วันนี้ผมได้รับทวิตของ @MalwareCity และ @ARiPToday รายงานเรื่องหนอนตัวนี้อยู่ครับ

ทาง BitDefender พบหนอนไวรัสสายพันธุ์ใหม่ที่สามารถเขียนทับ (overwirte) ข้อมูลส่วนทีเรียกว่า master boot records (MBRs) ของทุกไดรฟ์ในฮาร์ดดิสก์ด้วยข้อมูลของมันเอง

ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้ ซึ่งหมายความว่าระบบจะ Boot ไม่ขึ้นเลยเมื่อหนอนทำงานสำเร็จ

มีเพิ่มเติมอีกด้วยว่า การกู้ข้อมูลให้คอมพิวเตอร์ที่โดนหนอนไวรัสตัวนี้โจมตีจะมีขั้นตอนที่ค่อนข้างซับซ้อน และต้องใช้ซอฟต์แวร์เฉพาะ ตลอดจนอาจถึงกับต้องเรียกใช้ผู้ให้บริการที่มีความเขี่ยวชาญ

สำหรับหนอนไวรัสดังกล่าวมีชื่อดังต่อไปนี้

  • Eset: Win32/Zimuse.A 
  • Bitdefender: Worm.Zimuse.A
  • Avira: Worm/Zimuse.A
  • Symantec: W32.Zimuse
  • Panda: W32/Mseus.A
  • Kaspersky: Virus.Win32.Mseus.a
  • F-Secure: Dropped:Worm.Zimus.A
  • Sophos: W32/Mseus-A
  • Dr.Web: Trojan.Winlock
  • VirusBuster: Worm.Mseus.A
  • Hauri: Worm.Win32.S.Zimuse

โดยทาง ESET บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยระบุว่า หนอนไวรัสทั้งสองกำลังแพร่ระบาดในกลุ่มผู้ใช้คอมพิวเตอร์ในสโลวาเกีย ซึ่งคิดเป็นอัตราส่วนมากกว่า 90% ของผู้ที่ตกเป็นเหยื่อ (สังเกตได้จากโดเมน .sk)

นอกจากนี้ ยังพบอีกด้วยว่า คอมพิวเตอร์ที่กำลังโดนโจมตีจากหนอนไวรัสตัวนี้ได้เพิ่มจำนวนอย่างรวดเร็ว ไม่ว่าจะเป็นในสหรัฐ ตามมาด้วยสโลวาเกีย ไทย และสเปน

สำหรับการแพร่กระจายของหนอนมีสองวิธีด้วยกัน

  1. วิธีแรกพวกมันจะฝังตัวอยู่ในเว็บไซต์ทั่วไป โดยจะอยู่ในรูปของไฟล์บีบอัด ZIP ที่สามารถคลายไฟล์ได้ในตัว หรือโปรแกรมทดสอบ IQ
  2. วิธีที่สองคือก๊อปปี้ตัวเองลงไปในสื่อบันทึกข้อมูลพกพาอย่างเช่น USB Drive ซึ่งความสามารถในการแพร่กระจายผ่านสื่อพกพาได้ จะทำให้หนอนไวรัสพันธุ์นี้แพร่กระจายตัวเองได้เร็วยิ่งขึ้น

มาดูไฟล์วิดิโอสาธิตวิธีการทำงานกันก่อนครับ

 

การทดลองทำกันบน VMWare ซึ่งผู้ผลิตโปรแกรมป้องกันไวรัสมักจะใช้วิธีนี้ในการค้นหาข้อมูลและการทำงานของไวรัสต่างๆครับ

การทำงานคือ

  1. ก๊อปปี้ไฟล์ tokset.dll ลงไปในไดรฟ์หลัก 
  2. สร้างไฟล์ใน C:\system32\DRIVERS\Mstart.sys, C:\DRIVERS\Mseu.sys และ C:\msues.exe ตามลำดับ
  3. สร้างค่ารีจิสตรี [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe"
  4. เปลี่ยนแปลงรีจิสตรี [HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\MSTART]
    -EventMessageFile=%SystemRoot%\System32\Drivers\MSTART.SYS;%WINDIR%\MSTART.SYS
    -TypesSupported=dword:7
  5. และลูกไม้เดิมคือ สร้างไฟล์ Autorun.inf และ zipsetup.exe ในแฟลชไดรฟ์เพื่อให้รันตัวเองตอนดับเบิ้ลคลิกเข้า

สามขั้นตอนง่ายๆ แต่กผลออกมาอันตรายกว่าที่คิด

ปล.ในขั้นที่ 2 จะไม่สามารถทำกับ OS แบบ 64 Bit ได้นะครับ แต่อย่าเพิ่งสบายใจไป เพราะค่า Registry มันเปลี่ยนได้กับทุกวินโดวส์

การทำงานในระบบ 

เมื่อหนอนรันแล้ว แล้วจะได้หน้าต่างแบบนี้

  มีข้อความ error ขึ้นมาพให้ Restart เครื่อง

มีข้อความ error ขึ้นมาให้ Restart เครื่อง

 

เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ 

แต่เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ตามปกติ

ทั้งนี้เนื่องจาก MBR ถูกทำลายไปแล้ว

เนื่องจากมันจะไปลบไฟล์ NTDETECT.COM, NTLDR, BOOTMGR, HYBERFIL.SYS และ BOOT.INI ในไดรฟ์ C:\ ออก

ข้อมูลจากทาวอาวีร่าบอกว่ามัลแสรืตัวนี้เขียนขึ้นด้วยภาษา C++ ครับ

เพราะฉะนั้น ทางที่ดีที่สุดในการป้องกันมัลแวร์แบบนี้ คือการติดตั้งโปรแกรมป้องกัน และอย่าคลิกลิ้งค์อะไรมั่วซั่วตามเว็บ

บางคนปิดโปรแกรมป้องกันไปเลย (สำหรับคนที่เชื่อคำแนะนำของ GM ไร้สมองบางคน) เพื่อเล่นเกมที่ตัวมันแสนแสนจะ "สำออย" โดนกระทบอะไรหน่อยไม่ได้ ขี้งอน Error ตลอดแถมชอบปิดตัวเองไปบ่อยๆ

แต่เมื่อไวรัสสร้างความเสียหายแล้ว เราอาจจะมานั่งเครียดเพราะเข้า OS ไม่ได้ ก็ไม่รู้ว่าที่เครียดเนื่ย เพราะเสียดายไฟล์งาน หรือกลัวว่าจะไม่ได้เข้าไปเล่นเกมกันแน่นะ (ไม่วายแอบกัดเล็กน้อย)

ป้องกันไว้และอย่าประมาท แล้วจะรู้ว่า USER คือ Antivirus และ Internet Security ที่ดีที่สุดในโลกที่ไม่ต้องเสียเงินซื้อครับ

Links

ด่วน!!! พบ"หนอนไวรัส"พันธุ์ใหม่ร้ายกาจมาก เล่นงานฮาร์ดดิสก์จนใช้การไม่ได้ แพร่บนเน็ต & USB < via Arip

Be aware that there is a Hard-Disk Wrecking Worm out there, < via MalwareCity

Worm/Zimuse.A - Worm Description < via Avira

Comment

Comment:

Tweet

แล้วพอจะมีทางแก้ไหมครับ เอาแบบที่ไม่ไช่ลงวินโด้วอะ 
ช่วงนี้กำลังซน หัดเรียนรู้การเขียนและการทำงานของโปรแกรมต่างๆ
ถ้าช่วยได้ ยอมเรียก!!!       ลูกพี่ ... เลย อิอิ

#17 By HK_Dz (223.205.76.76|223.205.76.76) on 2014-05-20 15:18

ผมว่าโน๊ตบุคผม คงโดนแล้วแหละ 555 อาการเหมือนที่ว่าเลย

#16 By HK_Dz (223.205.76.76|223.205.76.76) on 2014-05-20 15:13

แล้วทำไงอ่ะถ้าเจอ
รู้สึกเครื่องจะเจอเจ้าตัวนี้เข้าให้แล้วล่ะสิHot! Hot!
ช่วยตอบกลับมาด้วยที่

xone_tam24@hotmail.comxone_tam24@hotmail.com

#15 By Monkey on 2010-04-06 15:32

น่ากลัวขริงๆ

#14 By 雷(Léi ) on 2010-01-27 20:50

มันร้ายจริงๆ นะ สงสัยว่างกันมาก
นั่งเขียนไวรัสsad smile

#13 By Zeedprogram on 2010-01-27 16:23

น่ากลัวจริง ๆ sad smile

#12 By .. * Ar๋tist ♥ on 2010-01-27 00:37

ดีที่ผมไม่ได้ใช้ mbr เพราะโดน grub เขียนทับไปแล้ว big smile big smile

#11 By BLacKTeA on 2010-01-26 22:08

สะดุ้งเลยค่ะเมื่อเจอคำว่า ESET sad smile
Hot! Hot! Hot!

#10 By So_kung on 2010-01-26 18:24

ขอบคุณที่เตือนนะครับ
ตัวนี้นี่อันตรายจริง ๆ
เรื่องเข้า OS ไม่ได้นี่รู้ซึ้งมาแล้ว ยังดีที่ต้อนนั้นลงวินโดว์ใหม่ได้sad smile

#9 By โคค่อน on 2010-01-26 17:36

น่ากลัวแหะ

ึคงต้องระมัดระวังเพิ่มมากขึ้นแล้วครับ

#8 By Seam - C on 2010-01-26 16:51

น่ากลัวมั่ก =[]=! Hot!
นับวันมันยิ่งรุนแรงขึ้นเรื่อยๆ..

#6 By avactz on 2010-01-26 15:56

ตัวนี้มัน อย่างแรง!!! wink

#5 By NinkungZ on 2010-01-26 13:17

รู้สึกว่า ความวิตกเริ่มจะคืบคลานเข้ามาแล้วสิsad smile

#4 By นายสถานี NGarage on 2010-01-26 12:51

อย่าได้เจอกันเชียว Hot!

#3 By Critical#Zeed on 2010-01-26 12:30

หน้ากลัวเนอะHot!

#2 By Meowzilla Zilla on 2010-01-26 12:13

เฮ้อ มีหนอนใหม่ๆออกมาเยอะ
เหนื่อยตรงป้องกันนี่แหละsad smile