Tìm và diệt Malware bằng Sysinternals Tools (P2)

Quản trị mạng – Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng công cụ Autoruns để tìm kiếm malware khởi động trong giai đoạn startup.

Trong phần 1 của loạt bài này, chúng ta đã biết cách sử dụng Process Explorer để tìm ra các quá trình được nghi ngờ là malware đang hoạt động trong hệ thống. Còn trong phần này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng công cụ Autoruns để tìm kiếm malware khởi động trong giai đoạn startup.

Tổng quan về Autoruns

Công cụ tiếp theo mà chúng ta sẽ xem xét đó là Autoruns, công cụ này sẽ hiển thị cho bạn những chương trình gì được thiết lập để chạy trong quá trình khởi động hệ thống và quá trình đăng nhập. Việc cấu hình đối với công cụ này hết sức linh hoạt, cho phép bạn không chỉ hiển thị các chương trình trong thư mục startup, registry, Run và RunOnce mà còn nhiều chương trình khác, chẳng hạn như các chỉ thị Winlogon, đối tượng trình duyệt, toolbar, dịch vụ autostart,… Và nó sẽ hiển thị chúng theo thứ tự được xử lý bởi Windows. Bạn có thể vô hiệu hóa các chương trình khởi động trực tiếp từ bên trong Autoruns. Phiên bản hiện hành của công cụ này là 10.07 và nó có thể chạy trên Windows XP/Server 2003 cũng như các phiên bản mới hơn. Bạn có thể download công cụ tại đây.

Phiên bản dòng lệnh là autorunsc cũng có trong download này. Cả hai đều được download dưới dạng các file thực thi trong một file nén, cùng với đó là file trợ giúp (autoruns.chm). Như những gì các bạn có thể thấy trong hình 1, công cụ này toàn diện hơn rất nhiều so với công cụ trong Windows có tên MSConfig.

Hình 1

Thoáng nhìn, bạn có thể thấy giao diện có 18 tab khác nhau ở phía trên. Tab đầu tiên có nhãn “Everything” sẽ hiển thị cho bạn tất cả các kiểu chương trình và dịch vụ được cấu hình chạy lúc khởi động. Chắc chắn bạn sẽ thấy ngạc nhiên với số lượng mà mình nhìn thấy ở đây. Không giống như MSConfig, Autoruns không yêu cầu quyền quản trị viên.

Các tab khác cho phép bạn xem các thông tin được phân loại theo hạng mục, gồm có:

• Logon
• Explorer (các menu ngữ cảnh, mở rộng,...)
• Internet Explorer (toolbar, đối tượng trình duyệt)
• Scheduled Tasks (quá trình chạy trong chế độ background thông qua việc kích hoạt các sự kiện)
• Services (các mục Windows mặc định bị ẩn)
• Drivers
• Print Monitors
• LSA Providers
• Network Providers
• Sidebar Gadgets
• Codecs
• Boot Execute
• Image Hijacks
• AppInit
• KnownDLLs
• Winlogon
• Winsock Providers

Hầu hết các hạng mục ở trên đều khá thân thuộc đối với chúng ta, tuy nhiên rất có thể bạn sẽ cảm thấy lạ lẫm đối với AppInit. Giá trị của AppInit_DLLs được sử dụng khi chương trình nào đó load bộ quản lý cửa sổ DLL (User32.dll). Do tất cả các chương trình sử dụng giao diện đồ họa (không phải dòng lệnh) trong Windows đều load DLL được liệt kê trong giá trị này nên AppInit_DLLs thường là mục tiêu tấn công của malware.

Một tab khác bạn có thể ít gặp đó là Image Hijacks. Tab này liên quan đến việc sử dụng các tùy chọn Image File Execution trong Windows registry để chuyển hướng quá trình đang load bằng cách bản đồ hóa tên thực thi và sau đó load một quá trình hoàn toàn khác.

Những gì có thể thực hiện với Autoruns

Lưu ý rằng tất cả các entry bạn thấy trong Autoruns không phải là các chương trình cần thiết nhưng chúng là các chương trình được cấu hình để tự động chạy. Để xác định xem một mục nào đó có đang chạy hay không, bạn có thể kích phải vào nó và chọn Process Explorer. Giả sử bạn đã cài đặt Process Explorer, hãy mở chương trình này để bạn có thể xem hộp thoại thuộc tính của quá trình ở đây. Lưu ý rằng nếu Process Explorer đang chạy với quyền quản trị viên, trong khi đó bạn lại đang chạy Autoruns với quyền người dùng chuẩn thì hành động này sẽ bị thất bại vì Autoruns không thể truyền thông với Process Explorer.

Một trong những tính năng được ưu thích ở đây là tùy chọn “Jump to”. Nếu kích phải vào một entry, bạn có thể chọn “Jump to” như thể hiện trong hình 2 và bộ soạn thảo registry sẽ hiển thị vị trí của mục đó.

Hình 2

Chắc chắn sẽ có một số entry mà bạn không nhận dạng được các thông tin về tên, phần mô tả và nhà sản xuất. Khi đó có thể sử dụng tùy chọn “Search online” để thực hiện tìm kiếm trên mạng. Đây là một cách giúp bạn phát hiện xem các mục khởi động có liên quan đến phần mềm mã độc hay không.

Một tính năng cực kỳ hữu dụng khác được tìm thấy trong menu File. Ở đây bạn sẽ thấy tùy chọn có tên “Compare…”. Sử dụng tùy chọn này cần thận trọng đôi chút và bạn cần sử dụng tùy chọn File | Save để lưu một file Autoruns (đuôi mở rộng .ARN) trước khi bắt đầu giải quyết vấn đề. Nếu thực hiện điều đó, bạn có thể sử dụng tùy chọn Compare để đánh dấu các entry mới trên danh sách Autoruns nhằm thu hẹp những ghi ngờ về malware.

Để dễ quản lý, bạn có thể chọn các entry Hide được nhận dạng là phần mềm của Microsoft (phần nằm trong menu Options). Mặc dù vậy đây không phải là một ý tưởng tốt vì các tác giả viết Malware rất có dễ gán nhãn hiệu giả làm cho phần mềm của họ như được tạo bởi Microsoft. Để thực hiện với  một entry cụ thể nào đó, hãy chọn Verify từ menu Entry (hoặc nhấn CTRL + V). Ngoài ra bạn cũng có một tùy chọn Verify Code Signatures trong menu Options.

Một ưu điểm khác của Autoruns khi so sánh với MSConfig là nó sẽ hiển thị cho bạn các entry autostart theo người dùng. Ngày càng nhiều malware hiện khai tác các tài khoản người dùng chuẩn bằng cách viết vào HKEY_CURRENT_USER. Với Autoruns, bạn có thể chọn username của tài khoản mà bạn muốn xem từ menu User. Điều này sẽ cho phép bạn tìm ra malware nằm trong registry ở tài khoản người dùng khác.

Autoruns thậm chí còn có thể phân tích offline hệ thống, thao tác hỗ trợ cho việc phát hiện các rootkit. Bạn sẽ thấy tùy chọn này trong menu File. Những gì cần thực hiện là nhập vào thư mục gốc hệ thống đang offline cũng như profile người dùng muốn kiểm tra. Lưu ý rằng, có thể sử dụng Autorunsc (phiên bản dòng lệnh của Autoruns) cùng với công cụ Sysinternals, psexec, để xem các entry autostart trên máy tính từ xa.

Gỡ bỏ các entry Autoruns

Một vấn đề nữa là cần phải biết một số tùy chọn gỡ bỏ các mục được tìm thấy trong Autoruns. Có hai cách để thực hiện điều đó bên trong Autoruns:

• Chọn mục trong danh sách và kích nút De-lete trong thanh tác vụ, hoặc nhấn phím De-lete trên bàn phím. Thao tác này không xóa các file có liên kết và nó không stop quá trình nếu nó đang chạy. Nó chỉ thay đổi giá trị của registry, giá trị chỉ thị cho Windows tự động khởi chạy nó.
• Cũng có thể tạm thời gỡ bỏ một mục nào đó khỏi startup bằng cách hủy chọn hộp kiểm bên cạnh nó. Khi thực hiện thao tác này, chương trình sẽ được gỡ ra khỏi khóa Run trong registry và được lưu trong khóa nhỏ “AutorunsDisabled” để bạn có thể kích hoạt lại bằng cách tích hộp kiểm.

Lưu ý rằng trong một số trường hợp, bạn có thể phải khởi động lại quá trình, đăng xuất và đăng nhập trở lại, hoặc thậm chí khởi động lại máy tính để những thay đổi có hiệu lực.

Kết luận

Trong phần hai này chúng tôi chỉ đề cập đến Autoruns, trong phần ba tới đây của loạt bài, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng Process Monitor để lần theo các hành động của malware và cách gỡ bỏ malware khỏi hệ thống khi phát hiện ra nó cũng như những gì cần thực hiện nếu công cụ Sysinternals không giúp ích gì.