Làm sao để biết một file bị nhận định sai là có chứa mã độc?

Đôi khi trong quá trình sử dụng máy tính, bạn sẽ thấy xuất hiện thông báo có nội dung đại loại như “phần mềm chống virus đã phát hiện ra tập tin vừa được tải về có chứa virus”, trong khi bạn biết rõ rằng nguồn dữ liệu mà bạn download tập tin đó là hoàn toàn sạch! Đừng quá lo lắng, đôi khi các phần mềm bảo mật cũng đưa ra những kết luận sai lầm, đó là chuyện bình thường, nhưng vấn đề ở đây là làm cách nào để chúng ta có thể biết chắc được rằng liệu dữ liệu đó có thực sự an toàn hay chỉ là một sự nhầm lẫn của phần mềm antivirus?

False positive (lỗi xác thực sai) là một hiện tượng không phải là hiếm gặp đối với các phần mềm bảo mật. False positive cũng có một số dạng nhất định. Đó là khi các chương trình anti-spyware khiến người dùng nhầm tưởng rằng máy của mình bị các mã độc tấn công, mà thực tế chẳng có vấn đề gì cả. Thuật ngữ “false positive” cũng có thể được dùng khi các ứng dụng anti-spyware hợp pháp bị đánh giá lầm là mối đe dọa. Dưới đây là một số phương thức để xác định xem một nội dung có an toàn thực sự hay không.

Sử dụng VirusTotal để nhận thêm ý kiến tham khảo

Các phần mềm chống virus khác nhau sẽ đưa ra những nhận định khác nhau về sự an toàn của một tập tin. Nói cách khác, nhận định về độ an toàn của một tập tin bị xác thực sai sẽ không thống nhất. Nếu thực sự một tệp bị xác thực sai, sẽ chỉ có một vài chương trình chống virus gắn cờ tệp đó là nguy hiểm, trong khi các chương trình khác lại cho rằng nó là an toàn. Đây chính là lúc mà VirusTotal phát huy tác dụng. VirusTotal là một công cụ cho phép chúng ta quét một tệp với 45 chương trình chống virus khác nhau để từ đó, chúng ta có thể tổng hợp xem nhận định của các chương trình chống virus về tệp đó ra sao, có thống nhất hay không!

Việc bạn cần làm là truy cập trang web VirusTotal.com và tải lên tệp mà bạn cần xác thực, hoặc nhập URL đối với các tệp trực tuyến. Như đã nói VirusTotal sẽ tự động quét tệp bằng nhiều chương trình chống virus khác nhau và cho bạn biết nhận định cụ thể của từng chương trình về tệp đó.

Làm thế nào để biết chắc chắn một tệp an toàn trước khi tải xuống?

Về mặt kết quả, nếu hầu hết các chương trình chống virus đều cho rằng tệp đó có vấn đề, thì rất có thể nó có vấn đề thật. Còn ngược lại, nếu chỉ có một vài chương trình chống virus cho rằng tệp này chứa mã độc, thì khả năng cao đó là một false positive. Tuy nhiên, bạn cũng nên lưu ý rằng các thông tin này chỉ mang tính tham khảo chứ không thể đảm bảo được rằng tệp đó có thực sự an toàn tuyệt đối hay không.

Đánh giá độ tin cậy của nguồn download

Đánh giá độ tin cậy của trang web cung cấp file tải cũng là một yếu tố hết sức quan trọng. Nếu tập tin được tải về từ một nguồn không đáng tin cây, hoặc đơn giản là bạn hoàn toàn không có thông tin gì về trang web đó, thì khả năng tập tin có chứa phần mềm độc hại là khá cao. Đặc biệt là đối với các nội dung được gửi qua email, bạn sẽ càng phải thận trọng hơn.

Mặt khác, nếu tập tin được tải về từ một trang web mà bạn hoàn toàn tin tưởng, và đặc biệt là từ các nhà phát hành có tên tuổi, bạn hoàn toàn có thể bỏ qua thông báo của phần mềm chống virus và sử dụng tập tin đó như bình thường. Có thể nói rằng ở khía cạnh này, vấn đề xác thực mức độ an toàn của tập tin phụ thuộc vào chính bạn chứ không phải là ở các công cụ bảo mật.

Tuy nhiên mọi tình huống đều có thể xảy ra, sẽ không thể có một sự khẳng định tuyệt đối ở đây được. Đơn cử như giả thuyết rằng trang web của nhà phát hành có thể đã bị xâm phạm chẳng hạn. Trường hợp này hiếm khi xảy ra nhưng không phải là không có. Mặt khác, nếu bạn thấy có lỗi xuất hiện trong quá trình tải xuống tệp mà không thấy cảnh báo sớm của các chương trình bảo mật, đó là một dấu hiệu xấu, rất có thể bạn đã gặp phải một bản tải xuống có chứa phần mềm độc hại. Tóm lại, vấn đề vẫn sẽ nằm ở chỗ bạn có chắc chắn mình đang ở trên trang web thực sự của nhà phát hành chứ không phải là một trang web giả mạo được thiết lập để lừa bạn tải xuống phần mềm độc hại hay không? Hãy cố gắng xác thực độ tin cậy của nguồn gốc tập tin. Ví dụ: Ngân hàng sẽ không bao giờ gửi cho bạn các chương trình được đính kèm vào email.

Kiểm tra cơ sở dữ liệu phần mềm độc hại

Khi một phần mềm diệt virus gắn cờ các file độc hại, nó sẽ cung cấp cho bạn một cái tên cụ thể của loại phần mềm độc hại đang tồn tại trong file đó. Tìm kiếm tên phần mềm độc hại trên Internet và bạn sẽ tìm thấy các liên kết đến những trang web chứa cơ sở dữ liệu về phần mềm độc hại được tổng hợp bởi các công ty bảo mật. Tại đây, họ sẽ cho bạn biết chính xác nội dung của tệp và lý do tệp bị chặn.

Trong một số trường hợp, các tệp hợp pháp cũng có thể bị gắn cờ là phần mềm độc hại và bị chặn bởi chúng có thể đang được sử dụng cho mục đích xấu. Ví dụ, một số chương trình chống virus sẽ chặn phần mềm máy chủ VNC. Phần mềm máy chủ VNC có thể được các hacker sử dụng để có quyền truy cập từ xa vào máy tính của bạn, nhưng sẽ là an toàn nếu bạn biết mình đang làm gì và có ý định cài đặt máy chủ VNC.

Hãy thật cẩn thận!

Không có một phương thức chung hay cách thức rõ ràng nào để có thể biết chắc chắn liệu một tệp có thực sự đang bị xác thực sai hay không. Tất cả những gì chúng ta có thể làm chỉ là thu thập chứng cứ và tổng hợp thông tin từ nhiều nguồn khác nhau trước khi có thể đưa ra được những dự đoán tối ưu nhất. Tóm lại, nếu bạn không chắc chắn rằng liệu tệp có thực sự bị xác thực sai hay không, đừng nên sử dụng tệp đó. Cẩn tắc vô ưu!

Chúc các bạn xây dựng được một hệ thống bảo vệ tuyệt vời!

Xem thêm:

• Phải làm gì nếu máy tính của bạn nhiễm virus?
• Tại sao bạn không cần phải quét virus thủ công
• 3 cách kiểm tra phần mềm diệt virus trên PC có đang hoạt động?
• 14 phần mềm miễn phí diệt spyware hiệu quả nhất