Các phần mềm Kaspersky, BitDefender, McAfee và Symantec đã xóa nhầm file hệ thống của Windows. Hậu quả là người sử dụng phải cài lại toàn bộ PC, nguy cơ mất dữ liệu. Khoảng 47.000 máy tính tại Việt Nam đã gặp họa này.
Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết gần đây họ nhận được nhiều đề nghị trợ giúp của người sử dụng máy tính phản ánh tình trạng máy tính bị tê liệt, không sử dụng được sau khi diệt virus. Hiện tượng những người sử dụng này gặp phải phổ biến là khi thực hiện đăng nhập (login) vào Windows lập tức bị đẩy ra ngoài (logout) hoặc đăng nhập được vào nhưng không thể sử dụng được.
Hầu hết người dùng đổ lỗi cho virus làm hỏng hệ điều hành, khiến họ phải cài lại máy tính, nhiều trường hợp bị mất sạch dữ liệu. Tuy nhiên, “thực tế lại rất bất ngờ, không phải lỗi do virus mà là do một số phần mềm diệt virus xóa nhầm file hệ thống của Windows”, ông Vũ Ngọc Sơn, trưởng phòng virus của Bkis nói.
Ông Sơn cho biết qua thử nghiệm thực tế, Bkis phát hiện thấy các phần mềm diệt virus Kaspersky, BitDefender, McAfee và Symantec đã làm hỏng Windows.
Các máy tính bị nhiễm những virus ghi đè file hệ điều hành Windows như virus Hbservice.Trojan, UserinitFakeD.worm, XpackD.worm, OnlinegameJYA mà người dùng sử dụng quét virus bằng các phần mềm Kaspersky, BitDefender, McAfee và Symantec, các phần mềm này sẽ xóa luôn file Userinit.exe, file chuẩn của Windows hoặc “làm chết” một số file quan trọng khác.
Theo ông Sơn, nguyên nhân là do các phần mềm này không có cơ chế giải mã virus để tìm ra đoạn mã chuẩn, nên khi quét virus đã xóa luôn cả file UserInit gốc của hệ điều hành. Việc xóa file gốc làm cho hệ điều hành bị hỏng nặng và người dùng không thể sử dụng được máy tính.
BKAV có công cụ giải mã virus để xem virus đó để file chuẩn của hệ điều hành ở đâu và làm thao tác khôi phục. Ảnh: BKIS.
Ông Sơn cho biết Bkis đã quan sát thấy hiện tượng phần mềm diệt virus làm hỏng hệ điều hành cách đây 5 tháng nhưng thời gian gần đây xuất hiện ngày càng nhiều. Hệ thống giám sát virus của Bkis đến nay đã thống kê được khoảng 47.000 máy tính tại Việt Nam bị nhiễm các virus ghi đè file hệ điều hành. Trong tháng 10 vừa qua, Bkis phát hiện 92 dòng virus mới xuất hiện sử dụng cơ chế ghi đè file chuẩn hệ điều hành, chủ yếu là virus xuất xứ từ Trung Quốc.
Các dòng virus truyền thống thuộc họ Worm, Trojan… thường lây nhiễm bằng cách sao chép chính nó vào một thư mục trên hệ thống, thường là thư mục Windows\System32. Nhưng những virus xuất hiện gần đây, đặc biệt là những dòng virus có nguồn gốc từ Trung Quốc lại ghi đè mã độc lên file chuẩn của hệ điều hành.
Việc ngụy trang như vậy đã đánh lừa được hầu hết các phần mềm diệt virus do không có cơ chế khôi phục file gốc đã bị virus ghi đè. Vì thế khi diệt virus, các phần mềm này đồng thời xóa luôn cả file chuẩn của hệ điều hành (file gốc), hậu quả là người sử dụng phải cài lại toàn bộ máy tính và có thể gây mất dữ liệu.