malware

หมายเหตุ: เอ็นทรีนี้ไม่ได้เขียนขึ้นโดยผู้เชี่ยวชาญ โปรดใช้เป็นแนวทางในการแก้ไขนะครับCool
 
ช่วงที่ผมได้รู้จักกับคนไทยหลายๆคนในแวนฯ พวกพี่ๆเขาก็เอา Notebook มาจากเมืองไทยกันครับ ซึ่ง เมื่อสองวันก่อน ผมได้มีโอกาสไปช่วยพี่เขาแก้ปัญหาคอมพิวเตอร์ เนื่องจากคนรู้จักผมคุยว่าผมรู้เรื่องคอมอย่พอควร ผมก็เลยไปดูมาครับ (ได้ค่าจ้างด้วยนะ อะฮิๆๆ) เอาล่ะ มาเข้าเรื่องกันเลย
 
 
 
เรื่องมีอยู่ว่า พี่คนไทยคนหนึ่ง เขาบอกว่าเขาโดนไวรัสเล่นงาน เลยติดต่อผมจะให้ไปช่วยแก้ไข
 
เริ่มต้นMoney mouth
 
เมื่อ Boot เครื่องขึ้นมา พบว่าคอมติดแอนติไวรัสปลอม (FakeAV)
 
 
ซึ่งการทำงานของมันคือ
 
  1. เตือนว่ามีไวรัสปลอมๆ อยู่ในเครื่อง จะให้จ่ายเงินลบ
  2. เมื่อเข้าเว็บโหลดโปรแกรมป้องกันไวรัส หน้าต่างดาวน์โหลดและ Browser จะปิดตัวเอง

เอาละครับ อาการไม่ได้หนักหนาสาหัสอะไร เพราะเคยเจอแบบหนักกว่านี้มาแล้ว Undecided

ซึ่งก่อนหน้านี้ผมเอา SD Card มาจากบ้าน เพราะ SD Card สามารถล๊อก (Write Protect) ได้ ดังนั้นไวรัสจะไม่สามารถเข้ามาทางนี้ได้ จะได้ไม่แพร่เชื้อต่อไป

 

ถามหาสาเหตุLaughing

ผมเลยถามสาเหตุ บทสนทนา

R: พี่ไปทำอะไรมาถึงติดอะครับ

M: ก็ไม่ได้ทำอะไร เป็ดเน็ตดูโน่นดูนี่ไปเรื่อยๆ

R: ไม่ได้เข้าเว็บโป๊นะ

M: *ชะงักไป 3 วิ* ไม่นิ

R: จริงๆนะ บอกความจริงมาเหอะ

M: กะ ก็ได้ ไปเข้าเว็บโป๊มาแล้วมันให้โหลดตัว Player พอลงแล้วก็เป็นแบบนี้เลย

R: บอกความจริงมาแต่แรกก็ได้นะพี่

 

สะเพร่าFoot in mouth

Notebook พี่เขาดันไม่มีช่องอ่าน SD Card รู้งี้ก็น่าจะเตรียม Flash Drive มาแทน แต่ไม่เป้นไร คนอื่นๆยังมีคอมนี่เนอะ เราก็ถ่ายข้อมูลงไปได้ เมื่อถ่ายเสร็จแล้วก็เอามาเสียบดู ซึ่งแฟลชไดรฟ์ไม่ใช่ของผมด้วย

 

เริ่มต้น(อีกที)Cry

ผมลองเสียบ Flash drive ที่มีโปรแกรม Emsisoft Emergency USB Stick แล้วลองรัน ปรากฏว่า โปรแกรมรันตัวเองไม่ได้ เพราะโปรแกรมมันบล๊อกการทำงานของ AV ทุกชนิด รวมทั้งที่ลงในเครื่องด้วยนะ

 

Safe Mode กู้ภัยSmile

ผมลองบูตเข้า Safe Mode (ซึ่งเป็นเรื่อง Basic มากๆ เวลาจะแก้ไวรัส) และลองรัน EEUS อีกครั้ง ปรากฏว่าหน้าต่างโปรแกรมล้นจอ จึงลองหันมาใช้ Comodo Cleaning Essential ดู

 

ลืมอัพเดต Tongue out

CCE ของผมไม่ได้อัพเดต และ Safe Mode ไม่ได้เลือกแบบ With networking ด้วย เลยต้องบูตใหม่ หลังจากบู๊ตโดยเลือกแบบ With Networking แล้วก็เริ่มได้

ก่อนสแกน ต้องดึงสายแลนออกก่อน เพื่อความชัวร์ CCE ใช้เวลาทำ Full Scan ชั่วโมงกว่าๆ ก็เจอไวรัส เราก็กดลบไปตามระเบียบ โปรแกรมก็เตือนให้เรา Reboot อีกครั้ง

เมื่อเริ่มต้นระบบใหม่แล้ว ก็ไม่มีไวรัสมากวนใจอีก แต่มันยังไม่จบแค่นี้...

 

เก็บซากไวรัสFrown

แอนตี้ไวรัสปลอมยังทิ้งซากไว้ให้เก็บกวาด ซึ่งไม่ได้หนักหนาสาหัสอะไร ส่วนมากจะเป็นพวกไฟล์ชั่วคราวที่ค้างๆอยู่ เราก็ตามไปลบใน Program File แล้วใช้โปรแกรมอะไรมาทำความสะอาดได้ตามสะดวก ในที่นี้ผมเลือก Glary Utilities Portable 

 

 

ปัญหากับไฟล์ระบบ Yell

เจ้า FakeAV ตัวนี้ยังสร้างปัญหากับไฟล์ระบบไฟล์หนึ่งที่ชื่อว่า os_sfc.dll ซึ่งอยู่ใน C:\Windows\System32 โดยที่มันไปแก้ไข

ซึ่งไฟล์ os_sfc.dll นั้นคือไฟล์ที่ควบคุมระบบ Windows File Protection นั่นเอง ซึ่งมันได้แก้ไขไฟล์นี้ การทำงานตามภาพด้านล่าง

 

เนื่องจากเราได้ลบไวรัสออกแล้ว แต่ไฟล์ระบบยังถูกแก้ไขอยู่ ผมรู้ได้จาก Antivirus ที่ลงไป (ผมเลือก Forticlient Lite) มันจะเตือนตลอดเมื่อเข้าถึงไฟล์นี้ แต่ทำอะไรไม่ได้


รูปบนเป็นภาพประกอบเฉยๆนะ

ทำไงดีๆ เพราะ Antivirus ไม่สามารถลบไฟล์นี้ทิ้งได้ แค่บล๊อกไว้เฉยๆ และไฟล์นี้ไม่สามารถแก้คืนได้ง่ายๆ ทำไงดีๆ

 

ตามหาไฟล์จากอินเทอร์เน็ตสิ Money mouth

ผมลองหาไฟล์นี้จากเว็บต่างๆ จนไปเจอเว็บ dll-files.com เข้า ก็เลยจัดการโหลดมาแล้วแตกซิบ

คำเตือนก่อนใช้งาน : ถ้าคุณจะเอาไฟล์ระบบวางทับไปดื้อๆ นั้นอันตรายมากครับ วิธีที่ผมใช้คือ เข้า Safe Mode (อีกแล้ว) แล้วไป "เปลี่ยนชื่อ" ไฟล์เดิม ให้เป็นนามสกุลอื่น แล้วจึงเอาไฟล์ใหม่ไปวาง ห้าามวางทับกันโดยเด็ดขาด เพราะเผื่อไฟล์ใหม่ไม่ Work จะได้เรียกอันเก่าคืนมาได้

 

เสร็จภารกิจ Surprised

ของตอบแทน เงิน 50 CAD (เหลือครึ่งนึง เพราะพี่เข้าพาไปเลี้ยงบะหมี่)

ไว้โอกาสหน้าเรียกใช้ได้อีกครับ เป็นระบบเหมาจ่าย เคีียกๆๆ!!

 

และแล้วก็ไปอีกเอ้นทรี ไว้เจอกันใหม่นะครับ ขอให้โชคดี ไม่มีไวรัสบุกนะครับ หวังว่าเอ็นทรีนี้คงจะมีประโยชน์ไม่มากก็น้อยนะครับSmile

สารภาพตรงๆนะครับว่าที่เขียนเอ็นทรีแนวๆนี้ติดกัน เพราะอยากจะให้บล๊อกนี้ดูเป็นตัวเป็นตน (เอาน่าขอซักเดือน เดี๋ยวเดือนหน้าก็ไร้สาระต่อ)

ที่จริงก็อยากให้เนื้อหามันต่อเนื่องมากกว่าครับ จะได้มีคนสนใจจะโหวตให้ (สารภาพตรงๆเลยเอ๊า!)

หลายๆคนคงคิดว่าผมแอนตี้เกาหลี ขอบอกว่ามันก็จริงบ้าง แต่ไม่ได้ทุกอย่าง ทุกวันนี้ก็ฟังเพลงเกาหลี อาหารเกาหลีก็กินบ้าง (ถ้ามีตังค์นะ) และโหลดโปรแกรมเกาหลีมาใช้ (ถ้ามันฟรี)

หลายครั้งก่อน ผมเขียนชมอะไรกับค่ายนี้ไปเยอะ เพราะเขาไม่ค่อยจะ "พรีเซนต์" ตัวเองมากจนเกินไป และไม่โอ้อวดสรรพคุณตัวเองเกินขนาดจนเป็นที่น่าตบเกรียนแตกแบบค่าย A และ N

แต่สำหรับเขา เขาอาจจะเป็น Hidden ของเกาหลีอยู่ก็เป็นได้ เพราะแทบไม่เคยเอาคนไทยไปแอบอ้างบอกว่าของเขาขายดีที่สุดในเอเชียตะวันออก เฉียงใต้ (คุ้นๆมั๊ย)

 

 เอาล่ะ มาดูกันดีกว่าว่ามันหน้าตาเป็นยังไง

คุณสามารถโหลดโปรแกรมนี้ได้จาก Softpedia หรือ Download.com นะครับ เพราะผมลองโหลดจากเว็บเขาแล้วยังมีปัญหาอยู่ (ก็ไม่รู้จะแก้วันไหน)

 


 

UI สำหรับผม ผมคิดว่ายังใช้งานยากอยู่ เพราะปุ่มกับลิ้งค์ขนาดเล็กมาก เลยไม่รู้ว่าคลิกตรงไหนได้มั่ง(มองโลกในแง่ดีคือเหมาะกับ Netbook นะ)

ส่วนของ Firewall

อันที่จริงค่าเดิมของมันถูกตั้งให้่ปิดหมดยกเว้น Antivirus ซึ่งผมก็ไม่รู้ว่าทำไมกะว่าจะให้เล่นเกมออนไลน์แบบไม่ถามเลยรึไงฟะ ?

พอทดลองเปิด Firewall มันก็จะมี Popup ขึ้นมาตามปกติ แต่คุณจะต้องเลือกข้อสองคือ Enable outbound process rule ไว้นะครับ ไม่งั้นมันจะเป็น Firewall ขาเดียว แต่ก้มีข้อดีกับพวกโปรแกรมเจ้าปัญหาอย่าง GameGuard เพราะคงทำมาเพื่อเหตุผลแบบนี้

 

เรื่องการรักษาความปลอดภัยพื้นฐานนั้นไม่ต้องอธิบายเนอะ เช่นพวกสแกนยังไง เจอไวรัสแล้วทำยังไง

แต่ที่น่าสนใจของโปรแกรมนี้คือ "เป็นระบบ 2 Engine คือ Hauri+BitDefender" [ข้อมูลเรื่องเอ็นจิน]

ดังนั้นการตรวจจับก็หวังผลได้บ้าง

 

มาดูเรื่องกาสรใช้สเ้ปคกันบ้าง ผมเคยบอกไว้วว่ายิ่งโปรแกรมไหนใช้เอ็นจินมากเท่าไหร่ มันจะยิ่งหนักเครื่อง ซึ่งก็พิจารณาดูเอานะครับ

 


ตอนปกติ

 

 

ตอนสแกน


 

การสแกนก็ทำได้ค่อนข้างช้า


สเปคเครื่องที่ใช้ก็เหมือนกับตอนที่ทดลองกับ Kingsoft นี่หล่ะครับ

 

มาดูส่วนอื่นๆที่น่าสนใจกันต่อดีกว่า

ผมชอบส่วนนี้ครับ นั่นคือ Folder Protection คือเราจะกำหนดโฟลเดอร์ต่างๆ ให้เป็นส่วนตัวได้

ดูตัวอย่างนะครับ

 

 

ผมใส่โฟลเดอร์นึงลงไป แล้วกดล๊อคไว้ทุกอย่าง

เมื่อผมลบ เปิด เอาไฟล์อื่นๆเพิ่มลงไป  ก็จะทำไม่ได้ เป็นแบบนี้ตลอด

 

ลบไม่ได้

 

เพิ่มไฟล์ลงไปก็ไม่ได้

 

นับว่าเป็นผลดีเมื่อเราต้องการให้โฟลเดอร์ของเราเป็นส่วนตัวจริงๆ (แต่ใครจะเอาไปใช้กับอะไรก็อีกเรื่องนึงนะครับ)

 

มาดูส่วนที่น่าสนใจอื่นๆกันต่อ ให้เข้ามาที่ Services

 

ส่วนที่น่าสนใจส่วนแรกคือ ก็คือ Cleaner วงสีแดงๆ ที่ทำความสะอาดเครื่องเราได้แบบหมดจรดแต่จะต้องไปเปิดฟังก์ชั่นการสแกนขั้นสูงใน Wizard เองนะ

 

 

ส่วนที่สองในวงสีส้มๆคือ URL Blocker คือส่วนที่ไว้ใช้บล๊อกเว็บไซท์ที่เป็นอันตราย ค่าเดิมคือปิด เพราะฉะนั้น เราต้องมาเปิเองอีกแล้ว

สรุป : Hauri ViRobot  ไม่เหมาะกับคนที่นิยมใช้ค่า Factory Settings อย่างมาก เพราะค่าเดิมของมันคือเปิดแค่ Antivirus และ Update แบบ Manual ถือว่ามีคตวามปลอดภัยต่ำมาก

คุณจะต้องมาเปิดและตั้งค่ากันซักนิด ถึงจะใช้งานได้อย่างไม่มีปัญหา แถม Firewall ยังไม่ค่อยฉลาด (Firefox,MSN มันยังถาม) ดังนั้นมันเหมาะกับผู้ใช้ระดับปานกลางขึ้นไปครับ

ข้อดีของมันคือใช้ทรัพยากรน้อย ในบรรดา Antivirus ที่มีหลายเอ็นจิน เมื่อเทียบกับ GData (BitDefender+Avast) หรือ F-Secure (BitDefender+F-Secure)

ดูข้อมูลเพิ่มเติมได้ที่ เว็บอย่างป็นทางการของ Hauri ครับ

สวัสดีครับทุกท่าน ตอนนี้หลายๆคนคงจะได้ยินข่าวเรื่องที่ AS เอาโปรแกรม Antivirus ชื่อ Kingsoft จากจีนเข้ามาขายในราคาไลเซ่นปีละ 189 บาท จากข่าว เอเชียซอฟท์ พลิกบทบาทผู้นำเกมออนไลน์ ครั้งแรกกับการก้าวสู่การทำธุรกิจใหม่

ซึ่งจะหาซื้อได้ด้วยการเติมบั้ตร a-cash ตามแบบฉบับ AS (แต่มองในแง่ดี มันสะดวกจริงๆนะเออ)

เข้าเรื่องเลยครับ

av-comparatives ได้ออกผลการทดสอบเมื่อเดือน กพ. ที่ผ่านมาครับ เป็นการทดสอบแรกของปี 2553/2010

ซึ่งผลการทดสอบนี้น่าสนใจมาก เพราะมีการแข่งขันจากโปรแกรมจำนวนมาก

รวมทั้งมีหน้าใหม่ในการแข่งขันคือ

  1. จากอินเดีย K7 TotalSecurity 
  2. จากญี่ปุ่น Trend Micro AntiVirus plus AntiSpyware
  3. จากสเปน Panda Antivirus Pro
  4. จากไอร์แลนด์ PC Tools Spyware Doctor with AntiVirus 

ส่วนที่เหลือ ก็หน้าเดิมๆ ในการทดสอบคราวก่อนครับ

เอาหล่ะ ช้าอยู่ใย มาดูผลการทดสอบเลยครับ ว่าโปรแกรมที่เข้าร่วมการทดสอบเดิม จะสูสีกับโปรแกรมใหม่แค่ไหน

การทดสอบคือให้สแกนไฟล์ตัวอย่างที่มีไวรัสอยู่ 1,224,732 ไฟล์ ปะปนกับไฟล์ทั่วไปเพื่อดูว่าโปรแกรมนั้นจะมี False Positives ด้วยรึเปล่า และจะมากแค่ไหนด้วย

 

 

 

 

 

 

จากตารางสรุปออกมาเป็นเปอร์เซ็นต์ตามภาพล่างครับ

 

และสร้างเป็นแผนภูมิได้ดังนี้ครับ

 

จากแผนภูมิ ค่ายิ่งมากยิ่งไม่ดี เพราะแปลว่าไวรัสจะหลุดจากการตรวจจับได้เยอะ

 

ในที่นี้ ถึงจะหลุดรอดไปแค่ 1-2% ก็ยังเยอะอยู่ดี

เพราะ 1% จากล้านตัวนั่นหมายถึงพลาดไปเกือบหมื่นไฟล์ ระวังไว้ด้วย

 

ในกราฟ พบว่า Kingsoft ที่ AS ภูมิใจนักหนา พลาดไปถึง 18% ซึ่งมากที่สุด ลองเอาไปคำนวณเล่นๆดูกันนะครับว่าพลาดไปกี่ตัว

กลับมาต่อ เดี่ยวอารมณ์จะค้าง เอ๊ย! ขาดตอน

ส่วนที่ผมชอบคืออัตราการเกิด FP ครับ

 

พบว่า K7 มี FP มากถึงเกือบๆ 200 ตัว ทำลายสถิติที่ Kingsoft ทำไว้ครับ

(แต่คงไม่มีใครทำลายของ Fortinet ได้ เพราะมีครั้งนึง FP กระจุยกระจายเกือบๆ 1,000 ไฟล์จนถูกถอนออกจากการทดสอบไปเลย)

สรุปออกมาเป็นแผนภูมิได้ตามภาพล่าง

FP เยอะหมายถึงจะมีการแจ้งเตือยผิดพลาดบ่อยๆ เพราะงั้น ระวังเรื่องนี้ด้วยนะครับ บางทีมันแจ้งเตือนแล้วไม่ใช่ไวรัสก็มี ขึ้นอยู่กับความรู้ของคนใช้แล้ว

 

และก็ถึงส่วนที่ทุกคนรอคอย นั่นคือ Scaning Speed ความเร็วในการสแกนครับ

ก็ออกมาตามนี้เลย

 

วัดกันเป็น MB ต่อวินาที เพราะฉะนั้นหากคุณมีข้อมูลในเครื่องเยอะๆ ก็ เอาไปคำนวณกันเองอีกรอบครับ

จากประสบการณ์ ผมว่า Avira สแกนเร็วจริงๆหล่ะ แต่เวลาสแกนมันจะใช้ทรัพยากรเครื่องสูงด้วย ให้คำนึงถึงเรื่องนี้ด้วยนะครับ เพราะการทดสอบคือสั่งสแกนเมื่อคอมพิวเตอร์เปิดเครื่องไว้เฉยๆ ไม่ได้ถูกใช้งานครับ

ส่วนจากประสบการณ์อีกครั้งกับ Kaspersky และ BitDefender มันก็สแกนช้าในครั้งแรกๆ เพราะการทดสอบผมไม่รู้ว่าเค้าติดพวกโปรแกรม Undo ไว้ด้วยรึเปล่า

แต่ก็อย่าเพิ่งตายใจไป สแกนเร็วๆในที่นี้ มองได้อีกมุมว่าโปรแกรมนั้นทำงานแบบหยาบๆครับ

และก็ส่งท้ายด้วยสรุปจากทาง AV-Comparatives ตามภาพล่างครับ

 

 

 

งานนี้ก็ขอแสดงความยินดีกับผู้ใช้ Avira, PC Tools และ Avast ด้วยครับ (รายอื่นๆอาจมีคนใช้น้อย)

สำหรับคนที่ใช้รุ่นฟรีของ Pctools ก็ไม่ต้องวิตกกังวล เพราะรุ่นฟรีใช้เอ็นจินเดียวกันกับรุ่นเสียเงิน ที่โดนตัดออกคือเรื่องอื่นๆครับ ไม่ใช่การตรวจจับ

(AVG,Avast,Avira และ MSE คงไม่ต้องอธิบายแล้ว)

ส่งท้ายเหมือนเดิม ถึงโปรแกรมที่คุณใช้ได้คะแนนไม่ดี ก็ไม่ต้องน้อยใจไป ให้หมั่น Update โปรแกรมบ่อยๆ มันก็จะทำงานได้ดีขึ้นแน่นอนครัับ

เป็นยังไงกันบ้างล่ะครับ สำหรับการทดสอบครั้งนี้ ไว้คราวหน้าถ้ามีจะเอามาฝากอีกนะครับ ไว้เป็นแนวทางเลือกเฉยๆ ไม่ได้มาดิสเครดิตอะไรใครนะครับ (มีจิกกัด+แทะโลมเล็กน้อย เพื่อสีสันครับ )

วันนี้ผมได้รับทวิตของ @MalwareCity และ @ARiPToday รายงานเรื่องหนอนตัวนี้อยู่ครับ

ทาง BitDefender พบหนอนไวรัสสายพันธุ์ใหม่ที่สามารถเขียนทับ (overwirte) ข้อมูลส่วนทีเรียกว่า master boot records (MBRs) ของทุกไดรฟ์ในฮาร์ดดิสก์ด้วยข้อมูลของมันเอง

ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้ ซึ่งหมายความว่าระบบจะ Boot ไม่ขึ้นเลยเมื่อหนอนทำงานสำเร็จ

มีเพิ่มเติมอีกด้วยว่า การกู้ข้อมูลให้คอมพิวเตอร์ที่โดนหนอนไวรัสตัวนี้โจมตีจะมีขั้นตอนที่ค่อนข้างซับซ้อน และต้องใช้ซอฟต์แวร์เฉพาะ ตลอดจนอาจถึงกับต้องเรียกใช้ผู้ให้บริการที่มีความเขี่ยวชาญ

สำหรับหนอนไวรัสดังกล่าวมีชื่อดังต่อไปนี้

  • Eset: Win32/Zimuse.A 
  • Bitdefender: Worm.Zimuse.A
  • Avira: Worm/Zimuse.A
  • Symantec: W32.Zimuse
  • Panda: W32/Mseus.A
  • Kaspersky: Virus.Win32.Mseus.a
  • F-Secure: Dropped:Worm.Zimus.A
  • Sophos: W32/Mseus-A
  • Dr.Web: Trojan.Winlock
  • VirusBuster: Worm.Mseus.A
  • Hauri: Worm.Win32.S.Zimuse

โดยทาง ESET บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยระบุว่า หนอนไวรัสทั้งสองกำลังแพร่ระบาดในกลุ่มผู้ใช้คอมพิวเตอร์ในสโลวาเกีย ซึ่งคิดเป็นอัตราส่วนมากกว่า 90% ของผู้ที่ตกเป็นเหยื่อ (สังเกตได้จากโดเมน .sk)

นอกจากนี้ ยังพบอีกด้วยว่า คอมพิวเตอร์ที่กำลังโดนโจมตีจากหนอนไวรัสตัวนี้ได้เพิ่มจำนวนอย่างรวดเร็ว ไม่ว่าจะเป็นในสหรัฐ ตามมาด้วยสโลวาเกีย ไทย และสเปน

สำหรับการแพร่กระจายของหนอนมีสองวิธีด้วยกัน

  1. วิธีแรกพวกมันจะฝังตัวอยู่ในเว็บไซต์ทั่วไป โดยจะอยู่ในรูปของไฟล์บีบอัด ZIP ที่สามารถคลายไฟล์ได้ในตัว หรือโปรแกรมทดสอบ IQ
  2. วิธีที่สองคือก๊อปปี้ตัวเองลงไปในสื่อบันทึกข้อมูลพกพาอย่างเช่น USB Drive ซึ่งความสามารถในการแพร่กระจายผ่านสื่อพกพาได้ จะทำให้หนอนไวรัสพันธุ์นี้แพร่กระจายตัวเองได้เร็วยิ่งขึ้น

มาดูไฟล์วิดิโอสาธิตวิธีการทำงานกันก่อนครับ

 

การทดลองทำกันบน VMWare ซึ่งผู้ผลิตโปรแกรมป้องกันไวรัสมักจะใช้วิธีนี้ในการค้นหาข้อมูลและการทำงานของไวรัสต่างๆครับ

การทำงานคือ

  1. ก๊อปปี้ไฟล์ tokset.dll ลงไปในไดรฟ์หลัก 
  2. สร้างไฟล์ใน C:\system32\DRIVERS\Mstart.sys, C:\DRIVERS\Mseu.sys และ C:\msues.exe ตามลำดับ
  3. สร้างค่ารีจิสตรี [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe"
  4. เปลี่ยนแปลงรีจิสตรี [HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\MSTART]
    -EventMessageFile=%SystemRoot%\System32\Drivers\MSTART.SYS;%WINDIR%\MSTART.SYS
    -TypesSupported=dword:7
  5. และลูกไม้เดิมคือ สร้างไฟล์ Autorun.inf และ zipsetup.exe ในแฟลชไดรฟ์เพื่อให้รันตัวเองตอนดับเบิ้ลคลิกเข้า

สามขั้นตอนง่ายๆ แต่กผลออกมาอันตรายกว่าที่คิด

ปล.ในขั้นที่ 2 จะไม่สามารถทำกับ OS แบบ 64 Bit ได้นะครับ แต่อย่าเพิ่งสบายใจไป เพราะค่า Registry มันเปลี่ยนได้กับทุกวินโดวส์

การทำงานในระบบ 

เมื่อหนอนรันแล้ว แล้วจะได้หน้าต่างแบบนี้

  มีข้อความ error ขึ้นมาพให้ Restart เครื่อง

มีข้อความ error ขึ้นมาให้ Restart เครื่อง

 

เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ 

แต่เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ตามปกติ

ทั้งนี้เนื่องจาก MBR ถูกทำลายไปแล้ว

เนื่องจากมันจะไปลบไฟล์ NTDETECT.COM, NTLDR, BOOTMGR, HYBERFIL.SYS และ BOOT.INI ในไดรฟ์ C:\ ออก

ข้อมูลจากทาวอาวีร่าบอกว่ามัลแสรืตัวนี้เขียนขึ้นด้วยภาษา C++ ครับ

เพราะฉะนั้น ทางที่ดีที่สุดในการป้องกันมัลแวร์แบบนี้ คือการติดตั้งโปรแกรมป้องกัน และอย่าคลิกลิ้งค์อะไรมั่วซั่วตามเว็บ

บางคนปิดโปรแกรมป้องกันไปเลย (สำหรับคนที่เชื่อคำแนะนำของ GM ไร้สมองบางคน) เพื่อเล่นเกมที่ตัวมันแสนแสนจะ "สำออย" โดนกระทบอะไรหน่อยไม่ได้ ขี้งอน Error ตลอดแถมชอบปิดตัวเองไปบ่อยๆ

แต่เมื่อไวรัสสร้างความเสียหายแล้ว เราอาจจะมานั่งเครียดเพราะเข้า OS ไม่ได้ ก็ไม่รู้ว่าที่เครียดเนื่ย เพราะเสียดายไฟล์งาน หรือกลัวว่าจะไม่ได้เข้าไปเล่นเกมกันแน่นะ (ไม่วายแอบกัดเล็กน้อย)

ป้องกันไว้และอย่าประมาท แล้วจะรู้ว่า USER คือ Antivirus และ Internet Security ที่ดีที่สุดในโลกที่ไม่ต้องเสียเงินซื้อครับ

Links

ด่วน!!! พบ"หนอนไวรัส"พันธุ์ใหม่ร้ายกาจมาก เล่นงานฮาร์ดดิสก์จนใช้การไม่ได้ แพร่บนเน็ต & USB < via Arip

Be aware that there is a Hard-Disk Wrecking Worm out there, < via MalwareCity

Worm/Zimuse.A - Worm Description < via Avira