วันนี้อยู่ๆมันก็มี Windows Update ขึ้นมาครับ พร้อมกับให้ลง Malicious Removal Tool ของไมโครซอฟท์ แสดงว่าอาจมีเรื่องผิดปกติเกิดขึ้น

วันนี้ผมได้รับเมล์จาก Kaspersky มาครับ เรื่องเป็นแบบนี้

หนอนตัวนี้ชื่อว่า Net-Worm.Win32.Kido.bt ข้อมูลเพิ่มเติมคลิกที่ชื่อเลยครับ

ซึ่งตอนนี้ก็มีการกลายพันธ์เกิดขึ้นมากมาย ข้อมูล คลิกที่นี่ เอ็นทรีที่เกี่่ยวข้อง

 

ชื่ออื่นๆ (ข้อมูลจาก VirSCANl)

Avast : Win32.Confi [Wrm]

AVG : Dropper.Generic.AFNC

Avira : Worm/Kido.DH

BitDefender : Win32.Worm.Kido.K

Mcafee : W32/Conficker.worm.gen.b

Sophos : Mal/Conficker-A

Symantec : W32.Downadup.B

Hauri : Worm.Win32.Conficker.173318

Microsoft : Worm:Win32/Conficker.B

Nod32 : a variant of Win32/Conficker.AA.Worm

 

== ลักษณะการทำงาน ==

 

1. เพิ่มไฟล์ %System%\<ชื่อแบบสุ่ม>.dll

 

2.  เพิ่มค่ารีจิสตรี

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

และ

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = " %System%\.dll"

เพื่อให้รันตัวเองทุกครั้งตอนเปิดเครื่อง

 

3.ไม่สามารถ เข้า Share Drive ใน Server ได้ แต่ยัง Ping เจอ เล่นงาน NOS Monitor แต่ Nos มันขึ้นว่า Clean (อันนี้คนในพันทิปมาเล่าให้ฟัง)

 

4. ยิง Package ไปทุกเครื่องบนเครือข่าย ความถี่ ประมาณ 10-15 นาทีต่อครั้ง


5. สุ่มหาไอพีจากเครือข่าย และเดา Password ดังนี้

  • 99999999
  • 9999999
  • 999999
  • 99999
  • 9999
  • 999
  • 99
  • 9
  • 88888888
  • 8888888
  • 888888
  • 88888
  • 8888
  • 888
  • 88
  • 8
  • 77777777
  • 7777777
  • 777777
  • 77777
  • 7777
  • 777
  • 77
  • 7
  • 66666666
  • 6666666
  • 666666
  • 66666
  • 6666
  • 666
  • 66
  • 6
  • 55555555
  • 5555555
  • 555555
  • 55555
  • 5555
  • 555
  • 55
  • 5
  • 44444444
  • 4444444
  • 444444
  • 44444
  • 4444
  • 444
  • 44
  • 4
  • 33333333
  • 3333333
  • 333333
  • 33333
  • 3333
  • 333
  • 33
  • 3
  • 22222222
  • 2222222
  • 222222
  • 22222
  • 2222
  • 222
  • 22
  • 2
  • 11111111
  • 1111111
  • 111111
  • 11111
  • 1111
  • 111
  • 11
  • 1
  • 00000000
  • 0000000
  • 00000
  • 0000
  • 000
  • 00
  • 0987654321
  • 987654321
  • 87654321
  • 7654321
  • 654321
  • 54321
  • 4321
  • 321
  • 21
  • 12
  • super
  • secret
  • server
  • computer
  • owner
  • backup
  • database
  • lotus
  • oracle
  • business
  • manager
  • temporary
  • ihavenopass
  • nothing
  • nopassword
  • nopass
  • Internet
  • internet
  • example
  • sample
  • love123
  • boss123
  • work123
  • home123
  • mypc123
  • temp123
  • test123
  • qwe123
  • abc123
  • pw123
  • root123
  • pass123
  • pass12
  • pass1
  • admin123
  • admin12
  • admin1
  • password123
  • password12
  • password1
  • default
  • foobar
  • foofoo
  • temptemp
  • temp
  • testtest
  • test
  • rootroot
  • root
  • fuck
  • zzzzz
  • zzzz
  • zzz
  • xxxxx
  • xxxx
  • xxx
  • qqqqq
  • qqqq
  • qqq
  • aaaaa
  • aaaa
  • aaa
  • sql
  • file
  • web
  • foo
  • job
  • home
  • work
  • intranet
  • controller
  • killer
  • games
  • private
  • market
  • coffee
  • cookie
  • forever
  • freedom
  • student
  • account
  • academia
  • files
  • windows
  • monitor
  • unknown
  • anything
  • letitbe
  • letmein
  • domain
  • access
  • money
  • campus
  • explorer
  • exchange
  • customer
  • cluster
  • nobody
  • codeword
  • codename
  • changeme
  • desktop
  • security
  • secure
  • public
  • system
  • shadow
  • office
  • supervisor
  • superuser
  • share
  • adminadmin
  • mypassword
  • mypass
  • pass
  • Login
  • login
  • Password
  • password
  • passwd
  • zxcvbn
  • zxcvb
  • zxccxz
  • zxcxz
  • qazwsxedc
  • qazwsx
  • q1w2e3
  • qweasdzxc
  • asdfgh
  • asdzxc
  • asddsa
  • asdsa
  • qweasd
  • qwerty
  • qweewq
  • qwewq
  • nimda
  • administrator
  • Admin
  • admin
  • a1b2c3
  • 1q2w3e
  • 1234qwer
  • 1234abcd
  • 123asd
  • 123qwe
  • 123abc
  • 123321
  • 12321
  • 123123
  • 1234567890
  • 123456789
  • 12345678
  • 1234567
  • 123456
  • 12345
  • 1234
  • 123

6. ติดต่อทางแฟลชไดรฟ์ โดยลูกไม้เดิมๆคือ สร้าง

:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<ชื่อแบบสุ่ม>.vmx

และ autorun.inf เพื่อรันตัวเองตอนดับเบิ้ลคลิกเข้าไดรฟ์

 

7. ปิด System Restore อัตโนมัติ

 

8. บล๊อคเว็บไซท์ และ หน้าต่างที่มี Title ที่มีคำต่อไปนี้

  • windowsupdate
  • wilderssecurity
  • threatexpert
  • castlecops
  • spamhaus
  • cpsecure
  • arcabit
  • emsisoft
  • sunbelt
  • securecomputing
  • rising
  • prevx
  • pctools
  • norman
  • k7computing
  • ikarus
  • hauri
  • hacksoft
  • gdata
  • fortinet
  • ewido
  • clamav
  • comodo
  • quickheal
  • avira
  • avast
  • esafe
  • ahnlab
  • centralcommand
  • drweb
  • grisoft
  • eset
  • nod32
  • f-prot
  • jotti
  • kaspersky
  • f-secure
  • computerassociates
  • networkassociates
  • etrust
  • panda
  • sophos
  • trendmicro
  • mcafee
  • norton
  • symantec
  • microsoft
  • defender
  • rootkit
  • malware
  • spyware
  • virus

9. พยายามดาวน์ดหลดไฟล์จาก http://traffic*********.biz/*****/antispyware/*******.exe

* เท่ากับตัวอักษร

 

10. ดักค่า Input จากเว็บต่อไปนี้

  • http://www.w3.org
  • http://www.ask.com
  • http://www.msn.com
  • http://www.yahoo.com
  • http://www.google.com
  • http://www.baidu.com 

ทางแก้ Update patch KB958644 จากไมโครซอฟท์ ที่นี่
To prevent infection please Update patch KB958644 from Microsoft website Here

 

 

เลือก Os และการทำงานให้ถูกด้วยเน้อ

เปิด Firewall และ Antivirus และ Update เป็นตัวล่าสุดแบะลองสแกนไวรัสดูด้วยนะครับ

แล้วก็ ถ้าเล่นเกมอยู่ในบริษัท ไม่รุ้ว่าโดนหนอนตัวนี้รึเปล่า ก็อย่าปิด Firewall และ Antivirus  เด็ดขาดนะครับ ขอเตืิอนด้วยความหวังดี (จริงๆนะ )

 

ตอนนี้คุณผู้อ่านสามารถโหลดตัวแก้ได้ที่เอ็นทรี

"โหลดตัวแก้ Conflicker, Kido หรือ Downadup" ได้ที่นี่

 

Dear visitor Now you can download removal tools from this entry

"Removal tools of Conflicker, Kido or Downadup"

 

 

Comment

Comment:

Tweet

สงสัยต้องหันไปผึ้ง อุนบุนตู ซะละbig smile big smile

#24 By คนผ่านทาง (125.26.195.179) on 2009-11-28 08:26

ขอบคุณครับ

#23 By overclock (202.44.45.3) on 2009-09-19 14:31

555+ไม่เป็นไรครับผมอัพเดทตัวเองงตลอด(กดอัพแม่งทุกวัน+เปิดเน็ตดูแม่งทุกวัน)Hot!

#22 By oatsmart on 2009-02-27 10:33

#20
ลองไปอ่านข้อ 3 4 6 7 และ 10 ใหม่ครับ

#21 By Ratcicle on 2009-01-20 09:09

ผลเสียคืออะไร อะครับ ไม่เห็นมีบอกไว้เลย บอกแค่มันทำอะไร แล้วมัน หา ip เครือข่าย แล้วหา พาสอะไรครับ ทำไปเพื่ออะไร งงอะครับ

#20 By ผลเสียคือ? (125.25.137.188) on 2009-01-19 22:38

โดนไปแล้วคับ เต็มๆเลย เข้า microsoft ก็ไม่ได้อะ มัน block ไว้อะ แล้วจะโหลด fix ได้ที่ไหนเนี่ย ไม่เป็นไรคับ จะพยายามหาดูพวก host ฝากไฟล์ดูคับ

#19 By hamha (118.174.180.96) on 2009-01-17 11:03

ขอบคุณค่ะ big smile

#18 By iDoi* on 2009-01-16 05:50

sad smile sad smile Hot! Hot! Hot! Hot! Hot! Hot!

#17 By I N N O C E N T ! ! ! on 2009-01-15 23:20

เปิดไว้ตลอดล่ะ sad smile น่ากลัวจริงๆ

ปล.แต่นู๋หนอนนี้ไม่ได้ทำนะ confused smile เค้าไม่รู้เรื่องน้า อิอิ

Hot! Hot!

#16 By [ นุ้ ง ห น อ น ] on 2009-01-15 16:23

^
^
เอ่อ Windows Update คงไม่ส่งหนอนมาหรอกครับ

#15 By Ratcicle on 2009-01-15 15:25

อ่านแล้วงงหนอนนี้มันมาได้ยังไง (มาทางไหนทาง window update รึคะ)

#14 By *~citrus~* on 2009-01-15 15:11

เลิกใช้ Windows ดีที่สุด open-mounthed smile

#13 By ตุ้ย since 2006 on 2009-01-15 13:30

มันจะวิ่งเข้าแฟลชไดร์ฟหรือเปล่าอะครับเนี้ย
แล้วถ้าโดนไปเครื่องจะเกิดอะไรขึ้นบ้างอะครับ

น่ากลัวนะเนี้ย Hot! Hot!

#12 By Captain Stadium on 2009-01-15 12:28

น่ากลัวมาก sad smile

#11 By Bluemoon on 2009-01-15 12:20

ขอให้คอมปลอดภัยกันทุกคนนะคะ อิอิopen-mounthed smile
ไม่ได้แวะมานาน อัพเดทตลอดเหมือนเดิม วันนี้แอบใช้วินโดว์รู้สึกเสียวสันหลังเลยทีเดียว :DHot!

#9 By monoguy on 2009-01-15 08:18

ละเอียดยิบเลยทีเดียว เพิ่งลงวินโด้ 7 มา ตอนนี้ใช้ xp ไม่มี anti virus เลย Hot!

#8 By bellbell on 2009-01-14 21:55

ในคำสุ่มรหัส มี"ฟัก"ด้วยแฮะsad smile

#7 By vvitch on 2009-01-14 18:23


ขอบคุณครับ...

#6 By :: KinG MoJi :: on 2009-01-14 18:16

^
^
มิน่าล่ะ เปิดเครื่องที่ลง XP SP3 มันไม่โหลดอะไรเลยsad smile

#5 By Ratcicle on 2009-01-14 15:19

Win XP Service Pack 3 รู้สึกจะรอด (หรือไม่มีแพตช์ให้โหลดหว่า sad smile )

#4 By NinkungZ on 2009-01-14 15:05

มาอีกแล้ว sad smile Hot!

#3 By NOT_KUNG on 2009-01-14 13:53

น่ากลัวๆๆsad smile Hot!

#2 By Meowzilla Zilla on 2009-01-14 13:40

ต้อองรีบตรวจดูครับbig smile Hot!

#1 By iQ180 on 2009-01-14 13:25