Cùng với thông báo khẩn về 4 mã độc cần ngăn chặn ngay, VNCERT vừa đưa ra hướng dẫn chi tiết để kiểm tra sự tồn tại của các mã độc này.
1. Hướng dẫn kiểm tra mã hash MD5, SHA-1
a) Download phần mềm tại: http://www.nirsoft.net/utils/hashmyfiles.zip
b) Kiểm tra: Giải nén tập tin hashmyfiles.zip trên, tiến hành mở file “HashMyFiles.exe”. Nhấn vào File ->Add Files; Trỏ đến file cần kiểm tra mã Hash.
Mã MD5 và SHA-1 sẽ hiển thị bên khung chương trình, chỉ cần đối chiếu mã MD5 và SHA-1 tương ứng:
C:\Program Files\Common Files\McAfee\McAfee.exe (137,28KB)
- MD5: 884D46C01C762AD6DDD2759FD921BF71
- SHA-1: D201B130232E0EA411DAA23C1BA2892FE6468712
C:\Program Files\Common Files\McAfee\McUtil.dll (3,5 KB)
- MD5: C52464E9DF8B3D08FC612A0F11FE53B2
- SHA-1: E464D10AD93600232D7A24856D69F00510949A40
C:\Windows\system32\DiskMgers.dll (85 KB)
- MD5: 9BF793EF195CC62F8A61093F77B03158
- SHA-1:46844B0ACF2BB67ADBF2304A61BE07738D2DDD64
Tập tin “diskperf.exe”: tìm tất cả file trong ổ Hệ điều hành có:
- MD5: 29E656E1256FC998B7CE8494656B3EF8
- SHA-1: 8C073B63D85CBF48BD742A62C7A59EEB064DA74D
2. Hướng dẫn gỡ bỏ tập tin chứa mã độc
a) Xác định mã độc: Nếu mã MD5 và SHA-1 trùng nhau thì tập tin trên máy tính là phần mềm có chứa mã độc. Nếu không trùng thì chưa khẳng định 100% nó không phải là mã độc. Có thể không xóa trong trường hợp này.
b) Cách xóa tập tin chứa mã độc: Do tập tin này đang chạy nên cần dừng hoặc tắt tiến trình này trước khi xóa. Trước tiên cần tải phần mềm miễn phí có tên “Process Explorer” của Microsoft tại địa chỉ: https://download.sysinternals.com/files/ProcessExplorer.zip
Sau khi tải về, giải nén chạy file “procexp.exe”. Tiến hành tìm kiếm các tiến trình tương ứng trong Công văn và nhấn chuột phải chọn “Suspend” hoặc “Kill Process”. Sau khi chọn xong, vào đường dẫn tương ứng để xóa.
Bên cạnh đó, người dùng cần theo dõi và ngăn chặn kết nối đến các tên miền sau: playball.ddns.info; nvedia.ddns.info; air.dcsvn.org.
Theo VNCERT, đây là những mã độc đặc biệt nguy hiểm, có thể đánh cắp thông tin và phá hủy hệ thống. Các chuyên gia an ninh mạng cho biết 4 mã độc nói trên đã được “cài cắm” vào hệ thống mạng của nhiều tổ chức, tổng công ty quy mô lớn của Việt Nam. Nhiều khả năng đây cũng là các mã độc liên quan đến vụ tấn công Vietnam Airlines vào chiều 29/7.
N. MINH (tổng hợp)