overclockzonefanpage  overclockzoneth  TV  
Results 1 to 8 of 8

Thread: ไวรัส อีกแล้วค้าบพี่น้อง

  1. #1
    OverclockZone Member NuttTaro's Avatar
    Join Date
    7 Aug 2008

    Default ไวรัส อีกแล้วค้าบพี่น้อง

    ไวรัส อีกแล้วค้าบพี่น้อง

    ผมได้ลองใน vmware (โปรแกรมจำลองระบบปฎิบัติการ) นะครับไวรัสตัวนี้

    อันตรายระดับสูง เลยก็ว่าได้มั้ง

    อาการของไวรัส ไวรัสจะฝังอยู่ในไฟล์ *.exe ถ้าเปิดไฟล์ที่ไวรัสฝังอยู่ หรือโดนจาก Flash Drive
    อันดับแรก ไวรัสจะไปปิดการทำงานของ Firewall
    อันดับสอง ไวรัสจะไปสร้าง port ในโปรแกรม Windows Firewall
    ไฟล์ *.exe ที่ติดไวรัสจะเป็น ipsec ดูตามรูปแล้วกัน


    อันดับที่สาม จะไม่เห็นไฟล์ Hidden
    Registry เข้าไม่ได้ Task Manager เข้าไม่ได้
    อันดับที่สี จะมี Process notepad.exe ขึ้นมาทำงาน

    จากการทดลอง
    ไวรัสตัวนี้แรงมากๆ มันไปฝังอยู่ใน ไฟล์ exe หลายๆตัวในเครื่อง
    โปรแกรม ProcessExplore ที่ใช้ดูไวรัสกันก็ติดไปด้วย รวมทั้งโปรแกรม VB ที่คอมไพล์แล้วเป็น exe ขอผมก็โดนเช่นกัน โปรแกรม CPE17 ก็โดน


    ไม่ทราบว่าไวรัสชื่ออะไร วิธีแก้เป็นยังไง
    แต่ผมได้โดนไปแล้ว เมือ ตี 2.16น. โดนจากเพื่อนส่งมาให้
    โปรแกรมที่มันส่งมาเป็น ProcessExplore ที่ติดไวรัส เปิดแล้วจึงเจอของ


    ผมจึงลง Mcfee 8.5i ลงไป Scan ไวรัสเจอเป็นไฟล์ exe ทั้งหมด
    ดูภาพ

    ยังมีเยอะกว่านี้ อันนี้แค่เริ่มต้น

    ทราบชื่อเป็น W32/Sality

    ลองเสียบ Flash Drive ดู
    ไวรัสเข้าไปสร้าง autorun.inf และ nvcx.exe ใน Flash Drive ของผม
    [AutoRun]
    ;gOOqewewmxvG
    ;auTCvpJBmi
    shEll\OpEn\DEFaUlT=1
    ;pjxX hSmni CqhnNwnqHgGL
    shell\oPeN\cOMmand=nvcx.exe
    ;ukKrntClmgLxedbs
    OpEN =nvcx.exe
    ;aDvikaiedqt tKHud uTbQI
    SHeLL\exPlORe\CommanD = nvcx.exe

    ;eJtF fHvGkLwQGn lkmjC
    Shell\Autoplay\coMMANd= nvcx.exe


    แต่ของเพื่อนผมมันเป็นไฟล์คนละแบบ คือ
    ;wgAThCpWSpUGkBlm
    [AutoRun]
    ;UEyuwMtSomiCoLuIMhswgkeYOrFcfDKe
    ;tkuXoAknoWKPFV uexq
    shell\ExpLore\COmMand =qmiyu.exe
    ;QeKrvN gTNWAnBijfleoDL NearvF WuCRv
    Shell\OpEn\DEFaUlT=1
    ;
    SHeLl\opEN\commANd= qmiyu.exe
    ;CVmP oTvEpgWqGJ nalBw YLxnWMaiuNNWCUah fyhUqMyfqtuhhwswalp
    opEN =qmiyu.exe

    จะเห็นว่า autorun ของผมเป็น nvcx.exe แต่ของเพื่อนผมเป็น qmiyu.exe
    แสดงว่ามันสร้างไฟล์ใน Flash Driver ไม่ซ้ำกันเลย



    windows จิงๆไม่โดนคับ โดนในโปรแกรม vmware ที่ลง windows ไว้

    วีธีแก้ยังไงดี หาในเน็ตไม่เจอ
    ผมเจอแบบนี้ อย่างแรกที่คิดจะแก้คือ ใช้ NOD32 Registry Recovery
    แต่พอเปิด NOD32 Registry Recovery ขึ้นมาได้ 2วิ ไวรัสทำการปิดไปเลย
    แรงมาก

    หาวิธีแก้เจอแต่ไม่รู้ว่าใช่ไหม http://thaicert.nectec.or.th/advisor...t/fujackaa.php

    สงสัยต้องลง Windows ใหม่

    ที่มาของไวรัสตัวนี้ประมาณว่า เพื่อนติดนายติดฉันติด โดนมันแกล้ง ใครรู้จักมันโดนทุกคน เหอๆ
    ชอบลองของก็เป็นงี้แหละ


    มันคือ win32/sality นี้เอง
    Last edited by NuttTaro; 24 Sep 2008 at 10:08:42.

  2. #2
    OverclockZone Member tineny's Avatar
    Join Date
    27 Apr 2007

    Default

    ใช้ sysclean update ล่าสุด สแกนใน save mode หายขาดครับ แต่ต้องมาตามแก้อาการที่ยังตกค้างด้วย

    เคยไปกำจัดตัวนี้ที่โรงงานหนึ่ง ติดกันงอมแงมเลย แพร่พันธุ์ได้ทั้งทางเน็ทเวิร์คและทางแฟรชได้ต่างๆด้วย

  3. #3
    OverclockZone Member tArIbAn's Avatar
    Join Date
    18 Apr 2007

    Default

    เครื่องโน๊ตบุ๊กน้องสาวก็โดนไปครับ แต่ผมแก้ได้ปกติแล้ว ใช้ Fix แก้ไวรัสของ NOD32 กับแก้ ไวรัส.exe
    แล้วสแกนกับ Kaspersky Anti-Virus7

    ตอนแรกลง NOD32 Smart Security ไว้ให้ ตรวจจับไม่เจอ....

  4. #4
    OverclockZone Member LigerZero's Avatar
    Join Date
    23 Jul 2007

    Default

    sality มันโหดครับแก้เอาออกได้แต่เครื่องจะไม่ค่อยเสถียรแนะนำ format ครับ(ก็มันเล่นฝังลง exe ทุกตัวนิ)

    ปล.ตัวนี้เป็นตัวแรกที่ผมแนะนำให้ format แบบไม่ลังเลย - -'' (ต้องฟอแมททั้งเครื่องเลยนะ)

    ปล2. วิธีแก้(อาจจะช่วยได้ไม่มากนัก)

    http://www.webphand.com/notepad/

    http://www.webphand.com/sality/

    ปล3.ไม่รู้ป่านนี้มีตัวแก้เฉพาะกิจออกมารึยังถ้ามีช่วยสงเคราะห์ผมหน่อยก็ดีครับ ><
    Last edited by LigerZero; 24 Sep 2008 at 17:23:08.

  5. #5
    OverclockZone Member PrIcoN's Avatar
    Join Date
    25 Mar 2008
    Location
    chiang mai

    Default

    โดนแล้วอ่ะ ลงโปรแกรมอะไรไม่ได้เลย cpu 100% ตลอด
    ต้อง format ใช่มะเนี้ย T^T โปรแกรมโผม

  6. #6
    OverclockZone Member immortalpao's Avatar
    Join Date
    20 Jun 2008
    Location
    สงขลา,หาดใหญ่

    Default

    Good.

  7. #7
    OverclockZone Member X1950Pro's Avatar
    Join Date
    4 Aug 2007
    Location
    บ้านผมทำธุรกิจมืด (ขายถ่่าน)

    Default

    จิ๊บๆครับ ไม่แรงเท่าไหร่

    ผมโดนอย่างเก่งก็ Exe หมดเครื่อง 555+

  8. #8
    OverclockZone Member nao379's Avatar
    Join Date
    23 Jan 2008
    Location
    กำแพงเพชร ครับผม

    Default

    ลงkis2009ยังไม่เจอรัยเลย



Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •