Friday, February 15, 2008

People's republic of Thailand virus

หลายเดือนก่อนเขียนถึง Flashy worm ซึ่งดูเหมือนว่าจะมีต้นกำเนิดอยู่ในประเทศไทย แล้วก็ระบาดไปตามที่ต่าง ๆ อย่างรวดเร็ว ด้วยเหตุผลที่ว่า โปรแกรม AntiVirus ของต่างประเทศมันยังไม่รู้จัก โดยไวรัสมันใช้ช่องโหว่ของความสามารถในการ run ไฟล์ autorun.inf อัตโนมัติบน Windows

เมื่อสักสองสามเดือนก่อนก็เริ่มเจอ ไวรัสอีกตัวหนึ่ง ซึ่งก็คงจะเป็นไวรัสสายพันธุ์ไทยเช่นเดียวกัน และใช้ไฟล์ autorun.inf ในการแพร่กระจายเชื้อเช่นเดียวกัน โดยเจ้าตัวไวรัสเองมันเป็น visual basic script (.VBS) ปัญหาของไวรัสตัวนี้ทำให้หน้า Home page ของ Internet Explorer กลายเป็นปรากฏคำว่า People's Republic of Thailand แทน บางทีก็มีกระแสข่าวมาบ้างเหมือนกันว่าทำให้ flash drive ข้อมูลหายเกลี้ยงได้เหมือนกันครับ นอกจากนี้เจ้าไวรัสตัวนี้มันยังมีความสามารถในการซ่อนตัวหลายอย่างด้วยกัน ก็คือ
  • ขนาดไฟล์ (ตัวไวรัสเอง) เปลี่ยนไปเรื่อย ๆ ไม่คงที่
  • ชื่อไฟล์เกิดจากการสุ่ม ซึ่งจะเปลียนไปเรื่อย ๆ
  • การลบไฟล์ออกจากระบบเพียงอย่างเดียวไม่ช่วยให้ไวรัสหายไปเพราะว่ามันถูก load ขึ้น memory ทุกครั้งที่มีการเปิดเครื่องใหม่



วิธีการแก้ ในตอนนี้ก็มี post เอาไว้มากมายใน internet ลอง search หาใน google ด้วย keyword คำว่า People's Republic of Thailand ก็จะพบเต็มไปหมด

วิธีการแก้จะต้องทำใน Safe mode เพราะไวรัสตัวนี้มันจะถูก load ผ่าน registry ทุกครั้งที่มีการ boot Windows ครับ


  • Boot เข้า safe mode ด้วยการกด F8 ไปเรื่อย ๆ ตอนบูตเครื่อง เลือก safe mode
  • เข้าไปที่ folder \Windows\System32
  • หาชื่อไฟล์ที่นามสกุล .vbs ที่มีชื่ออ่านไม่ออก แบบในรูปข้างบน แล้วลบทิ้งให้หมด
  • ไปที่เมนู Start -> Run... -> พิมพ์ msconfig [enter]
  • เอาเครื่องหมายถูกออกจากหน้าไฟล์ที่นามสกุล .vbs ให้หมด
  • เข้า registry edit เพื่อแก้ให้หน้าจอ home page ของ Internet Explorer กลับเป็นปกติ ไปที่ Start -> Run -> regedit [enter]
  • ไปที่ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
  • แก้ไขค่า Start Page ให้กลายเป็น about:blank

เท่านี้ก็เป็นเสร็จครับ ปัญหาก็คือ ในอนาคต เราอาจจะเจอกับ ไวรัสที่เป็น vbs ที่มากับ autorun ได้อีก

วิธีแก้ปัญหาก็มีหลายวิธีด้วยกัน
  • ทำให้ไฟล์ .vbs ถูกเปิดด้วย โปรแกรมอื่น (เช่น notepad) แทน script จะได้ไม่ถูก run โดยที่เราไม่รู้
  • โดยการไปที่ Explorer -> Tools -> Folder options
  • ไปที่ File association หา item ชื่อ vbs
  • กดเข้าไปเปลี่ยนชื่อโปรแกรมที่จะใช้ run ให้กลายเป็น notepad.exe
เท่านี้ทุกครั้งที่มีการ run ไฟล์ vbs ผ่านทาง autorun.inf ก็จะเป็นการเปิด ไฟล์ผ่าน notepad แทน
วิธีนี้จะทำให้เรา run ไฟล์ vbs script โดยการ double click ได้อีก เพราะมันจะไปเปิด notepad แทน

อีกวิธีคือการแก้ registry ปิด function autorun.inf
  • ไปที่ Start -> Run... -> regedit
  • ไปที่ HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> Cdrom
  • ตั้งค่าของ Autorun จาก 1 เป็น = 0

อีกวิธีหนึ่ง คือ ใช้โปรแกรม ที่ลบไฟล์ autorun.inf ทุกครั้งที่ทำการเสียบ flash drive เข้าไป รวมไปถึง drive ชนิดอื่น ๆ ด้วย คือโปรแกรมนี้เลยครับ Autorun Eater

หรือถ้าหากไม่อยากปรับแต่งอะไรกับระบบเลย ก็ต้องระวังตัวกันเองครับ โดยการป้องกันการเปิดไฟล์ autorun ทุกครั้งที่จะเสียบ flash drive โดยการกด shift ค้างไว้ทุกครั้งระหว่างที่เสียบ flash drive และเวลาจะเปิด flash drive ทุกครั้งผ่านทาง My Computer ให้ใช้ click ขวา แล้วเลือก Explorer แทนการ double click แทนครับ

สำหรับการลบไวรัสใน flash drive ซึ่งทุกวันนี้ยังมีคนเอามาให้ลบอยู่ตลอด ง่ายที่สุดคือ ใช้ linux แล้วก็เข้า console ไปลบ *.vbs กับ autorun.inf โดยไม่ต้องกลัวติด เพราะไวรัสมันไม่รู้จัก linux และ linux ก้ไม่ใช้ autorun ครับ

No comments: