Results 1 to 5 of 5

Thread: ไวรัส ข้อความ " เอาประเทศไทยของกูคืนมา"

  1. 28-11-2007, 06:37 PM #1
    pspn.n
    pspn.n is offline
    Senior Member
    Join Date
    Oct 2006
    Location
    thailand
    Posts
    182

    ใครเจอตัวนี้แล้วบ้างครับ พอดีน้องที่ office แจ้งมาวันนี้เอง อาการเบื้องต้นตามรูปครับ


    ผม Analyst เบื้องต้น เป็นไว้รัสทำงานแบบ 16 bit, น่าจะมีลักษณะเหมือน Rootkit (เพราะโหลดเกียวกับ Driver เยอะ) และ pack ด้วย yoda....

    ตอนนี้ Anti-virus ยังไม่รู้จักครับ NOD32 ไม่มีปฏิกริยา ทดสอบที่ virustotal ไม่มีเจ้าไหนเจอเลย (ทดสอบวันนี้) ผมแนบตัวอย่างมาให้ด้วยเผื่อใครอยากจะเอาไปช่วยวิเคราะห์ (เปลี่ยนนามสกุลเป็น exe ก่อนนะครับ)

    **Hidden Content: To see this hidden content your post count must be 30 or greater.**


    ใครทราบวิธีแก้ไข รบกวนแจ้งด้วยนะครับ

    ขอบคุณครับ

    ปล. อันตรายนะครับ ควรจะไปรันใน VMWare!!!!!!
    Reply With Quote Reply With Quote
  2. 28-11-2007, 07:29 PM #2
    neoclassic
    neoclassic is offline
    Senior Member
    Join Date
    Jul 2004
    Location
    Thailand
    Posts
    211

    ผมว่าไวรัสที่ท่านโดน น่าจะ พวก vbs มากกว่า ที่ท่าน เอามามันมีแค่ นี้เอง

    [{BE098140-A513-11D0-A3A4-00C04FD706EC}]..iconarea_image=C:\WINDOWS\Web\Wallpaper\VistaBliss.jpg..iconarea_text=0x00FFFFFF..


    มันขนาดแค่ 124 bytes ท่านเอาไฟล์ผิดมาหรือเปล่าครับ
    Reply With Quote Reply With Quote
  3. 28-11-2007, 07:44 PM #3
    asylu3
    asylu3 is offline
    Administrator asylu3's Avatar
    Join Date
    Jun 2000
    Location
    Thailand
    Posts
    3,557

    ขอ Log จากโปรแกรม Hijackthis ด้วยนะครับ
    ทำตามนี้
    http://citecclub.org/forum/index.php?showtopic=16741

    ส่วนเบื่องต้นลอง taskmgr ดูว่าเจอ Process แปลกๆไหมถ้าไม่เจอก็ลองเอาโปรแกรม Process Explorer ลงแล้วหาดูอีกทีมัีนจะช่วยบอกว่าแต่ละโปรแกรมมาจากไหนของใครทำอะไร
    ให้ดู Dependency ของ IE ด้วยว่ามีการโหลดโปรแกรมอะไรแปลกๆไหม (แต่ผมเดาว่าคงไม่เพราะมันคงแค่ไปแก้ทับ File Default Home page ของ IE)

    นอกจากนั้นให้ลองเอา .exe หรือ ทั้ง Folder ใหม่ของ IE มาทับดูว่าหายไหม
    Reply With Quote Reply With Quote
  4. 28-11-2007, 10:32 PM #4
    pspn.n
    pspn.n is offline
    Senior Member
    Join Date
    Oct 2006
    Location
    thailand
    Posts
    182

    ขอบคุณทั้งสองท่านนะครับ : )

    บอกตรงๆ ไม่ใช่เครื่องผมหรอกครับ เครื่องน้องที่ Office ทีแรกผมก็คิดว่าเป็นแค่ VBS ธรรมดาครับ เลยให้น้องส่งเมล์ให้
    มันส่งตัวนี้มา (ส่งใสเครื่องนั้นจะมีไวรัสหลายตัว : ))

    ผมก็สงสัยว่าจะผิดไฟล์จริงๆ อย่างที่ท่าน neoclassic บอกนั่นแหละ ผมให้ Regmon, Filemon ดูแล้วก็ไม่เห็นมีเขี่ยนไฟล์หรือ
    Reg เกี่ยวกับ IE เลย

    แต่ตัวที่ส่งมาให้นี่ ผมคิดว่าก็เป็นไวรัสเหมือนกัน แต่อาจจะไม่ใช่ตัวที่ไปเปลี่ยน Default ของ IE


    พรุ่งนี้คงต้องไปดูที่เครื่อง ต้นเหตุอีกครับ

    ขอบคุณครับ
    Reply With Quote Reply With Quote
  5. 29-11-2007, 01:20 PM #5
    pspn.n
    pspn.n is offline
    Senior Member
    Join Date
    Oct 2006
    Location
    thailand
    Posts
    182

    เป็นอย่างที่ท่าน neoclassic ว่าจริงๆ : )
    นี่เป็นต้วค่าได้มาจากที่อืนอีกที...

    http://file.citecclub.org/download.php?id=BCD4ADEF

    เป็น .Net นะครับ ต้องมี DotNet Framework ก่อน
    Reply With Quote Reply With Quote
« Previous Thread | Next Thread »

Similar Threads

  1. เอเซอร์ "ผงาด" เบอร์ 2 พีซีโลก อานิสงส์ "เน็ตบุ๊ก" ปลุกตลาดแซง "เดลล์"
    By t_rex2 in forum ข่าวสารด้าน IT ใหม่ๆ
    Replies: 0
    Last Post: 22-10-2009, 11:57 PM
  2. ระวัง!!! ไวรัส"แฮรี่ พอตเตอร์"ฉกข้อมูล
    By Zephyruz in forum ข่าวสารด้าน IT ใหม่ๆ
    Replies: 0
    Last Post: 16-07-2009, 01:02 PM
  3. ไมโครซอฟท์ ยอม "อียู" "วินโดวส์ 7" ไม่พ่วง " ไออี"
    By stepno01 in forum ข่าวสารด้าน IT ใหม่ๆ
    Replies: 0
    Last Post: 21-06-2009, 09:48 PM
  4. ความอ้วนเป็นโรคติดต่อ ระบาดผ่าน"ไวรัส"คล้ายไข้หวัด
    By R-TiDz in forum Non computer knowledge
    Replies: 0
    Last Post: 21-10-2007, 04:16 PM
  5. ต้นกำเนิด "ไวรัส"
    By masternikkk in forum บทความ คอมพิวเตอร์ ทัวไป
    Replies: 0
    Last Post: 09-10-2007, 04:01 AM

Members who have read this thread : 0

Actions : (View-Readers)

There are no names to display.

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules

Hide Hack By vFCoders