หน้าเว็บ

วันอังคารที่ 21 มกราคม พ.ศ. 2557

ไวรัสคอมพิวเตอร์

     -Brontok
ลักษณะอาการ
- Menu Folder Option จะหายไป
- จะเกิดไฟล์ .exe ชื่อเหมือน Folder ในทุก Folder ที่เปิดเข้าไปดู
- มีหน้าเวปขึ้นมาเขียนว่า Brontok
- ไม่สามารถเรียกใช้ Registry Editor และFolder Option ได้
วิธีแก้ไข
1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode ( กด f8 รัวๆ ตอนรีบู๊ดเครื่อง) เลือกเข้าในฐานะของ Administrator
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start upยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่
5. โหลด File UnHookExec.inf จาก http://securityresponse.symantec.com/avcenter/UnHookExec.inf
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ลบค่า
NoFolderOptions" = "1
8. ไปที่ %UserProfile%\Local Settings\Application Data\ ลบ File csrss.exe , inetinfo.exe , lsass.exe ,
services.exe , smss.exe , winlogon.exe ออกให้หมด
9. ไปที่ %UserProfile%\Start Menu\Programs\Startup\ลบFile Empty.pif
10. ไปที่ %UserProfile%\Templates\ ลบFile A.kotnorB.com
11. ไปที่ %Windir%\inf\ ลบfile norBtok.exe
12. ไปที่ %System%\ ลบfile 3D Animation.scr
------------------------------------------------------------------------------------------------------------------------

      - Svchost.exe
เป็น Worm ชนิดหนึ่ง ที่สร้างชื่อเลียนแบบไฟล์ Svchost.exe ของระบบปฏิบัติการWindow ซึ่งไฟล์ svchost.exe เป็นไฟล์ generic host
processใช้รัน กับ DLL ไฟล์เพื่อสร้าง Service ขึ้นมาเช่น EventSystem,Netman,NtmsSvc,RasMan โดยที่สามารถรันได้หลายๆ
instance พร้อมกัน
อีกชื่อหนึ่งที่ใช้คือ W32.CodeBlue ซึ่งส่งผลกระทบกับระบบปฏิบัติการ Windows ที่ใช้งานโปรแกรมประยุกต์ IIS
ขั้นตอนการทางานของ W32.CodeBlue
1.เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:\Inetpub\wwwroot\scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคาสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:\Svchost.exe และเรียกใช้งาน
4. C:\Svchost.exe จะทาการสร้างและแก้ไขส่วนต่างๆ ของระบบ
W32.CodeBlue จะสร้างและแก้ไข
1. ทาการสร้างไฟล์ C:\Svchost.exe และแก้ไข registry ดังนี้
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
2. สร้างไฟล์ชั่วคราวที่ C:\d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:\WINNT\system32\Wscript.exe
3. ไฟล์ d.vbs จะทาการลบไฟล์ .ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
4. ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทาการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน
วิธีตรวจสอบ
ใน Drive C หรือ D จะมี Folder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมี Folder ต่างๆ เช่น c , cpu ,n ,w และอื่นๆ
- ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:\WINDOWS\system32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญ่จะอยู่ใน C:\Svchost.exe หรือ
C:\WINDOWS\Svchost.exe
วิธีแก้ไข
1. ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่ HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
2. ฝั่งขวาของข้อความจะแสดงค่า C:\svchost.exe ให้ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3. ค้นหาและลบไฟล์ C:\svchost.exe และ C:\d.vbs
เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)