เตือนระวัง ไวรัสอันตราย ล่าสุด ผมโดนมันแร๊ะ เลยเก็บเอามันมาฝาก

[akenan2007_old]

เตือนระวัง ไวรัสอันตราย ล่าสุด (เลย เอามันมาฝาก)


ผมเจอไวรัสตัวหนึ่งครับ ผมใช้เว็ป virustotal.com แสกนดู AV ตัวใหญ่ๆ ไม่เจอเลยครับ
เจอแต่ AV Sunbelt เห็นเป็น Net-Worm.Win32.Bobic.k

ลองดู >> http://www.virustotal.com/analisis/cf7ed13...a945751d9eeaa94

อาการของมัน จะฆ่า+ปลอมแปลงไฟล์exe ครับ โดยเฉพาะ
AV ที่เราลงเครื่อง พวก ZoneAlarm,KAS,AVG,.... และมันจะฆ่าAของเราทำไห้
Add/Remove และทำอะไรไม่ได้เลยครับ
เวลาเปิดไฟล์ต่างๆ หรือกระทั่งจะลงโปรแกรมเพิ่ม มันTask ออกให้Error ทำอะไรแทบไม่ได้
ขนาดเปิด Notepad ยังError และยังไมพอ ถ้าเราไม่ทำอะไร กับError มันก็จะปิดไห้เองเลยครับ ดังรูป




ผมจะลง Kaspersky ฆ่ามัน ยังไม่ได้เลยครับ


และที่สำคัญ เข้าSave Mode แล้วError Resrart ตัวเองตลอดเลยครับผมคิดว่ามันคงไปลบบางไฟล์ เพื่อไม่ให้เข้าSAVEMODE
ตอนนี้ยังไม่อยากลงโปรแกรมใหม่ จะลองสู้กันมันก่อนดีกว่า

นี่คือไฟล์ที่เวลาเสียบ Thumb Drive แล้วติดมาน่ะครับ ใครอยากลองศึกษาดูน่ะครับ
ขอล็อคน่ะครับ มันอันตราย ใครโพสไม่ถึง PM มาก็ได้น่ะครับ

**Hidden Content: To see this hidden content your post count must be 15 or greater.**

ตอนนี้ยังหาเจ้าไวรัสตัวนี้ยังไม่เจอใน c:\windows หรือใน system32 เลย
เพราะผมเปิดโชว์ hiden file ไม่ถึง 2วิ มันก็ hiden เหมือนเดิมครับ
ใครมีความคิด หรือวิธีการดีๆ ช่วยแนะนำด้วยน่ะครับ

[asylu3]

ไปเจอข้อมูลจากเว็บจีนมาบอก Detail เยอะมาก ตั้งแต่ขั้นตอนการทำงานและการ Remove Virus ตัวนี้ลองอ่านตามไปเรื่อยๆแล้วลองทำตามดูนะครับ ผมว่าคนเราจะเก่งก็ต้องลองผิดลองถูกไม่แก้ปัญหาที่ปลายเหตุ การที่เลือกไม่ Format เครื่องลงไหม่ของคุณนั้น ผมเห็นด้วยอย่างมาก
ที่ควรใช้ทักษะความรู้ที่มีในการแก้ไข ปัญหาให้เต็มที่ก่อน ไม่ใช่เอะอะเจอไวรัสก็ลงใหม่ เครื่องส่วนตัวที่ผมใช้มา 8 ปีเจอปัญหามาสารพัดแก้ปัญหาเองมานับครั้งไม่ถ้วน Boot ไม่ติด เจอไวรัส ไำฟล์เสีย etc.. แต่ format เครื่องใหม่แค่ครั้งเดียวเมื่อเร็วๆนี้เองเนื่องด้วยต้องการจัดพื้นที่ให้เป็นสัดส่วน (ย้ายไปใช้ HDD ใหม่ ของเก่าถอดออกไว้ Backup)

**Hidden Content: To see this hidden content your post count must be 1 or greater.**

[pspn.n]

โดนซะแล้ว :-) เห็นเอาไวรัสมาฝากบ่อยๆ อิอิ

ผมลองเอาไปรันใน VMWare แล้ว มันไม่แสดงอาการอะไรเลยอ่ะครับ ไม่แน่ใจว่าให้มาผิดตัวหรือป่าว?

**Hidden Content: To see this hidden content your post count must be 1 or greater.**

[asylu3]

ผมลองเอาไปรันใน VMWare แล้ว มันไม่แสดงอาการอะไรเลยอ่ะครับ ไม่แน่ใจว่าให้มาผิดตัวหรือป่าว?[/b]

ไม่ทราบว่า uploadไฟล์นี้ไปที่ Virus Total ได้ผลเหมือนกับ post แรกไหมครับ
หากได้ ผลเหมือนกัน แสดงว่าเป็นตัว Virus ทีนี้หาก VMWare ไม่แสดงอาการ อาจจะเป็นไปได้ว่า Virus มีการ Detect ว่า OS ที่ใช้เป็น Virtual machine แล้วไม่แสดงอาการ เพราะ VM มักเป็นเครื่องมือที่ Anti Virus Lab มักใช้ในการวิเคาระห์พัฒนา Anti Virus หาก
เขียนโปรแกรมออกแบบมาให้ไม่ทำงานในสภาพแวดล้อมใน VM ก็หมายความว่าโอกาสพัฒนา Anti Virus มากำจัดทำไ้ด้ยากขึ้น

[akenan2007_old]

Code:

ไม่ทราบว่า uploadไฟล์นี้ไปที่ Virus Total ได้ผลเหมือนกับ post แรกไหมครับ

ใช่เลยครับ เพราะผมลองเสียบ Thumb Driveแล้ว มันก็วิ่งมาทันทีเลยเหมือนกับ post แรก ไม่น่าจะผิดตัวน่ะครับ


แก้ได้แล้วล่ะครับทุกๆท่าน</span>

มันแฝงตัวอยู่ โดยเฉพาะสร้างไฟล์ ไวรัสที่ชื่อ<span style="color:#FF0000">svchost.exe ถือว่าสามารถสร้างไว้รัสที่มีชือนี้ได้ยากมาก พึ่งเคยเจอครับชื่อนี้ ถือว่าของใหม่เลยน่ะครับ คนสร้างเจ๋งจริงๆ
ส่วนมากจะเป็นได้แค่ scvhost ,SCVHSOT,SCVVHSOT ประมาณนี้ครับ จะอยู่ใน c:\windows\system32
ส่วนไฟล์ ไวรัสทีชื่อ svchost.exe มันไม่อยู่ที่ c:\windows\system32 ครับ แต่มันดันไปอยู่ที่...

**Hidden Content: To see this hidden content your post count must be 1 or greater.**

และผมได้ UpLoad LogFile ไว้เอาไปศึกษาดูกันน่ะครับ ว่ามันไปซ่อนอยู่ตรงใหนบ้าง


Download

**Hidden Content: To see this hidden content your post count must be 3 or greater.**

ถ้าใครเจอแบบผมอีกจะคงแก้ได้ไม่ยากแล้วน่ะครับ

ขอให้เครดิต : ท่าน asylu3 และ ท่าน pspn.n ที่ให้คำชี้แนะในครั้งนี้น่ะครับ