tin từ Trung tâm An ninh mạng Bkis Cảnh báo hiện tượng phần mềm diệt virus làm hỏng Windows
Thời gian gần đây, Trung tâm An ninh mạng Bkis nhận được đề nghị trợ giúp của nhiều người sử dụng phản ánh tình trạng máy tính bị tê liệt, không sử dụng được sau khi diệt virus. Hiện tượng mà những người sử dụng này gặp phải là cứ thực hiện thao tác đăng nhập (login) vào Windows lập tức bị thoát ra ngoài (logout). Hoặc đăng nhập vào được nhưng cũng không thực hiện thêm được thao tác nào.
Hầu hết mọi người đều đổ lỗi cho virus đã làm hỏng hệ điều hành của mình và phải cài lại Windows, nhiều trường hợp bị mất toàn bộ dữ liệu trên máy tính.
Tuy nhiên, sự thật không phải như vậy. Các thử nghiệm cho thấy, virus không phải là thủ phạm làm hỏng Windows. Thủ phạm lại chính là các phần mềm diệt virus BitDefender, Kaspersky, McAfee và Symantec.
Chúng tôi đã phát hiện sự việc từ 6 tháng trước, nhưng dự định không cảnh báo cho người sử dụng vì xét thấy có thể sẽ gây sự hiểu lầm là Bkis tự tạo lợi thế cạnh tranh trước các phần mềm diệt virus của nước ngoài. Tuy nhiên, khi sự việc xảy ra nhiều đến mức báo động, gây nhiều thiệt hại cho người sử dụng (tới nay đã có ít nhất 47.000 máy tính bị nhiễm các loại virus này). Với trách nhiệm của mình, Bkis thấy cần phải có cảnh báo, giúp người sử dụng tránh được những rắc rối và sự thiệt hại không đáng có.
Để làm rõ vấn đề, ngày 12/11/2008 Trung tâm An ninh mạng Bkis đã có buổi thử nghiệm thực tế với các phần mềm BitDefender, Kaspersky, McAfee, Symantec và Bkav. Để đảm bảo tính khách quan, chúng tôi đã mời các phóng viên công nghệ thông tin đến từ các báo VnExpress, Bưu điện Việt Nam, PCWorld và Dân trí tham dự buổi thử nghiệm.
Sau 3 giờ đồng hồ tiến hành thử nghiệm dưới sự quan sát của các phóng viên, kết quả cho thấy các phần mềm của nước ngoài nêu trên có thể nhận ra và diệt virus nhưng lại không thể khôi phục được file chuẩn khiến hệ điều hành Windows bị hỏng.
Cũng trong những tình huống này, sử dụng Bkav để diệt virus, hệ thống được khôi phục về trạng thái ban đầu, Windows trở lại hoạt động bình thường.
Chi tiết kết quả thử nghiệm xin xem ở phần cuối.
Chi tiết thử nghiệm
Thử nghiệm được thực hiện trên 4 máy tính được tạo môi trường sạch, tắt kết nối Internet và theo quy trình: cho virus nhiễm vào máy tính => restart máy => cài phần mềm diệt virus phiên bản mới nhất => restart máy, diệt virus.
Thử nghiệm 1: BitDefender 2009 với virus Xpack có xuất xứ từ Trung Quốc
Đây là loại virus sau khi nhiễm vào máy tính sẽ “nằm vùng” như một “gián điệp” và liên tục tải các malware khác từ Internet về. Chuyên gia thử nghiệm tiến hành cho lây nhiễm lên máy tính. Sau đó, cài đặt BitDefender 2009 và khởi động lại máy tính. Phần mềm BitDefender 2009 xác nhận có virus và tiến hành diệt. Khi diệt xong, máy tính được restart lần nữa nhưng không thể đăng nhập vào hệ điều hành. Người dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và hiện lên cửa sổ yêu cầu đăng nhập lại, quá trình cứ lặp lại như thế, Windows đã bị hỏng.
Nguyên nhân được xác định là do: virus đã sao chép chính nó lên file UserInit.exe. BitDefender 2009 đã diệt virus bằng cách xóa file này mà không thể khôi phục lại file chuẩn của hệ thống nên đã làm hỏng hệ điều hành Windows.
Thử nghiệm 2: Norton Antivirus 2009 của Symantec với virus OnlineGameJYA
Đây là loại virus chuyên ăn cắp mật khẩu và các thông tin cá nhân của người chơi game trực tuyến. Sau khi để virus lây nhiễm vào máy tính, các chuyên gia tiến hành cài đặt Norton Antivirus và khởi động lại máy. Phần mềm này đã phát hiện và diệt virus. Nhưng khi được restart lần nữa, sau khi gõ mật khẩu đăng nhập xong, thanh Taskbar bị mất, không kéo thả được file và thư mục, phím Windows không sử dụng được, chức năng copy – paste cũng không thể sử dụng. Windows trên máy tính lúc này đã bị hỏng.
Nguyên nhân của tình trạng này được xác định là do: file hệ thống rpcss.dll mà virus ghi đè đã bị Norton Antivirus 2009 xóa mất nhưng không khôi phục lại file gốc.
Thử nghiệm 3: Kaspersky 2009 với virus ExpdownB
Mẫu virus này cũng thuộc dòng virus “nằm vùng” tương tự như Xpack. Quy trình thử nghiệm trên máy tính cũng được thực hiện tương tự như hai lần trước. Sau khi diệt xong virus, khởi động lại máy tính và đăng nhập hệ điều hành, màn hình desktop không thể sử dụng được.
Nguyên nhân cũng là do: Kaspersky 2009 khi diệt virus đã xóa luôn file Explorer.exe mà không khôi phục lại file chuẩn.
Thử nghiệm 4: McAfee 2009 với virus Xpack
Vì phần mềm này có quá trình cập nhật (update) tương đối phức tạp nên được các chuyên gia cài sẵn trên máy tính thử nghiệm. Sau khi cho nhiễm Xpack lên máy này, McAfee được kích hoạt đã phát hiện và đồng thời cô lập virus trên file UserInit.exe. Tuy nhiên sau khi khởi động lại, máy tính gặp hiện tượng giống như đã thử nghiệm với BitDefender 2009: Người dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và hiện lên cửa sổ yêu cầu đăng nhập lại, không thể vào Windows được nữa.
Thời gian gần đây, Trung tâm An ninh mạng Bkis nhận được đề nghị trợ giúp của nhiều người sử dụng phản ánh tình trạng máy tính bị tê liệt, không sử dụng được sau khi diệt virus. Hiện tượng mà những người sử dụng này gặp phải là cứ thực hiện thao tác đăng nhập (login) vào Windows lập tức bị thoát ra ngoài (logout). Hoặc đăng nhập vào được nhưng cũng không thực hiện thêm được thao tác nào.
Hầu hết mọi người đều đổ lỗi cho virus đã làm hỏng hệ điều hành của mình và phải cài lại Windows, nhiều trường hợp bị mất toàn bộ dữ liệu trên máy tính.
Tuy nhiên, sự thật không phải như vậy. Các thử nghiệm cho thấy, virus không phải là thủ phạm làm hỏng Windows. Thủ phạm lại chính là các phần mềm diệt virus BitDefender, Kaspersky, McAfee và Symantec.
Chúng tôi đã phát hiện sự việc từ 6 tháng trước, nhưng dự định không cảnh báo cho người sử dụng vì xét thấy có thể sẽ gây sự hiểu lầm là Bkis tự tạo lợi thế cạnh tranh trước các phần mềm diệt virus của nước ngoài. Tuy nhiên, khi sự việc xảy ra nhiều đến mức báo động, gây nhiều thiệt hại cho người sử dụng (tới nay đã có ít nhất 47.000 máy tính bị nhiễm các loại virus này). Với trách nhiệm của mình, Bkis thấy cần phải có cảnh báo, giúp người sử dụng tránh được những rắc rối và sự thiệt hại không đáng có.
Để làm rõ vấn đề, ngày 12/11/2008 Trung tâm An ninh mạng Bkis đã có buổi thử nghiệm thực tế với các phần mềm BitDefender, Kaspersky, McAfee, Symantec và Bkav. Để đảm bảo tính khách quan, chúng tôi đã mời các phóng viên công nghệ thông tin đến từ các báo VnExpress, Bưu điện Việt Nam, PCWorld và Dân trí tham dự buổi thử nghiệm.
Sau 3 giờ đồng hồ tiến hành thử nghiệm dưới sự quan sát của các phóng viên, kết quả cho thấy các phần mềm của nước ngoài nêu trên có thể nhận ra và diệt virus nhưng lại không thể khôi phục được file chuẩn khiến hệ điều hành Windows bị hỏng.
Cũng trong những tình huống này, sử dụng Bkav để diệt virus, hệ thống được khôi phục về trạng thái ban đầu, Windows trở lại hoạt động bình thường.
Chi tiết kết quả thử nghiệm xin xem ở phần cuối.
Chi tiết thử nghiệm
Thử nghiệm được thực hiện trên 4 máy tính được tạo môi trường sạch, tắt kết nối Internet và theo quy trình: cho virus nhiễm vào máy tính => restart máy => cài phần mềm diệt virus phiên bản mới nhất => restart máy, diệt virus.
Thử nghiệm 1: BitDefender 2009 với virus Xpack có xuất xứ từ Trung Quốc
Đây là loại virus sau khi nhiễm vào máy tính sẽ “nằm vùng” như một “gián điệp” và liên tục tải các malware khác từ Internet về. Chuyên gia thử nghiệm tiến hành cho lây nhiễm lên máy tính. Sau đó, cài đặt BitDefender 2009 và khởi động lại máy tính. Phần mềm BitDefender 2009 xác nhận có virus và tiến hành diệt. Khi diệt xong, máy tính được restart lần nữa nhưng không thể đăng nhập vào hệ điều hành. Người dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và hiện lên cửa sổ yêu cầu đăng nhập lại, quá trình cứ lặp lại như thế, Windows đã bị hỏng.
Nguyên nhân được xác định là do: virus đã sao chép chính nó lên file UserInit.exe. BitDefender 2009 đã diệt virus bằng cách xóa file này mà không thể khôi phục lại file chuẩn của hệ thống nên đã làm hỏng hệ điều hành Windows.
Thử nghiệm 2: Norton Antivirus 2009 của Symantec với virus OnlineGameJYA
Đây là loại virus chuyên ăn cắp mật khẩu và các thông tin cá nhân của người chơi game trực tuyến. Sau khi để virus lây nhiễm vào máy tính, các chuyên gia tiến hành cài đặt Norton Antivirus và khởi động lại máy. Phần mềm này đã phát hiện và diệt virus. Nhưng khi được restart lần nữa, sau khi gõ mật khẩu đăng nhập xong, thanh Taskbar bị mất, không kéo thả được file và thư mục, phím Windows không sử dụng được, chức năng copy – paste cũng không thể sử dụng. Windows trên máy tính lúc này đã bị hỏng.
Nguyên nhân của tình trạng này được xác định là do: file hệ thống rpcss.dll mà virus ghi đè đã bị Norton Antivirus 2009 xóa mất nhưng không khôi phục lại file gốc.
Thử nghiệm 3: Kaspersky 2009 với virus ExpdownB
Mẫu virus này cũng thuộc dòng virus “nằm vùng” tương tự như Xpack. Quy trình thử nghiệm trên máy tính cũng được thực hiện tương tự như hai lần trước. Sau khi diệt xong virus, khởi động lại máy tính và đăng nhập hệ điều hành, màn hình desktop không thể sử dụng được.
Nguyên nhân cũng là do: Kaspersky 2009 khi diệt virus đã xóa luôn file Explorer.exe mà không khôi phục lại file chuẩn.
Thử nghiệm 4: McAfee 2009 với virus Xpack
Vì phần mềm này có quá trình cập nhật (update) tương đối phức tạp nên được các chuyên gia cài sẵn trên máy tính thử nghiệm. Sau khi cho nhiễm Xpack lên máy này, McAfee được kích hoạt đã phát hiện và đồng thời cô lập virus trên file UserInit.exe. Tuy nhiên sau khi khởi động lại, máy tính gặp hiện tượng giống như đã thử nghiệm với BitDefender 2009: Người dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và hiện lên cửa sổ yêu cầu đăng nhập lại, không thể vào Windows được nữa.