Thời gian gần đây, Trung tâm An ninh mạng Bkis nhận được đề nghị trợ giúp của nhiều người sử dụng phản ánh tình trạng máy tính bị tê liệt, không sử dụng được sau khi diệt virus. Hiện tượng mà những người sử dụng này gặp phải là cứ thực hiện thao tác đăng nhập (login) vào Windows lập tức bị thoát ra ngoài (logout). Hoặc đăng nhập vào được nhưng cũng không thực hiện thêm được thao tác nào.
Hầu hết mọi người đều đổ lỗi cho virus đã làm hỏng hệ điều hành của mình và phải cài lại Windows, nhiều trường hợp bị mất toàn bộ dữ liệu trên máy tính.
Tuy nhiên, sự thật không phải như vậy. Các thử nghiệm cho thấy, virus không phải là thủ phạm làm hỏng Windows. Thủ phạm lại chính là các phần mềm diệt virus BitDefender, Kaspersky, McAfee và Symantec.
Chúng tôi đã phát hiện sự việc từ 6 tháng trước, nhưng dự định không cảnh báo cho người sử dụng vì xét thấy có thể sẽ gây sự hiểu lầm là Bkis tự tạo lợi thế cạnh tranh trước các phần mềm diệt virus của nước ngoài. Tuy nhiên, khi sự việc xảy ra nhiều đến mức báo động, gây nhiều thiệt hại cho người sử dụng (tới nay đã có ít nhất 47.000 máy tính bị nhiễm các loại virus này). Với trách nhiệm của mình, Bkis thấy cần phải có cảnh báo, giúp người sử dụng tránh được những rắc rối và sự thiệt hại không đáng có.
Để làm rõ vấn đề, ngày 12/11/2008 Trung tâm An ninh mạng Bkis đã có buổi thử nghiệm thực tế với các phần mềm BitDefender, Kaspersky, McAfee, Symantec và Bkav. Để đảm bảo tính khách quan, chúng tôi đã mời các phóng viên công nghệ thông tin đến từ các báo VnExpress, Bưu điện Việt Nam, PCWorld và Dân trí tham dự buổi thử nghiệm.
Sau 3 giờ đồng hồ tiến hành thử nghiệm dưới sự quan sát của các phóng viên, kết quả cho thấy các phần mềm của nước ngoài nêu trên có thể nhận ra và diệt virus nhưng lại không thể khôi phục được file chuẩn khiến hệ điều hành Windows bị hỏng.
Cũng trong những tình huống này, sử dụng Bkav để diệt virus, hệ thống được khôi phục về trạng thái ban đầu, Windows trở lại hoạt động bình thường.
Chi tiết kết quả thử nghiệm xin xem ở phần cuối.
Theo khảo sát của VnExpress, đã có 67% người sử dụng gặp hiện tượng này
Một số bài liên quan:
VnExpress.net: Phần mềm bảo mật treo cứng Windows sau khi diệt virus
ICTnews.vn: Phần mềm diệt virus diệt cả Windows
Dantri.com.vn: Phần mềm diệt virus hay... diệt Windows
Chi tiết thử nghiệm
Thử nghiệm được thực hiện trên 4 máy tính được tạo môi trường sạch, tắt kết nối Internet và theo quy trình: cho virus nhiễm vào máy tính => restart máy => cài phần mềm diệt virus phiên bản mới nhất => restart máy, diệt virus.
Thử nghiệm 1: BitDefender 2009 với virus Xpack có xuất xứ từ Trung Quốc
Đây là loại virus sau khi nhiễm vào máy tính sẽ "nằm vùng" như một "gián điệp" và liên tục tải các malware khác từ Internet về. Chuyên gia thử nghiệm tiến hành cho lây nhiễm lên máy tính. Sau đó, cài đặt BitDefender 2009 và khởi động lại máy tính. Phần mềm BitDefender 2009 xác nhận có virus và tiến hành diệt. Khi diệt xong, máy tính được restart lần nữa nhưng không thể đăng nhập vào hệ điều hành. Người dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và hiện lên cửa sổ yêu cầu đăng nhập lại, quá trình cứ lặp lại như thế, Windows đã bị hỏng.
Nguyên nhân được xác định là do: virus đã sao chép chính nó lên file UserInit.exe. BitDefender 2009 đã diệt virus bằng cách xóa file này mà không thể khôi phục lại file chuẩn của hệ thống nên đã làm hỏng hệ điều hành Windows.
Thử nghiệm 2: Norton Antivirus 2009 của Symantec với virus OnlineGameJYA
Đây là loại virus chuyên ăn cắp mật khẩu và các thông tin cá nhân của người chơi game trực tuyến. Sau khi để virus lây nhiễm vào máy tính, các chuyên gia tiến hành cài đặt Norton Antivirus và khởi động lại máy. Phần mềm này đã phát hiện và diệt virus. Nhưng khi được restart lần nữa, sau khi gõ mật khẩu đăng nhập xong, thanh Taskbar bị mất, không kéo thả được file và thư mục, phím Windows không sử dụng được, chức năng copy – paste cũng không thể sử dụng. Windows trên máy tính lúc này đã bị hỏng.
Nguyên nhân của tình trạng này được xác định là do: file hệ thống rpcss.dll mà virus ghi đè đã bị Norton Antivirus 2009 xóa mất nhưng không khôi phục lại file gốc.
Thử nghiệm 3: Kaspersky 2009 với virus ExpdownB
Mẫu virus này cũng thuộc dòng virus "nằm vùng" tương tự như Xpack. Quy trình thử nghiệm trên máy tính cũng được thực hiện tương tự như hai lần trước. Sau khi diệt xong virus, khởi động lại máy tính và đăng nhập hệ điều hành, màn hình desktop không thể sử dụng được.
Nguyên nhân cũng là do: Kaspersky 2009 khi diệt virus đã xóa luôn file Explorer.exe mà không khôi phục lại file chuẩn.
Thử nghiệm 4: McAfee 2009 với virus Xpack
Vì phần mềm này có quá trình cập nhật (update) tương đối phức tạp nên được các chuyên gia cài sẵn trên máy tính thử nghiệm. Sau khi cho nhiễm Xpack lên máy này, McAfee được kích hoạt đã phát hiện và đồng thời cô lập virus trên file UserInit.exe. Tuy nhiên sau khi khởi động lại, máy tính gặp hiện tượng giống như đã thử nghiệm với BitDefender 2009: Người dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và hiện lên cửa sổ yêu cầu đăng nhập lại, không thể vào Windows được nữa.
Hình ảnh giải mã virus ghi đè file UserInit.exe
Thử nghiệm 5: Bkav với cả 4 dòng virus
Thử nghiệm được tiến hành với phiên bản miễn phí BkavHome. Cũng với quy trình như đã làm với các phần mềm và virus kể trên, sau khi cho virus lây nhiễm lên máy tính thử nghiệm, chuyên gia thử nghiệm tiến hành cài đặt BkavHome và khởi động lại máy. Sau mỗi lần như vậy với lần lượt từng loại virus, chức năng bảo vệ tự động (Auto Protect) của Bkav đều tự động phát hiện và diệt virus tìm được.
Thuật toán có trong phần mềm Bkav đã giải mã được đoạn mã gốc và khôi phục lại các file chuẩn của hệ điều hành và giúp Windows trở lại tình trạng như trước khi bị nhiễm virus.
Kết luận:
Hiện tượng máy tính bị tê liệt, không sử dụng được sau khi diệt virus nêu trên có nguyên nhân do chính các phần mềm diệt virus BitDefender, Kaspersky, McAfee, Symantec gây ra. Hiện tượng này rất dễ bị hiểu nhầm là do hành động phá hoại của virus.
Khuyến cáo người sử dụng:
Với những dòng virus như nêu trên (những virus này thường có xuất xứ từ Trung quốc, hiện nay xuất hiện rất nhiều) người sử dụng không nên diệt virus bằng BitDefender, Kaspersky, McAfee và Symantec.
Trong trường hợp đã sử dụng các phần mềm nói trên và gặp hiện tượng Windows bị hỏng, người sử dụng có thể khắc phục bằng cách thực hiện repair lại Windows theo cách sau: Hướng dẫn thực hiện repair Windows.
Trung tâm An ninh mạng Bkis
