ในสัปดาห์นี้ PandaLabs จะกล่าวถึงเวิร์ม Gronev.A , Antihost.A และโทรจัน BotVoice.A
Gronev.A เป็นเวิร์มที่มีรสนิยมทางด้านดนตรี โดยจะเปิด Windows Media Player และเล่นเพลงที่ชื่อว่า Lagu. นอกจากนี้ยังเปิดหน้าต่าง MS-DOS เพื่อแสดงคำว่า Vergon, เมื่อมีการเปิดหน้าจอ CMD เมื่อแสดงหน้าต่างดังกล่าว Gronev.A จะสร้างบัญชีผู้ใช้ใหม่ขึ้นในระบบซึ่งไม่สามารถเข้าถึงได้โดยผู้ใช้อื่น
เวิร์มนี้จะสร้างโฟลเดอร์ Backup , Doc, Secret และ tools ขึ้นในระบบ พร้อมกับคัดลอกตัวเองลงในโฟลเดอร์เหล่านั้น ในการแพร่ระบาด เวิร์มจะคัดลอกตัวเองไปยังไดรฟ์ของระบบทุกไดรฟ์
สุดท้าย Gronev.A จะดำเนินการอื่นๆ ที่เป็นอันตราย เช่น ปิด Internet Explorer หรือแก้ไข Windows Registry เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ
Antihost.A แพร่กระจายโดยคัดลอกตัวเองลงในไดรฟ์ทั้งหมดที่มีการเชื่อมต่อกับคอมพิวเตอร์ หากไดรฟ์ดังกล่าวเป็นแฟลชไดรฟ์ เวิร์มจะสามารถแพร่ระบาดไปได้ทุกที่เมื่อนำไดรฟ์นี้ไปเสียบเข้ากับคอมพิวเตอร์เครื่องอื่น
หากไม่มีแผ่นซีดีหรือดีวีดีอยู่ในไดรฟ์ขณะที่มีการแพร่ระบาด Windows จะแสดงข้อความต่อไปนี้เพื่อขอให้ผู้ใช้ใส่แผ่นลงในไดรฟ์ Antihost.A จะสร้างไฟล์จำนวนมากและซ่อนไว้ในระบบ ทั้งยังเพิ่มข้อมูลลงในรีจิสทรีเพื่อเรียกตัวเองขึ้นงานทุกครั้งที่มีการเริ่มต้นระบบ
โทรจัน BotVoice.A เป็นโทรจันที่ใช้โปรแกรมอ่านข้อความเป็นเสียงพูดของ Windows ในการอ่านข้อความต่อไปนี้ :
You has been infected I repeat You has been infected and your system files has been deletes. Sorry. Have a Nice Day and bye bye.
(ระบบของคุณมีการติดเชื้อ ขอย้ำอีกครั้ง ระบบของคุณมีการติดเชื้อ และไฟล์ในระบบจะถูกลบออก ขออภัย ขอให้โชคดี สวัสดี)
ในขณะเดียวกัน BotVoice.A ยังลบปุ่มลัดทั้งหมดออกจากหน้าจอเดสก์ท็อปและจากโฟลเดอร์ My Documents พร้อมๆ กับลบไฟล์ทั้งหมดออกจากไดรฟ์ C จนกว่าจะพบไฟล์ที่ไม่สามารถลบได้ จากนั้นจะหยุดการลบแต่ยังคงแสดงข้อความเสียงต่อไป
โทรจันจะแก้ไขข้อมูลในรีจิสทรีไม่ให้โปรแกรมที่ติดตั้งไว้ในระบบสามารถทำงานได้ คอมพิวเตอร์จึงไม่สามารถใช้การได้
BotVoice.A แพร่กระจายผ่านทางเครือข่าย P2P อุปกรณ์เก็บข้อมูลต่างๆ เช่น แฟลชไดรฟ์ ฟล็อปปี้ดิสก์ ซีดีรอม ตลอดจนดาวน์โหลดเข้ามาจากมัลแวร์อื่น เช่นเดียวกับโทรจันทั่วไป
Gronev.A เป็นเวิร์มที่มีรสนิยมทางด้านดนตรี โดยจะเปิด Windows Media Player และเล่นเพลงที่ชื่อว่า Lagu. นอกจากนี้ยังเปิดหน้าต่าง MS-DOS เพื่อแสดงคำว่า Vergon, เมื่อมีการเปิดหน้าจอ CMD เมื่อแสดงหน้าต่างดังกล่าว Gronev.A จะสร้างบัญชีผู้ใช้ใหม่ขึ้นในระบบซึ่งไม่สามารถเข้าถึงได้โดยผู้ใช้อื่น
เวิร์มนี้จะสร้างโฟลเดอร์ Backup , Doc, Secret และ tools ขึ้นในระบบ พร้อมกับคัดลอกตัวเองลงในโฟลเดอร์เหล่านั้น ในการแพร่ระบาด เวิร์มจะคัดลอกตัวเองไปยังไดรฟ์ของระบบทุกไดรฟ์
สุดท้าย Gronev.A จะดำเนินการอื่นๆ ที่เป็นอันตราย เช่น ปิด Internet Explorer หรือแก้ไข Windows Registry เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ
Antihost.A แพร่กระจายโดยคัดลอกตัวเองลงในไดรฟ์ทั้งหมดที่มีการเชื่อมต่อกับคอมพิวเตอร์ หากไดรฟ์ดังกล่าวเป็นแฟลชไดรฟ์ เวิร์มจะสามารถแพร่ระบาดไปได้ทุกที่เมื่อนำไดรฟ์นี้ไปเสียบเข้ากับคอมพิวเตอร์เครื่องอื่น
หากไม่มีแผ่นซีดีหรือดีวีดีอยู่ในไดรฟ์ขณะที่มีการแพร่ระบาด Windows จะแสดงข้อความต่อไปนี้เพื่อขอให้ผู้ใช้ใส่แผ่นลงในไดรฟ์ Antihost.A จะสร้างไฟล์จำนวนมากและซ่อนไว้ในระบบ ทั้งยังเพิ่มข้อมูลลงในรีจิสทรีเพื่อเรียกตัวเองขึ้นงานทุกครั้งที่มีการเริ่มต้นระบบ
โทรจัน BotVoice.A เป็นโทรจันที่ใช้โปรแกรมอ่านข้อความเป็นเสียงพูดของ Windows ในการอ่านข้อความต่อไปนี้ :
You has been infected I repeat You has been infected and your system files has been deletes. Sorry. Have a Nice Day and bye bye.
(ระบบของคุณมีการติดเชื้อ ขอย้ำอีกครั้ง ระบบของคุณมีการติดเชื้อ และไฟล์ในระบบจะถูกลบออก ขออภัย ขอให้โชคดี สวัสดี)
ในขณะเดียวกัน BotVoice.A ยังลบปุ่มลัดทั้งหมดออกจากหน้าจอเดสก์ท็อปและจากโฟลเดอร์ My Documents พร้อมๆ กับลบไฟล์ทั้งหมดออกจากไดรฟ์ C จนกว่าจะพบไฟล์ที่ไม่สามารถลบได้ จากนั้นจะหยุดการลบแต่ยังคงแสดงข้อความเสียงต่อไป
โทรจันจะแก้ไขข้อมูลในรีจิสทรีไม่ให้โปรแกรมที่ติดตั้งไว้ในระบบสามารถทำงานได้ คอมพิวเตอร์จึงไม่สามารถใช้การได้
BotVoice.A แพร่กระจายผ่านทางเครือข่าย P2P อุปกรณ์เก็บข้อมูลต่างๆ เช่น แฟลชไดรฟ์ ฟล็อปปี้ดิสก์ ซีดีรอม ตลอดจนดาวน์โหลดเข้ามาจากมัลแวร์อื่น เช่นเดียวกับโทรจันทั่วไป
Comment