được.
Thuật
toán có trong phần mềm Bkav đã giải mã được đoạn mã gốc và khôi phục
lại các file chuẩn của hệ điều hành và giúp Windows trở lại tình trạng
như trước khi bị nhiễm virus.
Kết luận:
Hiện
tượng máy tính bị tê liệt, không sử dụng được sau khi diệt virus nêu
trên có nguyên nhân do chính các phần mềm diệt virus BitDefender,
Kaspersky, McAfee, Symantec gây ra. Hiện tượng này rất dễ bị hiểu nhầm
là do hành động phá hoại của virus.
Khuyến cáo người sử dụng:
Với
những dòng virus như nêu trên (những virus này thường có xuất xứ từ
Trung quốc, hiện nay xuất hiện rất nhiều) người sử dụng không nên diệt
virus bằng BitDefender, Kaspersky, McAfee và Symantec.
Trong
trường hợp đã sử dụng các phần mềm nói trên và gặp hiện tượng Windows
bị hỏng, người sử dụng có thể khắc phục bằng cách thực hiện repair lại
Windows theo cách sau: [You must be registered and logged in to see this link.]
Theo Bkis
BS Se S2T- Chuyên viên an ninh Se S2T
-
Con Giáp : 
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T: (35/50)
Share this post on:
Similar topics» Cảnh giác với Trojan giả mạo phần mềm kiểm tra sự tương thích Windows 7 - Benhvientinhoc.com
» Virus siêu đa hình thách thức các phần mềm diệt virus
» Phát hiện và tận diệt virus máy tính
» 5 Chương trình chống virus tốt nhất - Tháng 01 năm 2010
» Conficker cài phần mềm diệt virus giả vào máy tính
» Virus siêu đa hình thách thức các phần mềm diệt virus
» Phát hiện và tận diệt virus máy tính
» 5 Chương trình chống virus tốt nhất - Tháng 01 năm 2010
» Conficker cài phần mềm diệt virus giả vào máy tính
Permissions in this forum:
Bạn không có quyền trả lời bài viết
