Thursday, July 20, 2006

วิธีการกำจัด worm Flashy: Flashy.exe

อาการของ worm ตัวนี้คล้าย ๆ กับ Rontok worm โดยจะติดจากคอมพิวเตอร์ที่ติด ไปยัง thumb drive และจาก thumb drive จากสร้าง file สกุล .exe ขึ้นมาโดยใช้ชื่อเดียวกับ folder ที่มีอยู่ใน thumb drive อันนั้น ส่วนตัว folder จริง ๆ จะถูกกำหนด attribute ให้เป็น hidden หลังจากนั้นเจ้า worm ก็จะทำการซ่อนเมนู Tools -> Folder options ใน Windows Explorer

อาการของ worm ตัวนี้สังเกตได้คือ
- menu Tools -> Folder Options หายไป
- พบไฟล์ชื่อ Flashy.exe ขนาด 21185 bytes บน thumb drive และใน folder \Windows\System32
- ถ้าเลือก properties จาก context menu ของ icon Folder ต่าง ๆ บน thumb drive จะพบว่าเป็นไฟล์ application และขนาดเท่ากับ 21185 bytes

เมื่อผู้ใช้ double click ที่ icon folder บน thumb drive (ซึ่งที่จริงแล้วคือเจ้า worm ต่างหาก) โปรแกรมก็จะทำการ copy ตัวเองเข้าไปอยู่ในระบบของ PC นั้น ๆ และจะทำการ load ตัวเองเมื่อเริ่ม Startup เพื่อรอคอยการแพร่กระจายผ่าน thumb drive ต่อไป

จนถึงวันนี้ (20/7/49) ยังไม่มีโปรแกรม antivirus ที่สามารถหาเจ้า worm ตัวนี้ได้เจอ ไม่ว่าจะเป็น AVG, BitDefender วิธีแก้ทำได้โดยการ manual removal ครับ


Boot เข้า safe mode ก่อน
1. ปิด system restore
2. search หาไฟล์ flashy.exe โดยการใช้ Advanced Search โดยเลือก Search Hidden File and Folder.
3. ลบไฟล์ flashy ใน C:\windows4. เข้า msconfig จะพบ systemid.pif อยู่ ให้ลบทิ้ง
5. เข้า regedit เพื่อหาไฟล์ systemid.pif และลบทิ้ง
6. ใช้ tool ของ rontokbro เพื่อเปิด folder options หรือไปที่ regedit ->
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\Explorer
  • ทางกรอบขวามือจะพบรายการ "NoFolderOptions" = "1" ให้ Delete ได้เลย เพื่อ Folder Options ใน Explorer ที่หายไปกลับคืนมา
* ถ้าเข้า regedit ไม่ได้ ให้ download ตัวแก้ที่นี่
http://securityresponse.symantec.com/avcenter/UnHookExec.inf

ลองกด Ctrl-Alt-Del ถ้าเข้า Task manager ไม่ได้ให้แก้
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ System
ตั้ง DisableTaskMgr = 0

อย่าลืมว่า folder ที่ถูก worm โจมตีถูกแก้ attribute ให้เป็น hidden ดังนั้น ต้องทำการแก้ attribute กลับมาก่อนจึงสามารถมองเห็นได้ตามปกติครับ ซึ่งข้อมูลไม่ได้หายไปไหน

ส่วน thumb drive ที่ติด วิธีง่ายที่สุดคือ เอาไปลบไฟล์ .exe ที่เป็นตัว worm ออก โดยใช้ OS อื่น เช่น Linux หรือ Mac ครับ


ข้อควรระวังก็คือ เนื่องจากยังไม่มีโปรแกรม antivirus ตัวใดที่ detect เจ้า worm ตัวนี้ได้ ดังนั้น ควรระวังในการนำ thumb drive ไปใช้กับเครื่องคอมพิวเตอร์แปลกหน้า ซึ่งอาจทำให้ติดกลับมาอีกก็เป็นได้ครับ

9 comments:

Anonymous said...

วิธีแก้ไขเท่าที่ทำได้ตอนนี้คือใช้ bitdefender antivirus รุ่นที่แจกฟรี และ update แล้ว
disable system restore
เข้า safe mode โดยกด F8 เวลาบูทเครื่อง
scan เครื่องด้วย bit defender รวมทั้งสั่งให้ scan ตัว thump drive ด้วย มันจะลบไฟล์ที่ติดไวรัสออก

download bitdefender free version at

http://www.bitdefender.com/site/Download/evs/42_1/

ข้อควรระวัง ข้อแนะนำเพิ่มเติม

1. ให้ทำการ copy file จาก thumb drive ที่ติดเชื้อออกมายังเครื่องที่เติดเชื้อทั้งหมดก่อนที่จะทำการ scan virus ที่ thumb drive มิฉะนั้นจะมองไม่เห็น file เวลา copy ออกมาอย่าเอาทั้ง folder เอามาเป็น file ห้ามสร้าง folder ใหม่

2. หลังจากนั้นให้เข้า safe mode แล้ว scan ฆ๋าไวรัสทั้งเครื่องและ thumb drive
3. format thumb drive โดยเลือก แบบ FAT ธรรมดา
4. copy file ข้อมูลอันมีค่าของคุณกลับไปใส่ใน thumb drive ใหม่ตามต้องการ

ข้อสังเกตุคือไวรัสจะโจมตีการสร้าง folder ดังนั้นในช่วงนี้เพื่อความปลอดภัย ไม่ต้องเก็บไฟล์ในลักษณะเป็น folder เก็บเป็นไฟล์ๆจะปลอดภัยกว่า

Anonymous said...

comment

bitdefender สามารถตรวจพบและฆ่าได้ ขอให้ทำการ update ก่อน

ning said...

ขอบคุณมากๆๆค่ะ

ZyberNav said...

ตอนนี้เท่าทีทราบ Symantac Antivirus สามารถ scan และลบได้แล้วครับ เป็น signature ของวันที่ 27/7/06 ครับ

Anonymous said...

Your website has a useful information for beginners like me.
»

Anonymous said...

Your site is on top of my favourites - Great work I like it.
»

Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...
This comment has been removed by a blog administrator.