22 ส.ค.54 พบไวรัสใน handy drive ของเพื่อน 4 อัน แล้วผมก็ใช้คอมพิวเตอร์ 3 เครื่องจัดการ .. สรุปว่าฆ่า shortcut virus ตัวใหม่ ยังไม่ตายครับ
กรณีปัญหาการจัดการกับไวรัส
1) เครื่องที่ 1 ใช้ handy drive กับเครื่อง win7 ที่ไม่มี antivirus ทำให้ผมจับไวรัสตัวนี้ที่อยู่ใน recycle bin ไว้ได้ ถ้าต้องการเปิดแฟ้ม .zip ต้องใช้รหัสว่า virus
2) เครื่องที่ 2 เป็น win7 ใช้ symantec endpoint รายงานหลอกว่าฆ่าได้ แต่สงสัยว่าทำไมผมแก้ hidden กับ autorun.inf ไม่ได้ จึงเอาตัวเดิมไปลองในเครื่องใหม่ ซึ่งผมได้เอา autorun ออกแล้ว ก่อนเสียบ handy drive แต่การสั่งลบแฟ้ม autorun.inf ก็ยังเป็น access denied เมื่อสั่งลบผ่าน dos แม้ใช้ attrib -h ก็แก้ไม่ได้ ฟ้อง access denied เหมือนเดิม
3) เครื่องที่ 3 นำ handy drive ที่ฆ่าในขั้นสอง มาลองในเครื่องใหม่ พบว่าฆ่าได้อีก นำไปเสียบเครื่องอื่น ก็ฆ่าได้อีก สรุปได้ว่า symantec endpoint ฆ่าไวรัสตัวนี้ไม่ได้ ชื่อที่พบคือ TR/Dropper.Gen , W32/rcbot.ng และ trojan.adh ซึ่งไวรัสตัวที่ผมลบแบบ manual สามารถลบได้ตัวเดียว คือ w32/rcbot.ng
4) เครื่องที่ 4 นำเข้าเครื่องเจ้าหน้าที่ใช้ mcafee ที่ update ตลอด พบว่าเครื่องของเขาติดไวรัสตัวนี้เข้าแล้ว
สรุปว่า symantec endpoint และ mcafee ตัว update จัดการ shortcut virus ตัวนี้ไม่ได้ ส่วนแฟ้มไวรัสที่เก็บไว้ ยังไม่ได้ตรวจสอบว่าไวรัสมาทั้ง 2 ตัวหรือไม่ แฟ้มมีขนาดถึง 150 KB
การแก้ไข
1. ใช้ antivirus ฆ่าไวรัส ผลการทดสอบพบว่า antivir สามารถฆ่าได้ทั้ง 3 ตัว
2. ใช้ http://www.thaiall.com/download/unhidden.rar แก้ปัญหา folder ถูกซ่อน และมี shortcut ปรากฎขึ้น
การปิด autorun
1. ปิดผ่าน control panel, autoplay
2. DOS>gpedit.msc มองไปถึง Administrative Templates, Windows Components, Autoplay Policies
3. กดปุ่ม shift ค้างไว้
แฟ้มไวรัส TR/Dropper.Gen
http://www.4shared.com/file/vwTdC7gS/virus_jwgkvsq.html
วิธีแก้ไขที่ไม่น่าจะใช้กับ virus ตัวนี้สำเร็จ
http://www.ichat.in.th/HRTCOMPUTER/topic-readid30271-page1
http://www.pcccr.ac.th/ict_parinya/web/index.php?option=com_content&view=article&id=96
http://www.navy.mi.th/ncd/main/knowledge/store_knowledge/p1231210140403.pdf
