หนอนชื่อดังที่เล่นงานผ่านช่องโหว่วินโดวส์และแฟลชไดรฟ์ที่น่าจะเป็นตัวที่แรงที่สุดในต้นปี 2552/2009 ในตอนนี้ มันก็เริ่มกลายพันธ์แล้วครับ

ไม่รู้ว่าเป็นเพราะ ใครหรืออะไรไปแก้ไขตัวมันรึเปล่า เลยออกมาหลายซีรี่ส์

คล้ายๆกับเรื่องแรกที่เขียนว่า Antivirus ไม่เจอไวรัส ที่กล่าวไปคือไวรัสสองตัวมันรวมร่างกัน ทำให้กลายพันธุ์แตกหน่อผ่าเหล่าออกมาแล้ว Antivirus จับไม่ได้

เรื่องแรกที่เขียนถึงหนอนตัวนี้ก็คือเรื่อง เตือนภัยหนอนWin32.Kido จู่โจมผ่านช่องโหว่วินโดวส์

ได้กล่าวถึงหนอนที่ชื่อ  Net-Worm.Win32.Kido.bt

แต่หารู้ไม่ จนถึงวันนี้แล้ว มันก็ยังมีชื่ออื่นๆออกมาเช่น

 

 (กดเข้าไปดูข้อมูลที่ชื่อได้เลยครับ)

เมื่อกดเข้าไปดูแล้วอ่านอย่างละเอียด การทำงานของมันจะคล้ายๆกันหมดครับ

แต่ต่างกันตรงที่การทำงานย่อยๆ เอาล่ะ เราจะมาดูการทำงานที่ไม่เหมือนกันของแต่ละตัวกันครับ

 

Net-Worm.Win32.Kido.dv

ชื่ออื่นๆ

  • A-Squared - Worm.Win32.Conficker!IK
  • PcTools - Net-Worm.Kido!sd6
  • Symantec - W32.Downadup.B

1.สร้างไฟล์ต่อไปนี้

  • %System%\.dll
  • %Program Files%\Internet Explorer\.dll
  • %Program Files%\Movie Maker\.dll
  • %All Users Application Data%\.dll
  • %Temp%\.dll
  • %System%\.tmp
  • %Temp%\.tmp

หมายเหตุ : คือชื่อแบบสุ่มที่หนอนตั้งขึ้นมา

 

2.เปลี่ยนแปลงค่า Registry ดังนี้

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

และ

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = " %System%\.dll"

เพื่อให้รันตัวเองเมื่อเปิดเครื่อง

 

3. สร้างไฟล์

<%Drive%>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\.vmx

<%d%> หมายถึงตัวเลขแบบสุ่ม

และ autorun.inf เพื่อให้รันตัวเองเมื่อคลิกเข้าแฟลชไดรฟ์


4. ถามเวลาที่ถูกต้องของคอมพิวเตอร์จากเว็บต่อไปนี้

  • http://www.w3.org
  • http://www.ask.com
  • http://www.msn.com
  • http://www.yahoo.com
  • http://www.google.com
  • http://www.baidu.com


5. ดาวน์โหลดไฟล์จาก http://**********/search?q=<วันที่ปัจจุบัน> เพื่อหลบการตรวจจับของ Antivirus ที่ไม่ได้ Update ทุกวัน

 

Net-Worm.Win32.Kido.fx

ชื่ออื่นๆ

  • (ยังไม่มีข้อมูล)

 

1.สร้างค่ารีจิสตรี

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

และสร้างเซอร์วิสชื่ใดชื่อหนึ่งแบบสุ่ม

  • Boot
  • Center
  • Config
  • Driver
  • Helper
  • Image
  • Installer
  • Manager
  • Microsoft
  • Monitor
  • Network
  • Security
  • Server
  • Shell
  • Support
  • System
  • Task
  • Time
  • Universal
  • Update
  • Windows

 

2. สร้างค่ารีจิสตรี

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = " %System%\.dll"

[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"

เพื่อซ่อนไฟล์ที่สร้าง และรันตัวเองเมื่อเปิดเครื่อง

 

3. ค้นหา IP เครื่องเราโดยหาจากเว็บนี้

  • http://www.getmyip.org
  • http://www.whatsmyipaddress.com
  • http://www.whatismyip.org
  • http://checkip.dyndns.org

 

 

4.ปิดเซอร์วิสต่อไปนี้

  • Windows Automatic Update Service (wuauserv)
  • Background Intelligent Transfer Service (BITS)
  • Windows Security Center Service (wscsvc)
  • Windows Defender Service (WinDefend, WinDefender)
  • Windows Error Reporting Service (ERSvc)
  • Windows Error Reporting Service (WerSvc)
Net-Worm.Win32.Kido.ih

 ชื่ออื่นๆ

  • Avira - Worm/Kido.BO
  • AVG - I-Worm/Generic.CJY
  • BitDefender - Win32.Worm.Downadup.Gen
  • Rising - Hack.Exploit.Win32.MS08-067.jq
  • Microsoft - Worm:Win32/Conficker.Gen

1.สร้างค่รีจิสตรี

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = " %System%\.dll"

เพื่อรันตัวเองในโปรเซส

 

2.ปิดเซอร์วิสชื่อ

wuauserv และ BITS

 

ส่วนการทำงานที่เหลือเช่นสร้างไฟล์ในแฟลชไดรฟ์ เดา Password ถามเวลาเครื่อง บล๊อกการเข้าเว็บ Antivirus และดาวน์โหลดไฟล์นั้นคล้ายๆกัน แต่แตกต่างกันนิดหน่อยตรงที่ตัวใหม่ๆจะมี Keyword ในการบล๊อกเว็บ และเดา Password ได้มากขึ้นครับ

 

เห็นแล้วก็ สแกนไวรัสบ่อยๆ อย่าปิด Antivirus/Firewall บ่อยๆแบบไม่จำเป็น เช่นเวลาเล่นเกมนะครับ อย่าอุ่นใจว่า Game Guard ทำงานแทนแล้วจะปลอดภัย

(ไม่วายขอจิกกัดเกมการ์ดอีกรอบ)

By : Ratcicle

Comment

Comment:

Tweet

ไวรัสตัวนี้ ตัวที่ชื่อ confiker มีตัวแก้ไหมอะ

#9 By **0** (58.147.60.98) on 2009-04-02 14:46

เครื่องผมโดนแล้วคับ win32.kido.ih จะแก้ยังงัยดีคับช่วยด้วย

#8 By ttt (125.27.46.66) on 2009-03-10 09:41

หนูว่าnodไม่ช่วยอะไรเลยอ่ะ ทุกวันนี้ใช้คอมไป อยู่ๆ ขึ้นจอฟ้า รีบูท
หนอนอะไรก็ไม่รู้จัก คอมโดนสิงมานานแระ ก็ปล่อยมันเอ๋อต่อไปsad smile

#7 By เนือย on 2009-02-27 22:36

open-mounthed smile

#6 By ..ศลิง on 2009-02-26 01:25

ออกใหม่ทุกวันเลย ผมอ่านไม่ทันแล้วนะเนี้ย

แอนตี้ไวรัสที่ผมใช้อยู่ก็ไม่ได้อัพเดทเลยอะ avast

ใช้ดีหรือเปล่าอะครับ sad smile

(แต่โดยส่วนตัวแล้วรำคาญมันมากเลย)

#5 By Captain Stadium on 2009-02-25 05:19

ไม่ปิดอยู่แล้ว แต่ไหงพักนี้คอมเอ๋อๆก็ไม่รุ้สิ
ทำอะไรก็ขึ้นเออเรอร์ตลอดเลย
รอดไปอีกคน หุหุ open-mounthed smile

อีกหน่อยมันจะกลายพันธุ์เป็นตัวอะไรอีกเนี่ย sad smile

#3 By NOT_KUNG on 2009-02-24 23:36

เล่นเกมไม่เคยปิดอยู่แล้ว /gg
ไม่เล่นเกมส์ ไม่ต้องปิด

#1 By Meowzilla Zilla on 2009-02-24 16:07