(ขอเรียกง่ายๆว่าไวรัสแล้วกัน)

Kaspersky เพิ่งตรวจพบไวรัสสองตัวนี้เมื่อวันที่ 28 และ 29 ที่ผ่านมาครับ

ชื่อของเค้าคือ Trojan-PSW.Win32.OnLineGames.rlh และ Trojan-PSW.Win32.OnLineGames.sxa ตามลำดับ

กดเข้าไปดูข้อมูลได้ที่ชื่อเลยครับ

ชื่ออื่นๆ

  • Avira - TR/PSW.OnlineGames.rdx , TR/OnlineGames.B
  • AVG - Worm/AutoRun.Y
  • Bitdefender - Trojan.PWS.OnlineGames.WME
  • Nod32 - Win32/PSW.OnLineGames.NMY , Win32/PSW.OnLineGames.PBQ
  • Mcafee - PWS-LegMir.gen.k , INF/Autorun.gen
  • Symantec - W32.Gammima.AG
  • Rising - Trojan.PSW.Win32.GameOL.rdm , Trojan.PSW.Win32.GameOL.lnw

มาที่ตัวแรกของเรากันก่อน RHL

การทำงานเบื้องตัน

  • สร้างไฟล์ kavo.exe และ/หรือ kavo.dll ในทุกไดรฟ์
  • สร้างไฟล์ Autorun.inf ให้รันไฟล์ h2.com ในแฟลชไดรฟ์ เพื่อให้รันตัวเองทุกครั้งที่เราดับเบิ้ลคลิกเข้าแฟลชไดรฟ์
  • สร้างค่ารีจิสตรี [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "kava" = "%System%\kavo.exe"
    เพื่อให้รันตัวเองทุกครั้งตอนเปิดเครื่อง
  • สร้างไฟล์ชั่วคราวชื่อแบบสุ่มที่มีนามสกลุ .dll ในโฟลเดอร์Temp
  • ปรับค่า Registry ให้มีการ Autorun เมื่อเสียบแฟลชไดรฟ์ (ปิดไว้มันก็จะเปิดให้)

การทำงานอื่นๆ

ดัก Password จากโปรเซสต่อไปนี้

  • maplestory.exe << Maple Story
  • dekaron.exe << Dekaron
  • gc.exe
  • RagFree.exe << Ro Freelife
  • Ragexe.exe << Ragnarok Online
  • ybclient.exe << Yulgang
  • wsm.exe
  • sro_client.exe
  • so3d.exe
  • ge.exe << Granado Espada
  • elementclient.exe

ส่งข้อมูลที่ดักได้ไปที่ไอพีต่อไปนี้

  • 61.***.60.***
  • 61.***.60.***
  • 61.***.62.***
  • 61.***.56.***
  • 61.***.56.***
  • 61.***.62.***
  • 61.***.62.***
  • ***.69.46.***
  • ***.69.46.***
  • ***.130.113.***

หากโปรเซสไม่ตรงกับที่มี ก็จะดัก Password ที่โปรแกรมที่มีหน้าต่างชื่อต่อไปนี้ (เพราะงั้น ถึงโปรเซสไม่ตรง แต่ชื่อเกมตรงก็โดนอยู่ดี)

  • ZhengTu
  • Wanmi Shijie or Perfect World
  • Dekaron Siwan Mojie
  • HuangYi Online
  • Rexue Jianghu
  • ROHAN
  • Seal Online
  • Maple Story
  • R2 (Reign of Revolution)
  • Talesweaver

และยังสามารถปิดการทำงานของ Antivirus บางตัว ได้แบบไม่ได้รับอนุญาตครับ

----------------------------------------

และพี่น้องของมัน SXA

การทำงานก็คล้ายๆกันหมด แต่ต่างกันตรง

  • ปิด Folder Options
  • สร้างไฟล์ Autorun.inf ให้รันไฟล์ n6j.com ในแฟลชไดรฟ์ เพื่อให้รันตัวเองทุกครั้งที่เราดับเบิ้ลคลิกเข้าแฟลชไดรฟ์
  • สร้างไฟล์ kavo0.exe และ kavo0.dll ในทุกไดรฟ์

----------------------------------------

ดังนั้น จากที่กล่าวมาทั้งหมด

มันถึงเวลาแล้ว ที่จะต้องบอกลาคำว่า

"ปิด Antivirus และ Firewall ก่อนเข้าเกม"

 

ให้เด็ดขาด เพราะถึงเกมการ์ดที่ไม่อัพเดตโหลดขึ้นมา มันก็ตรวจไม่เจออยู่ดี เพราะโปรแกรมเกาหลีมันห่วยแตก อัพเดตก็ไม่ค่อยทันชาวบ้านชาวช่อง ผลการตรวจจับก็น่าภูมิใจมากๆ

แถมยังชอบคิดว่าตัวเองฉลาด มองโปรแกรมรักษาความปลอดภัยของคนอื่นเป็นโปรแกรมโกงไปหมด

ถ้ามีโอกาส คราวหน้าจะบอกว่า ทำไม Antivirus เกาหลีถึงไม่น่าใช้ เพราะเหตุผลแย่ๆในตัวโปรแกรมครับ

 

สุดท้าย และท้ายสุดก็อยากจะบอกว่า

nProtect and Ahnlab is the "WORST" online game security solution !!

With False positive and cause system crash !!

By Ratcicle

Comment

Comment:

Tweet

ไม่ทราบว่าอยู่แถวไหนของฝั่งธนฯครับ

น่าจะมาสนามหลวงถูกนะ

ถนนพระอาทิตย์ ป้อมพระสุเมรุก็อยู่แถวๆ นั้นแล..

ถ้าสะดวกเดินทางทางเรือ

ก็มาลงเรือด่วนเจ้าพระยาที่ท่าพระอาทิตย์ได้เลยครับ

เดินลัดเลาะริมแม่น้ำเจ้าพระยาแป๊บเดียวก็ถึงป้อมพระสุเมรุแล้ว..

double wink

เหอๆ ช่างเป็นการละเมิดสิทธิส่วนบุคคลซะจริง ๆ เลย เดี๋ยวโดนฟ้องแบบบริษัทที่ทำเกม Spore แน่

#5 By SnowBoy on 2008-11-04 15:52

ต้องรอให้พวกนี้โดน hack หมดตัวก่อนล่ะครับ

#4 By chubby on 2008-11-01 18:56

มันเก่งจริงๆเลยเนอะ

#3 By Meowzilla Zilla on 2008-11-01 18:23

จิงเรอะเนี่ย ???embarrassed
ไม่เคยปิดอยู่แล้ว 55+

#2 By Chocolatess on 2008-11-01 18:23

โฮ่วว embarrassed

#1 By Vichyasviel von Einzbern on 2008-11-01 18:00