ไม่รู้ไว้ผิดที่รึเปล่าน้า admin ย้ายได้ตามสบายนะคับ
แอดมิน ขยายขนาดให้ด้วย อุตส่าห์พิมพ์นะ
วันนี้จะมาให้ความรู้เกี่ยวกับไวรัสที่แพร่ผ่าน handy drive นะคับ เห็นเจอกันบ่อยในคณะ
ไฟล์ไวรัสคือไฟล์ที่สามารถรันได้ซึ่งมีอยู่หลายนามสกุล เช่น
*.exe *.com *.scr *.pif *.bat *.vbs *.js *.cmd
ซึ่งเราสามารถตรวจสอบในเบื้องต้น หากพบไฟล์นามสกุลพวกนี้ โดยไม่ทราบแหล่งที่มา ขนาดไฟล์ไม่ใหญ่(เพราะหากเป็นไวรัส ขนาดไฟล์ตัวเองที่ใหญ่นั้นอาจทำให้การเคลื่อนที่ไฟล์ไม่สะดวก) ก็ให้สงสัยไว้ก่อนเลยว่าเป็นไวรัส และส่วนใหญ่จะ Hidden ไว้ด้วย
มาแยกประเภทของไวรัสกันก่อนนะคับ(อ้างอิงจาก
http://puanpay.invisionplus.net/index.php?mforum=puanpay&s=09d0cbe392e7559f0cb16dac662ca133&showtopic=132โดยคุณ trackerx90[at]hotmail.com)
1. Auto Run Spreading คือเทคนิคที่กำลังถูกนำมาใช้เป็นอย่างมากเนื่องจากมีโอกาสที่แพร่กระจายได้มาก ไวรัสจะสร้างไฟล์ autorun.inf ในการรันตัวเองสู่ระบบ ไวรัสประเภทนี้เช่น Hacked By Godzilla
รูปแบบ ไฟล์ autorun.inf + ไฟล์ไวรัส[นามสกุลที่รันได้] -> เชื่อมต่อกับเครื่องคอมพิวเตอร์ทางพอร์ต USB -> ระบบปฎิบัติการรับตำแหน่งไฟล์ไวรัส -> ดับเบิลคลิกไดร์ว -> ไวรัสถูกรันบนเครื่อง
วิธีป้องกันไวรัสประเภทที่หนึ่ง
1.1 ก็ถ้ารันจาก autorun.inf เราก็สามารถ disable autorun ได้ จากเข้า run แล้วพิมพ์ gpedit.msc
ก็จะเข้าสู่หน้าของ group policy ให้เข้า Computer Configuration ->
Administrative Template -> System ในนั้นจะมีค่าที่มีชื่อว่า Turn of Autoplay ให้ทำการ enable มัน แล้วเืลือกเป็น all drive แล้วก็ apply แค่นี้ autorun ก็จะไม่สามารถทำงานได้คับ
วิธีแก้ไขเผื่อติดไปแล้ว
ก็จริงๆ ก็แล้วแต่เคสอะนะ ก็ถ้าเป็น Hacked By Godzilla ก็เอาคำนี้ไป search ใน regedit เลย แล้วเปลี่ยนข้อความให้เป็นปกติก็เรียบร้อยแล้ว แต่ไม่รู้เหมือนกันว่ามีอาการแฝงอะไรรึเปล่านะ
2. Fake Folder Spreading คือ เทคนิคที่ทำให้โฟลเดอร์จริงถูกซ่อนไว้ ไวรัสจะทำตัวเองเหมือนโฟลเดอร์ ไวรัสจะสามารถแพร่กระจายได้ เนื่องจากผู้ใช้จำเป็นจะต้องเข้าไปทำงานในโฟลเดอร์ ไวรัสที่ใช้เทคนิคนี้ เช่น Flashy
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]โดยใช้ชื่อโฟลเดอร์หรือบางส่วนที่พบมาตั้งชื่อ -> ซ่อนโฟลเดอร์จริงจากผู้ใช้ -> สร้างฟังก์ชั่นเพื่อจัดการโฟลเดอร์นั้นๆ -> คลิกเรียกดูงานในโฟลเดอร์ -> ไวรัสถูกรันบนเครื่อง
วิธีป้องกัน
2.1 ก็ยังไงมันก็มาจาก autorun.inf อะนะ กันได้แบบข้อหนึ่ง
2.2 ก็ให้ทำการเปิด hidden file ไว้แล้วก็ให้โชว์นามสกุลด้วย และก็โชว์ system file ทั้งหมดสามารถทำได้ใน tool -> folder option แล้วก็ตรงแถบ View มันจะมีให้ติ๊ก แค่นี้มันก็หลอกเราไม่ได้
วิธีแก้ไข
flashy มันจะทำการซ่อนโฟลเดอร์จริงแล้วสร้างของปลอมมาหลอกเรา วิธีแก้ก็หาทางเปิดเผยนามสกุลที่แท้จริงตามวิธีป้องกันข้อสองนั่นเอง แต่มันไม่ง่ายขนาดนั้น เพราะมันจะซ่อน folder option ด้วย ฉลาดมั้ยหละ วิธีจะทำให้มี folder option คืนมา แต่ก่อนอื่นก็ต้อง end process ของ flashy.exe ก่อนนะคับ ใน task manager เมื่อปิดการทำงานมันแล้วก็เข้า group policy เลย
และก็เข้ามาในส่วน User Configuration -> Administrative Templates -> Window Components -> Window Explorer จะมีค่าในส่วนของ remove the Folder Option menu item from the tool menu ก็เข้าไป disable มันซะ แค่นี้ก็จะได้ folder Option คืนมาแล้ว ถ้ายังไม่คืนให้ปิด folder ที่เปิดอยู่ทั้งหมดแล้วลองเปิดใหม่ มันก็จะกลับมา เมื่อโชว์ Hidden file และ นามสกุล และ system file แล้ว เราก็จะเป็นว่าโฟลเดอร์หลอกมันนามสกุล exe หมดเลย ให้ลบมันซะ และก็ลบ flashy.exe กับ autorun.inf ด้วย ส่วนโฟลเดอร์จริงแค่ถูกซ่อนไว้เท่านั้นคลุมดำแล้วคลิกขวาเอา hidden ออกก็เรียบร้อย
ขั้นตอนสุดท้าย ไปถอนรากถอนโคน flashy กัน ก็เข้าไปที่ c:windows/system32 แล้วหา flashy.exe แล้วลบมันซะ ถ้าขี้เกียจหาก็เข้า cmd แล้วเข้า cd c:windows/system32 แล้วพิมพ์
dir /A:H เราก็จะเป็น hidden file ที่ซ่อนอยู่ ซึ่งก็อาจจะเจอ flashy ด้วยก็จัดการลบมันซะด้วย
del /f /A:H flashy.exe แค่นี้ก็เรียบร้อย
3. Sub Folder Spreading คือ เทคนิคที่ไวรัสนำชื่อโฟลเดอร์ไปเป็นส่วนหนึ่งของชื่อไฟล์ไวรัสในโฟลเดอร์นั้นๆ เทคนิคนี้ถือเป็นเทคนิคในไวรัสรุ่นแรกๆที่ได้อาศัยแฮนดี้ไดร์วในการแพร่กระจายก็ว่าได้ ไวรัสที่ใช้เทคนิคนี้ เช่น Brontok.A
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]ซ้อนลงไปในโฟลเดอร์นั้นๆโดยใช้ชื่อโฟลเดอร์หรือบางส่วนที่พบมาตั้งชื่อ -> คลิกเรียกดูงานในโฟลเดอร์ -> คลิกไฟล์ไวรัส -> ไวรัสถูกรันบนเครื่อง
วิธีป้องกันและแก้ไข
เปิดนามสกุลของไฟล์ให้หมด ปิด autorun และก็ลบไวรัสทิ้งซะ
เพิ่มเติมไวรัสที่เพิ่งเจอและน่าสนใจ
ไวรัสที่ทำให้คอมปิดเองได้ในเวลาไม่ถึงห้านาที
จะแก้ยังไงหละ ลง antivirus ก็ไม่ทัน เข้าไปปิด Process มัน ก็ล๊อกเอาไว้ไม่ให้เข้า task manager ได้
วิธีแก้ที่ผมใช้นะ
ก็คือเข้า safe mode เ็ป็นโหมดที่ไม่้ต้องกลัว Process ที่เป็นไวรัสจะรันได้ เราก็สามารถ scan ได้ตามสบาย แต่้ถ้าโปรหน่อยก็ หาทางเปิด service ที่ถูกล๊อกไว้ให้กลับคืนมาก่อน
-Search ก็เข้า run แล้วก็พิมพ์ gpedit.msc เจ้าเก่า ก็เข้าไปในส่วนที่ User Configuration -> Administrative Template -> Start Menu and Taskbar จะมีค่าของ remove search menu from start menu ก็ให้ disable มันซะ
-Folder Option เหมือนข้างบนตอนแก้ไวรัส flashy
-Registry Editor ก็ เข้าใน group policy และเข้า User Configuration -> Administrative Template -> System จะมีค่าของ prevent access to registry editing tools ให้ disable มัน
-Command Prompt ก็ที่เดียวกับของ registry editor แต่เป็นค่าของ prevent access to command prompt ให้ disable อีกเช่นกัน
-Task manager เข้า group policy เข้าต่อจากส่วนของ System ข้อที่แล้ว ให้เข้ามาที่ Ctrl+Alt+Del Options จะมีค่าที่เป็น remove task manager ให้ disable มัน
คำเตือนไวรัสบางประเภทอาจมีการทิ้งทวนโดยการลบไฟล์ในโฟลเดอร์ system ก่อนตาย ให้ทำการก๊อปไฟล์ในโฟลเดอร์นี้ไว้ก่อน แล้วค่อยฆ่าไวรัส จำชื่อไม่ได้นะ ก็อาการมันจะเป็นแบบว่า
พอเปิดเครื่องขึ้นมาใหม่หลังจากฆ่าไวรัสนี้แล้ว desktop จะหายไปไม่มีอะไรเหลือเลยคลิ๊กขวาก็ไม่ได้
ได้แค่ใช้ task manager มาเปิดโปรแกรมต่างๆ วิธีแำก้ ก็ใช้ task manager เปิด explorer.exe มาก็จะมีโฟลเดอร์ขึ้นมา ให้ทำการก๊อปไฟล์ในโฟลเดอร์ system ที่ backup ไว้คืนที่แล้ว system restore ซะก็เรียบร้อยแล้ว
ใครมีปัญหาอะไรที่เคยเจอมาแบ่งปันกันได้นะ เพื่อความก้าวหน้าของ virus
