shortcut virus ตัวใหม่

22 ส.ค.54 พบไวรัสใน handy drive ของเพื่อน 4 อัน แล้วผมก็ใช้คอมพิวเตอร์ 3 เครื่องจัดการ .. สรุปว่าฆ่า shortcut virus ตัวใหม่ ยังไม่ตายครับ

กรณีปัญหาการจัดการกับไวรัส
1) เครื่องที่ 1 ใช้ handy drive กับเครื่อง win7 ที่ไม่มี antivirus ทำให้ผมจับไวรัสตัวนี้ที่อยู่ใน recycle bin ไว้ได้ ถ้าต้องการเปิดแฟ้ม .zip ต้องใช้รหัสว่า virus
2) เครื่องที่ 2 เป็น win7 ใช้ symantec endpoint รายงานหลอกว่าฆ่าได้ แต่สงสัยว่าทำไมผมแก้ hidden กับ autorun.inf ไม่ได้ จึงเอาตัวเดิมไปลองในเครื่องใหม่ ซึ่งผมได้เอา autorun ออกแล้ว ก่อนเสียบ handy drive แต่การสั่งลบแฟ้ม autorun.inf ก็ยังเป็น access denied เมื่อสั่งลบผ่าน dos แม้ใช้ attrib -h ก็แก้ไม่ได้ ฟ้อง access denied เหมือนเดิม
3) เครื่องที่ 3 นำ handy drive ที่ฆ่าในขั้นสอง มาลองในเครื่องใหม่ พบว่าฆ่าได้อีก นำไปเสียบเครื่องอื่น ก็ฆ่าได้อีก สรุปได้ว่า symantec endpoint ฆ่าไวรัสตัวนี้ไม่ได้ ชื่อที่พบคือ TR/Dropper.Gen ,  W32/rcbot.ng และ trojan.adh ซึ่งไวรัสตัวที่ผมลบแบบ manual สามารถลบได้ตัวเดียว คือ w32/rcbot.ng
4) เครื่องที่ 4 นำเข้าเครื่องเจ้าหน้าที่ใช้ mcafee ที่ update ตลอด พบว่าเครื่องของเขาติดไวรัสตัวนี้เข้าแล้ว
สรุปว่า symantec endpoint และ mcafee ตัว update จัดการ shortcut virus ตัวนี้ไม่ได้ ส่วนแฟ้มไวรัสที่เก็บไว้ ยังไม่ได้ตรวจสอบว่าไวรัสมาทั้ง 2 ตัวหรือไม่ แฟ้มมีขนาดถึง 150 KB

การแก้ไข
1. ใช้ antivirus ฆ่าไวรัส ผลการทดสอบพบว่า antivir สามารถฆ่าได้ทั้ง 3 ตัว
2. ใช้ http://www.thaiall.com/download/unhidden.rar แก้ปัญหา folder ถูกซ่อน และมี shortcut ปรากฎขึ้น

การปิด autorun
1. ปิดผ่าน control panel,  autoplay
2. DOS>gpedit.msc มองไปถึง Administrative Templates, Windows Components, Autoplay Policies
3. กดปุ่ม shift ค้างไว้

แฟ้มไวรัส TR/Dropper.Gen
http://www.4shared.com/file/vwTdC7gS/virus_jwgkvsq.html

วิธีแก้ไขที่ไม่น่าจะใช้กับ virus ตัวนี้สำเร็จ
http://www.ichat.in.th/HRTCOMPUTER/topic-readid30271-page1
http://www.pcccr.ac.th/ict_parinya/web/index.php?option=com_content&view=article&id=96
http://www.navy.mi.th/ncd/main/knowledge/store_knowledge/p1231210140403.pdf

ผลจากไวรัสเข้าเปลี่ยน hosts

hosts
hosts

2 ก.ค.54 ค้นข้อมูล Endpoint แล้วมีเหตุให้ต้องเข้าเว็บไซต์ symantec.com แต่เข้าไม่ได้ ตรวจจาก zend2.com ก็พบว่าเว็บไซต์เปิดใช้งานได้ปกติ .. ก็คิดว่าเครื่องเราคงผิดปกติแล้วแน่ .. จึงสั่ง net stop dnscache ก็ไม่มีผล .. จากนั้นก็ตรวจแฟ้ม hosts ใน c:\windows\system32\drivers\etc ก็พบว่ามีการเปลี่ยนเส้นทางของเว็บไซต์ที่เกี่ยวกับระบบความปลอดภัย หรือระบบปฏิบัติการ .. สรุปได้ว่าคงเป็นฝีมือไวรัสอีกแล้ว และไม่ทราบว่าเกิดเมื่อใด เพราะบางกรณีไวรัสเข้ามาทำงาน แต่ก็ถูกกำจัดในเวลาต่อมา เพียงแต่ผลของไวรัสอาจไม่ได้หายไปตามตัวไวรัสเท่านั้น .. ต่อไปนี้ เป็นข้อมูลที่อยู่ในแฟ้ม hosts ที่ผมทำการลบออกทั้งหมด เป็นผลให้เข้าเว็บไซต์ต่าง ๆ ได้เป็นปกติ

192.168.200.3    ad.doubleclick.net
192.168.200.3    ad.fastclick.net
192.168.200.3    ads.fastclick.net
192.168.200.3    ar.atwola.com
192.168.200.3    atdmt.com
192.168.200.3    avp.ch
192.168.200.3    avp.com
192.168.200.3    avp.ru
192.168.200.3    awaps.net
192.168.200.3    banner.fastclick.net
192.168.200.3    banners.fastclick.net
192.168.200.3    ca.com
192.168.200.3    click.atdmt.com
192.168.200.3    clicks.atdmt.com
192.168.200.3    customer.symantec.com
192.168.200.3    dispatch.mcafee.com
192.168.200.3    download.mcafee.com
192.168.200.3    download.microsoft.com
192.168.200.3    downloads-us1.kaspersky-labs.com
192.168.200.3    downloads-us2.kaspersky-labs.com
192.168.200.3    downloads-us3.kaspersky-labs.com
192.168.200.3    downloads.microsoft.com
192.168.200.3    downloads1.kaspersky-labs.com
192.168.200.3    downloads2.kaspersky-labs.com
192.168.200.3    downloads3.kaspersky-labs.com
192.168.200.3    downloads4.kaspersky-labs.com
192.168.200.3    engine.awaps.net
192.168.200.3    f-secure.com
192.168.200.3    fastclick.net
192.168.200.3    ftp.avp.ch
192.168.200.3    ftp.downloads1.kaspersky-labs.com
192.168.200.3    ftp.downloads2.kaspersky-labs.com
192.168.200.3    ftp.downloads3.kaspersky-labs.com
192.168.200.3    ftp.f-secure.com
192.168.200.3    ftp.kasperskylab.ru
192.168.200.3    ftp.sophos.com
192.168.200.3    go.microsoft.com
192.168.200.3    ids.kaspersky-labs.com
192.168.200.3    kaspersky-labs.com
192.168.200.3    kaspersky.com
192.168.200.3    liveupdate.symantec.com
192.168.200.3    liveupdate.symantecliveupdate.com
192.168.200.3    mast.mcafee.com
192.168.200.3    mcafee.com
192.168.200.3    media.fastclick.net
192.168.200.3    microsoft.com
192.168.200.3    msdn.microsoft.com
192.168.200.3    my-etrust.com
192.168.200.3    nai.com
192.168.200.3    networkassociates.com
192.168.200.3    norton.com
192.168.200.3    office.microsoft.com
192.168.200.3    pandasoftware.com
192.168.200.3    phx.corporate-ir.net
192.168.200.3    rads.mcafee.com
192.168.200.3    secure.nai.com
192.168.200.3    securityresponse.symantec.com
192.168.200.3    service1.symantec.com
192.168.200.3    sophos.com
192.168.200.3    spd.atdmt.com
192.168.200.3    support.microsoft.com
192.168.200.3    symantec.com
192.168.200.3    trendmicro.com
192.168.200.3    update.symantec.com
192.168.200.3    updates.symantec.com
192.168.200.3    updates1.kaspersky-labs.com
192.168.200.3    updates2.kaspersky-labs.com
192.168.200.3    updates3.kaspersky-labs.com
192.168.200.3    updates4.kaspersky-labs.com
192.168.200.3    updates5.kaspersky-labs.com
192.168.200.3    us.mcafee.com
192.168.200.3    vil.nai.com
192.168.200.3    viruslist.com
192.168.200.3    viruslist.ru
192.168.200.3    virusscan.jotti.org
192.168.200.3    virustotal.com
192.168.200.3    windowsupdate.microsoft.com
192.168.200.3    www.avp.ch
192.168.200.3    www.avp.com
192.168.200.3    www.avp.ru
192.168.200.3    www.awaps.net
192.168.200.3    www.ca.com
192.168.200.3    www.f-secure.com
192.168.200.3    www.fastclick.net
192.168.200.3    www.grisoft.com
192.168.200.3    www.kaspersky-labs.com
192.168.200.3    www.kaspersky.com
192.168.200.3    www.kaspersky.ru
192.168.200.3    www.mcafee.com
192.168.200.3    www.microsoft.com
192.168.200.3    www.my-etrust.com
192.168.200.3    www.nai.com
192.168.200.3    www.networkassociates.com
192.168.200.3    www.pandasoftware.com
192.168.200.3    www.sophos.com
192.168.200.3    www.symantec.com
192.168.200.3    www.symantec.com
192.168.200.3    www.trendmicro.com
192.168.200.3    www.viruslist.com
192.168.200.3    www.viruslist.ru
192.168.200.3    www.virustotal.com
192.168.200.3    www3.ca.com
127.0.0.1 https://89.149.254.14/*
127.0.0.1 https://85.17.212.185/*
127.0.0.1 http://installs.in/*
127.0.0.1 https://85.17.201.65/*
127.0.0.1 https://85.17.212.185/*
127.0.0.1 https://195.24.77.223/*