อาการของ worm ตัวนี้สังเกตได้คือ
- menu Tools -> Folder Options หายไป
- พบไฟล์ชื่อ Flashy.exe ขนาด 21185 bytes บน thumb drive และใน folder \Windows\System32
- ถ้าเลือก properties จาก context menu ของ icon Folder ต่าง ๆ บน thumb drive จะพบว่าเป็นไฟล์ application และขนาดเท่ากับ 21185 bytes
เมื่อผู้ใช้ double click ที่ icon folder บน thumb drive (ซึ่งที่จริงแล้วคือเจ้า worm ต่างหาก) โปรแกรมก็จะทำการ copy ตัวเองเข้าไปอยู่ในระบบของ PC นั้น ๆ และจะทำการ load ตัวเองเมื่อเริ่ม Startup เพื่อรอคอยการแพร่กระจายผ่าน thumb drive ต่อไป
จนถึงวันนี้ (20/7/49) ยังไม่มีโปรแกรม antivirus ที่สามารถหาเจ้า worm ตัวนี้ได้เจอ ไม่ว่าจะเป็น AVG, BitDefender วิธีแก้ทำได้โดยการ manual removal ครับ
Boot เข้า safe mode ก่อน
1. ปิด system restore
2. search หาไฟล์ flashy.exe โดยการใช้ Advanced Search โดยเลือก Search Hidden File and Folder.
3. ลบไฟล์ flashy ใน C:\windows4. เข้า msconfig จะพบ systemid.pif อยู่ ให้ลบทิ้ง
5. เข้า regedit เพื่อหาไฟล์ systemid.pif และลบทิ้ง
6. ใช้ tool ของ rontokbro เพื่อเปิด folder options หรือไปที่ regedit ->
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\Explorer
- ทางกรอบขวามือจะพบรายการ "NoFolderOptions" = "1" ให้ Delete ได้เลย เพื่อ Folder Options ใน Explorer ที่หายไปกลับคืนมา
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
ลองกด Ctrl-Alt-Del ถ้าเข้า Task manager ไม่ได้ให้แก้
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ System
ตั้ง DisableTaskMgr = 0
อย่าลืมว่า folder ที่ถูก worm โจมตีถูกแก้ attribute ให้เป็น hidden ดังนั้น ต้องทำการแก้ attribute กลับมาก่อนจึงสามารถมองเห็นได้ตามปกติครับ ซึ่งข้อมูลไม่ได้หายไปไหน
ส่วน thumb drive ที่ติด วิธีง่ายที่สุดคือ เอาไปลบไฟล์ .exe ที่เป็นตัว worm ออก โดยใช้ OS อื่น เช่น Linux หรือ Mac ครับ
ข้อควรระวังก็คือ เนื่องจากยังไม่มีโปรแกรม antivirus ตัวใดที่ detect เจ้า worm ตัวนี้ได้ ดังนั้น ควรระวังในการนำ thumb drive ไปใช้กับเครื่องคอมพิวเตอร์แปลกหน้า ซึ่งอาจทำให้ติดกลับมาอีกก็เป็นได้ครับ
9 comments:
วิธีแก้ไขเท่าที่ทำได้ตอนนี้คือใช้ bitdefender antivirus รุ่นที่แจกฟรี และ update แล้ว
disable system restore
เข้า safe mode โดยกด F8 เวลาบูทเครื่อง
scan เครื่องด้วย bit defender รวมทั้งสั่งให้ scan ตัว thump drive ด้วย มันจะลบไฟล์ที่ติดไวรัสออก
download bitdefender free version at
http://www.bitdefender.com/site/Download/evs/42_1/
ข้อควรระวัง ข้อแนะนำเพิ่มเติม
1. ให้ทำการ copy file จาก thumb drive ที่ติดเชื้อออกมายังเครื่องที่เติดเชื้อทั้งหมดก่อนที่จะทำการ scan virus ที่ thumb drive มิฉะนั้นจะมองไม่เห็น file เวลา copy ออกมาอย่าเอาทั้ง folder เอามาเป็น file ห้ามสร้าง folder ใหม่
2. หลังจากนั้นให้เข้า safe mode แล้ว scan ฆ๋าไวรัสทั้งเครื่องและ thumb drive
3. format thumb drive โดยเลือก แบบ FAT ธรรมดา
4. copy file ข้อมูลอันมีค่าของคุณกลับไปใส่ใน thumb drive ใหม่ตามต้องการ
ข้อสังเกตุคือไวรัสจะโจมตีการสร้าง folder ดังนั้นในช่วงนี้เพื่อความปลอดภัย ไม่ต้องเก็บไฟล์ในลักษณะเป็น folder เก็บเป็นไฟล์ๆจะปลอดภัยกว่า
comment
bitdefender สามารถตรวจพบและฆ่าได้ ขอให้ทำการ update ก่อน
ขอบคุณมากๆๆค่ะ
ตอนนี้เท่าทีทราบ Symantac Antivirus สามารถ scan และลบได้แล้วครับ เป็น signature ของวันที่ 27/7/06 ครับ
Your website has a useful information for beginners like me.
»
Your site is on top of my favourites - Great work I like it.
»
Post a Comment