DIỄN ĐÀN TIN HỌC T49

Chúc các bạn học tập tốt
 
Trang ChínhTrang Chính  CalendarCalendar  Trợ giúpTrợ giúp  Tìm kiếmTìm kiếm  Thành viênThành viên  NhómNhóm  Đăng kýĐăng ký  Đăng NhậpĐăng Nhập  

Share | 
 

 VIRUS MACRO VÀ CÁCH PHÒNG TRÁNH

Go down 
Tác giảThông điệp
Admin
Admin


Tổng số bài gửi : 38
Join date : 12/08/2009

Bài gửiTiêu đề: VIRUS MACRO VÀ CÁCH PHÒNG TRÁNH   Tue Sep 15, 2009 7:16 pm

Khái niệm:

- Là virus máy tính, virus macro cũng có đầy đủ những chức năng cần thiết để lây nhiễm như: chọn đối tượng (văn bản) để lây, khống chế hệ thống (trình soạn thảo MS-Word), phá hoại (không cho lưu file, xoá thư mục, tập tin,...).Do tính chất đặc biệt là có thể lây lan qua các file văn bản của Microsoft Word for Windows (Word 6), loại virus này đã gây hoang mang và làm tốn nhiều công sức của một số bạn sử dụng máy tính.

Macro virus còn nguy hiểm ở chỗ về mặt lý thuyết nó có khả năng thâm nhập vào mọi phiên bản tương thích của Word trên các hệ điều hành khác nhau. Loại virus này đã trở nên đáng sợ hơn cả các loại lây vào các file .exe hay .com.Nếu vào một ngày đẹp trời nào đó khi bạn chọn mục Save As hay Close trong menu File, thông báo "Out of memory" xuất hiện và tác vụ này không được hoàn thành ngay cả khi bạn đã đóng tất cả các ứng dụng khác lại rồi.Hoặc khi đóng văn bản hoặc kết thúc chương trình, các file mới sửa đổi được tự động lưu mà không cần hỏi lại, các file vừa tạo được tự động lưu với các tên DOC1.DOC, DOC2.DOC ... mà không thông báo cho người sử dụng gõ vào tên mới.Hoặc văn bản bị đổi tên một cách bất thường. Ví dụ: thay vì văn bản được lưu với phần mở rộng .DOC như bình thường, chương trình lại tự động lưu nó với phần mở rộng .DOT, hoặc thậm chí không có phần mở rộng.Dòng trạng thái (status bar) đưa ra những thông báo khác thường hoặc vô nghĩa khi đặt thanh sáng menu tới một số mục như (FILE) NEW, (FILE) OPEN, (FILE) CLOSE, (FILE) SAVE, (FILE) SAVE AS, (FILE) SAVE ALL, (FILE) TEMPLATES, (FILE) EXIT, (TOOLS) MACRO.... Hoặc một hiện tượng nữa như: Word có vẻ khởi động chậm hơn mọi ngày, và nếu trong khi đó bạn bấm phím ESC thì một thông báo "The macro interrupted" xuất hiện và khi vào menu Tool và tìm mục Macro bạn không tài nào tìm ra được mục này mặc dù bạn nhớ rõ vị trí của nó trước đây. Khi đó tôi có thể khẳng định với bạn rằng máy tính của bạn đã bị nhiễm một loại virus Macro được viết bằng WordBasic

Nguyên tắc lây nhiễm:

Khi bạn mở một file tài liệu bị nhiễm virus, file này khi đó thực chất là file template (.DOT) bị đổi phần mở rộng sang dạng .DOC, .DOT hay .RTF. Các macro của virus trên file này lập tức phát huy tác dụng và lây sang file NORMAL.DOT và sang các tài liệu khác (*.DOC, *.DOT, *.RTF, *.TXT) bằng cách copy các macro của nó sang và lưu lại các file này dưới dạng file template mặc dù phần mở rộng không đổi. Từ đó trở đi, các tài liệu được tạo mới hay được mở lập tức sẽ bị nhiễm từ NORMAL.DOT. Khả năng lan truyền của loại virus này rất lớn: qua mạng, qua giao lưu tài liệu trên đĩa mềm....Chỉ cần bạn mở một file document có nguồn gốc không rõ ràng (vì tò mò chẳng hạn) mà không kiểm tra thì máy tính của bạn đã có thể bị nhiễm virus rồi.

Sự hoạt động của chúng: Word xây dựng các document của nó (các file .DOC) trên cơ sở các template (file.DOT).Thông thường chúng ta sử dụng các template chuẩn là NORMAL.DOT.Về mặt cấu trúc,template chỉ khác document ở chỗ nó có thêm các macro,autotext của riêng nó.Nên nếu không tinh ý bạn sẽ không nhận ra file vừa mở là document hay template.Do các macro chỉ tồn tại trong các template nên các virus macro khi lây lan nó buộc phải lưu tài liệu của bạn dưới dạng template và để đánh lừa nó dùng tên file là .DOC sau khi đã copy các macro của nó sang.Thông thường một macro được kích hoạt khi bạn mở hộp thoại Tools-->macro và nhấn Run.Nhưng đối với một số autoMacro,chúng sẽ tự động kích hoạt khi xảy ra sự kiện tương ứng.Có 5 AutoMacro như sau:
AutoExec: Khởi động Word ; AutoExit : Kết thúc Word ; AutoOpen: Mở template ; AutoClose: Ðóng template ; AutoNew : Tạo tài liệu mới

Ví dụ bạn có một template là TUANDINH.DOT, trong đó có một macro tên là AutoOpen. Bạn cũng có một document tên là TÊNFILE.DOC được xây dựng trên cơ sở của TUANDINH.DOT. Macro này sẽ hoạt động ngay sau khi bạn thực hiện thao tác mở TUANDINH.DOThoặc TÊNFILE.DOC Tuy nhiên các AutoMacro sẽ bị mất tác dụng nếu lệnh "DisableAutoMacros 1" đã thực hiện ở đâu đó

Còn đối với các macro trùng tên với một trong các lệnh của Word ví dụ như FileOpen, FileClose, FileSave..., Ví dụ nếu bạn có một macro tên là FileSave, thì mỗi khi bạn nhấn vào nút Save trên thanh công cụ hoặc gõ Ctrl-S, macro đó sẽ bị kích hoạt, còn thao tác Save chuẩn của Word sẽ bị bỏ qua trừ khi thao tác này có mặt trong macro của bạn. Thật đáng tiếc, ta không có biện pháp nào có thể vô hiệu quá các macro loại này






Biện pháp ngăn ngừa:

Việc diệt virus macro gặp nhiều khó khăn do:

* .DOC là một định dạng file khá hiệu quả trong việc nhúng các đối tượng bảng biểu, hình ảnh, âm thanh, lệnh vĩ mô... vào văn bản người dùng của Microsoft. Sự che đậy của Microsoft về định dạng file .DOC là trở ngại lớn nhất mà các chương trình diệt virus gặp phải. Thật vậy, việc phân tích format của một file .DOC với đầy đủ các đối tượng của nó để tìm chính xác mã lệnh vĩ mô trên file vô cùng phức tạp. Ngay cả các phiên bản Microsoft Office sau này cũng được khuyến cáo dùng riêng cho từng format .DOC tương ứng (ví dụ MS-Word 6.0, MS-Word 95 không mở được file .DOC soạn bằng MS-Word 97).

* Ðể đối phó với việc phân tích dạng file .DOC, một số chương trình diệt virus trong nước sử dụng kỹ thuật khá ranh mãnh là:

+ Dò tìm tên các macro của virus đã biết trên toàn bộ văn bản.

+ Xoá trắng các tên macro tìm được.

Với cách diệt Clean Macro Name-CMN này, khi mở văn bản, MS-Word sẽ không tìm được tên của macro tương ứng. Do vậy, virus macro nếu có sẽ không được kích hoạt (hoặc được kích hoạt không chính xác). CMN được áp dụng một thời gian dài vì nó đơn giản. Tuy nhiên phương pháp này ngày càng bộc lộ các nhược điểm như:

+ Do file .DOC thường có dung lượng lớn (từ vài trăm KB đến vài MB) nên thời gian kiểm tra file sẽ rất lâu.

+ Việc macro được kích hoạt không chính xác sẽ làm rối loạn văn bản. Sự cố này thường xảy ra cho các file có sử dụng bảng biểu, hình ảnh,... Nguy hại hơn, file .DOC có thể bị mất định dạng tổng quát, gây treo máy khi mở file.

+ Do không thống nhất về cách chọn tên macro, một số chương trình diệt virus trong nước thường phát hiện lại virus mà chương trình diệt virus khác đã xoá tên. Hậu quả là người sử dụng càng hoang mang: "Tin vào chương trình diệt virus nào đây?"

+ Khi dùng MS-Word 97 để mở các file .DOC đã diệt virus bằng phương pháp CMN, bao giờ cũng xuất hiện hộp thoại Warning Macro Virus của Microsoft Word cảnh báo về sự tiềm ẩn của virus trên văn bản. Cảnh báo này thường chính xác vì mã lệnh của macro vẫn còn hiện hữu vật lý trên file.

* Việc cải tiến định dạng .DOC của các phiên bản Microsoft Office làm cho mã lệnh macro và tên của chúng thay đổi. Ví dụ các tên macro 1 byte trên MS-Word 6.0, MS-Word 95 được chuyển thành giá trị 2 byte từ MS-Word 97. Ðiều này làm cho việc dò tìm tên macro bị thất bại, hậu quả là chương trình diệt virus để "lọt lưới" các virus đã được cập nhật trong chương trình. Ðây là hiện tượng khá phổ biến đối với các chương trình diệt virus macro.

* Trở ngại cuối cùng thuộc về vấn đề mã hoá với hai trường hợp đáng chú ý:

+ Chủ nhân file .DOC cố tình mã hoá văn bản bằng password để bảo mật nội dung. Ðiều này khiến cho mã lệnh và tên macro cũng được mã hoá theo. Vì vậy chương trình diệt virus không nhận dạng được các virus đã biết trên .DOC.

+ Phần lớn các virus macro đều trang bị chức năng mã hoá. Nếu không có kỹ thuật định vị chính xác vị trí của chúng trên file .DOC thì khó mà biết được dữ liệu nào là định dạng của .DOC, dữ liệu nào là mã lệnh của macro đã được mật hóa
Tuy vậy không phải là không có cách diêt virus MACRO.Trước khi tiến hành diệt macro virus, chúng ta phải xoá template ngầm định là file NORMAL.DOT trong thư mục TEMPLATE của chương trình Word (vì nếu có macro virus trong template này thì chúng sẽ nắm được quyền điều khiển ngay khi vừa khởi động chương trình).Khởi động lại Word và chạy chương trình Word Anti Macro Virus với tuỳ chọn kiểm tra kỹ để phát hiện tất cả các loại macro virus đã biết và chưa biết hoặc dùng một số chương trình diệt virus như D2-232 hay BKAV hay NAV.....
Biện pháp tối ưu nhất vẫn là phòng chống:
Nên hạn chế sử dụng các file nguồn gốc từ nơi khác, các file sao chép từ địa chỉkhông tin cậy, không nên tò mò mở các văn bản lạ.Khi mở các văn bản lạ như nói ở trên, giữ phím SHIFT từ lúc nhấp chuột đến khi văn bản xuất hiện. Word sẽ ngăn không thực hiện các AutoMacro do đó virus sẽ không hoạt động được. Sau đó vào trình đơn Macro trong menu Tool, nếu thấy có bất kỳ một AutoMacro hay Macro lạ nếu nghi là virus nào thì hãy in nó ra giấy rồi xóa đi. Khi nghi ngờ máy bị nhiễm virus cũng làm như trên.Cẩn thận hơn, bạn hãy bảo vệ Normal.dot. Khi virus cố tình lây sang Normal.dot sẽ bị Word chặn lại và thông báo lỗi trên màn hình.

Đối với những tệp văn bản đã bị nhiễm MacroVirus, sau khi Virus bị diệt, nếu bạn mở tệp đó ra để làm việc (sửa, thêm, in ấn,...) rồi ghi ra ổ đĩa khác hoặc ra thư mục khác (dùng Save As trong menu File) thì trong cửa sổ Save As, mục Drives sẽ bị trắng (không cho phép ta xác định ổ đĩa khác, thư mục khác). Ðể khắc phục tình trạng này ta có thể làm như sau :

+ Vào menu File/Save để ghi lại những thay đổi của văn bản;

+ Ðánh dấu toàn bộ văn bản (Ctrl+A hoặc Ctrl+5 (bên phải bàn phím));

+ Copy toàn bộ nội dung của văn bản ra vùng đệm (Ctrl+C hoặc vào menu Edit/Copy);

+ Tạo tệp văn bản mới (vào menu File/New/OK);

+ Sao chép nội dung văn bản từ vùng đệm sang tệp văn bản mới (Ctrl+V);

+ Ghi lại văn bản này dưới một tên khác (vào menu File/Save As/ cho tên mới rồi OK).

Khi đó bạn có thể làm việc với tệp văn bản mới này (với nội dung thực chất là của văn bản cũ) như với một tệp văn bản chưa từng bị nhiễm MacroVirus. Sau đó có thể xoá tệp văn bản cũ đi để sau này khỏi nhầm lẫn.

Comments
Về Đầu Trang Go down
Xem lý lịch thành viên http://diendantinhoct49.forumvi.com
 
VIRUS MACRO VÀ CÁCH PHÒNG TRÁNH
Về Đầu Trang 
Trang 1 trong tổng số 1 trang

Permissions in this forum:Bạn không có quyền trả lời bài viết
DIỄN ĐÀN TIN HỌC T49 :: NHỮNG BÀI VIẾT HAY :: BÀI VIẾT LIÊN QUAN ĐẾN TIN HỌC-
Chuyển đến