Mấy hôm nay nhiều bạn chia sẻ thủ thuật quét virus bằng VirusTotal thông qua ứng dụng quản lý tiến trình Windows là Process Explorer và nhiều bạn phát hiện máy mình có virus tùm lum. Vậy thực hư thế nào và con số này có chính xác không?
Process Explorer là một ứng dụng quản lý các tiến trình đang chạy trên Windows, nó là sự thay thế hoàn hảo cho Task Manager của Windows. Hồi khoảng năm 2014, Process Explorer có tích hợp vào một tính năng rất hay là quét tất cả các tiến trình đang chạy bằng VirusTotal (một trang tổng hợp hơn 60 công cụ quét virus khác nhau hoàn toàn miễn phí).
Cách sử dụng Process Explorer kết hợp VirusTotal
Để sử dụng, đầu tiên bạn tải về ứng dụng Process Explorer tại đây. Sau đó giải nén và chạy file procexp.exe (nếu dùng Windows 32-bit) hay procexp64.exe (nếu dùng Windows 64-bit). Sau đó vào Options > VirusTotal.com > Check VirusTotal.com > Chọn Yes để bắt đầu kiểm tra các tiến trình đang chạy trong Windows.
Như bạn thấy ở hình trên, bạn có thêm một cột VirusTotal với các thông số dạng 0/67. Số 67 phía sau là để chỉ số trình quét virus được sử dụng, số 0 đầu để chỉ số lượng trình quét virus phát hiện tiến trình đó có dính virus.
Nhận diện virus
Tuy nhiên, không phải thông số này lúc nào cũng chính xác, thông thường nếu chỉ có một trình quét virus phát hiện, đó gần như chắc chắn là do trình quét virus đó nhận dạng sai. Ví dụ như ảnh dưới đây của máy mình có tiến trình Video.UI.exe báo 1/66, nghĩa là có một phần mềm diệt virus báo.
Nếu bấm vào mục này, bạn sẽ được mở ra cửa sổ ghi rõ hơn đó là virus loại gì, như ví dụ trên là một trình quét virus Cylance nào đó chỉ đánh giá tiến trình này là Unsafe, không ghi rõ là virus gì, cho nên có vẻ đây là cảnh báo sai.
Có trường hợp khác khó nhận dạng hơn, đó là ứng dụng Unikey nổi tiếng. Mình đã chạy thử Unikey và phát hiện 3/67, có nghĩa là có đến ba ứng dụng quét virus nhận dạng được.
Tham khảo thông tin chi tiết trên VirusTotal, Unikey bị cảnh báo bởi ba tiện ích quét virus có vẻ không được nổi tiếng lắm.
Ngoài ra về tính chất thì Unikey là một ứng dụng gõ phím, rất có thể các ứng dụng này nhận dạng các ứng dụng kiểu này là nguy hiểm, chứ không chắc là có virus. Đã có nhiều trường hợp các bạn thấy cảnh báo này đã rất e ngại Unikey. Trường hợp bạn cân nhắc thì có thể chuyển qua dùng thử EVkey, tác giả cũng đã thử qua và cho kết quả 0/67.
Trong trường hợp bạn thấy có một tiến trình không check được, hoặc bạn muốn kiểm tra lại, bạn hãy bấm đúp chuột vào mục đó, bấm vào nút Submit ở phần VirusTotal để tự kiểm tra lại.
Diệt virus
Nếu thấy một tiến trình không an toàn, việc đầu tiên bạn cần làm là bấm phải chuột vào tiến trình đó và chọn Suspend. Process Explorer sẽ tạm thời ngừng mọi tiến trình và thư viện liên quan đến, sau đó bạn hãy gỡ bỏ các ứng dụng liên quan tiến trình này ra khỏi máy, rồi lại dùng các trình diệt virus uy tiến quét lại lần nữa.
Kiểm tra chữ ký số
Còn một tính năng khá hay của Process Explorer mà nhiều bạn không để ý, đó là kiểm tra chữ ký số (Signature) của các tiến trình, bạn hãy vào Options > Verify Image Signatures.
Tùy chọn này sẽ kiểm tra chữ ký số cho mỗi file đang hoạt động trong danh sách – gần như ký hiệu để phân biệt ứng dụng. Đây được coi là công cụ vô giá trong việc xác thực ứng dụng khi cảm thấy khả nghi. Nếu một trong số ứng dụng của bạn hiển thị No signature was present… có nghĩa là ứng dụng đó không được xác thực. Trong nhiều trường hợp, do công cụ không xác định được.
Nếu ở phần Company Name hiển thị là những ứng dụng bạn đã cài đặt thì không sao, nhưng nếu phần này trống nhiều khả năng bạn đã nhiễm mã độc trên máy tính rồi đấy.
Thay thế Task Manager
Nếu cảm thất Process Explorer hữu dụng, bạn có thể thay thế Task Manager bằng tiện ích này luôn. Để thực hiện bạn chọn Options > Replace Task Manager.