วันอังคารที่ 21 มกราคม พ.ศ. 2557

Brontok

บร็อนต็อก (Brontok) เป็นไวรัสคอมพิวเตอร์ที่ทำงานบนไมโครซอฟท์ วินโดวส์ สามารถแพร่กระจายผ่านทางจดหมายอิเล็กทรอนิกส์ สายพันธุ์ต่าง ๆ มีดังนี้
  • Brontok.A
  • Brontok.D
  • Brontok.F
  • Brontok.G
  • Brontok.H
  • Brontok.I
  • Brontok.K
  • Brontok.Q
  • Brontok.U
  • Brontok.BH

ชื่ออื่น ๆ

ชื่ออื่น ๆ ของบร็อนต็อกมีดังนี้ W32/Rontokbro.gen@MM, W32.Rontokbro@mm, BackDoor.Generic.1138, W32/Korbo-B, Worm/Brontok.a, Win32.Brontok.A@mm, Worm.Mytob.GH, W32/Brontok.C.worm, Win32/Brontok.E, และ W32.Rontokbro.D@mm

วิธีการกำจัดไวรัส Brontok 

เป็นอย่างไรกับไวรัส Brontok
หน้าตาของ Brontok A 

การแพร่ระบาด 

1. ติดต่อกันได้ทางอินเตอร์เน็ต

2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive , หรือ อื่นๆ

3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร

อาการเมื่อติดไวรัส Brontok A , Brontok B 

1. มีรูป (แบบด้านบน) แสดงขึ้นหน้าจอโดยที่ไม่ได้เรียกใช้งาน

2. ไม่มี Folder Options ในเมนู Tool เมื่อเปิด Windows Explorer


2. เมื่อเข้า msconfig เครื่องจะรีสตาร์ท (Start --> Run พิมพ์ msconfig คลิก OK)

3. เปิดเข้า Registry Editor ไม่ได้


4. ในโฟลเดอร์ จะมี ไฟล์.exe ที่ชื่อเดียวกับชื่อของโฟลเดอร์ (เป็น Brontok B worm)


ขั้นตอนการกำจัด Brontok 

1. ติดตั้งโปรแกรมประเภทแอนตี้ไวรัสพร้อมอัพเดตไฟล์โปรแกรมล่าสุด
(ใน Wep Page นี้ จะยกตัวอย่างโปรแกรม NOD32)

2. ถอดสายแลนออก (ถ้ามี) เข้า Windows ในโหมด Safe Mode (การเข้า Safe Mode ทำได้โดยเมื่อกดสวิตช์เปิดเครื่องแล้ว หลังเสียงบี๊บของเครื่องดัง 1 ครั้ง ให้กดคีย์บอร์ด F8 ย้ำรอหลาย ๆ ครั้ง จนหน้าจอขึ้นข้อความที่มี Menu ให้เลือก กดปุ่มคีย์บอร์ดลูกศรชี้ขึ้นไปที่คำว่า Safe Mode กด Enter) แล้วทำการสแกนไวรัสทั้งฮาร์ดดิสก์และฆ่าทิ้ง (delete)
เข้า Windows Explorer แล้วคลิกขวาที่โฟลเดอร์ เลื่อนไปคลิกที่การสแกนไวรัสของโปรแกรมที่ติดตั้ง


ตั้งค่าการกำจัดไวรัสเมื่อสแกนพบ


เมื่อสแกนพบไวรัส ต้องคลิกสแกนซ้ำอีกเพื่อกำจัดไวรัส


เลือกกำจัดทีละโฟลเดอร์ที่คาดว่าจะมีไวรัส หรือกำจัดที่ไดรว์ C: , D: ทีเดียวเลยก็ได้ แต่อาจต้องใช้เวลานานหน่อย


3. รีสตาร์ทเครื่อง เข้าโหมดปกติ ต่ออินเตอร์เน็ต ไม่ต้องกลัวไวรัสอีกแล้ว เพราะได้อัพเดตไฟล์โปรแกรมเป็นปัจจุบันแล้ว ขั้นตอนนี้จะเป็นการแก้ไขให้เข้า Registry Editor ได้ วิธีการคือต้องเข้าไปดาวน์โหลดไฟล์ UnHookExec.inf ก่อนจากเว็บไซต์ http://securityresponse.symantec.com/avcenter/UnHookExec.inf

4. เมื่อได้ไฟล์ UnHookExec.inf มาแล้ว ให้คลิกขวาที่ไฟล์นี้ จากนั้นคลิกที่คำว่า Install เสร็จสิ้นแล้วให้รีสตาร์ทเครื่อง

5. ขั้นตอนนี้จะเป็นการแก้ไขให้เมนู Tool ใน Windows Explorer มีเมนู Folder Options วิธีการคือ เข้าไปใน Registry Editor โดยการคลิกที่ Start --> Run แล้วพิมพ์ regedit แล้วคลิก OK

6. ให้คลิกที่เครื่องหมาย + หน้าข้อความ ไล่ไปเรื่อย ๆ ตามเส้นทางต่อไปนี้ อย่าให้พลาด ถึงคำสุดท้ายให้คลิกที่ข้อความ
HKEY_CURRENT_USER / Software / Microsoft / Windows / Policies / Explorer
ในคอลัมน์ทางด้านขวา ให้ดับเบิลคลิกที่ NoFolderOptions จะได้กรอบขึ้นมา ให้แก้ในช่อง Value data ที่มีเลข 1 ให้เป็นเลข 0 แล้วคลิก OK แล้วออกจากโปรแกรมทั้งหมด รีสตาร์ทเครื่อง เป็นอันเสร็จพิธี



อันนี้เป็นอีกอันนึงที่อาจจะช่วยได้
ดาวน์โหลดโปรแกรมกำจัดไวรัส brontox ไปติดตั้งก่อน จากนั้นทำตามขั้นตอนต่อไปนี้

ขั้นตอนการกำจัดไวรัส
1. รันโปรแกรม CS_DevEvil แล้วคลิก start เพื่อเริ่มกำจัดไวรัส
2. โปรแกรมจะถามให้ Restart ให้ตอบ Cancel
3. รันโปรแกรม anti-virus เช่น Macfee , NOD32 , Avast แล้วทำการ scan drive เพื่อค้นหาไวรัสในแต่ละ Folder ที่หลงเหลืออยู่
หมายเหตุ: ทั้ง 3 ขั้นตอนต้องทำต่อกัน และควรปิดโปรแกรมอื่นๆ ก่อนเริ่มกำจัดไวรัส 
เขียนโดย ที่ 1 ความคิดเห็น:

shortcut

shortcut 

แก้ปัญหา ไวรัสซ่อน Folder แล้วสร้าง shortcut ใน FlashDrive

หลายคนคงเคยเจอกับปัญหาแบบนี้ ที่อยู่ดีๆ folder ใน Flash Drive หายไปหมด!! แต่ไฟล์อื่นๆดันอยู่ครบ หรือ ทุกอย่างปกติ แต่ไอ้เจ้า folder ที่ใช้เก็บข้อมูลต่างๆ ดันกลายเป็น .exe หมดเลย!! แล้วก็จะมีคำถามตามมาว่า “ทำไงดีงานอยู่ในนั้นหมดเลย ตาย…ล่ะทีนี้” ถ้าท่านที่เจอปัญหาแบบนี้ ให้ทำใจ…… ใจเย็นๆ ข้อมูลยังอยู่ เพียงแค่มีไวรัสบางตัวเอามันไปซ่อนไว้ และเราจะพาท่านเอามันกลับมา
ไวรัสประเภทนี้เป็นประเภท โทรจัน
เริ่มแรกมารู้จักก่อนว่ามันคืออะไรและติดมาได้ยังไง
ไวรัสตัวนี้มีชื่อว่า “ไวรัส ซ่อนไฟล์ ให้เป็น system และสร้าง shortcut”  แต่มีชื่อที่แตกต่างกันหลายชื่อเช่น VBS Worm,VBSRunauto,VBS/Yuyun A หรือ  malware DR/Agent.JP.4, TOEUW.EXE Virus/Malware
อาการของ ไวรัสตัวนี้ติดง่ายๆ เพียงแค่ท่านเอา Flash Drive ไปเสียเครื่องที่ติดไวรัสอยู่แล้ว และเมื่อท่านเปิด Flash Drive ก็จะติดทันที โดยอาการที่ติดจะเป็นดังนี้
ดัง ที่เห็นในภาพไวรัสจะซ่อน folder ไว้แล้ว สร้าง shortcut ชื่อเดียวกันกับ folder นั้นๆขึ้นมา เปรียบเทียบได้จากภาพ ซ้ายและขวา ในภาพซ้ายเป็นมุมมองปกติ ภาพขวาเป็นมุมมองแสดง folder จริงๆของเราที่ถูกซ่อนไว้พอไปคลิกที่ folder นั้นก็จะเป็นการรัน ไฟล์ไวรัส ที่ลิ้งค์ไปให้ทำงาน ดังในรูปนี้แสดงถึงว่า shortcut ไปที่ไฟล์ไวรัส พอ เราคลิกรันไปแล้ว ไวรัสก็จะทำงาน ถ้าเครื่องที่มี anti virus ก็ pop up ขึ้นมาเตือน ส่วนเครื่องที่ไม่มีหรือมีแต่ไม่ update ก็ติดแน่ๆ
วิธีแก้เบื้องต้นสำหรับ flash drive ที่โดนมาจากที่อื่นคือ folder ถูกซ่อนไว้หาไม่เจอ  แต่คอมพิวเตอร์ไม่ได้ติดไวรัสตัวนี้ไปด้วย
1. หลังจากเสียบ flashdrive แล้ว เปิด My Computer ดูว่า flashdrive ของเราอยูใน Drive อะไร เช่น F: , G: , H: ให้จำไว้แล้วปิดหน้าต่างนี้ไป ขั้นตอนต่อไป ไปที่ Start-> เลือก Run แล้วพิมพ์ว่า cmd
จะได้หน้าต่างสีดำๆขึ้น มาเรียกว่า command prompt ดังในรูป
2. หลังจากนั้นตามที่ให้จำว่า Flash drive เราอยู่ drive ไหน ได้แล้วให้พิมพ์ drive นั้น ลงไปเช่น D:  E: F: แล้วแต่เครื่อง
พอพิมพ์ drive ลงไป เช่นถ้าอยู่ drive H: ก็จะขึ้นดังนี้ H:\>
     แล้ว ให้พิมพ์คำสั่ง dir ซึ่งย่อมาจาก directory หมายถึง แสดง file และ folder ทีู่่อยู่ใน drive H โดยพิมพ์คำสั่ง dir /ah  มี /ah เพิ่มขึ้นมาหมายถึง ให้แสดงเฉพาะ file และ folder ที่ถูกซ่อนอยู่ (hidden) ซึ่งทีนี้เราก็จะเห็นแล้วว่า folder เก็บงานเราไม่ได้หายไำปไหน ยังอยู่ครบเพียงแต่ถูกซ่อนไว้ และ ทำให้สถานะเป็น system file ต่อไปเป็นการทำให้กลับมา
โดยพิมพ์ต่อใน command prompt เลย ให้พิมพ์ว่า attrib -s -h -r /s /d ดังในรูป
แล้วพิมพ์คำสั่งในการลบ Folder ที่ซ่อนอยู่ (ไวรัส) ดังนี้    H:\>attrib -s -h -r /s /d
ความหมายของคำสั่ง attrib มาจากคำว่า Attribute แปลว่าคุณลักษณะ เป็นคำสั่งจัดการกับลักษณะหรือประเภทไฟล์
ต่่อมา -s -h -r เป็นการระบุประเภทของไฟล์ นั้นๆ โดย R(Read-Only) H(Hidden File) S(System File) ส่วน /s /d
หมายถึงทุก file และ ทุกๆ folder รวมถึง sub folder คือ folder ย่อยๆนั้นเอง พอทราบความหมายแล้วมาดูผลการทำงานกัน
พิมพ์ attrib -s -h -r /s /d แล้ว Enter หลังจาก enter จะมีการทำงานของคำสั่งให้รอสักครู่
แล้วมาดูผลการทำงานกันโดยใช้คำสั่งเดิม คือ dir /ah ผลที่ได้หากไม่มี file หรือ folder ที่ถูกซ่อนไว้ถือว่าการทำงานสำเร็จ
คราวนี้ไปดูใน Flash drive กันว่าเป็นยังไงบ้าง ผลที่ได้ึืคือได้ folder ต่างๆ กลับมา
 
การแก้ไขโดยการปรแกรม SPKAutorunKiller
ดาวน์โหลดโปรแกรม       SPKAutorunKiller 2.4
     
เมื่อดาวน์โหลดเสร็จสิ้น
  1. ดับเบิลคลิกที่ไฟล์ SPKAutokillerV2.4.exe -----> Run -----> Install เพื่อติดตั้งโปรแกรม
  2. หากติดตั้งโปรแกรมแล้วเครื่องเตือนว่ามีerror บางอย่างและไม่มีสัญลักษณ์ SPK ขึ้นที่มุมล่างขวา  ให้ติดตั้งปรแกรม DOTNET ซึ่งเป็นตัวเสริมเพิ่มและดิบเบิลคลิกที่ไอค่อน Spk ที่หน้าจออีกครั้ง โปรแกรมจะถูกติดตั้งไว้ในเครื่อง และทำการลบไวรัสโดยอัตโนมัติเมื่อมีการเสียบแฮนดี้ไดร์ฟ หรือสื่อบันทึกข้อมูลแบบพกพา
 
***หมายเหตุ***  เมื่อแฮนดี้ไดร์ฟ ติดไวรัสนี้แล้ว อย่า!!!!! คลิกเพื่อเปิดไฟล์หรือดับเบิ้ลคลิกไฟล์ที่กลายเป็น shortcut เด็ดขาด ไม่เช่นนั้น เครื่อง คอมพิวเตอร์เครื่องนั้นจะกลายเป็นแหล่งแพร่ไวรัสทันที
กรณีเครื่องคอมพิวเตอร์เครื่องนั้นเป็นตัวแพร่เชื้อไวรัส Shotcut ไปแล้ว
ให้ใช้โปรแกรม ComboFix จัดการไวรัสในเครื่อง

****การใช้งาน ComboFix แนะนำให้ใช้งานบน SeftMode นะครับ เพื่อให้ได้ผลที่แน่นอนกว่า แต่ตัว ComboFix อาจจะมีปัญหากับการจัดการไวรัสที่แผงตัวเข้าสู่ระบบ Windows หรือไฟล์ System ดังนั้นก่อนการใช้งาน ComboFix แนะนำให้ Backup ข้อมูลที่สำคัญก่อนนะครับ เพราะถ้าไวรัสติดไฟล์ระบบแล้ว หากComboFIx ทำงาน ก็อาจจะลบไฟล์ระบบนั้นทิ้งทันที จึงทำให้ WIndows อาจจะล่มได้
credit : www.ichat.in.th/
           www.pcccr.ac.th/
************
สรุปง่ายๆ สำหรับ flash drive ที่เกิดปัญหา Folder ถูกซ่อนแล้วสร้าง shortcut ปลอมขึ้นมา ดังนี้
1. เสียบ flash drive แล้วดูว่าอยู่ drive ไหน
2. ไปที่ start->run พิมพ์ cmd
3. พิมพ์คำสั่งใน cmd เป็นชื่อ drive ของ flash drive เราเช่น E: หรือ F: แล้ว enter ทั้งนี้ขึ้นอยู่กับ drive ของเรา
4. พิมพ์ attrib -s -h -r /s /d แล้ว กด enter
5. ไปลบไฟล์ shortcut ไฟล์ ไวรัสที่เป็น exe ที่เราไม่รู้จัก รวมทั้ง autorun.inf ก็เรียบร้อยครับ ส่วนสำหรับเครื่องที่ติดไวรัสตัวนี้จะมาเขียนวิธีแก้อีกครั้งนะครับ
Posted by  in ปัญหาไวรัส Tags: 
เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)