Virus-Risk

สวัสดีครับทุกท่าน ทุกท่านคงทราบดีกว่าสัปดาห์หน้านับตั้งแต่วันนี้ Windows XP ก็จะหยุดพัฒนาแล้ว  
 
หลายๆท่านอาจสงสัยว่า เมื่อหยุดพัฒนาแล้วจะเกิดอะไรขึ้น สำหรับผู้ใช่ตามบ้านไม่ค่อยน่าห่วงครับ ที่น่าห่วงคือองค์กรใหญ่ๆหรือธุรกรรมการเงินมากกว่า
 
เอาละครับ เมื่อ XP หยุดพัฒนาขึ้นมาจริงๆ สิ่งที่จะตามมาคือเรื่องช่องโหว่และบั๊กต่างๆของมันจะไม่ถูกแก้ไขนั่นเอง
 
คนอ่าน: แล้วเราจะป้องกันยังไงล่ะ ใช้ Antivirus ได้มั้ย
Rat: คำตอบคือได้ครับ
 
คนอ่าน: เฮ! รอดตายแล้ว
Rat: แต่เดี๋ยวก่อน.......!
ครับ เราอาจต้องพึ่ง Antivirus, Firewall กันอยู่ (โดยเฉพาะเครื่องที่ต่อเน็ต) แต่ทางผู้ผลิต Antivirus ต่างๆเองก็กำหนดเวลาที่จะเลิกรองรับ XP เหมือนกันครับ
 
 
แม้แต่ Antivirus ของ Microsoft เองก็ยังส่งคำเตือนนี้ขึ้นมา เราคงต้องหา Antivirus ตัวอื่นครับ
 
คนอ่าน: แล้วจะรู้ได้อย่างไรว่าผู้พัฒนาจะรองรับ XP ถึงเมื่อไหร่?Laughing
Rat: ผมมีข้อมูลจากเว็บ AV-Test มาฝากครับSmile
 
 
ปีเฉลี่ยคือน่าจะเป็นปี 2016 ครับ คืออีกสองปีนับจากนี้ แต่บางค่ายอาจเร็วกว่านั้นอย่าง Avira ครับ
ก็ ไม่ถือว่าเป็นอะไรใหม่ครับ ถ้าคุณมีอายุหน่อย คุณจำวันที่เปลี่ยนจาก 98/ME เป็น XP ได้มั้ยครับ อารมณ์ประมานนั้นเลย แค่เปลี่ยนยุคสมัย เพราะเดี๋ยวนี้คนเข้าถึงคอมฯกันมากกว่าปลายยุค 90' ครับ
 
เอาละครับ นี่ก็เป็นช่วงเวลาดีๆที่ XP มีให้เราครับ ใครที่อยากจะอัพเกรดเป็น Windows ที่ใหม่กว่า ก็อย่าลืม Backup ไฟล์ไว้นะครับ ไม่ว่าจะเป็น External HDD หรือจะเป็นแบบ Onlineอย่าง SkyDrive (ปัจจุบันคือ OneDrive), Google Drive หรือ Dropbox ก็สะดวกดีครับCool
หมายเหตุ: เอ็นทรีนี้ไม่ได้เขียนขึ้นโดยผู้เชี่ยวชาญ โปรดใช้เป็นแนวทางในการแก้ไขนะครับCool
 
ช่วงที่ผมได้รู้จักกับคนไทยหลายๆคนในแวนฯ พวกพี่ๆเขาก็เอา Notebook มาจากเมืองไทยกันครับ ซึ่ง เมื่อสองวันก่อน ผมได้มีโอกาสไปช่วยพี่เขาแก้ปัญหาคอมพิวเตอร์ เนื่องจากคนรู้จักผมคุยว่าผมรู้เรื่องคอมอย่พอควร ผมก็เลยไปดูมาครับ (ได้ค่าจ้างด้วยนะ อะฮิๆๆ) เอาล่ะ มาเข้าเรื่องกันเลย
 
 
 
เรื่องมีอยู่ว่า พี่คนไทยคนหนึ่ง เขาบอกว่าเขาโดนไวรัสเล่นงาน เลยติดต่อผมจะให้ไปช่วยแก้ไข
 
เริ่มต้นMoney mouth
 
เมื่อ Boot เครื่องขึ้นมา พบว่าคอมติดแอนติไวรัสปลอม (FakeAV)
 
 
ซึ่งการทำงานของมันคือ
 
  1. เตือนว่ามีไวรัสปลอมๆ อยู่ในเครื่อง จะให้จ่ายเงินลบ
  2. เมื่อเข้าเว็บโหลดโปรแกรมป้องกันไวรัส หน้าต่างดาวน์โหลดและ Browser จะปิดตัวเอง

เอาละครับ อาการไม่ได้หนักหนาสาหัสอะไร เพราะเคยเจอแบบหนักกว่านี้มาแล้ว Undecided

ซึ่งก่อนหน้านี้ผมเอา SD Card มาจากบ้าน เพราะ SD Card สามารถล๊อก (Write Protect) ได้ ดังนั้นไวรัสจะไม่สามารถเข้ามาทางนี้ได้ จะได้ไม่แพร่เชื้อต่อไป

 

ถามหาสาเหตุLaughing

ผมเลยถามสาเหตุ บทสนทนา

R: พี่ไปทำอะไรมาถึงติดอะครับ

M: ก็ไม่ได้ทำอะไร เป็ดเน็ตดูโน่นดูนี่ไปเรื่อยๆ

R: ไม่ได้เข้าเว็บโป๊นะ

M: *ชะงักไป 3 วิ* ไม่นิ

R: จริงๆนะ บอกความจริงมาเหอะ

M: กะ ก็ได้ ไปเข้าเว็บโป๊มาแล้วมันให้โหลดตัว Player พอลงแล้วก็เป็นแบบนี้เลย

R: บอกความจริงมาแต่แรกก็ได้นะพี่

 

สะเพร่าFoot in mouth

Notebook พี่เขาดันไม่มีช่องอ่าน SD Card รู้งี้ก็น่าจะเตรียม Flash Drive มาแทน แต่ไม่เป้นไร คนอื่นๆยังมีคอมนี่เนอะ เราก็ถ่ายข้อมูลงไปได้ เมื่อถ่ายเสร็จแล้วก็เอามาเสียบดู ซึ่งแฟลชไดรฟ์ไม่ใช่ของผมด้วย

 

เริ่มต้น(อีกที)Cry

ผมลองเสียบ Flash drive ที่มีโปรแกรม Emsisoft Emergency USB Stick แล้วลองรัน ปรากฏว่า โปรแกรมรันตัวเองไม่ได้ เพราะโปรแกรมมันบล๊อกการทำงานของ AV ทุกชนิด รวมทั้งที่ลงในเครื่องด้วยนะ

 

Safe Mode กู้ภัยSmile

ผมลองบูตเข้า Safe Mode (ซึ่งเป็นเรื่อง Basic มากๆ เวลาจะแก้ไวรัส) และลองรัน EEUS อีกครั้ง ปรากฏว่าหน้าต่างโปรแกรมล้นจอ จึงลองหันมาใช้ Comodo Cleaning Essential ดู

 

ลืมอัพเดต Tongue out

CCE ของผมไม่ได้อัพเดต และ Safe Mode ไม่ได้เลือกแบบ With networking ด้วย เลยต้องบูตใหม่ หลังจากบู๊ตโดยเลือกแบบ With Networking แล้วก็เริ่มได้

ก่อนสแกน ต้องดึงสายแลนออกก่อน เพื่อความชัวร์ CCE ใช้เวลาทำ Full Scan ชั่วโมงกว่าๆ ก็เจอไวรัส เราก็กดลบไปตามระเบียบ โปรแกรมก็เตือนให้เรา Reboot อีกครั้ง

เมื่อเริ่มต้นระบบใหม่แล้ว ก็ไม่มีไวรัสมากวนใจอีก แต่มันยังไม่จบแค่นี้...

 

เก็บซากไวรัสFrown

แอนตี้ไวรัสปลอมยังทิ้งซากไว้ให้เก็บกวาด ซึ่งไม่ได้หนักหนาสาหัสอะไร ส่วนมากจะเป็นพวกไฟล์ชั่วคราวที่ค้างๆอยู่ เราก็ตามไปลบใน Program File แล้วใช้โปรแกรมอะไรมาทำความสะอาดได้ตามสะดวก ในที่นี้ผมเลือก Glary Utilities Portable 

 

 

ปัญหากับไฟล์ระบบ Yell

เจ้า FakeAV ตัวนี้ยังสร้างปัญหากับไฟล์ระบบไฟล์หนึ่งที่ชื่อว่า os_sfc.dll ซึ่งอยู่ใน C:\Windows\System32 โดยที่มันไปแก้ไข

ซึ่งไฟล์ os_sfc.dll นั้นคือไฟล์ที่ควบคุมระบบ Windows File Protection นั่นเอง ซึ่งมันได้แก้ไขไฟล์นี้ การทำงานตามภาพด้านล่าง

 

เนื่องจากเราได้ลบไวรัสออกแล้ว แต่ไฟล์ระบบยังถูกแก้ไขอยู่ ผมรู้ได้จาก Antivirus ที่ลงไป (ผมเลือก Forticlient Lite) มันจะเตือนตลอดเมื่อเข้าถึงไฟล์นี้ แต่ทำอะไรไม่ได้


รูปบนเป็นภาพประกอบเฉยๆนะ

ทำไงดีๆ เพราะ Antivirus ไม่สามารถลบไฟล์นี้ทิ้งได้ แค่บล๊อกไว้เฉยๆ และไฟล์นี้ไม่สามารถแก้คืนได้ง่ายๆ ทำไงดีๆ

 

ตามหาไฟล์จากอินเทอร์เน็ตสิ Money mouth

ผมลองหาไฟล์นี้จากเว็บต่างๆ จนไปเจอเว็บ dll-files.com เข้า ก็เลยจัดการโหลดมาแล้วแตกซิบ

คำเตือนก่อนใช้งาน : ถ้าคุณจะเอาไฟล์ระบบวางทับไปดื้อๆ นั้นอันตรายมากครับ วิธีที่ผมใช้คือ เข้า Safe Mode (อีกแล้ว) แล้วไป "เปลี่ยนชื่อ" ไฟล์เดิม ให้เป็นนามสกุลอื่น แล้วจึงเอาไฟล์ใหม่ไปวาง ห้าามวางทับกันโดยเด็ดขาด เพราะเผื่อไฟล์ใหม่ไม่ Work จะได้เรียกอันเก่าคืนมาได้

 

เสร็จภารกิจ Surprised

ของตอบแทน เงิน 50 CAD (เหลือครึ่งนึง เพราะพี่เข้าพาไปเลี้ยงบะหมี่)

ไว้โอกาสหน้าเรียกใช้ได้อีกครับ เป็นระบบเหมาจ่าย เคีียกๆๆ!!

 

และแล้วก็ไปอีกเอ้นทรี ไว้เจอกันใหม่นะครับ ขอให้โชคดี ไม่มีไวรัสบุกนะครับ หวังว่าเอ็นทรีนี้คงจะมีประโยชน์ไม่มากก็น้อยนะครับSmile

วันนี้ผมได้รับทวิตของ @MalwareCity และ @ARiPToday รายงานเรื่องหนอนตัวนี้อยู่ครับ

ทาง BitDefender พบหนอนไวรัสสายพันธุ์ใหม่ที่สามารถเขียนทับ (overwirte) ข้อมูลส่วนทีเรียกว่า master boot records (MBRs) ของทุกไดรฟ์ในฮาร์ดดิสก์ด้วยข้อมูลของมันเอง

ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้ ซึ่งหมายความว่าระบบจะ Boot ไม่ขึ้นเลยเมื่อหนอนทำงานสำเร็จ

มีเพิ่มเติมอีกด้วยว่า การกู้ข้อมูลให้คอมพิวเตอร์ที่โดนหนอนไวรัสตัวนี้โจมตีจะมีขั้นตอนที่ค่อนข้างซับซ้อน และต้องใช้ซอฟต์แวร์เฉพาะ ตลอดจนอาจถึงกับต้องเรียกใช้ผู้ให้บริการที่มีความเขี่ยวชาญ

สำหรับหนอนไวรัสดังกล่าวมีชื่อดังต่อไปนี้

  • Eset: Win32/Zimuse.A 
  • Bitdefender: Worm.Zimuse.A
  • Avira: Worm/Zimuse.A
  • Symantec: W32.Zimuse
  • Panda: W32/Mseus.A
  • Kaspersky: Virus.Win32.Mseus.a
  • F-Secure: Dropped:Worm.Zimus.A
  • Sophos: W32/Mseus-A
  • Dr.Web: Trojan.Winlock
  • VirusBuster: Worm.Mseus.A
  • Hauri: Worm.Win32.S.Zimuse

โดยทาง ESET บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยระบุว่า หนอนไวรัสทั้งสองกำลังแพร่ระบาดในกลุ่มผู้ใช้คอมพิวเตอร์ในสโลวาเกีย ซึ่งคิดเป็นอัตราส่วนมากกว่า 90% ของผู้ที่ตกเป็นเหยื่อ (สังเกตได้จากโดเมน .sk)

นอกจากนี้ ยังพบอีกด้วยว่า คอมพิวเตอร์ที่กำลังโดนโจมตีจากหนอนไวรัสตัวนี้ได้เพิ่มจำนวนอย่างรวดเร็ว ไม่ว่าจะเป็นในสหรัฐ ตามมาด้วยสโลวาเกีย ไทย และสเปน

สำหรับการแพร่กระจายของหนอนมีสองวิธีด้วยกัน

  1. วิธีแรกพวกมันจะฝังตัวอยู่ในเว็บไซต์ทั่วไป โดยจะอยู่ในรูปของไฟล์บีบอัด ZIP ที่สามารถคลายไฟล์ได้ในตัว หรือโปรแกรมทดสอบ IQ
  2. วิธีที่สองคือก๊อปปี้ตัวเองลงไปในสื่อบันทึกข้อมูลพกพาอย่างเช่น USB Drive ซึ่งความสามารถในการแพร่กระจายผ่านสื่อพกพาได้ จะทำให้หนอนไวรัสพันธุ์นี้แพร่กระจายตัวเองได้เร็วยิ่งขึ้น

มาดูไฟล์วิดิโอสาธิตวิธีการทำงานกันก่อนครับ

 

การทดลองทำกันบน VMWare ซึ่งผู้ผลิตโปรแกรมป้องกันไวรัสมักจะใช้วิธีนี้ในการค้นหาข้อมูลและการทำงานของไวรัสต่างๆครับ

การทำงานคือ

  1. ก๊อปปี้ไฟล์ tokset.dll ลงไปในไดรฟ์หลัก 
  2. สร้างไฟล์ใน C:\system32\DRIVERS\Mstart.sys, C:\DRIVERS\Mseu.sys และ C:\msues.exe ตามลำดับ
  3. สร้างค่ารีจิสตรี [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe"
  4. เปลี่ยนแปลงรีจิสตรี [HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\MSTART]
    -EventMessageFile=%SystemRoot%\System32\Drivers\MSTART.SYS;%WINDIR%\MSTART.SYS
    -TypesSupported=dword:7
  5. และลูกไม้เดิมคือ สร้างไฟล์ Autorun.inf และ zipsetup.exe ในแฟลชไดรฟ์เพื่อให้รันตัวเองตอนดับเบิ้ลคลิกเข้า

สามขั้นตอนง่ายๆ แต่กผลออกมาอันตรายกว่าที่คิด

ปล.ในขั้นที่ 2 จะไม่สามารถทำกับ OS แบบ 64 Bit ได้นะครับ แต่อย่าเพิ่งสบายใจไป เพราะค่า Registry มันเปลี่ยนได้กับทุกวินโดวส์

การทำงานในระบบ 

เมื่อหนอนรันแล้ว แล้วจะได้หน้าต่างแบบนี้

  มีข้อความ error ขึ้นมาพให้ Restart เครื่อง

มีข้อความ error ขึ้นมาให้ Restart เครื่อง

 

เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ 

แต่เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ตามปกติ

ทั้งนี้เนื่องจาก MBR ถูกทำลายไปแล้ว

เนื่องจากมันจะไปลบไฟล์ NTDETECT.COM, NTLDR, BOOTMGR, HYBERFIL.SYS และ BOOT.INI ในไดรฟ์ C:\ ออก

ข้อมูลจากทาวอาวีร่าบอกว่ามัลแสรืตัวนี้เขียนขึ้นด้วยภาษา C++ ครับ

เพราะฉะนั้น ทางที่ดีที่สุดในการป้องกันมัลแวร์แบบนี้ คือการติดตั้งโปรแกรมป้องกัน และอย่าคลิกลิ้งค์อะไรมั่วซั่วตามเว็บ

บางคนปิดโปรแกรมป้องกันไปเลย (สำหรับคนที่เชื่อคำแนะนำของ GM ไร้สมองบางคน) เพื่อเล่นเกมที่ตัวมันแสนแสนจะ "สำออย" โดนกระทบอะไรหน่อยไม่ได้ ขี้งอน Error ตลอดแถมชอบปิดตัวเองไปบ่อยๆ

แต่เมื่อไวรัสสร้างความเสียหายแล้ว เราอาจจะมานั่งเครียดเพราะเข้า OS ไม่ได้ ก็ไม่รู้ว่าที่เครียดเนื่ย เพราะเสียดายไฟล์งาน หรือกลัวว่าจะไม่ได้เข้าไปเล่นเกมกันแน่นะ (ไม่วายแอบกัดเล็กน้อย)

ป้องกันไว้และอย่าประมาท แล้วจะรู้ว่า USER คือ Antivirus และ Internet Security ที่ดีที่สุดในโลกที่ไม่ต้องเสียเงินซื้อครับ

Links

ด่วน!!! พบ"หนอนไวรัส"พันธุ์ใหม่ร้ายกาจมาก เล่นงานฮาร์ดดิสก์จนใช้การไม่ได้ แพร่บนเน็ต & USB < via Arip

Be aware that there is a Hard-Disk Wrecking Worm out there, < via MalwareCity

Worm/Zimuse.A - Worm Description < via Avira

รีบอัพเอ็นทรีใหม่ถึงเอ็นทรีเก่าจะอายุไม่ถึง 24 ชม. ก็ตามครับ

วันนี้ที่รับ RSS Feed กับ Viruslab ของ Avira เอาไว้ ก็เจอข้อมูลตัวนี้โดยบังเอิญครับ

มาดูกันดีกว่า

ชื่อของมัลแวร์วันนี้คือ DR/Autoit.I.2 เป็นมัลแวร์จำพวก Dropper คือหลบการทำงานของ Antivirus และก๊อปปี้ตัวเองไปวางไว้ที่ไหนก็ได้ ทำให้ดูเหมือนว่ามีไฟล์สร้างใหม่ตลอด

ทั้งนี้ Antivirus อาจจับไฟล์ที่มันก๊อปปี้ได้ แต่ไม่สามารถหยุดการทำงานโปรเซสได้ครับ ทำให้อาจจะมีการแจ้งเตือนตลอด

ชื่ออื่นๆ

  • Mcafee: W32/Autorun.worm.h virus 
  • Sophos: W32/SillyFDC-AP
  • Panda: W32/Autorun.SF
  • Eset: Win32/Autoit.AC 
  • Bitdefender: Worm.Generic.77741
  • AVG - Worm/VB.VYG
  • Norman - W32/VBWorm.ABWQ
  • a-squared - Worm.Win32.VBKrypt!IK
  • Kaspersky - Worm.Win32.VBKrypt.j

การทำงาน

  1. สร้างไฟล์ msmsgs.exe, System.exe ในไดรฟ์ทุกไดรฟ์ (และ Autorun.inf เพื่อรันตัวเอง)
  2. สร้างไฟล์ .exe ชื่อเดียวกับโหลเดอร์ในแฟลชไดรฟ์
  3. เขียนตัวเองทับไฟล์ใน Directory ต่อไปนี้ %Program File%\ESET\nod32.exe
  4. ลบไฟล์ nod32.exe, nod32kui.exe, nod32krn.exe ใน Directory ตามข้อ 3
  5. พยายามดาวน์โหลดไฟล์จาก h**p://ppt.th.gs/web-p/pt/file/**********
  6. Terminate โปรเซสต่อไปนี้ winsystem.exe, handydriver.exe, kerneldrive.exe,
    Wscript.exe, cmd.exe, nod32krn.exe, nod32kui.exe
  7. เปลี่ยนแปลงค่า Registry ดังนี้

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Msmsgs"="%SYSDIR%\Msmsgs.exe"
   • "SYS1"="%SYSDIR%\system.exe"
   • "SYS2"="%SYSDIR%\bad1.exe"
   • "SYS3"="%SYSDIR%\bad2.exe"
   • "SYS4"="%SYSDIR%\bad3.exe"

ลบค่า Registry ต่อไปนี้


–  [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"
–  [HKLM\SYSTEM\ControlSet001\Services\NOD32krn]
   • "ImagePath"


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 
New value:
"GlobalUserOffline"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\TaskManager]
   New value:"Preferences"=hex:9C,02,00,00,E8,03,00,00,02,00,00,00,01,00,00,00,01,00,00,00,5A,02,
00,00,02,00,00,00,FA,04,00,00,18,03,00,00,01,00,00,00,00,00,00,00,02,00,00,00,03,00,00,
00,04,00,00,00,FF,FF,FF,FF,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,00,00,
00,00,00,00,01,00,00,00,02,00,00,00,03,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,01,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,
00,00,00,00,00,00,00,00,01,00,00,00,02,00,00,00,04,00,00,00,06,00,00,00,0B,00,00,00,0E,00,00,
00,FF,FF,FF,FF,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,
00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,02,
00,00,00,02,00,00,00,02,00,00,00,02,00,00,00,6B,00,00,00,32,00,00,00,6B,00,00,00,23,00,00,00,
46,00,00,00,46,00,00,00,3C,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,
00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,
00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,6B,00,00,00,00,00,00,00,01,
00,00,00,02,00,00,00,03,00,00,00,04,00,00,00,05,00,00,00,06,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,
FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,6F,
00,00,00,00,00,00,00,00,00,00,00,01,00,00,00


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   New value:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   New value:
   • "NoDriveTypeAutoRun"=dword:0x0000005b
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001


และเพิ่มค่ารีจิสตรี

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001  [HKLM\SYSTEM\ControlSet001\Services\nod32drv]
   • "ImagePath"
   • [HKCR\lnkfile\isShortcut]

 

จากการคาดเดาของผมแล้ว มัลแวร์ตัวนี้น่าจะเป็นฝีมือคนไทยเขียน เพราะ URL คุ้นๆว่าจะเคยเป็นเว็บไทย และที่สำคัญ คนไทยใช้ Nod32 กันเยอะมาก เพราะแคร๊กง่าย จนงบางคนคิดไปเลยเถิดว่า Nod32 มีรุ่นฟรี หรือใช้ฟรีซะงั้น ก็ไม่รู้ว่าจะดีใจดีมั๊ย หรือว่าจะถอนหายใจดี

ยังไงก็ ไม่ได้มาดิสเครดิต Nod32 ประการใดครับ เพียงแค่ว่ามัลแวร์ตัวนี้เล่นงาน Nod32 ให้เดี้ยงได้ เพราะเคยอ่านในพันทิปมา พบว่าคนที่ติดไวรัสส่วนมากมักจะบอกว่าลง Nod32 ไว้แล้วติดไวรัสงอมแงม ก็ไม่รู้ว่าไปทำอีท่าไหนมา

ถ้าคุณลงโปรแกรมพวกนี้ ก็น่าจะใช้เป็น หรือน่าจะอ่านภาษาอังกฤษออกบ้าง

ถึงได้ย้ำเสมอว่า ถ้าโง่ภาษาอังกฤษ ก็อย่าคาดหวัง ว่าจะมี OS หรือโปรแกรมภาษาไทยล้วน เพราะนอกจากมันทำให้คอมดูเห่ยแล้ว มันยังไม่ได้ช่วยฝึกภาษาอะไรเลยครับ

เราไม่ใช่พวกชาติเกา ที่ประเทศชาติพัฒนาแล้ว แต่นิสัยคนยังไม่พัฒนา ใช้ภาษาอังกฤษอาจจะดูเป็นคนไม่รักชาติ เพราะคงลืมคำนึงถึงรวมทั้งความแพร่หลายของภาษา

บางที่เดี่ยวนี้เรียนรู้แค่ภาษาที่สอง อาจจะน้อยไปด้วยซ้ำ

ดังนั้น ถ้ารักจะใช้คอม ก็ควรจะศึกษาภาษาอังกฤษกันบ้าง อาจจะไม่ต้องถึงขั้นไปเรียนภาษาอังกฤษเทอมละหลายหมื่น

แต่ให้สังเกตคำที่ไม่เข้าใจ แล้วมาเปิดเว็บแปลเป็นคำๆไปก็ได้

ภาษาอังกฤษไม่ใช่เรื่องยาก ไม่ใช่ข้ออ้างว่าไม่มีโอกาสใช้ ตราบเท่าที่คุณยังใช้คอมพิวเตอร์อยู่ครับ

สมัยก่อนที่ผมใช้คอมแรกๆ เว็บแปลภาษายังไม่มี เวลาใช้คอมเลยมีดิกชันนารีวางข้างๆเล่มนึงเสมอ

ผมอาจจะไม่ได้เก่งคอมนักหนา แต่อาจจะรู้ภาษาอยู่บ้าง ทำให้พอเอาตัวรอดได้

ขอบคุณข้อมูลจากทาง Avira คลิกไปดูข้อมูลภาษาอังกฤษที่นี่ DR/Autoit.I.2 - Dropper

ไว้พบกันใหม่ครับ