รีบอัพเอ็นทรีใหม่ถึงเอ็นทรีเก่าจะอายุไม่ถึง 24 ชม. ก็ตามครับ

วันนี้ที่รับ RSS Feed กับ Viruslab ของ Avira เอาไว้ ก็เจอข้อมูลตัวนี้โดยบังเอิญครับ

มาดูกันดีกว่า

ชื่อของมัลแวร์วันนี้คือ DR/Autoit.I.2 เป็นมัลแวร์จำพวก Dropper คือหลบการทำงานของ Antivirus และก๊อปปี้ตัวเองไปวางไว้ที่ไหนก็ได้ ทำให้ดูเหมือนว่ามีไฟล์สร้างใหม่ตลอด

ทั้งนี้ Antivirus อาจจับไฟล์ที่มันก๊อปปี้ได้ แต่ไม่สามารถหยุดการทำงานโปรเซสได้ครับ ทำให้อาจจะมีการแจ้งเตือนตลอด

ชื่ออื่นๆ

  • Mcafee: W32/Autorun.worm.h virus 
  • Sophos: W32/SillyFDC-AP
  • Panda: W32/Autorun.SF
  • Eset: Win32/Autoit.AC 
  • Bitdefender: Worm.Generic.77741
  • AVG - Worm/VB.VYG
  • Norman - W32/VBWorm.ABWQ
  • a-squared - Worm.Win32.VBKrypt!IK
  • Kaspersky - Worm.Win32.VBKrypt.j

การทำงาน

  1. สร้างไฟล์ msmsgs.exe, System.exe ในไดรฟ์ทุกไดรฟ์ (และ Autorun.inf เพื่อรันตัวเอง)
  2. สร้างไฟล์ .exe ชื่อเดียวกับโหลเดอร์ในแฟลชไดรฟ์
  3. เขียนตัวเองทับไฟล์ใน Directory ต่อไปนี้ %Program File%\ESET\nod32.exe
  4. ลบไฟล์ nod32.exe, nod32kui.exe, nod32krn.exe ใน Directory ตามข้อ 3
  5. พยายามดาวน์โหลดไฟล์จาก h**p://ppt.th.gs/web-p/pt/file/**********
  6. Terminate โปรเซสต่อไปนี้ winsystem.exe, handydriver.exe, kerneldrive.exe,
    Wscript.exe, cmd.exe, nod32krn.exe, nod32kui.exe
  7. เปลี่ยนแปลงค่า Registry ดังนี้

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Msmsgs"="%SYSDIR%\Msmsgs.exe"
   • "SYS1"="%SYSDIR%\system.exe"
   • "SYS2"="%SYSDIR%\bad1.exe"
   • "SYS3"="%SYSDIR%\bad2.exe"
   • "SYS4"="%SYSDIR%\bad3.exe"

ลบค่า Registry ต่อไปนี้


–  [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"
–  [HKLM\SYSTEM\ControlSet001\Services\NOD32krn]
   • "ImagePath"


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 
New value:
"GlobalUserOffline"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\TaskManager]
   New value:"Preferences"=hex:9C,02,00,00,E8,03,00,00,02,00,00,00,01,00,00,00,01,00,00,00,5A,02,
00,00,02,00,00,00,FA,04,00,00,18,03,00,00,01,00,00,00,00,00,00,00,02,00,00,00,03,00,00,
00,04,00,00,00,FF,FF,FF,FF,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,00,00,
00,00,00,00,01,00,00,00,02,00,00,00,03,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,01,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,
00,00,00,00,00,00,00,00,01,00,00,00,02,00,00,00,04,00,00,00,06,00,00,00,0B,00,00,00,0E,00,00,
00,FF,FF,FF,FF,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,
00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,
00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,6B,00,00,00,32,00,00,00,6B,00,00,00,23,00,00,00,
46,00,00,00,46,00,00,00,3C,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,
00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,
00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,00,00,00,00,01,
00,00,00,02,00,00,00,03,00,00,00,04,00,00,00,05,00,00,00,06,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,6F,
00,00,00,00,00,00,00,00,00,00,00,01,00,00,00


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   New value:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   New value:
   • "NoDriveTypeAutoRun"=dword:0x0000005b
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001


และเพิ่มค่ารีจิสตรี

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001  [HKLM\SYSTEM\ControlSet001\Services\nod32drv]
   • "ImagePath"
   • [HKCR\lnkfile\isShortcut]

 

จากการคาดเดาของผมแล้ว มัลแวร์ตัวนี้น่าจะเป็นฝีมือคนไทยเขียน เพราะ URL คุ้นๆว่าจะเคยเป็นเว็บไทย และที่สำคัญ คนไทยใช้ Nod32 กันเยอะมาก เพราะแคร๊กง่าย จนงบางคนคิดไปเลยเถิดว่า Nod32 มีรุ่นฟรี หรือใช้ฟรีซะงั้น ก็ไม่รู้ว่าจะดีใจดีมั๊ย หรือว่าจะถอนหายใจดี

ยังไงก็ ไม่ได้มาดิสเครดิต Nod32 ประการใดครับ เพียงแค่ว่ามัลแวร์ตัวนี้เล่นงาน Nod32 ให้เดี้ยงได้ เพราะเคยอ่านในพันทิปมา พบว่าคนที่ติดไวรัสส่วนมากมักจะบอกว่าลง Nod32 ไว้แล้วติดไวรัสงอมแงม ก็ไม่รู้ว่าไปทำอีท่าไหนมา

ถ้าคุณลงโปรแกรมพวกนี้ ก็น่าจะใช้เป็น หรือน่าจะอ่านภาษาอังกฤษออกบ้าง

ถึงได้ย้ำเสมอว่า ถ้าโง่ภาษาอังกฤษ ก็อย่าคาดหวัง ว่าจะมี OS หรือโปรแกรมภาษาไทยล้วน เพราะนอกจากมันทำให้คอมดูเห่ยแล้ว มันยังไม่ได้ช่วยฝึกภาษาอะไรเลยครับ

เราไม่ใช่พวกชาติเกา ที่ประเทศชาติพัฒนาแล้ว แต่นิสัยคนยังไม่พัฒนา ใช้ภาษาอังกฤษอาจจะดูเป็นคนไม่รักชาติ เพราะคงลืมคำนึงถึงรวมทั้งความแพร่หลายของภาษา

บางที่เดี่ยวนี้เรียนรู้แค่ภาษาที่สอง อาจจะน้อยไปด้วยซ้ำ

ดังนั้น ถ้ารักจะใช้คอม ก็ควรจะศึกษาภาษาอังกฤษกันบ้าง อาจจะไม่ต้องถึงขั้นไปเรียนภาษาอังกฤษเทอมละหลายหมื่น

แต่ให้สังเกตคำที่ไม่เข้าใจ แล้วมาเปิดเว็บแปลเป็นคำๆไปก็ได้

ภาษาอังกฤษไม่ใช่เรื่องยาก ไม่ใช่ข้ออ้างว่าไม่มีโอกาสใช้ ตราบเท่าที่คุณยังใช้คอมพิวเตอร์อยู่ครับ

สมัยก่อนที่ผมใช้คอมแรกๆ เว็บแปลภาษายังไม่มี เวลาใช้คอมเลยมีดิกชันนารีวางข้างๆเล่มนึงเสมอ

ผมอาจจะไม่ได้เก่งคอมนักหนา แต่อาจจะรู้ภาษาอยู่บ้าง ทำให้พอเอาตัวรอดได้

ขอบคุณข้อมูลจากทาง Avira คลิกไปดูข้อมูลภาษาอังกฤษที่นี่ DR/Autoit.I.2 - Dropper

ไว้พบกันใหม่ครับ

Comment

Comment:

Tweet

สงสัย มัลแวร์ตัวนี้เป็นสินค้า OTOPconfused smile

#12 By Meowzilla Zilla on 2009-12-23 14:28

ขอบคุณข้อมูลจ้า จะได้ระวังไว้เพราะเป็นหนึ่งในเหยื่อของมัน

เห็นด้วยกับภาษาอังกฤษครับ big smile

#11 By Seam - C on 2009-12-23 08:39

คนไทยเก่งsad smile sad smile sad smile ... เฮ้อ
ไอ้ไวรัสที่คนไทยทำนี่มันร้ายนักsad smile

ดีที่หนีจาก Nod32ก่อน ไม่งั้นซวยหนัก

#9 By นายสถานี NGarage on 2009-12-23 07:28

ที่บ้านใช้อยู่ซะด้วยสิ sad smile

#8 By NOT_KUNG on 2009-12-22 19:45

โหยไวรัสโดยคนไทยรึอย่าให้รู้ว่าใคร กฎหมายจะเอาไว้รึ

ส่วน Nod32 จริงๆก็ดีอ่านะแต่ไม่ได้ใช้เพราะตัวมันเองยังโดนแคร๊กง่ายๆเลย

#7 By Critical#Zeed on 2009-12-22 19:31

ของเถื่อนก็เงี้ย

#6 By avactz on 2009-12-22 18:51

ไม่ได้ใช้ NOD32 อยู่ รอดตัวไป sad smile

#5 By ไลก้าคุง on 2009-12-22 18:43

ง่ะ...สะดุ้งเลย ตัวเองใช้โปรมแกรมนี้อยู่ค่ะ
ต้องระวังๆ sad smile

#4 By So_kung on 2009-12-22 18:21

คนไทย ถ้าตั้งใจทำอะไร(ที่ไม่ดี) ไม่แพ้ชาติใดในโลก...

#3 By chubby on 2009-12-22 18:02

ของผมเจอตัวไหนไม่รู้มันหลอกว่าให้ปิดเพื่ออัพเดทจาก 3 เป็น 4 พอกด OK มันก็ปิด NOD32 แล้วก็ลบ NOD32 ซะเกลี้ยง sad smile

#2 By Maxtrix™ on 2009-12-22 17:59

.th.gs

เป็นโดเมนฟรี ของไทยครับ sad smile

เห็นแบบนี้

แสดงว่า คนไทยก็ใช่ย่อย sad smile

แต่ไอ้ที่คิดว่า NOD32 เป็น ฟรีแวร์นี้ ก็น่าหนักใจนะฮะ

(- -")

#1 By none on 2009-12-22 17:57