PCWorld VN 7/99

    Trong thời gian gần đây, tình hình xuất hiện virus máy tính có chiều hướng gia tăng. Trong khi mọi người đang đối phó với Melissa, PaPa, thì Win95.CIH bộc phát. Cơn sốt flash ROM chưa nguôi thì Wobbler xuất hiện ... Có thể nói trên con đường bước vào thế kỷ 21 của công nghệ thông tin, ngoài những thành tựu nổi bật của nhân loại còn có cả những bóng đen hắc ám của virus máy tính.

    Trước tình hình này, yêu cầu về một phần mềm chống virus thông minh càng bức thiết hơn bao giờ hết. Đây sẽ là những anti-virus "đời mới", thay thế dần các anti-virus hoạt động theo nguyên tắc cũ.

    Mặc dù các anti-virus truyền thống có nhiều bất lợi trong việc nhận dạng virus mới, nhưng các phần mềm này cũng có những ưu điểm nổi bật, nhất là hiệu quả của chúng khi đối diện với các virus đã biết. Vì vậy quan điểm của các anti-virus hiện đại là phát triển theo hướng kết hợp: phương pháp này sẽ bổ khuyết cho phương pháp kia. Cùng với việc nghiên cứu, áp dụng các kỹ thuật tìm diệt thông minh (Symantec Bloodhount Tech., IBM Digital Tech., Mc.Afee Hunter Tech...), các nhà phát triển anti-virus NAV và SCAN vẫn duy trì việc cập nhật virus bằng chuyên gia con người. Vai trò của chức năng chẩn đoán virus lạ của các phần mềm này là hỗ trợ người dùng phát hiện virus mới, ngăn chặn sự lây lan của chúng, chuyển mẫu virus về cho đội ngũ lập trình cập nhật .

    Trong cố gắng nhằm đạt được những tính chất tiêu biểu của một hệ chống virus thông minh, phần mềm D2 đã có những cải tiến đáng kể. Ngoài chức năng nhận dạng/diệt trừ New B-virus trên Boot sector đĩa mềm được áp dụng từ tháng 6-1998, chức năng nhận dạng/diệt trừ New Macro virus cũng được chú ý phát triển từ tháng 3-1999. Một số virus mới đã được D2 tự động tiêu diệt. Phần mềm cũng có nhiều cố gắng trong việc giải quyết tính tương thích với các định dạng DOC của MSWord (MS Word 6.0, MS Word 95, MS Word 97, MS Word 2000). Đặc biệt phiên bản D2-237 đã nhận dạng và diệt VicodinES trước khi virus này được cập nhật. Theo Richard Smith (Phar Lap Software - http://www.pharlap.com), VicodinES là virus macro có họ hàng với virus Melissa, được tạo ra từ bộ công cụ của VicodinES Web site.

    Để trợ giúp cho việc thu nhận mẫu virus macro lạ, phiên bản D2-240c vừa được trang bị thêm chức năng sao lưu. Toàn bộ quá trình nhận dạng, thu nhận mẫu, diệt trừ virus macro lạ của D2-240c được mô tả như sau:

- Mở file DOC, tải nó vào vùng nhớ.

- Dò tìm mã nhận dạng của các virus đã biết trên file.

- Nếu phát hiện virus cũ, diệt trừ và phát thông báo.

- Nếu không phát hiện virus, kích hoạt chức năng chẩn đoán virus lạ.

- Nếu phát hiện hành vi tựa virus, D2 sẽ phát cảnh báo như hình 1.

    Vai trò của hộp thoại là nhận quyết định của người dùng, xác nhận tính hợp lệ của macro trên văn bản. Nếu người sử dụng chọn Yes, D2-240c sẽ nén file DOC vào file DOCBACK.LZH trên thư mục hiện tại, sau đó kích hoạt chức năng heuristic tiêu diệt virus.

    Chức năng tạo sao lưu DOC nén được cài mặc nhiên là On. Có thể chọn Config/LZH back DOC = Off để tắt chức năng này.

    Với phần mềm Norton Commander, người dùng có thể thao tác nội dung của file DOCBACK.LZH như xã nén, xoá bớt các file DOC thành phần... Công việc cuối cùng là gửi file nén này đến các địa chỉ liên lạc của D2 để cập nhật tên gọi chính thức của virus cùng chức năng diệt từng virus cụ thể.

Phiên bản này cũng tách logo ra khỏi file chính, giúp D2.EXE gọn nhẹ hơn ở các lần phát hành sau. D2-240c cần được cài đặt lại với các file:

- D2.EXE: chương trình chính, kích thước 46 KB (so với 86 KB như trước đây)

- Logo.exe: logo D2, kích thước 64 KB.

- INSTALL.EXE: chương trình cài đặt, chạy trên DOS/Win9x, kích thước 16 KB.

- INSTALL.BIN: file nhị phân phục vụ cài đặt, kích thước 15 KB.

    Khi quá trình cài đặt kết thúc, icon D2 sẽ xuất hiện trên Desktop của Win9x, trên thư mục chỉ định sẽ có các file sau:

+ D2.EXE: chương trình chính.

+ LOGO.EXE: logo D2, kích thước 44 KB (nhỏ hơn khi chưa cài đặt)

+ LHARC.EXE: công cụ nén format LZH.

+ D2.ICO: icon D2.

+ BOOT.DAT: master Boot và Boot của tập tin thông tin hệ thống, kích thước 1152 bytes (có thể không có đối với các đĩa cứng Non-IDE).

+ SYSTEM.SYS: tập tin thông tin hệ thống, kích thước 128 byte.

    Việc phát hiện virus macro lạ trên văn bản DOC của D2 tương đương với chức năng phát hiện new macro virus của MS-Word 97. Nếu người dùng luôn sử dụng tuỳ chọn Tools/Options/General/Macro virus protection = On của MS-Word 97 thì sẽ dễ dàng phát hiện các loại virus macro trên các văn bản giao dịch hàng ngày (hình 3).

    Khi MS-Word 97 đưa ra cảnh báo này, có thể:

- Chọn Disable Macros, sau đó Save as với tên file khác.

- Đóng MS Word, mở lại file đã Save as.

- Nếu không còn cảnh báo, thoát khỏi MS Word, xoá file ban đầu, dùng file đã Save as

- Nếu vẫn xuất hiện cảnh báo, thoát khỏi MS Word, chạy D2 để diệt virus lạ trên file, mở file bằng Word 97 xem có xuất hiện cảnh báo không. Cuối cùng là lựa chọn các file DOC trong DOCBACK.LZH gửi đến các địa chỉ liên lạc của D2.

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com