ชนิดของมัลแวร์: หนอน
ชื่อเรียก:
IM-Worm.Win32.Sohanad.as (Kaspersky)
W32/YahLover.worm (McAfee)
W32.Imaut.A (Symantec)
TR/Dldr.Sequan (Avira)
Worm:Win32/Sohanad.I (Microsoft)
In the wild: ใช่
ทำลายข้อมูล: ไม่ทำลาย
ภาษา: อังกฤษ
Platform: Windows 98, ME, NT, 2000, XP, Server 2003
มีการเข้ารหัส: ไม่มีการเข้ารหัส
--------
ช่องทางการติดเชื้อ 1 : แพร่กระจายผ่าน instant messaging applications
ช่องทางการติดเชื้อ 2 : แพร่กระจายผ่านสื่อบันทึกข้อมูลเคลื่อนที่ได้
ช่องทางการติดเชื้อ 3 : สำเนาตัวเองกระจายไปตามไดรฟ์ต่างๆในฮาร์ดดิสก์
การกำจัดมัลแวร์ตัวนี้
[hide=5]
ก่อนกำจัดให้ปิด system restore ทุกไดรฟ์
1.อันดับแรกทำการระบุหาไฟล์มัลแวร์
ให้สแกนด้วยแอนตี้ไวรัส
อย่างของคุณอยู่ที่
c:\windows\system32\scvvhsot.exe
c:\windows\system32\scvvhsot.exe//script.au
ถ้าติดไฟล์อื่นในไดรฟ์ก็จะมีอีกเยอะแยะครับ
2.หยุดโพรเซสของมัลแวร์ที่ทำงานอยู่
มัลแวร์ตัวนี้จะทำการแก้ไขรีจิสทรีของวินโดวส์เพื่อไม่ให้คุณสามารถเรียก task manager มาหยุดโพรเซสของมัน เราจึงต้องใช้โปรแกรมอื่นที่สามารถดูโปรเซสที่ทำงานตอนนี้ได้ เช่นโปรแกรม Process Explorer ซึ่งเป็นฟรีแวร์ มาทำการตรวจหา
โดยการดาวน์โหลดโปรแกรม Process Explorer
และ killprocess ของ scvvhsot.exe ที่อยู่ใน c:\windows\system32\scvvhsot.exe
หลังจากนั้น จึงไปลบ
c:\windows\system32\scvvhsot.exe
c:\windows\system32\scvvhsot.exe//script.au
และไฟล์อื่นๆที่ติด
3.ทำการแก้ไขรีจิสทรีกลับมาเหมือนเดิม
เพื่อให้ใช้งาน Registry Editor ได้เหมือนเดิม
Windows 98 ME, NT, and 2000
ก๊อปปี้โค้ดนี้ไปใส่ใน notepad แล้วเซฟเป็นไฟล์สกุล reg เพื่อ merge เข้าไปใน registryCode:REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools" = dword:00000000
Windows XP and Server 2003
[code]On Error Resume Next
Set Sh = CreateObject("WScript.Shell")
Sh.RegDelete
Reply With Quote
