Worm หรือที่เราเรียกว่าหนอนคอมพิวเตอร์ (worm แปลว่าตัวหนอน) มักจะพบว่ามันมักซ่อนตัวหรือแพร่เชื่อไปตามสายเนต เนื่องจาก อินเตอร์เข้าไปได้ทุกหนแห่ง หรือทุกเครื่องที่มีผู้ใช้เล่นเนตอยู่ ดังนั้น หากเกิดการระบาด Worm จะแพร่ได้รวดเร็วมากกว่าไวรัสมาก มันแตกต่างจากไวรัสตรงที่ มันไม่จำเป็นต้องอาศัยพาหะ ตัวมันเองสามารถทำงานด้วยตัวมันเองได้ทุกที่ ทุกเวลา หรือทุกครั้งที่คุณเล่นเนต เจ้า worm มักอาศัยอีเมล์ หรือช่องโหว่ของ Windows ในการแพร่เชื้อไปยังเครื่องอื่นๆ
หลักการทำงานของ WORM
การทำงานของ Worm จะหลอกให้คนเปิดใช้งานโปรแกรม โดยหลอกว่าเป็น เอกสารสำคัญ รูปภาพสวยๆ โปรแกรม Hack Crack ต่างๆ โปรแกรมจับหน้าจอ พอเปิดแล้ว Worm จะคัดลอกตัวเองไปเก็บไว้ในที่ใดที่หนึ่ง แล้วแก้ Registry ของ Windows ให้เรียกใช้งานโปรแกรมดังกล่าวตลอด เพื่อหลีกเลี่ยงการตรวจพบ จึงมักจะเปลี่ยนชื่อของโปรแกรมให้เป็นชื่อคล้ายๆ กับ Service ใน Windows เช่น rundll, service เป็นต้น หลังจากผ่านกระบวนการติดตั้งตัวเองใน Windows แล้ว จะเข้าสู่กระบวนการแพร่กระจาย
Worm สามารถแพร่กระจายได้หลายวิธีเช่น การส่งอีเมล การส่ง IM และการใช้ Network แบบ Peer-2-Peer แต่พื้นฐานแล้วเหมือนกันคือ ส่งตัวเองออกไปให้ได้มากที่สุด และหลอกล่อให้เครื่องที่ส่งต่อไปติดด้วย
ความเสียหาย Worm จะทำให้ระบบ Network ขัดข้องเพราะว่ามีปริมาณการส่งอีเมลเป็นจำนวนมากเกิดขึ้นระหว่างที่มีการแพร่ของ Worm แต่ Worm บางชนิดก็ร้ายกว่านั้น เช่น สุ่มลบเอกสารที่สำคัญของเครื่องเรา หรือจะเหมือนตั้งเวลาเพื่อสร้าง DDoS กับเครื่องเป้าหมาย
วิธีการแก้ไวรัสWorm.win32.autoIT.I หรือ Worm.win32.autoIT.AC
ท่านมีอาการแบบนี้หรือเปล่า ผู้ที่โดนจะมีอาการดังนี้
อาการ
1.เปิดไดรฟ์ที่ติดไม่ได้ จะกลายเป็นเปิดที่ my document แทน
2.เข้า regedit ไม่ได้
3.เข้า msconfig ไม่ได้เช่นกัน
4.ซ่อนโฟลเดอร์ออฟชั่น
5.เมื่อกด Ctrl+Alt+Del จะรีสตาร์ทเครื่อง หรือ inactive ปุ่ม task manager
6.ซ่อนโฟลเดอร์งาน โดยการเปลี่ยนแอตตริบิวต์เป็น hidden
7. สร้างตัวเองเป็นไฟล์ชื่อเดียวกับโฟลเดอร์ที่ซ่อน สกุลเป็น exe ขนาดไฟล์ 211 KB เช่นบางที่สร้างเป็น file ที่เราทำงานเช่น cardio.exe, er.exe, cathlab.exe, TQA.exe เป็นต้น ทำให้เราเผลอไปคลิก
8.เปิด task manager ไม่ได้
9. เวลาเปิด powerpoint presentation จะเปิด file video clip ไม่ได้จะแฮ้ง เวลเรากดCtrl+Alt+Del จะรีสตาร์ทเครื่อง หรือ inactive ปุ่ม task manager ทำให้ต้องเปิดใหม่อีก
10.ปิดการทำงานและลบไฟล์ของแอนตี้ไวรัส เช่น Nod32 ไม่ให้สามารถใช้งานได้
วิธีการติดต่อ
1.ติดผ่าน ไฟล์ autorun.inf และไฟล์ system.exe ขนาด 211 KB
2.เมื่อดับเบิ้ลคลิกทีไดรฟ์ คลิกขวา open หรือ คลิกขวา explore จะติดทันที ต้องคลิกขวา Expand เท่านั้น
วิธีการแก้
ขณะ นี้โปรแกรม Nod32 ที่อัพเดทแล้วสามารถรู้จักไวรัสตัวนี้แล้วนะครับ โดยมันจะมีชื่อว่า Win32/Autoit.AC ท่านใดที่ใช้แอนตี้ไวรัสตัวอื่นๆ ก็คงต้องรอสักพักจนกว่าบริษัทผู้ผลิตแอนตี้ไวรัส จะทำการอัพเดทฐานข้อมูลไวรัสตัวนี้ลงในโปรแกรมแอนตี้ไวรัสครับ
วิธีการแก้ไข ที่ชัวร์ผมทดลองแล้วได้ผล เพราะโดนมากับตนเอง
1.ดาวน์โหลดตัวแก้ลำไวรัสตัวนี้คือ Nod32 Registry Recovery Tool
ดูรายละเอียด และดาวน์โหลดจาก
http://community.thaiware.com/index.php ... pic=301357
วางโปรแกรมไว้ที่ desktop เพื่อสะดวกในการใช้
2. รีสตาร์ทเครื่องใหม่ กด F8 หลายๆครั้ง เลือกเข้าสู่ Safe Mode
3.เมื่อเข้าสู่ Safe Mode ให้กด Start -> Run พิมพ์ msconfig กด OK
4.เลื่อบแท๊ปไปที่ Startup ยกเลิกรายการ ดังต่อไปนี้ออก
system
bad1
bad2
bad3
Msmsgs
3.เมื่อเข้าสู่ Safe Mode ให้กด Start -> Run พิมพ์ msconfig กด OK
4.เลื่อบแท๊ปไปที่ Startup ยกเลิกรายการ ดังต่อไปนี้ออก
system
bad1
bad2
bad3
Msmsgs
หลังจากนั้นกดยืนยัน นั่งยัน แล้ว OK
5.รันโปรแกรม Nod32 Registry Recovery Tool ขึ้น ทำตามขั้นตอนต่างๆจนเสร็จ Windows Task Manager , msconfig , regedit และ Folder Optionsจะสามารถกลับมาใช้งานได้
6.เข้าหน้าต่าง Windows Explore เลือก Tools -> Folder Options... -> View
ที่รายการ Hidden files and folders
เลือก
- Show Hidden files and folders
ปลดเครื่องหมายหน้ารายการต่อไปนี้ออก
- Hide extensions for know files type
- Hide protected operating system files <- หากไม่ปลดตัวเลือกนี้จะมองไม่เห็นไฟล์ Msmsgs.exe ซึ่งต้องลบ กดยืนยันอีกที OK 7.เข้า C:\WINDOWS\system32 ลบรายการ bad1.exe bad2.exe bad3.exe และลบ Msmsgs.exe ซึ่งเป็นไฟล์ซ่อนออก ดังภาพ
8. รีสตาร์ทกลับสู่โหมดปกติ เท่านี้ก็ลันล้าได้ปกติ แต่ผมแทบเหนื่อยเหมือนกัน
การจัดการกับไวรัสในแฟลชไดร์ฟ
หาก มีหน่วยความจำประเภท แฟลชไดร์ฟ หรือ แฮนดี้ไดร์ฟ ที่ติดไวรัสตัวนี้ ให้ทำการเสียบเพื่อเชื่อมต่อเข้าสู่คอมพิวเตอร์ ระหว่างเสียบและรอการรันให้กดปุ่ม Shift ค้างไว้ เพื่อป้องการการ Autorun ของไวรัส
1.เมื่อแฟลชไดร์ฟเชื่อมต่อแล้วให้ทำการ คลิกขวาที่ไดร์ฟ เลือก Open ห้ามทำการดับเบิ้ลคลิกที่ไดร์ฟเด็ดขาด
2.เข้าหน้าต่าง Windows Explore เลือก Tools -> Folder Options... -> View
ที่รายการ Hidden files and folders
เลือก
- Show Hidden files and folders
ปลดเครื่องหมายหน้ารายการต่อไปนี้ออก
- Hide protected operating system files
3.ลบไฟล์ system.exe และ Autorun.inf ออก
เท่านี้ไวรัสก็จะถูกกำจัด....แล้วบอกต่อ ๆ กันด้วย
ที่มา http://km.ra.mahidol.ac.th/mod/forum/discuss.php?d=274
ไม่มีความคิดเห็น:
แสดงความคิดเห็น