NewestPicture0007.JPEG – www.imageshack.scr
ดีเลย์ออกไปนานเลยนะครับ เรื่องนี้ อิอิ จริงๆกะว่าจะเอาขึ้นเว็บตั้งแต่เดือนที่แล้ว แต่ติดปัญหาหลายๆอย่าง แล้ววันนี้มีเวลาว่างก็เลยจะขอเอาขึ้นเว็บซะเลย คงจะไม่สายเกินไปนะ อิอิ
ไวรัสยอดฮิตที่กำลังระบาดอยู่ในขณะนี้ ต้องยกให้ไวรัส MSN เลยครับหรือเรียกอีกชื่อก็ Windows Live Messenger จริงๆมันเป็นโทรจันนะ ไม่ใช่ไวรัส แต่ผมและใครหลายๆคนเรียกมันจนติดปากและผมขอเรียกมันว่าไวรัสก็แล้วกัน
จะรู้ได้อย่างไรว่าเครื่องของท่านโดนไวรัสตัวนี้เล่นงานเข้าให้แล้ว
เมื่อท่านได้รับไฟล์ที่ถูกส่งมาจากเพื่อนของท่านที่ออนไลน์อยู่ทาง MSN โดยไม่คาดคิดว่าจริงๆเป็นฝีมือของไวรัสที่ส่งมา แล้วเผลอแตกไฟล์ Zip ออกพร้อมกับดับเบิลคลิกที่ไฟล์ปุ๊บ หน้าจอจะค้างไปชั่วขณะ และในขณะที่หน้าจอค้าง จะมีหลายๆหน้าต่างโผล่ขึ้นมาแว็บนึงๆ แล้วหายไป ซึ่งเวลานี้แหละที่ไวรัสเริ่มการทำงานและแพร่กระจายตัวเองไปยังผู้ใช้งาน MSN เครื่องอื่นที่มีสถานะออนไลน์อยู่ และถ้าเครื่องที่ออนไลน์อยู่นั้นกดดาวน์โหลดไฟล์ที่ไวรัสส่งมาพร้อมกับเปิดไฟล์ด้วยการดับเบิลคลิก ไวรัสตัวนี้ก็จะกระจายตัวเองไปยังเครื่องอื่นๆอีกไม่รู้จักจบสิ้น
แหล่งซ่อนตัวของไวรัสชนิดนี้ ที่ NOD32 หาเจอ
C:\>Documents and Settings > ชื่อผู้ใช้ > Local Settings > Temp > NewestPicture0021.zip (จะเปลี่ยนชื่อไปเรื่อยๆไม่ตายตัว) – Win32/AutoRun.AAC worm
C:\>Documents and Settings > ชื่อผู้ใช้ > Local Settings > Temporary Internet Files > Content.IE5 > 0HSNORCZ > Ev07[1].exe (จะเปลี่ยนชื่อไปเรื่อยๆไม่ตายตัว) – Win32/AutoRun.AAC worm
C:\>WINDOWS > system32 > symlrserv.exe – Win32/Qhost.NFB trojan
C:\>WINDOWS > system32 > drivers > etc > hosts – Win32/Qhost trojan
อาการของเครื่องที่โดนไวรัสตัวนี้เล่นงาน
เท่าที่ผมลองให้มันวิ่งเล่นอยู่ในเครื่อง เฝ้าดูการทำงานก็พบว่าไวรัสตัวนี้จะเข้าไปปิดการทำงานทุกอย่างของวินโดวส์ไว้เกือบทั้งหมดเลยครับ เรามาดูกันว่ามันปิดการทำงานตรงส่วนไหนบ้าง
– Folder Options ที่แท็บเมนูของ My Computer และไอคอนใน Control Panel ถูกซ่อนไว้
– เรียกใช้งาน Task Manager ด้วยการกด Ctrl + Alt + Del ไม่ได้ เมื่อกดแล้วจะมีหน้าต่างห้ามใช้งานโผล่ขึ้นมาแว็บเดียว และ Task Manager ที่ Taskbar ก็ไม่สามารถใช้งานได้
– เมนู Run หายหรือถ้าเรียกใช้งานเมนู Run ผ่านคีย์ลัด Windows + R จะขึ้นดังรูป
– เรียกใช้งานโปรแกรม ProcessExplorer ไม่ได้ ตัวโปรแกรมโดนไวรัสปิดการทำงานเอาไว้
– ถ้าเปิดการใช้งานโปรแกรม Windows Live Messenger (MSN) เอาไว้ หน้าจอจะค้างสักครู่ ซึ่งเวลานี้เองที่ไวรัสเริ่มการทำงานพร้อมกับส่งข้อความแปลกๆไปหาเพื่อนทุกคนที่กำลังออนไลน์อยู่
– จะติดตั้งหรือเรียกใช้งานโปรแกรม HijackThis ก็ไม่สามารถทำได้
– สุดยอดโปรแกรมทำความสะอาดเครื่องอย่าง CCleaner ก็โดนปิดการทำงาน
– System Restore ก็โดนปิดการทำงาน
– หรือจะเข้าไปเปิดการทำงานของ System Restore โดยเรียกใช้งานผ่านคำสั่ง Services.msc ที่เมนู Run ก็ไม่สามารถทำงานได้เช่นกัน
– ไอคอนต่างๆที่ Administrative Tools ใน Control Panel ก็ไม่สามารถใช้งานได้ ยกเว้น Data Sources สามารถเรียกใช้งานได้ปกติ
– ไม่สามารถเข้าใช้งาน Safemode ผ่านการกด F5 หรือ F8 ขณะบูตเครื่องได้ วินโดวส์จะทำการรีสตาร์ทตัวเองทันที
วิธีการกำจัดเจ้าสุดยอดไวรัสเพียงไม่กี่ขั้นตอน
ก่อนอื่นเราต้องมีโปรแกรมดังต่อไปนี้ก่อน
+ โปรแกรม Antivirus อะไรก็ได้ แล้วแต่ถนัด และต้องมีการอัพเดตล่าสุดด้วย (ในที่นี้ผมใช้ NOD32 Antivirus v.3.0.672.0 ซึ่งท่านสามารถหาดาวน์โหลดได้ ที่นี่)
+ NOD32 Registry Recovery Download
+ ไฟล์รีจิสตรีสำหรับเพิ่มค่าที่ต้องทำให้บูตเข้า Safemode ได้ตามปกติ Safemode Registry Recovery.reg Download
1.ติดตั้งโปรแกรม Antivirus และสั่งอัพเดตโปรแกรมให้ใหม่ที่สุด แล้วสั่งให้โปรแกรมสแกนไดรว์ C
2.เมื่อกำจัดไวรัสเสร็จเรียบร้อย ให้รีสตาร์ทเครื่องใหม่ 1 ครั้ง แล้วเปิดโปรแกรม NOD32 Registry Recovery v.1.1 ขึ้นมา เพื่อเปิดการทำงานของเซอร์วิสทุกอย่างที่ไวรัสได้ปิดไว้
3.ทดลองเปิดโปรแกรม Windows Task Manager ด้วยการกด Ctrl + Alt + Del หรือ System Configuration Utility ผ่านคำสั่ง MSConfig ที่เมนู Run จะพบว่าสามารถใช้งานได้เหมือนเดิมแล้วรวมถึงเมนู Folder Options ก็ได้กลับมาด้วย แต่ System Restore ยังไม่สามารถใช้งานได้ เราจะต้องเข้าไปเปิดการทำงานก่อน ซึ่งจะต้องเข้าไปแก้ไขค่ารีจิสตรี โดยเข้าไปที่
HKEY_LOCAL_MACHINE -> Software -> Policies -> Microsoft -> Windows NT -> SystemRestore
แล้วลบคีย์ที่ชื่อ DisableConfig และ DisableSR ทิ้งไปได้เลย (บางเครื่องอาจจะมีคีย์ DisableConfig แค่ตัวเดียวก็ลบออกไป ไม่มีปัญหาครับ)
4.คลิก Start > Run > พิมพ์ GPedit.msc เพื่อเรียกใช้งานโปรแกรม Group Policies ที่เมนูด้านซ้ายคลิกเครื่องหมาย “+” เข้าไปที่
Computer Configuration -> Administrative Templates -> System -> System Restore
ที่เมนูด้านขวาที่หัวข้อ Turn off System Restore และ Turn off Configuration ให้ดับเบิลคลิกเพื่อกำหนดค่าตรงนี้ด้วยเป็น Not Configured ถ้าตั้งเป็นค่านี้อยู่แล้วก็ปิดหน้าต่างนี้ไปได้เลย
5.เมื่อเปิด System Properties ขึ้นมา จะพบว่า System Restore สามารถใช้งานได้เหมือนเดิมแล้ว
6.และสุดท้ายท้ายสุด เจ้าไวรัสวายร้ายตัวนี้ ได้เข้าไปปิดการทำงานของ Safemode เอาไว้ด้วย ซึ่งถ้าหากเราจะเข้าไปใช้งานวินโดวส์ในโหมดของ Safemode โดยกดคีย์ F5 หรือ F8 ขณะที่กำลังบูตเครื่องใหม่จะไม่สามารถเรียกใช้งานได้ เพราะไวรัส MSN ตัวนี้ ได้เข้าไปลบค่ารีจิสตรีทั้งหมดที่ต้องใช้สำหรับเรียกเข้าใช้งาน Safemode ทำให้เครื่องรีสตาร์ทตัวเองตลอด ดังนั้นเราต้องเพิ่มค่ารีจิสตรีที่ใช้สำหรับบูตเข้าใช้งาน Safemode กลับคืนเข้าไป
แหล่งที่มา สำหรับการเปิดการทำงานของ System Restore http://windowsxp.mvps.org/srpolicy.htm