Phần mềm

3 tiện ích portable miễn phí tốt nhất để gỡ bỏ rootkit

(KHCN) - Rootkit là một dạng phần mềm độc hại (malware) được xây dựng với mục tiêu chủ yếu là để ẩn giấu các đoạn mã độc có khả năng gây nguy hiểm đến máy tính của chúng ta. Một khi đã được cài đặt, rootkit sẽ "ngụy trang" bản thân sao cho các phần mềm diệt virus thông thường khi quét qua chỉ thấy nó một là một ứng dụng vô hại.

Thường thì rootkit càng tồn tại lâu trong một chiếc máy thì nó càng gây nhiều ảnh hưởng nghiêm trọng tới tính bảo mật của thiết bị cũng như đến độ an toàn thông tin của người dùng. Ngoài ra, rootkit còn trở nên nguy hiểm hơn khi nó giấu thêm một malware nào đó, và đây là cách tấn công thường được các tin tặc tận dụng.

Rootkit nguy hiểm như thế nào?

Nếu chỉ nhìn qua mô tả sơ lược, chúng ta có thể thấy rằng rootkit cũng gần gần giống như các loại malware khác, ví dụ như virus, Trojan hay các worm (sâu) máy tính. Tuy nhiên, thực chất rootkit nguy hiểm hơn những thứ kể trên bởi hai tính chất giúp phân biệt nó với các loại malware khác, bao gồm: 1) Khả năng ẩn mình ở các tầng hoạt động thấp và 2) Nhiệm vụ ẩn giấu các mối đe dọa khác. Trong đó, thuộc tính đầu tiên là đặc trưng cho mọi loại rootkit.

Có hai loại rootkit hiện xuất hiện phổ biến trong thế giới công nghệ ngày nay, đó là user-mode rootkit và kernel-mode root kit. Những con kernel-mode rootkit nguy hiểm hơn, khó bị phát hiện và cũng khó bị diệt vì nó ẩn sau bên trong hệ điều hành. Khi bạn vừa bật máy lên, những con rootkit này sẽ tải bản thân nó lên trước các driver máy tính và tất nhiên là trước luôn cả những biện pháp bảo mật thông thường vốn được tích hợp ở tầng user-mode.

Để thực hiện được mục đích của mình, kernel-mode rootkit sẽ tác động vào kernel, bộ nhớ và các thành phần hệ thống khác. Về chức năng, nó có thể làm được những việc sau:

  • Tự ngụy trang bản thân và những phần mềm mã độc khác
  • Nhiễm lại vào hệ thống nếu chúng bị gỡ bỏ
  • Vô hiệu hóa các trình antivirus
  • Từ chối quyền đọc/ghi vào các tập tin có rootkit để chúng không bị xóa

Với user-mode rootkit, nó hoạt động ở mức cao hơn trong các tầng bảo mật của hệ thống máy tính, cùng tầng với những ứng dụng bình thường khác mà chúng ta hay sử dụng. Chúng có nhiều cách thức tấn công khác nhau và sẽ thay đổi những giao diện lập trình ứng dụng (API). Cụ thể hơn, nó sẽ chỉnh sửa một hàm API sao cho khi một ứng dụng nào đó gọi hàm này, thay vì thực hiện tính năng vốn có, nó sẽ được chuyển hướng để thực thi mã độc trong rootkit. Một số user-mode rootkit sẽ đẩy một tập tin liên kết động (*.DLL trên Windows, *.dylib trên OS X) vào bên trong một ứng dụng/tiến trình nào đó, trong khi vài rootkit khác thì chỉ đơn giản ghi đè lên phần bộ nhớ của ứng dụng khác rồi hoạt động. User-mode rootkit có thể gây các ảnh hưởng như khai thác các lỗ hổng bảo mật hiện có, ngăn chặn việc truyền thông tin,...

Koutodoor và TDSS, hai loại rootkit thầm lặng

Koutodoor hoạt động theo nhiều giai đoạn, bao gồm việc cài đặt Trojan như là một rootkit, cài một malware khác tải từ các trang web. Sau đó, các malware mới cài này sẽ gửi thông tin về kết nối của người dùng đến các địa chỉ web cụ thể, từ đó tạo ra các cú click chuột giả trên banner quảng cáo hay bộ đếm traffic.

Một kiểu rootkit khác, TDSS, đại diện cho hơn 37% các rootkit hiện có và nó là bằng chứng cho thấy gia đình rootkit có thể biến đổi như thế nào để chống lại các biện pháp antivirus. Gần đây có một con rootkit dòng TDSS đã thay đổi giá trị trong Master Boot Record khiến hệ thống tải nó lên trước khi tải driver và giải pháp chống phần mềm mã độc, cho phép rootkit này vô hiệu hóa các phần mềm antivirus. TDSS rootkit còn có khả năng sống "kí sinh" lên các tập tin hiện có, tự tạo một file system riêng được mã hóa để chứa các malware phụ. TDSS có thể đánh cắp mật khẩu hay dữ liệu mà chúng ta không hề hay biết.

Ba tiện ích chuyên diệt rootkit.

1. Kaspersky TDSSKiller

Tải tại : http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe (2.1MB)

Kaspersky TDSSKiller có lẽ là một trong những lựa chọn hàng đầu cho công việc tiêu diệt rootkit. Nó là công cụ tuyệt vời cho việc này. Nó có giao diện vô cùng đơn giản và dễ sử dụng. Mặc dù Kaspersky TDSSKiller có thể có hạn chế về số lượng rootkit có thể tìm thấy, nhưng tỉ lệ thành công của nó cao hơn các công cụ khác. Tiện ích này nên sử dụng kết hợp với các công cụ chống virus và rootkit khác.
Hướng dẫn sử dụng : sau khi tải về, bạn hãy chạy tập tin tdsskiller.exe. Sau đó nhấn nút Start scan để chương trình tiến hành tìm và diệt rootkit. Sau khi thực hiện xong, bạn hãy khởi động lại máy tính để hoàn thành.



2. Avast aswMBR

Tải tại : http://public.avast.com/~gmerek/aswMBR.exe (4.5MB)

Công cụ này chạy trên giao diện DOS. Tuy nhiên không phải vì thế mà nó thiếu đi những tính năng mạnh mẽ. Một trong những tính năng của công cụ này mà các công cụ khác không thể có đó chính là FixMBR. Đây là tính năng giúp bạn sửa lỗi Master Boot Record. Chương trình cũng cho phép bạn cập nhật cơ sở dữ liệu rootkit mới nhất từ Avast. Điều này có nghĩa là bạn không cần phải tải phiên bản mới nhất của công cụ này về máy tính.

Hướng dẫn sử dụng : sau khi tải về, nhấn đôi chuột vào tập tin aswMBR.exe để chạy. Sau đó nhấn nút Scan để quét. Sau khi quét xong, nếu phát hiện có rootkit, bạn hãy nhấn nút Fix để tiến hành diệt. Còn nếu muốn sửa lỗi Master Boot Record do virus gây hư hỏng, bạn hãy nhấn vào FixMBR.



3. Bitdefender Rootkit Remover

Tải tại : http://labs.bitdefender.com/rootkit-remover-download-page/ (6.8MB)

Đây là tiện ích được cung cấp bởi hãng Bitdefender. Chương trình sẽ quét và loại bỏ tất cả các rootkit được tìm thấy. Nó có khả năng tìm và diệt được rất nhiều các loại rootkit làm cho nó là một công cụ sáng giá. Công cụ này cung cấp một giao diện cực kì thân thiện với người sử dụng.

Hướng dẫn sử dụng : sau khi tải về, bạn hãy chạy tập tin vừa tải và nhấn Start Scan để chương trình tìm và diệt rootkit cho bạn.


TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn