ลักษณะการทำงานของไวรัส
1. หน้าตาตอนบูทระบบจะขึ้นว่า “U.Z.A Operatine System”
2. พื้นหลังแบ็คกราวจะขึ้นเป็นพื้นดำชื่อไวรัสเหมือนกัน
3. ระบบวันที่ของเครื่องจะหายไป
4. การทำงานของ Task จะมีปัญหา
5. เมื่อเชื่อมต่ออุปกรณ์ USB ไวรัสจะสร้างโฟลเดอร์ My_Personal_Data folder และสร้างไฟล์ที่ใช้ในการกระจาย Autorun.inf
6. ปิดการทำงานของโปรแกรม Antivirus
7. ปิดช่องทางที่จะแก้ไข Registy
8.ปิดการทำงานของ ShiftOveride
ไวรัส Full House
ชื่อ : Fullhouse, Full house virus
ชนิด : ไวรัส
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ชนิด : ไวรัส
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ข้อมูลทั่วไป : เครื่องที่ติดไวรัส จะมี Folder ชื่อว่า Full house ใน Control Panel ซึ่งไม่สามารถลบได้ และจะสร้าง Folder มีชื่อเหมือนกับ Folder ที่มีอยู่เดิม
วิธีการแพร่กระจาย : ผ่านอุกรณ์บันทึกข้อมูลทั่วไปเช่น ทัมไดรฟ์ ฮาร์ดดิสก์เอ็กเทอนอล
ผลกระทบที่เกิดขึ้น : ในทัมไดรฟ์จะมีการสร้าง Folder โดยใช้ชื่อเหมือนทุกอย่างกับ Folder ที่มีอยู่ เมื่อติดไวรัสจะทำการซ่อน Folder ที่ใช้งานจริงๆ ไว้และจะแสดง Folder ที่สร้างเลียนแบบขึ้นมาโชว์แทน แต่หากสังเกตุ Folder Type เมื่อเปลี่ยนมุมมอง Folder เป็น Details จะเห็นได้ว่า Type เป็น “Application” ซึ่งในความเป็นจริงแล้วควรจะเป็น “File Folder” ซึ่ง ณ วันที่ post Nortorn Symantec Crop 10 อัพเดทแล้วไม่สามารถค้นหาหรือตัดการได้เลยครับ ต้องลงมือทำเองครับ
การป้องกัน : ปัจจุบัน ณ วันที่เขียน ยังไม่มี แต่ผมมีวิธีเลี่ยง คือ ห้าม ! ดับเบิ้ลคลิก Thumb drive หรือ Folder ที่มีอยู่ใน Thumb drive แต่ใช้วิธีคลิกขวาแล้วเลือก Explore แทนครับ หรือไม่ก็เปลี่ยนมุมมองแบบ Folders โดยคลิกที่เมนูทูลบาร์ หลังจากคลิกเลือกจาก MyComputer ครับ วิธีกำจัด :
1. เปิด My Computer
2. เลือก Tools > เลือก Folder Options.. > Tab view
3. เลือก Show hidden file and folders
4. เอาเครื่องหมายถูกออก Hide extensions…… และ Hide protected….. ทั้ง 2 รายการ
5. เลือก OK
1. เปิด My Computer
2. เลือก Tools > เลือก Folder Options.. > Tab view
3. เลือก Show hidden file and folders
4. เอาเครื่องหมายถูกออก Hide extensions…… และ Hide protected….. ทั้ง 2 รายการ
5. เลือก OK
กรณี สื่อบันทึกข้อมูล
1. เข้าไปที่ Drive USB ที่มีอยู่
2. เปลี่ยนมุมมองเป็น Details
3. ลบ Folder ที่มี Type เป็น Application
4. แดรกเมาส์ Folder คลิกขวา เลือก Properties แก้ไข Attributes โดยคลิกเลือกเอาเครื่องหมายถูกออกหน้า Hiden ออก ครับ
5. คลิก OK
6. ปล. หากมีไฟล์ Autorun.inf ฝากลบเสียด้วยครับ
1. เข้าไปที่ Drive USB ที่มีอยู่
2. เปลี่ยนมุมมองเป็น Details
3. ลบ Folder ที่มี Type เป็น Application
4. แดรกเมาส์ Folder คลิกขวา เลือก Properties แก้ไข Attributes โดยคลิกเลือกเอาเครื่องหมายถูกออกหน้า Hiden ออก ครับ
5. คลิก OK
6. ปล. หากมีไฟล์ Autorun.inf ฝากลบเสียด้วยครับ
กรณีในเครื่องคอมพิวเตอร์ (Hard disk)ทำตามวิธีกำจัดข้อ1-5)
1. อัพเดทแอนตี้ไวรัสที่มีอยู่ให้เป็นปัจจุบัน
1. อัพเดทแอนตี้ไวรัสที่มีอยู่ให้เป็นปัจจุบัน
*เพิ่มเติม* เมื่อทำการแสดง File or Folder ที่ซ่อนแล้วให้เข้าไปลบ Folder “Full House” ใน Drive C ด้วย หากสังเกตุจะมีสถานะเป็น Folder ที่ซ่อนครับ จากนั้นจะมี Folder “taskmgr” อยู่ใน Drive C ต้องลบด้วยครับเพราะมันมากับไวรัสตัวนี้ครับ
2. ค้นหาไฟล์ UnHookExec.inf ใน google ดาวน์โหลดเซพไว้หน้าเดสท็อป จากนั้นคลิกขวาที่ไฟล์เลือก Install เพราะว่าเท่าที่เจอมาไวรัสชนิดนี้จะป้องกันการแก้ไข รีจิสทรี (Regedit) , msconfig และ gpedit.msc
3. เลือก Srart > Run > พิมพ์ regedit > Enter
4. กด Ctrl + F ใส่คำว่า “fullhouse” หรือ “full house” (สังเกตุมีการเว้นวรรคน่ะครับ)
5. เมื่อเจอ(รับรองต้องเจอแน่นอน) คลิกขวาที่รายการที่เจอ เลือก Delete
6. กด F3 เพื่อค้นหาต่อ จนแน่ใจว่าหมดแล้ว ออกจากโปรแกรม
7. เลือก Srart > Run > พิพม์ gpedit.msc > Enter
8. เลือก User configuration > Administrative Template > System > ดับเบิ้ลคลิก Turn off Autoplay
9. เลือก Enabled > ในรายการ turn off Autoplay on เป็น All drives
10. เลือก OK
11. เข้าไปที่ Control panel ลบ Folder “Full house” (บางเครื่องอาจจะเป็น Folder ที่ไม่มีชื่อก็ให้ลบได้เลยครับ)
12. จากนั้น Reboot เครื่องใหม่ จากนั้นก็จะไม่มีแล้ว ครับ
3. เลือก Srart > Run > พิมพ์ regedit > Enter
4. กด Ctrl + F ใส่คำว่า “fullhouse” หรือ “full house” (สังเกตุมีการเว้นวรรคน่ะครับ)
5. เมื่อเจอ(รับรองต้องเจอแน่นอน) คลิกขวาที่รายการที่เจอ เลือก Delete
6. กด F3 เพื่อค้นหาต่อ จนแน่ใจว่าหมดแล้ว ออกจากโปรแกรม
7. เลือก Srart > Run > พิพม์ gpedit.msc > Enter
8. เลือก User configuration > Administrative Template > System > ดับเบิ้ลคลิก Turn off Autoplay
9. เลือก Enabled > ในรายการ turn off Autoplay on เป็น All drives
10. เลือก OK
11. เข้าไปที่ Control panel ลบ Folder “Full house” (บางเครื่องอาจจะเป็น Folder ที่ไม่มีชื่อก็ให้ลบได้เลยครับ)
12. จากนั้น Reboot เครื่องใหม่ จากนั้นก็จะไม่มีแล้ว ครับ
เขียนโดย : รัตนธ์พงค์ ใสแก้ว (Ken)
เวิร์ม MSN-pic.zip (Win32/Delf.ADS trojan)เวิร์มตัวนี้แพร่กระจายตัวเองผ่านทาง MSN ทันทีที่มันติดเชื้อเครื่องของเหยื่อแล้ว ไวรัสจะสร้างไฟล์ pic.zip ซึ่งในไฟล์สกุล zip จะมีไฟล์ ชื่อ IMG34814.pif ซึ่งคือเวิร์ม(ไม่ได้บบีบอัดไฟล์)ลงในโฟลเดอร์ของระบบและจะส่งไฟล์ไวรัสนี้ ไปยังรายชื่อผู้ติดต่อที่อยู่ใน MSN โดยอาศัยเทคนิคลากแล้ววาง เหมือนผู้ใช้ส่งไฟล์ทั่วไป ชื่อที่ใช้ส่ง คือ pic.zip มีข้อความดังนี้ (วิเคราะห์โดย trackerx90)
“Hey , I just took this picture, sexy isnt it ?”“What do you think of my photo editing skills?”
“Which one do you like in this pic, the black one or the blue one?”
“This is what happens when you eat to many chips ”
“Look what i made out of cans!! haah !”
“:-p this was halarious at that party a while back”
“Hey I have a new pic, what do ya think?”
“Check this out this pic is so freaking cool”
“Hahahaha, do you remember this picture?”
“:-O Check this out! Nearly laughed my ass off!!”
“hey wats up.. have you seen this pic of harry potter?”
ตามด้วยไฟล์ของเวิร์มหากผู้ใช้เลือกดาวน์โหลดไฟล์ดังกล่าวมาและรันก็จะทำ ให้ ติดเวิร์มตัวนี้และจะกลายเป็นฐานในการแพร่กระจายไปยังผู้อื่นๆต่อไป ไฟล์เวิร์มมีขนาด 138KB เวิร์มจะยกเลิกการใช้งาน regedit และปิดระบบรักษาความปลอดภัย (Security Center)จากนั้นจะติดต่อไปยัง down.basecore.info ไอพีแอดเดรส 72.249.12.79 ซึ่งการตรวจสอบเส้นทางบนเครือข่าย ปรากฎตำแหน่งของไอพีแอดเดรสนี้อยู่ใกล้ที่สุดกับรัฐ Dallas ของสหรัฐ เวิร์มติดต่อกลับไปที่พอร์ต 1863/tcp ซึ่งจะเห็นว่ามันคือพอร์ตของ MSN แต่แฮกเกอร์ที่เขียนเวิร์มจงใจจะอำพรางการทำงาน ในความเป็นจริงพอร์ตนี้ถูกนำมาใช้สำหรับบริการ IRC ซึ่ง IRC เซิร์ฟเวอร์ที่ทำงานอยู่บนเครื่องที่เวิร์มตัวนี้ติดต่อกลับไปคือ Unreal 3.2-beta19 ทำงานอยู่บนระบบปฏิบัติการ Windows 2003 เวิร์มจะสุ่ม nick name ขึ้นมา และใช้รหัสผ่าน letmein ในการล็อกอินเข้าใช้งาน เมื่อเวิร์มส่งไฟล์ แล้ว จะรายงานกลับไปยังเซิร์ฟเวอร์ดังกล่าว ว่าได้ส่งไฟล์ไปให้เหยื่อใหม่ไปแล้วกี่รายจากนั้นจะรอคำสั่งจากแฮกเกอร์ เซิร์ฟเวอร์ดังกล่าวยังเปิดพอร์ต 1864/tcpไว้เป็นบริการ IRC เพิ่มเติม พอร์ต 4643/tcp,139/tcp NetBios และ 21/tcp FTP Server เวิร์มลักษณะนี้มีโอกาสที่จะได้รับการพัฒนาการทำงานใหม่ๆได้ตลอดเวลา จากแฮกเกอร์ อย่างไรก็ตามคาดว่าอาจจะมีการขโมยข้อมูลสำคัญๆ ของผู้ใช้ตามมาได้ ในอนาคตเมื่อเวิร์มตัวนี้ติดเชื้อเครื่องคอมพิวเตอร์ได้มาก เช่น รหัสผ่าน หมายเลขบัตรเครดิตรวมไปถึงข้อม ลส่วนบุคคล เนื่องจากตรวจพบการพยายามของเวิร์มที่จะดาวน์โหลดไฟล์จากอินเตอร์เน็ตและรัน ไฟล์ดังกล่าวบนเครื่องเหยื่อ ซึ่งคำสั่งดังกล่าวนี้แฮกเกอร์สามารถควบคุมผ่านทาง IRC เซิร์ฟเวอร์ได้
jomke.dll.vbs (Hacked by Godzilla version 2.0)
ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์ฟบนเครื่อง ชื่อไฟล์ไวรัสคือ jomke.dll.vbs และแก้ไขค่าในรีจิสทรีเพื่อสร้างค่าขยะ ทำให้หน้าแรกของ Internet Explorer แสดงเว็บเพจจาก http://student.srru.ac.th/~48122420102/jomke และแก้ไขไตเติลบาร์ของ Internet Explorer เป็น “Hacked by Godzilla version 2.0″ ไวรัสพยายามแพร่กระจายตัวผ่านทางแฮนดี้ไดร์ฟและการแชร์ไดร์ฟในเครือข่าย พยายามจะทำให้เครื่องปิดลงทุกครั้งหลังจากที่เปิดใช้งานโดยหน่วงเวลาไว้ที่ 50 วินาทีHacked by 1BYTE
อาการติด Hacked by .. นี้เป็นอยู่ประมาณ 3 วัน ระหว่างนั้นก็ยังพอเปิดเครื่องทำงานกับอพยพข้อมูลหนีภัยไปได้เรื่อยๆ เพราะคิดว่าต้องล้างเครื่องแน่ๆ ไม่แน่ใจว่าของคนอื่นจะเป็นอย่างไร แต่เครื่องเรามันไม่ขึ้นกระโหลกไขว้ทันทีทันควัน มีการยืดเวลาตายให้หน่อย?จนประมาณ 3 วันผ่านไป เปิดเครื่องมากะว่าจะลองใช้โปรแกรมแก้อีกรอบ คราวนี้มาเลย อยู่ๆ ไอค่อนต่างๆที่อยู่บนหน้าจอก็วูบหาย เพิ่งจะเห็นกะตาตัวเองก็คราวนี้ไอ้ที่เขาเรียกๆกันว่า หายไปกะตา หรือ หายไปในพริบตา และสิ่งที่เห็นก็คือ 0 byte …. แถมหน้าจอยังขึ้นกระโหลกไขว้กระพริบปิ๊บๆๆๆๆ และแล้ว ก็ทำอะไรไม่ได้อีกเลย แต่ข่าวดีก็คือ แม้จะเห็นว่ามัน 0 byte แต่พอเอาโปรแกรมกู้ไฟล์มาช่วย (easy recovery) มากู้ ก็เก็บกลับมาได้หมดแล้ว
ARDV ver.1.02Anti Removable Disk Virus (ARDV) คือ โปรเจคที่มีจุดประสงค์ในการพัฒนาโปรแกรมขนาดเล็กทำงานรวดเร็ว ที่จะทำหน้าที่ป้องกันไวรัสที่มากับแฮนดี้ไดร์วโดยอัตโนมัติทันทีที่มีการ เชื่อมต่อเข้าเครื่อง ขณะนี้พร้อมที่จะให้ผู้สนใจสามารถดาวน์โหลดไปใช้งานได้ฟรี โดยสามารถป้องกันไวรัส Autorun และไฟล์ที่ต้องสงสัยว่าอาจเป็นไวรัส ต่างๆได้ ผู้ ใช้สามารถเลือกที่จะลบไฟล์ต้องสงสัยได้ทันที สามารถควบคุมการทำงานของโปรแกรมได้ เชื่อว่าจะช่วยลดโอกาสติดไวรัสจากอุปกรณ์ Removable Disk ลงได้มาก หากพบข้อผิดพลาดกรุณาแจ้งที่ trackerx90[at]hotmail.com
achi.dll.vbs
ไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์วบนเครื่อง ชื่อไฟล์ไวรัสคือ achi.dll.vbs จะสร้างไฟล์ achi.htm และแก้ไขค่าในรีจิสทรีเพื่อทำให้หน้าแรกของ Internet Explorer แสดงข้อความในไฟล์ดังกล่าว ไวรัสแพร่กระจายตัวผ่านทางแฮนดี้ไดร์ว ได้รับการดัดแปลงมาจากไวรัสตระกูล vbs รุ่นแรกๆ อย่างไรก็ตามไวรัสไม่ได้สร้างความเสียหายแก่เครื่องที่ติดเชื้อ
Anit_VDO
ไวรัสตัวนี้ความ รุนแรงของมันไม่มากแต่ก็เป็นโปรแกรมที่มีความสามารถในการแพร่กระจายตัวเอง จากเครื่องหนึ่งไปอีกเครื่องหนึ่งโดย จะสร้างไฟล์ คลิปVDO.exe ลงบนทุกๆไดร์วโดยทำไอคอนของมันเป็นแบบ Folder สร้างความรำคาญแก่ผู้ใช้ anti_flashy
โปรแกรมนี้ใช้กำจัดไวรัส Flashy ที่ติดเชื้อบนเครื่องแล้วนะครับ จะดำเนินการแก้ไขค่าทุกอย่างให้เหมือนเดิมทุกประการรวมทั้งถอดรหัสของ administrator ให้เป็นว่างเปล่าด้วยครับ สำหรับคนที่พบปัญหาไม่สามารถกำจัด Flashy ในแฮนดี้ไดร์วได้ ต้องกำจัดมันบนเครื่องก่อนนะครับ การแก้ไขจึงจะเห็นผล เนื่องจากไวรัสจะก็อปปี้ตัวเองลงแฮนดี้ไดร์วตลอดเวลา Anti_Hacked_By_Godzilla
โปรแกรมนี้จะทำการกำจัดไวรัสที่แก้ไขไตเติลบาร์ของ IE เป็น “Hacked By Godzilla” ออกจากเครื่องที่ติดเชื้อพร้อมทั้งกำจัด ไวรัสที่อยู่ในแฮนดี้ไดร์วด้วยดังนั้นผู้ใช้สามารถรันโปรแกรมนี้เพื่อกำจัด มันได้ในครั้งเดียว ทำให้สะดวกมากยิ่งขึ้น โชคไม่ดีที่ไวรัสประเภทนี้ สามารถเขียนขึ้นได้อย่างง่ายดาย ซึ่งไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้ไดร์วแล้วจะสร้างไฟล์ auto run ลงในทุกๆไดร์วบนเครื่องเหยื่อ ทำให้ เมื่อผู้ใช้ดับเบิลคลิกจะเรียกไวรัสขึ้นมาทำงาน
^_^ Anti AntiVirus ^_^ไวรัสถูกเขียนโดยใช้ Borland Delphi เชื่อว่าคนที่เขียนไวรัสตัวนี้ คือคนๆเดียวกับที่เขียนไวรัส data.exe เนื่องจากพบโค้ดที่เป็นของไวรัส data.exe ปรากฏอยู่ ไวรัสตัวนี้จะทำการแก้ไข Windows Title ให้เป็น ^_^Anti AntiVirus^_^ ตลอดเวลา สามารถติดเชื้อแฮนดี้ไดร์วโดยใช้ไฟล์ auto run ไวรัสจะแก้ไขค่าในรีจิสทรีที่เกี่ยวกับไฟล์นามสกุล exe ให้ไวรัสเป็นผู้จัดการแทนระบบปฏิบัติการ ด้วยเหตุนี้อาจทำให้เปิดไฟล์ exe ไม่ได้ ไวรัสจะยกเลิกฟังก์ชั่นที่เกี่ยวกับการแก้ไขปรับแต่งระบบปฏิบัติการ
happy.vbsไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสจะคัดลอกตังเองลงในทุกๆไดร์วบนเครื่อง โดยจะสร้างไฟล์ autorun พร้อมคัดลอกไฟล์ไวรัส happy.vbs ไปด้วย ไวรัสจะยกเลิกการใช้งาน regedit.exe ซ่อนไอคอน My Computer ทำให้ไม่สามารถใช้ My Computer เนื่องจากจะมองไม่เห็นไดร์ว ยกเลิกสิทธิ์ในการเข้าถึงแชร์โฟลเดอร์ของผู้ดูแลระบบ ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer เป็น ORIGINAL SILLE.B run on GAME ONLINE และตั้งค่าหน้าแรกไปที่ http://www.sille.net/gamesonline.htm และแสดงกล่องข้อความ “VIRUS SILLE RUN ON GAMES ONLINE”
Hacked by 8BITSไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว ไวรัสถูกเขียนโดยใช้ Visual Basic Script โดยจะสร้างไฟล์ autorun ลงบนทุกๆไดร์ว พร้อมคัดลอกไฟล์ไวรัส kernel32.dll.vbs ไปด้วย ไวรัสจะแก้ไขไตเติลบาร์ของ IE เป็น Hacked by 8BITS ในโด้ดไวรัสมีคำสั่งที่เรียกใช้โปรแกรมที่ใช้ในการควบคุมเปิดปิดเครื่องของ ระบบปฏิบัติการ ดังนั้นเครื่องที่ติดเชื้อมีโอกาสปิดลง โดยไม่มีการแจ้งเตือน
Data.exe ไวรัสตัวนี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ www.Atom-Soft.com ผ่านทาง http และ ftp เชื่อว่ามีการเขียนขึ้นมา 3 รุ่น ไวรัสจะแพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 213 KB,221KB และ 224 KB ยกเว้นโฟลเดอร์ program files และ desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อโฟลเดอร์ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป นอกจากนี้ไวรัสตัวนี้มีฟังก์ชั่นในการทำลายข้อมูลบนฮาร์ดดิสด้วย
Iexp1ore.exeไวรัสตัวนี้ติดต่อผ่านทางแฮนดี้ไดร์ว โดยใช้วิธี auto runเมื่อผู้ใช้ดับเบิลคลิกเข้าใช้งานในเครื่องที่ฟังก์ชั่นเล่นอัตโนมัติทำ งานอยู่ไวรัสจะติด เข้าสู่เครื่องทันที ไวรัสจะคัดลอกตัวเองไปในโฟลเดอร์โปรแกรม Internet Explorerโดยพยายามทำตัวเองเป็นเสมือนโปรแกรม Internet Explorer ทำการแก้ไขทางลัดทุกทางที่จะเรียกใช้โปรแกรมให้ชี้ไปที่ไวรัสแทน โปรเซสของไวรัสมีชื่อว่า iexp1ore.exe โดยไวรัสจะไม่สร้างความ ผิดปกติใดๆบนเครื่องที่ติดเชื้อทำให้ผู้ใช้ที่ไม่สังเกต ไม่สามารถตรวจพบได้
killVBS[1].vbs_killerไวรัสถูกเขียนโดยใช้ Visual Basic Script ไวรัสตัวนี้แพร่กระจายผ่านทางแฮนดี้ไดร์ว โดยจะสร้างไฟล์ autorun ลงบนแฮนดี้ไดร์ว พร้อมคัดลอกไฟล์ไวรัส killVBS.vbs ไปด้วย ไวรัสจะไม่แพร่กระจายตัวเองทางการแชร์ไฟล์ในเครือข่ายเหมือนกับไวรัสตระกูล เดียวกันที่เคยทำ เพื่อทำให้ผู้ใช้ตรวจพบยากขึ้น ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer และหน้าแรกเป็นค่าว่างเปล่า
Monaliza_killerไวรัสตัวนี้ติดผ่านทางแฮนดี้ไดร์วได้ นอกจากนี้ยังสามารถติดเชื้อผู้ใช้ผ่านทาง msn เป็นไวรัสที่เริ่มแพร่กระจายมาสักระยะหนึ่งแล้วโดยจะ ใช้เทคนิค auto run สำหรับการติดเชื้อแฮนดี้ไดร์วตามเคย โปรแกรมนี้จะทำการคืนค่าที่ไวรัสทำไว้ทั้งหมด ผู้ใช้สามารถเชื่อมต่ออุปกรณ์ แฮนดี้ไดร์วเข้ากับเครื่อง เพื่อกำจัดไวรัสที่อยู่ในอุปกรณ์ได้พร้อมๆกัน
MS32DLL.dll.vbs ไวรัสตัวนี้เชื่อว่ามาจากการดัดแปลงไฟล์ไวรัสต้นแบบที่ชื่อ VBS.Godzilla ไวรัสตัวนี้กระจายตัวผ่านทางแฮนดี้ไดร์ว แล้วจะสร้างไฟล์ auto run ลงในทุกๆไดร์วบนเครื่องเหยื่อ โดยจะใช้ชื่อไฟล์เป็น .MS32DLL.dll.vbs เมื่อผู้ใช้ดับเบิลคลิกจะเรียกไวรัสขึ้นมาทำงาน ไวรัสพยายามซ่อนตัวเองโดยการปรับแต่งรีจิสทรีและการเปลี่ยนสกุลไฟล์ไวรัส เป็น boot.ini เพื่อหลบซ่อนในระบบด้วย
Music_exe_Killerไวรัสตัวนี้รู้จักกันดีในชื่อ music.exe ติดเชื้อผ่านทางแฮนดี้ไดร์วโดยเทคนิค auto run ไวรัสถูกเขียนโดยใช้ภาษา Visual Basic จะทำการลบไฟล์ นามสกุล *.mp3 และ *.dat ทุกไฟล์ที่พบบนเครื่อง ไวรัสพยายามใช้คำสั่งที่มีวิธีการเหมือนผู้ใช้ทำปกติ แทนที่การเขียนโค้ดโดยตรงเพื่อหลบการวิเคราะห์ไฟล์ของโปรแกรมแอนติไวรัส ไวรัสทำการคัดลอกตัวเองโดยใช้ชื่อโฟลเดอร์ที่พบ มีนามสกุลเป็น *.exe ตลอดเวลาทำให้เครื่องประมวลผลงานอื่นๆช้าลง แต่ไม่พบฟังก์ชั่นที่เปิดทางให้แฮ็กเกอร์ควบคุม คาดว่าไวรัสตัวนี้ถูกเขียนมาเพื่อทำลายข้อมูล สร้างความเสียหายโดยเฉพาะ
SXS_Killer
โปรแกรมนี้จะกำจัดไวรัส sxs.exe ในแฮนดี้ไดร์วและบนเครื่องที่ติดเชื้อ ซึ่งไวรัสตัวนี้จะสร้างไฟล์ auto run ลงในทุกๆไดร์วเพื่อเรียก ตัวเองขึ้นทำงานทุกครั้งที่มีการดับเบิลคลิกที่ไดร์วนั้นๆ ไวรัสจะทำการปรับแต่งเครื่องเหยื่อโดยใช้โปรแกม net.exe และ sc.exe ยังไม่ แน่ใจว่ามันทำอะไรเพราะผู้เขียนไวรัสได้เข้ารหัสไฟล์ไว้ทำให้ยากต่อการทำ ความเข้าใจโค้ดในไฟล์ไวรัส อาการเครื่องที่ติดก็คือจะดับเบิล คลิกเปิดเข้าไดร์วต่างๆไม่ได้ แต่สามารถเข้า ใช้งานไดร์ว C:ได้ การกำจัดสามารถเชื่อมต่อแฮนดี้ไดร์วที่ต้องสงสัยเข้ากับเครื่องแล้วรันตัว แก้เพื่อกำจัดไวรัสบนเครื่องและในแฮนดี้ไดร์วพร้อมๆกันได้ Toy_Killer
ไวรัสตัวนี้เริ่มแพร่ระบาดมานานแล้ว โปรแกรมแอนตี้ไวรัสที่อัพเดตสามารถตรวจจับมันได้เกือบทั้งหมด แต่ก็ยังพบปัญหาในการกำจัด ไวรัสติดเชื้อแฮนดี้ไดร์วโดยใช้เทคนิค auto run ตัวแก้นี้จะทำการแก้ไขไวรัสแบบสมบูรณ์ ไวรัสตัวนี้ไม่ได้ทำลายข้อมูล เพียงแต่ก่อกวน โดยสังเกตที่หน้าจอในตอนที่ล็อกออนเข้าใช้งาน จะมีข้อความเกี่ยวกับการสร้างโลกของพระเจ้า หรือรู้จักไวรัสตัวนี้กันดีในชื่อไวรัสภาษาจีน winxp_dos_expl_by_trackerx90
ช่องโหว่ Denial of Service(DoS) ของระบบปฏิบัติการ Windows XP SP0-SP2 สามารถหยุดการทำงานของระบบได้อย่างสิ้นเชิง โดยช่องโหว่ทั้งสองคือ Mailslot และ IGMPv3 Windows XP ไม่สามารถจัดการกับการร้องขอแบบผิดปกติได้ จึงทำให้ระบบทำงานผิดพลาด ทั้งสองช่องโหว่ถูกค้นพบมาสักระยะหนึ่งแล้ว โดย Mailslot จะโจมตีผ่านพอร์ต 445 เป็นบริการ? Server Message Box(SMB) ส่วน IGMPv3 โจมตีผ่านการดัดแปลงแพ็กเก็ต igmp ระดับล่างโดยตรง
AdobeR.exe
โปรแกรมนี้จะกำจัดไวรัส AdobeR ในแฮนดี้ไดร์ว ซึ่งไวรัสตัวนี้จะสร้างไฟล์ auto run เพื่อใช้ในการรันตัวมันเองเข้าสู่ระบบดังนั้นเวลา ที่ผู้ใช้ทำการดับเบิลคลิกไดร์ว เพื่อเข้าใช้งาน จะทำให้ไวรัสถูกเรียกขึ้นมาทำงาน จากการทดลองพบว่าไวรัสตัวนี้อาจเขียนขึ้นอย่างเร่ง รีบเนื่องจากพบข้อผิดพลาดในระหว่างการทำงาน อย่างไรก็ตามยังพบการแพร่กระจายอยู่ โปรแกรมนี้จะทำการลบไฟล์ที่ไวรัสสร้างขึ้น เพื่อใช้ในการทำงานของมันทั้งหมด ด้วยวิธีนี้จะทำให้อุปกรณ์ของผู้ใช้สามารถใช้งานได้ตามปกติ โดยข้อมูลทั้งหมดยังคงอยู่ไม่สูญหาย
ที่มา : http://www.comlism.net/index.php?option=com_content&task=view&id=103&Itemid=61
ไม่มีความคิดเห็น:
แสดงความคิดเห็น