Kinh nghiệm
diệt
macro virus
trong word

  |  

lẽ không có gì để bàn bạc nếu như các nhà lập trình tài ba của công ty Microsoft không đưa các tính năng lập trình mạnh vào chương trình soạn thảo văn bản rất phổ biến của họ, Word for Windows. Từ khi macro virus đầu tiên trong Word 6 ra đời cuối 1994 đầu 1995 tới nay đã có khoảng 2000 macro virus và các biến thể của chúng lây nhiễm được trong Word và Excel đã bị phát hiện. Tuy nhiên con số này cũng chỉ là tương đối vì không ai có thể tập hợp và phân tích tất cả các loại virus có mặt trên đời này được, và cũng không ai dám đoan chắc là tất cả đó là sản phẩm của con người. Macro virus còn nguy hiểm ở chỗ về mặt lý thuyết nó có khả năng thâm nhập vào mọi phiên bản tương thích của Word trên các hệ điều hành khác nhau. Loại virus này đã trở nên đáng sợ hơn cả các loại lây vào các file .exe hay .com. Nói vậy cũng không có nghĩa là không có cách nào để đối phó với số macro virus này. Đã có nhiều chương trình chống virus được viết ra với khả năng phát hiện và diệt các loại macro virus thông thường. Thế nhưng không phải lúc nào các chương trình đó cũng làm việc một cách hoàn hảo cả. Biết bao bận văn bản mà ta tưởng là sạch sẽ, ngon lành mang sang máy người khác lại bị báo là có virus. Chưa kể tới chuyện các chương trình diệt virus ta dùng đều báo là không tìm thấy virus nhưng khi sử dụng thì hỡi ôi Word trục trặc và sinh chuyện. Sau đây là một số kinh nghiệm mà tôi đã tích luỹ được sau một thời gian dài chống chọi lại các loại virus trong Word. 

Làm sạch máy

Kiểm tra lại tính toàn vẹn của Word

Nếu bạn đang dùng Word 2 thì thôi không có gì phải lo lắng. Còn nếu bạn đang dùng Word 6, Word 95 hay Word 97 thì đây là một việc làm hết sức cần thiết. Hãy mở Word và kiểm tra xem lệnh Tools-Macro có còn hay không. Đa phần các macro virus ngày nay khi đã thâm nhập được vào môi trường Word đều dẹp lựa chọn này đi để chống bị tiêu diệt. Nếu lựa chọn này không còn, có nghĩa là Word của bạn đã từng bị macro virus tấn công và thoát ngay ra khỏi Word rồi thực hiện bước tiếp theo. Còn nếu nó còn thì ta có thể yên tâm phần nào là Word chưa bị các loại siêu macro virus tấn công.

Nếu mở được macro thì hãy để ý xem Word hiện đang chứa những macro nào. Thực ra trong trường hợp này các macro được hiện lên là các macro thường dùng chứa trong file Normal.dot và các template file được quy định trong phần khởi động của Word. Nếu bạn thấy macro có tên PresentIt trong số các macro thì không nên hoảng vì đây là macro của Word để chuyển các văn bản của Word sang các trình chiếu PowerPoint vốn được tự động cài đặt khi cài đặt MS Office. Mỗi macro có một phần mô tả về công năng và ta có thể xem nó bằng cách điểm sáng từng macro. Nếu biết chắc macro nào là macro lạ, chưa dùng bao giờ thì đơn giản nhất là bấm nút Delete. Tuy nhiên nếu bạn có các chương trình ứng dụng khác có đưa vào các macro trong Word như macro InsertVisioDrawing trong hình 1 thì hãy thận trọng vì khôi phục lại macro là chuyện hơi khó đấy. Khi đã diệt được các macro lạ đi rồi thì nỗi lo của ta có thể bớt. Hãy ấn nút Cancel để đóng cửa sổ này lại. Thoát hẳn khỏi Word, khi đó Normal.dot của chúng ta sẽ được cất giữ với các macro trong sạch.

Sao lưu Normal.dot

Bạn hãy tìm file Normal.dot của Word và sao lưu nó ở đâu đó để trong trường hợp bất trắc sẽ có lại được ngay. Cũng có thể copy nó thành file gì khác ví dụ như Normal.bak và để ngay trong đường dẫn cùng Normal.dot. Đổi phần mở rộng có lợi thế là các macro virus sẽ không tấn công vào bản sao lưu dự phòng này. Trước khi sao lưu, nếu bạn cẩn thận, hãy kiểm tra kỹ lưỡng các chi tiết bên trong file này để đảm bảo không còn bất kỳ dấu vết nào của các macro virus. Việc này tốt nhất nên làm bằng cách đóng hết mọi file trong Word, chọn File-Macro (lúc này lựa chọn Macro được chuyển sang File thay vì Tools đã bị vô hiệu hóa do không có văn bản nào được kích hoạt) rồi bấm vào Organizer. Bên trái sẽ hiện lên mọi macro hiện hành của Normal.dot như trong hình sau. Nếu có macro lạ ta có thể xoá đi bằng cách điểm sáng nó và bấm Delete. Khi đã chắc chắn nhấn Close File để cất Normal.dot. Cũng có thể hoàn tất các điều chỉnh cần thiết cho Normal.dot trước khi sao lưu để khi trục trặc thì bản sao lưu vẫn đảm bảo có đầy đủ thông số gốc dùng chung cho mọi văn bản.

Quét virus trong các file của Word

Hãy dùng các chương trình chống virus mà bạn có được và quét các file có phần mở rộng là .DOT và .DOC. Nên quét bằng nhiều chương trình khác nhau và nếu trên ổ cứng có quá nhiều file văn bản thì dùng chức năng tự động diệt không cần hỏi. Nếu số văn bản cần quét lớn thì phải tính tới trường hợp dành một khoảng thời gian khá lâu cho công việc này. Tuy nhiên khoảng thời gian này sẽ tránh cho bạn gặp các rắc rối về sau, nhất là những lúc gấp rút. Sau khi đã quét xong macro virus trong các file văn bản bạn hãy mở lại những file đã từng bị trục trặc trước khi tẩy virus trong Normal.dot và các file văn bản nói chung. Mở từng file một, bấm File-Save As và thử chọn ở Save as type xem có gì khác ngoài Document template hay không. Nếu không được thì file đã bị macro virus đặt thành template rồi. Trong trường hợp này hãy copy toàn bộ nội dung văn bản sang file mới rồi cất thành file văn bản (.DOC) mới, xoá bỏ file cũ. Một khi làm xong khâu này thì mới thực sự yên tâm là đã loại được các macro virus ra khỏi ổ cứng. Từ đây trở đi chỉ cần thường kỳ quét lại virus trên máy mà thôi. Các chương trình quét virus Phần trên đã nói tới việc diệt macro virus. Vấn đề là ở chỗ diệt thế nào và làm sao tin được là đã thực sự diệt được chúng. Hiện nay có rất nhiều chương trình diệt macro virus khác nhau, tuy nhiên công năng và hiệu quả cũng rất khác nhau. Nên thận trọng khi dùng các chương trình này. Nếu bạn có dùng các macro trong Word để làm việc thì đây là vấn đề không đơn giản. Các chương trình như D2 hay BKAV có thể xoá mất macro của bạn. Trong trường hợp đó hãy dùng F-MACROW trong bộ F-PROT (phiên bản 2.28b là bản Win3.x mới nhất, phiên bản 3.00 đã có beta nhưng lại định hướng vào môi trường 32 bit). F-PROT có khả năng phát hiện chính xác các macro virus kể cả khi tên của các macro này đã bị xoá. Các tuỳ chọn của nó cũng rất linh hoạt giúp bạn quyết định phải làm gì khi gặp macro virus trong văn bản. F-MACROW là một ứng dụng 16 bit (viết cho Win3.x) nhưng có khả năng diệt cả macro virus trong các file Word97 và chạy trong Win 95 ngon lành. Khi vào F-MACROW chọn Scan rồi xác nhận các lựa chọn của mình như trong hình 2. Đây là phương án tốt nhất để diệt macro trong các văn bản bị nhiễm virus. F-MACROW sẽ diệt tận gốc macro thuộc về virus mà nó biết. Chương trình này cũng thông báo những file nào đã được quét và có vấn đề gì. F-MACROW còn có một tính năng không thể lựa chọn qua menu, đó là khả năng dọn hết mọi macro có trong các file văn bản. Đây là điều hết sức bổ ích cho những ai không dùng tới macro. Để dùng được tính năng này phải tạo một shortcut riêng cho F-MACROW. Trong dòng lệnh ta có thể đặt như sau: F-MCROW /hard /ext=.doc /removeall. Dòng lệnh đó sẽ tẩy hết các macro (/removeall) có trong các file có phần mở rộng .DOC (/ext=.doc) trên ổ cứng (/hard). Các tuỳ chọn khác xin tham khảo thêm file hướng dẫn đi kèm bộ F-PROT. Một chương trình diệt virus khác cũng tương đối tốt với macro virus là McAfee Virus Scan for Win95 phiên bản 3.0x. Nếu bạn dùng Win95 thì đây là chương trình diệt virus phối hợp vì nó bảo vệ cho bạn đối với mọi loại virus có trong file định nghĩa của McAfee. Tuy nhiên khả năng diệt macro virus của McAfee, theo tôi, không bằng F-MACROW. Nó có thể nhận diện các virus nhưng không diệt được nhiều lắm. Các lựa chọn trong McAfee VirusScan không quá phức tạp. Chỉ cần chọn Program files only là đủ vì file chương trình ở đây được hiểu là cả các file .DO? và .XL?. Tại sao lại không dùng BKAV để quét các macro virus? Thật ra thì trong một thời gian dài BKAV được nhiều người dùng để diệt macro virus cho các file Word. Thế nhưng vấn đề là ở chỗ BKAV chỉ xoá tên các macro của virus đi mà không thật sự diệt tận gốc. Kết quả là các virus đó còn tồn tại một cách bí mật, kể cả với chính chúng. Kết quả của việc diệt đi diệt lại virus trong các file DOC là số macro không tên tăng lên khá nhiều, có khi tới 6 hay 7 trong một file văn bản. Tôi cũng không rõ là các macro virus này, sau khi bị xoá mất tên, có trở thành loại polymorphic và gây ra những lỗi bất ngờ cho Word hay không. Tuy nhiên một điều chắc chắn là dù đã mất tên, các macro này vẫn có ảnh hưởng tới hoạt động của Word. Trong bộ BKAV cũ còn có một file BKAV.DOT, một tập hợp các macro dùng để quét macro virus ngay trong Word. Tuy nhiên các macro này đã quá cũ, không được cập nhật đối với các loại mới nữa, chưa kể lại còn gây báo động nhầm cho các trình quét hay chống virus thường trú. Nếu như các thành viên của nhóm BKAV chịu khó chỉnh sửa số macro này thì tôi tin đây sẽ là một công cụ tốt. Một công cụ khác, tuy khá cổ điển nhưng cũng rất hữu hiệu là file Scanprot.dot của Microsoft. Bản cập nhật mới nhất vào năm 1996, chứa trong một file nén tự bung có tên hơi lạ là mvtool10.exe, có trên Web site của Microsoft. Các thông báo hoàn toàn bằng tiếng Anh và có vẻ hơi dài dòng nhưng nếu bạn thực hiện đúng thì đảm bảo là phần lớn các macro virus sẽ bị diệt ngay khi mới mở file văn bản. Nếu ai đó có ý định hoàn chỉnh thì có thể sửa các macro trong file này theo ý mình. Một công cụ diệt macro virus mà tôi mới phát hiện ra gần đây là bộ HMVS260E.ZIP (Heuristic Macro Virus Scanner/cleaner/dissector). Đây là chương trình chạy trong DOS có khả năng đọc được mọi macro trong các file văn bản, dù là mã hoá hay khoá bằng từ khoá. Chương trình này sẽ phân tích các macro theo ba cách: chính xác (exact), heuristic (suy đoán theo một chiến lược định trước, ai có từ thích hợp xin cho biết) và suy đoán theo mạng thần kinh (neural network). Dùng chương trình này ta có thể xem tên từng macro trong văn bản và quyết định nên làm gì với chúng. Thậm chí nếu còn nghi ngờ thì có thể yêu cầu nó đọc nội dung macro ra để tìm hiểu. Có lẽ các chuyên gia lập trình sẽ rất thích thú với chương trình này vì họ có thể đọc được các macro của người khác viết dù đã được mã hóa (bản dùng thử không có chức năng này).

Lấy các chương trình quét virus này ở đâu?

1. Các chương trình chống virus trong nước như BKAV, D2 hoặc SC thường được cập nhật hàng tháng và có trong các box THU-VIEN-PHAN-MEM trên mạng Trí Tuệ Việt Nam, cả ở Hà Nội và thành phố Hồ Chí Minh. Đây thường là nơi đầu tiên bạn có thể có được phiên bản mới nhất của các chương trình này cũng như một số chương trình khác nữa. Ngoài ra một số dịch vụ hay cửa hàng máy tính cũng có thể sao chép cho bạn các chương trình này.

2. Chương trình F-PROT có thể tải xuống từ trên Internet theo một trong các địa chỉ sau đây nếu bạn có kết nối trực tiếp:

ftp://garbo.uwasa.fi/pc/virus/fp-xxx.zip

ftp://ftp.simtel.net/pub/simtelnet/msdos/virus/fp-xxx.zip

http://www.simtel.net/pub/simtelnet/msdos/virus/fp-xxx.zip

Hoặc bạn có thể tìm trực tiếp tại địa chỉ ftp.complex.is. Tuy nhiên dùng Simtel.Net là nhanh nhất vì máy chủ này cho khá nhiều người truy nhập cùng lúc, còn các địa chỉ khác rất hạn chế số người ftp vô danh vào. xxx thể hiện phiên bản của chương trình, ví dụ như 228 cho bản 2.28 (ngày 1-5-98 trên Simtel.Net thì bản chính thức là 3.00.BBT ) . Trên box THU-VIEN-PHAN-MEM của mạng Trí Tuệ Việt Nam cũng có thể tìm được nếu ai đó trong số người dùng TTVN (TTVNer) hào phóng nạp lên. Nếu bạn không có kết nối trực tiếp thì có thể lấy qua đường e-mail bằng cách gửi e-mail tới f-prot-update@complex.is. Đây là một dịch vụ mail tự động và phải theo đúng khuôn mẫu của máy. Thư này không cần subject mà chỉ cần có một trong các câu lệnh sau trong phần thân của thư: - Send-as: form — ý hình thức gửi file. - Send-part: part_num —> phần số bao nhiêu trong số thư đã được gửi (chỉ cần khi nhận không đủ trong lần đầu). - Send-size: size_in_kilobytes —> kích cỡ thư mà mình muốn nhận thể hiện bằng kilo byte, nếu không có thì tự động là 61k mỗi mail. - Send-version —> kiểm tra xem phiên bản mới nhất có được là gì. - Subscribe notice —> đăng kí với máy chủ để nhận thông báo qua e-mail khi có phiên bản mới. - Unsubscribe notice —> hu chế độ đăng kí thông báo phiên bản mới. Lệnh ‘send-as’ sẽ mã hoá file zip theo các dạng sau: uue, xxe hoặc mime. Tốt nhất là lấy theo uue vì bạn sẽ không cần chương trình giải mã nữa nếu có Winzip 6.3. Khi đó chỉ cần ghép các mail lại thành một file có đuôi là .uue rồi mở bằng Winzip.

3. Chương trình McAfee VirusScan có thể lấy được tại ftp site (ftp.mcafee.com) hay Web site (www.macafee.com) (ngày 1-5-98 trên mcafee.com thì bản chính thức là 3.17 . BBT). Tôi cũng không rõ có dịch vụ nào lấy file chương trình qua thư đối với McAfee hay không. Tất nhiên không cần phải lấy trọn vẹn cả bộ mỗi lần mà có thể chỉ phải lấy các file .DAT đã được cập nhật của bộ này mà thôi. Thỉnh thoảng trên TTVN cũng có người nạp các file .dat này.

4. Chương trình Heuristic Macro Virus Scanner/cleaner/dissector HMVS260E.ZIP cũng có trong Simtel.net, tại thư mục dos/virus. Ngoài ra bạn cũng có thể lấy trực tiếp từ địa chỉ ftp://ftp.elf.stuba.sk/pub/avir/

5. Sanprot.dot (được nén trong mvtools10.exe cùng với một file readme.doc) có thể tìm lại trong các đường dẫn chứa Scan cũ của McAfee có trong máy tính của bạn. Nếu không thì kiếm trên www.microsoft. com. Hy vọng là với các kinh nghiệm này các bạn sẽ được chuẩn bị tốt hơn cho cuộc chiến với macro virus. Một điều không nên bỏ qua là phải diệt cả các virus khác nữa, nếu không thì máy vẫn cứ gặp rắc rối như thường. Tôi cũng mong được học hỏi thêm kinh nghiệm của các bạn khác trong lĩnh vực này. 

(theo VASC)

Close


Bạn tìm đến nhóm thiện nguyện VTT qua
www.tuoitre.org, tuoitre.org, www.tuoitre.de hoặc tuoitre.de.
Mọi ý kiến đóng góp xin bạn hãy liên lạc với chúng tôi qua lienlac@tuoitre.org.