เตือนระวัง ไวรัสอันตราย ล่าสุด (เลย เอามันมาฝาก)


ผมเจอไวรัสตัวหนึ่งครับ ผมใช้เว็ป virustotal.com แสกนดู AV ตัวใหญ่ๆ ไม่เจอเลยครับ
เจอแต่ AV Sunbelt เห็นเป็น Net-Worm.Win32.Bobic.k

ลองดู >> http://www.virustotal.com/analisis/cf7ed13...a945751d9eeaa94 (http://www.virustotal.com/analisis/cf7ed13291c6e57dba945751d9eeaa94)

อาการของมัน จะฆ่า+ปลอมแปลงไฟล์exe ครับ โดยเฉพาะ
AV ที่เราลงเครื่อง พวก ZoneAlarm,KAS,AVG,.... และมันจะฆ่าAของเราทำไห้
Add/Remove และทำอะไรไม่ได้เลยครับ
เวลาเปิดไฟล์ต่างๆ หรือกระทั่งจะลงโปรแกรมเพิ่ม มันTask ออกให้Error ทำอะไรแทบไม่ได้
ขนาดเปิด Notepad ยังError และยังไมพอ ถ้าเราไม่ทำอะไร กับError มันก็จะปิดไห้เองเลยครับ ดังรูป
http://pic.citec.us/out.php/i8806_2008103100725NetWorm.Win32.Bobic.k.png

http://pic.citec.us/out.php/i8807_2008111143314NetWorm.Win32.Bobic.k.png

ผมจะลง Kaspersky ฆ่ามัน ยังไม่ได้เลยครับ
http://pic.citec.us/out.php/i8808_2008111143717.png

และที่สำคัญ เข้าSave Mode แล้วError Resrart ตัวเองตลอดเลยครับผมคิดว่ามันคงไปลบบางไฟล์ เพื่อไม่ให้เข้าSAVEMODE
ตอนนี้ยังไม่อยากลงโปรแกรมใหม่ จะลองสู้กันมันก่อนดีกว่า

นี่คือไฟล์ที่เวลาเสียบ Thumb Drive แล้วติดมาน่ะครับ ใครอยากลองศึกษาดูน่ะครับ
ขอล็อคน่ะครับ มันอันตราย ใครโพสไม่ถึง PM มาก็ได้น่ะครับ
**Hidden Content: Check the thread to see hidden data.**

ตอนนี้ยังหาเจ้าไวรัสตัวนี้ยังไม่เจอใน c:\windows หรือใน system32 เลย
เพราะผมเปิดโชว์ hiden file ไม่ถึง 2วิ มันก็ hiden เหมือนเดิมครับ
ใครมีความคิด หรือวิธีการดีๆ ช่วยแนะนำด้วยน่ะครับ


http://pic.citec.us/out.php/i8809_200811114423777777.png

ไปเจอข้อมูลจากเว็บจีนมาบอก Detail เยอะมาก ตั้งแต่ขั้นตอนการทำงานและการ Remove Virus ตัวนี้ลองอ่านตามไปเรื่อยๆแล้วลองทำตามดูนะครับ ผมว่าคนเราจะเก่งก็ต้องลองผิดลองถูกไม่แก้ปัญหาที่ปลายเหตุ การที่เลือกไม่ Format เครื่องลงไหม่ของคุณนั้น ผมเห็นด้วยอย่างมาก
ที่ควรใช้ทักษะความรู้ที่มีในการแก้ไข ปัญหาให้เต็มที่ก่อน ไม่ใช่เอะอะเจอไวรัสก็ลงใหม่ เครื่องส่วนตัวที่ผมใช้มา 8 ปีเจอปัญหามาสารพัดแก้ปัญหาเองมานับครั้งไม่ถ้วน Boot ไม่ติด เจอไวรัส ไำฟล์เสีย etc.. แต่ format เครื่องใหม่แค่ครั้งเดียวเมื่อเร็วๆนี้เองเนื่องด้วยต้องการจัดพื้นที่ให้เป็นสัดส่วน (ย้ายไปใช้ HDD ใหม่ ของเก่าถอดออกไว้ Backup)
**Hidden Content: Check the thread to see hidden data.**

โดนซะแล้ว :-) เห็นเอาไวรัสมาฝากบ่อยๆ อิอิ

ผมลองเอาไปรันใน VMWare แล้ว มันไม่แสดงอาการอะไรเลยอ่ะครับ ไม่แน่ใจว่าให้มาผิดตัวหรือป่าว?


**Hidden Content: Check the thread to see hidden data.**

ผมลองเอาไปรันใน VMWare แล้ว มันไม่แสดงอาการอะไรเลยอ่ะครับ ไม่แน่ใจว่าให้มาผิดตัวหรือป่าว?[/b]
ไม่ทราบว่า uploadไฟล์นี้ไปที่ Virus Total ได้ผลเหมือนกับ post แรกไหมครับ
หากได้ ผลเหมือนกัน แสดงว่าเป็นตัว Virus ทีนี้หาก VMWare ไม่แสดงอาการ อาจจะเป็นไปได้ว่า Virus มีการ Detect ว่า OS ที่ใช้เป็น Virtual machine แล้วไม่แสดงอาการ เพราะ VM มักเป็นเครื่องมือที่ Anti Virus Lab มักใช้ในการวิเคาระห์พัฒนา Anti Virus หาก
เขียนโปรแกรมออกแบบมาให้ไม่ทำงานในสภาพแวดล้อมใน VM ก็หมายความว่าโอกาสพัฒนา Anti Virus มากำจัดทำไ้ด้ยากขึ้น

ไม่ทราบว่า uploadไฟล์นี้ไปที่ Virus Total ได้ผลเหมือนกับ post แรกไหมครับ
ใช่เลยครับ เพราะผมลองเสียบ Thumb Driveแล้ว มันก็วิ่งมาทันทีเลยเหมือนกับ post แรก ไม่น่าจะผิดตัวน่ะครับ


แก้ได้แล้วล่ะครับทุกๆท่าน</span>

มันแฝงตัวอยู่ โดยเฉพาะสร้างไฟล์ ไวรัสที่ชื่อ<span style="color:#FF0000">svchost.exe ถือว่าสามารถสร้างไว้รัสที่มีชือนี้ได้ยากมาก พึ่งเคยเจอครับชื่อนี้ ถือว่าของใหม่เลยน่ะครับ คนสร้างเจ๋งจริงๆ
ส่วนมากจะเป็นได้แค่ scvhost ,SCVHSOT,SCVVHSOT ประมาณนี้ครับ จะอยู่ใน c:\windows\system32
ส่วนไฟล์ ไวรัสทีชื่อ svchost.exe มันไม่อยู่ที่ c:\windows\system32 ครับ แต่มันดันไปอยู่ที่...
**Hidden Content: Check the thread to see hidden data.**

และผมได้ UpLoad LogFile ไว้เอาไปศึกษาดูกันน่ะครับ ว่ามันไปซ่อนอยู่ตรงใหนบ้าง


Download
**Hidden Content: Check the thread to see hidden data.**

ถ้าใครเจอแบบผมอีกจะคงแก้ได้ไม่ยากแล้วน่ะครับ

ขอให้เครดิต : ท่าน asylu3 และ ท่าน pspn.n ที่ให้คำชี้แนะในครั้งนี้น่ะครับ