Phát hiện phương thức tự động khởi động của mã độc
Ngoài khả năng che giấu bản thân theo tên các tiến trình thông thường, mã độc còn có khả năng thiết lập các cơ chế tự động khởi tạo theo hệ thống khi hệ thống khởi động. Do đó, quá trình phát hiện và loại bỏ mã độc phải bao gồm việc xác định cơ chế tái khởi động của mã độc.
Thông thường, Windows sử dụng ứng dụng Startup để liệt kê các chương trình sẽ khởi động cùng hệ điều hành. Tuy nhiên, tương tự như ứng dụng Task Manager, ứng dụng autorun có nhiều hạn chế trong việc cung cấp thông tin và đôi khi không thể liệt kê cơ chế tự động khởi tạo của mã độc.
Chức năng Startup thông thường trong Windows
Vì vậy, để liệt kê các thông tin liên quan đến cơ chế tái khởi động của mã độc, quản trị viên có thể sử dụng chương trình autorun thuộc bộ chương trình Sysinternal Suite tương tự như với ứng dụng Process Explorer.
Khi sử dụng ứng dụng Autorun, quản trị viên có thể liệt kê tất cả các cơ chế tái khởi động của các tiến trình như:
- Các Services tự động khởi động cùng hệ thống.
- Các Tasks đã được đặt lịch cùng hệ thống.
- Các Addons của ứng dụng được đăng ký tự động khởi tạo.
- Và các cơ chế khác.
Tương tự như với ứng dụng Process Explorer, đối với ứng dụng autorun, quản trị viên cần chú ý đến các ứng dụng đã được cho phép tái khởi động cùng hệ thống nhưng không có: xác thực chữ ký số, miêu tả (description) và thông tin về công ty phát hành.
Sau khi xác định được các ứng dụng nghi ngờ, quản trị viên có thể sử dụng thông tin được cung cấp bởi ứng dụng autorun để tìm đến đường dẫn đầy đủ của ứng dụng và quét bằng VirusTotal để xác định ứng dụng có phải là mã độc hay không.
Trong trường hợp ứng dụng được cho là mã độc, quản trị viên có thể loại bỏ ứng dụng khỏi hệ thống để ngăn cản việc mã độc có thể tái khởi động trong lần khởi động tiếp theo.
Giao diện của ứng dụng autorun
ĐT (Theo Cục An toàn thông tin)