trojan

Av-Comparatives Malware Removal Test.

posted on 28 Oct 2009 20:53 by warbandit in AntiVirus-Comparison

สวัสดีครับทุกท่าน หลังจากที่หายไปหลายวัน เพราะมัวไปขลุกกับ Twitter อยู่ เลยทำให้อัพบล๊อกน้อยลง เพราะว่าบางเรื่องมันสั้นเกินกว่าจะเอามาอัพบล๊อก เพราะงั้น ใครอยากติดตามชีวิตเน่าๆ ของผมเองก็ Follow มาได้นะครับ (ไม่รับสแปมกับ Robot นะ)

เอาหล่ะเข้าเรื่องเลย

การทดสอบของ Av-Comparatives ที่ผ่านๆมาคือการจับไวรัสมาฝูงใหญ่ๆ แล้วสั่งสแกน ดังนั้นผลจะออกมาดีหรือไม่ดีก็ขึ้นอยู่กับว่าอัพเดตบ่อยแค่ไหน

คราวนี้ทาง Av-Comparatives ก็ทดสอบกันอีกครั้ง แต่คราวนี้เป็น Malware Removal Test คือการทดสอบการกำจัดมัลแวร์ในเครื่องที่ติด

ใช่ครับ การป้องกันมันง่าย แต่การแก้ไขมันยากกว่า การทดสอบนี้ทดลองกับมัลแวร์ 10 ตัวคือ

  1. NetSky
  2. RJump
  3. Sysrutrk
  4. FakeAV
  5. Autorun
  6. Brontok
  7. Vundo
  8. Rustock
  9. Agent
  10. ZBot

ทาง Av-Comparatives ไม่ได้เปิดเผยสายพันธุ์ของมัลแวร์ดังกล่าว เพื่อความยุติธรรม เพราะ Antivirus ทีดีจะต้องยืดหยุ่นพอกำจัดมัลแวร์นั้นๆได้ ถึงจะมีหลายสายพันธุ์ก็ตาม

การตั้งค่า Heurestic เป็นค่าเดิมของโปรแกรม

สรุปผลออกมาเป็นตามตารางครับ(ผมทำตารางเองแหล่ะ)

 

สีที่ใช้หมายความตามนี้ครับ

  • เขียว = หมดจรด
  • เหลือง = กำจัดได้และมี Registry ตกค้าง
  • ส้ม = กำจัดได้แค่มี Registry และไฟล์ที่ไม่เป็นอันตรายตกค้าง
  • แดง = เมื่อลบแล้วบุตใหม่จะเกิดข้อความ Error แต่ลบสำเร็จ
  • เทา = แฮ้งค์ระหว่างกำจัด แต่กำจัดได้และมีสิ่งตกค้าง
  • ดำ = ล้มเหลวในการกำจัด

จากภาพ ถ้าไวรัสตัวไหนมีสีแดง เทา หรือ ดำ แปลว่ากำจัดออกยากมาก แต่ทาง Av-Comparatives ก็บอกมาว่า ไฟล์ที่ใช้รันมัลแวร์นั้น Antivirus ทุกตัวจับได้แล้ว แต่คราวนี้ทดสอบบนระบบที่ติดไวรัส แปลว่าถึงตรวจเจอไฟล์ แต่ถ้าไวรัสเริ่มคุกคามเมื่อไหร่ ก็ตัวใครตัวมันนะ

สังเกตนะครับว่าไวรัสที่เราๆเคยเจอกันอย่าง Brontok และ Autorun ที่มีหลากหลายสายพันธุ์และกำจัดได้ยากมาก ดังนั้นแปลว่าถ้ากำจัดได้หมดแปลว่าโปรแกรมนั้นๆมีความคล่องตัวสูง ตัวอย่างเช่น F-Secure หรือ eScan ครับ ที่สแกนช้าแต่ชัวร์

ถึงได้ย้ำนักย้ำหนาว่าการป้องกันไวรัสก็ยากแล้ว แต่การกำจัด ถ้าเราหวังพึ่งโปรแกรมมากๆ ก็แย่นะ เพราะยังไงบางตัวกำจัดได้แค่ตัวไฟล์ แต่ทิ้ง Registry ไว้ให้ User ตามล้างตามเช็ดเอาเอง

"ถึงจะมีโปรแกรมดี แต่ User นี่แหล่ะที่ต้องมีความรู้ด้วย"

เอ็นทรีก็แค่นี้ครับ ไว้เจอกันเอ็นทรีหน้า

เห็นที่พันทิปมีประกาศไว้ ว่ามีไวรัสที่บล๊อกการเข้าเว็บ Pantip แต่ไม่ได้บอกว่าตัวไหนชื่ออะไร

ซึ่งวันนี้ผมลองเข้าไปอ่านข้อมูลไวรัสครับ

ไปเจอตัวนี้เข้า TrojanDownloader.Losabel.axg จากเว็บ QuickHeal

 

ข้อมูลเต็มๆ

 

ชื่ออื่นๆ (หาจาก google อีกที)

Avira : TR/Crypt.XPACK.Gen

Mcafee : Generic Downloader.x trojan

AVG : Win32/Heur

Kaspersky : Trojan-Downloader.Win32.Bagle.axz

Rising : Packer.Win32.UnkPacker.b 

A-squared : Trojan-Downloader.Win32.Bagle!IK 



พอกดเข้าไปดูจะเป็นบรรทัดยาวๆนะครับ แต่ผมเจอกับบรรทัดนี้

 

 

 

 

 

 

 

การทำงานคือไวรัสตัวนี้จะเข้าไปแก้ไขไฟล์ Host ในเครื่อง ให้ Redirect เว็บต่างๆ ส่วนมากจะเป็นเว็บ Antivirus ให้กลายเป็น IP เครื่องคุณเอง 127.0.0.1 นั่นคือ เข้าไปแล้วจะเจอหน้าว่างๆครับ

 ดูๆไปแล้วเหมือนกับว่าไวรัสตัวนี้นอกจากจะบล๊อกเว็บ Antivirus แล้วยังบล๊อกเว็บที่เกียวกับคอมพิวเตอร์ที่มีผู้รู้เรื่องคอมเยอะ แล้วคนเขียนไวรัสไม่อยากให้คนติดมาวิธีแก้ได้ ก็เลยต้องบล๊อกเว็บพวกนี้ครับ

หวังว่าต่อไปคงไม่มีไวรัสบล๊อกห้ามเข้า Exteen นะ

จากเอ็นทรีเก่าเรื่อง เมื่อบทความในบล๊อกโดนก๊อปโดย Asiasoft

ยังไม่มีการตอบกลับหรือคำชี้แจงใดๆของทีมงานว่าได้ก๊อปข้อความในบล๊อคนี้รึเปล่า มีแต่คำแก้ตัวน้ำขุ่นๆ

เอาเป็นว่ายังไงผมก็จะคอยกัดเป็นระยะๆ จนกว่าจะได้คำตอบนะครับ

ก็รู้ๆกันว่าไวรัสสมัยใหม่มันสามารถดัก Password เกมออนไลน์ได้ แม้ว่าจะเป็นไวรัสที่เก่าขนาดไหนก็ตาม ก็ยังทำให้คำพูดที่ผมพูดไว้ถูกเสมอคือ

 

"Game Guard ไม่ได้สร้างความปลอดภัยในการเล่นเกมซักนิด"

 

เพราะมันไม่ Update แล้วก็มามองโปรแกรมดีๆ เป็นบอทเป็นโปรหมด จนทำให้เราต้องมาเข้าเรื่องกัน

จากประกาศในเว็บ

และนี่คือจากคำตอบของทีมงานกรณีเข้าเกมไม่ได้

 

 

อืม! เจริญ

เข้าเกมไม่ได้ > ปิด Antivirus/Firewall > โดนดักพาส >  แจ้งแฮก > ???

เกิดอะไรขึ้นหลังจากนี้ก็ไม่รู้ ไปเดาเอาเอง

วงจรอุบาทว์ของเกมกับเกมการ์ด(กาก)

เมื่อสองสามวันที่ผ่านมา บอร์ดเกมที่ผมเล่นมีการโดแฮกกันมาก ชนิดว่าโดนแฮกกันรายวัน ทีนี้ ทีมงานเองก็ไม่ได้นิ่งนอนใจ

ก็มีประกาศกันว่ามันมี trojan ตัวนึงที่ดัก Password เกมออนไลน์ได้

ก็เห็นอยู่ที่เว็บของเอเชียซอฟท์เองที่ลิ้งนี้

และเว็บเกมของ AS ทุกเกมก็จะมีประกาศเรื่องนี้

พอกดเข้าไปดู รู้มั๊ยครับ ว่าชื่อไวรัส(ขอเรียกง่ายๆ) นี้มันคุ้นๆมั๊ย

ลองเอาชื่อนี้ไปหาใน google ดูสิครับแล้วจะเจอกับเอ็นทรีนี้

ซึ่งผมเขียนไว้ตั้งแต่วันที่ 1 พย. เมื่อปีก่อน แต่ AS เอามาเขียนใหม่ ไม่สิ ก๊อปบางส่วนมาเขียนใหม่

เมื่อคืนผมก็ลองโทรไปถาม CS มาแล้ว


 

คือว่าเห็นมีประกาศบนเว็บเรื่องโทรจันแฮกเกมได้ ไม่ทราบว่าคุณไปเอาข้อมูลนี้มาจากไหนครับ

ทางบริษัทเตรียมข้อมูลนี้ไว้เพื่อให้เป็นประโยชน์ต่อผู้เล่นครับ

(แม่ง ตอบก็ไม่ตรงคำถาม)

 

ไม่ใช่ครับ หมายถึงไปเอาข้อมูลนี้มาจากไหน เพราะผมลองเอาชื่อ"ทรจันไปหาใน Google มาแล้วมันก็ไปเจอกันกับข้อมูลเก่าบนเว็บเว็บนึง

คือว่า ข้อมูลเก่าอันนั้นอาจจะเป็นของที่อื่นประกาศไว้นานแล้ว แต่ทางทีมงานได้เอาข้อมูลนั้นมาเขียนใหม่ โดยให้เป็นประโยชน์ต่อผู้เล่นครับ

(ชักของขึ้นแล้ว)

 

คุณไปก๊อปบทความนั้นมาใช่มั๊ย เพราะมันเขียนไว้นานมากแล้ว

เป็นข้อมูลของทางบริษัทน่ะครับ

(เริ่มสติแตก)

 

ไม่ใช่ๆ ผมหมายถึงว่า ข้อมูลนั้นมีคนเขียนขึ้นมาก่อนคุณ ถึงคุณจะใช้ข้อมูลเก่ามาเขียนใหม่ก็ไม่เป็นอะไร

แต่คุณน่าจะลงลิ้งค์อ้างอิงผู้เขียนบทความนั้นด้วยสิครับ จะได้เป็นประโยชน์ต่อทุกคนจริงๆ ไม่ใช่เอามาบางส่วนแล้วมาบอกเป็นข้อมูลของทางบริษัท

ครับๆ เดี่ยวจะลองประสานงานให้นะครับ

(ยังๆ ตูยังกดดันต่อ)

 

งั้นช่วยประสานงานเร็วๆแล้วรีบๆจัดการด้วยนะครับ เพราะคุณได้ก๊อปปี้ข้อมูลจากคนอื่นมาแล้วทำเป็นว่าเป็นข้อมูลของทางบริษัทเองแบบนี้ โดยที่คนเขียนเค้าไม่ได้อะไรเลย ช่วยดูให้ดีๆด้วยนะครับ แค่นี้นะ

ขอบคุณที่ใช้บริการเอเชียนซอฟท์ สวัสดีครับ

สาดดด แช่แฟ๊บจริงๆ !

 

กลับมาที่ในบอร์ด หลายๆคนก็ลงลิ้งค์มายังบนความที่เขียนไป แต่ก็ไม่มีใครสนใจ เพราะในบอร์ดมีพวกเลียแข้งเลียขาเยอะ (แต่ก็น้อยกว่าของ ini3 ล่ะวะ)

อย่าเอาข้อความนี้มาโพสในบอร์ดเกมที่เล่นเชียวนะ เดี๋ยวจะได้แฉอีก

 

ถึงคุณจะเป็นเจ้าพ่อเกมออนไลน์ (ที่เบื้องหลังจะฉาวยังไงก็เหอะ) และผมเป็นแค่คนธรรมดาๆ ที่เรียนหนังสือ เขียนบล๊อก และเล่นเน็ตเกมไปวันๆ แต่ยังไงซะ คุณควรจะแก้ไขเรื่องนี้โดยด่วนเลย

เพราะทุกวันนี้เล่นเกมเพราะชอบในเกมนั้น ไม่ได้เล่นแบบพวกมากลากไป และไม่ได้สนใจเรื่องค่ายเกมด้วยรู้ไว้ซะ