virus – iT Blog

New high – ประกาศพื้นที่ควบคุมสูงสุด ไทยแตะหมื่นครั้งแรก ชาร์ตสหรัฐเพิ่มขึ้นต่อเนื่องเมื่อวานต่อวันมากกว่าสี่หมื่น

ประกาศพื้นที่ควบคุมสูงสุด ไทยแตะหมื่นครั้งแรก
ชาร์ตสหรัฐเพิ่มขึ้นต่อเนื่องเมื่อวานต่อวันมากกว่าสี่หมื่น

เมื่อ 17 ก.ค.64 มี ประกาศพื้นที่ควบคุมสูงสุดและเข้มงวด ระบุ 13 จังหวัด พื้นที่ควบคุมสูงสุด 56 จังหวัด รวมถึงจังหวัดลำปาง ที่ได้รับการยกระดับเป็นพื้นที่ควบคุมสูงสุด ส่วน หน้าหนึ่งหนังสือพิมพ์ไทยรัฐ 17 ก.ค.64 ขึ้นตัวโตว่า “จ่อล็อกดาวน์เข้มอีก คนไม่ค่อยร่วมมือลดเดินทาง” ยอดติดเชื้อแตะหนึ่งหมื่นต่อวันเป็นวันแรก วันนี้ทำ new high ผู้ติดเชื่อรายใหม่มี 11,397 คน และเสียชีวิต 101 คน ในระดับโลก เมื่อมองดูที่สหรัฐอเมริกาฟังข่าวรายงานวันนี้ ที่เคยมีการฉีดวัคซีนฟรี สะดวก รวดเร็ว มีรีวิวให้เห็นอยู่เสมอ พบว่า “สหรัฐชี้ โควิดสายพันธุ์เดลต้ายึดครองโลกแล้ว” ขณะนี้มีจำนวนผู้ติดเชื้อเฉลี่ยในช่วง 7 วันที่ผ่านมา มากกว่า 26,000 ราย เพิ่มขึ้นถึง 2 เท่า เมื่อเทียบกับเดือนมิถุนายน 2564 ซึ่งอยู่ที่ 11,000 ราย เมื่อไปดูสถิติของประเทศสหรัฐอเมริกาใน worldometers.info พบว่า 7 วันที่ผ่านมาในเดือนกรกฎาคม สูงกว่าเดือนมิถุนายน ที่ลดลงจากเดือนพฤษภาคมอย่างชัดเจน วันที่ 16 ก.ค.64 มีผู้ติดเชื้อรายใหม่ถึง 40,529 คน

เล่าสู่กันฟัง 63-041 ไวรัสโคโรนา covid-19

คำสำคัญใน covid-19
ทำให้เกิด #โรคปอดอักเสบ
และติดต่อผ่าน #ระบบหายใจ
เริ่มระบาด 2019
หลีกเลี่ยงพื้นที่แออัด
และรักษาสุขภาพให้แข็งแรง

เตรียมใจให้พร้อม
หากวันหนึ่งต้องหายใจ
รับไวรัสชนิดนี้ จากใครสักคนเข้าไป
ถ้าโชคดีก็จะมีวัคซีนมาให้ฉีด
เหมือนวัคซีนไวรัสตับอักเสบบี

กินร้อน ช้อนกลาง ล้างมือ

ไม่หายใจในพื้นที่เดียวกันกับผู้ป่วย
https://www.ryt9.com/s/prg/3099837

#เล่าสู่กันฟัง 63-016 ไวรัสมีหลายพันธุ์ที่น่ากลัวคือแบบติดปอด แพร่ทางอากาศ

เคยดูหนัง วิกฤติไวรัสสูบนรก Outbreak (1995) นั่นก็นานมาแล้ว การแพร่เชื่อเกิดง่าย ๆ ผ่านการไอ แพร่เชื้อทางอากาศ ผู้ติดเชื้อก็จะเสียชีวิตง่าย ๆ จากอาการปอดอักเสบในเวลาไม่กี่วัน ทำให้นึกถึงไวรัสโคโรน่า หรือไวรัสอู่ฮั่นสายพันธุ์ใหม่

พบว่า คนแชร์บางคน
มักไม่ดูให้ชัวร์ ไม่ว่าเรื่องอะไร
เช่น ไข้หวัดอู่ฮั่น “ดูให้ชัวร์ก่อนแชร์” https://youtu.be/WLzShEr9RqQ

ภาพยนตร์เล่าเรื่อง

ที่เกิดขึ้นในปี 1967 ณ ป่าแห่งหนึ่งในประเทศซาอีร์ (สาธารณรัฐคองโกในปัจจุบัน) เกิดการแพร่ของเชื้อโรคที่มีชื่อว่า ‘โมทาบา’ ซึ่งทำให้คนตายได้ใน 3 วัน แต่ก็ได้มีการกักกันเชื้อไม่ให้มันลุกลามไว้ได้

ในที่สุด อีก 27 ปีต่อมา เชื้อโมทาบาก็กลับมาระบาดอีกครั้ง เมื่อมีการจับลิงป่าจากแอฟริกาตัวหนึ่งมาทำการทดลองและมีคนแอบลักพาลิงตัวนั้นไปขาย โดยที่ไม่รู้เลยว่าคือพาหะนำโรคร้าย เมื่อลิงเจ้าปัญหาเกิดไปข่วนมือชายคนหนึ่งเข้า เชื้อมรณะก็แพร่ระบาดอย่างรวดเร็ว แพทย์ทหารพันเอก “แซม แดเนียล” และภรรยา ผู้เชี่ยวชาญเรื่องโรคระบาดจึงต้องเร่งทำการสอบสวนหาที่มาและหาทางช่วยมนุษยชาติจากวิกฤตครั้งนี้
https://www.beartai.com/lifestyle/398449

ข้อควรปฏิบัติ ต่อกรกับ Ransomware

ข้อควรปฏิบัติ ต่อกรกับ Ransomware โดย อ.ปริญญา หอมเอนก
1. ป้องกันที่ดีที่สุดคือ สำรองข้อมูล แยกจากตัวเครื่องของเรา
2. เช็คก่อนคลิ๊กเปิดแฟ้มแนบในอีเมล
เนื้อหาอีเมลหลอก เช่น บัญชีธนาคารถูกระงับ การจัดส่งสินค้าติดปัญหา
3. เช็คก่อนคลิ๊กลิงค์ในอีเมล
ด้วยการสังเกต URL ของลิงค์ในอีเมล ว่าน่าเชื่อถือหรือไม่
ถ้าเป็น .exe ก็ห้ามคลิ๊กทีเดียวเชียว
ตรวจลิงค์จาก virustotal.com
4. ถ้าโดนแล้วมีโอกาสถึง 90% ที่ไม่ได้ไฟล์คืน ต้องจ่ายเงินถึงจะได้คืน
อีก 10% ที่จะได้ไฟล์คืน คือเป็นรุ่นเก่า และมีตัวแก้ออกมาแล้ว
ถ้าแฟ้มสำคัญก็ต้องยอมจ่ายตัว โดยเทียบกับเงินประมาณ 2 หมื่นบาท
หากจ่ายไปก็อาจไม่ได้ทั้งแฟ้ม และเงินคืน ต้องเสี่ยง
5. หากไม่จ่าย ยอมเสียแฟ้มไป
ก็ต้องกลับไปจัดการกับไวรัสในเครื่องให้เรียบร้อย
เพราะไวรัสยังทำงานอยู่
6. หากเครื่องติด Ransomware แล้ว
เสียบ Flash drive หรือต่อ External harddisk หรือเก็บไวรัสไว้ให้ตนเองติดใหม่ในอนาคต
หรือยู่ในเครือข่าย ก็จะทำให้เกิดการกระจายไปยังเครื่องอื่น
http://www.it24hrs.com/2015/ransomware/

shortcut virus ตัวใหม่

22 ส.ค.54 พบไวรัสใน handy drive ของเพื่อน 4 อัน แล้วผมก็ใช้คอมพิวเตอร์ 3 เครื่องจัดการ .. สรุปว่าฆ่า shortcut virus ตัวใหม่ ยังไม่ตายครับ

กรณีปัญหาการจัดการกับไวรัส
1) เครื่องที่ 1 ใช้ handy drive กับเครื่อง win7 ที่ไม่มี antivirus ทำให้ผมจับไวรัสตัวนี้ที่อยู่ใน recycle bin ไว้ได้ ถ้าต้องการเปิดแฟ้ม .zip ต้องใช้รหัสว่า virus
2) เครื่องที่ 2 เป็น win7 ใช้ symantec endpoint รายงานหลอกว่าฆ่าได้ แต่สงสัยว่าทำไมผมแก้ hidden กับ autorun.inf ไม่ได้ จึงเอาตัวเดิมไปลองในเครื่องใหม่ ซึ่งผมได้เอา autorun ออกแล้ว ก่อนเสียบ handy drive แต่การสั่งลบแฟ้ม autorun.inf ก็ยังเป็น access denied เมื่อสั่งลบผ่าน dos แม้ใช้ attrib -h ก็แก้ไม่ได้ ฟ้อง access denied เหมือนเดิม
3) เครื่องที่ 3 นำ handy drive ที่ฆ่าในขั้นสอง มาลองในเครื่องใหม่ พบว่าฆ่าได้อีก นำไปเสียบเครื่องอื่น ก็ฆ่าได้อีก สรุปได้ว่า symantec endpoint ฆ่าไวรัสตัวนี้ไม่ได้ ชื่อที่พบคือ TR/Dropper.Gen , W32/rcbot.ng และ trojan.adh ซึ่งไวรัสตัวที่ผมลบแบบ manual สามารถลบได้ตัวเดียว คือ w32/rcbot.ng
4) เครื่องที่ 4 นำเข้าเครื่องเจ้าหน้าที่ใช้ mcafee ที่ update ตลอด พบว่าเครื่องของเขาติดไวรัสตัวนี้เข้าแล้ว
สรุปว่า symantec endpoint และ mcafee ตัว update จัดการ shortcut virus ตัวนี้ไม่ได้ ส่วนแฟ้มไวรัสที่เก็บไว้ ยังไม่ได้ตรวจสอบว่าไวรัสมาทั้ง 2 ตัวหรือไม่ แฟ้มมีขนาดถึง 150 KB

การแก้ไข
1. ใช้ antivirus ฆ่าไวรัส ผลการทดสอบพบว่า antivir สามารถฆ่าได้ทั้ง 3 ตัว
2. ใช้ http://www.thaiall.com/download/unhidden.rar แก้ปัญหา folder ถูกซ่อน และมี shortcut ปรากฎขึ้น

การปิด autorun
1. ปิดผ่าน control panel, autoplay
2. DOS>gpedit.msc มองไปถึง Administrative Templates, Windows Components, Autoplay Policies
3. กดปุ่ม shift ค้างไว้

แฟ้มไวรัส TR/Dropper.Gen
http://www.4shared.com/file/vwTdC7gS/virus_jwgkvsq.html

วิธีแก้ไขที่ไม่น่าจะใช้กับ virus ตัวนี้สำเร็จ
http://www.ichat.in.th/HRTCOMPUTER/topic-readid30271-page1
http://www.pcccr.ac.th/ict_parinya/web/index.php?option=com_content&view=article&id=96
http://www.navy.mi.th/ncd/main/knowledge/store_knowledge/p1231210140403.pdf

ผลจากไวรัสเข้าเปลี่ยน hosts

2 ก.ค.54 ค้นข้อมูล Endpoint แล้วมีเหตุให้ต้องเข้าเว็บไซต์ symantec.com แต่เข้าไม่ได้ ตรวจจาก zend2.com ก็พบว่าเว็บไซต์เปิดใช้งานได้ปกติ .. ก็คิดว่าเครื่องเราคงผิดปกติแล้วแน่ .. จึงสั่ง net stop dnscache ก็ไม่มีผล .. จากนั้นก็ตรวจแฟ้ม hosts ใน c:\windows\system32\drivers\etc ก็พบว่ามีการเปลี่ยนเส้นทางของเว็บไซต์ที่เกี่ยวกับระบบความปลอดภัย หรือระบบปฏิบัติการ .. สรุปได้ว่าคงเป็นฝีมือไวรัสอีกแล้ว และไม่ทราบว่าเกิดเมื่อใด เพราะบางกรณีไวรัสเข้ามาทำงาน แต่ก็ถูกกำจัดในเวลาต่อมา เพียงแต่ผลของไวรัสอาจไม่ได้หายไปตามตัวไวรัสเท่านั้น .. ต่อไปนี้ เป็นข้อมูลที่อยู่ในแฟ้ม hosts ที่ผมทำการลบออกทั้งหมด เป็นผลให้เข้าเว็บไซต์ต่าง ๆ ได้เป็นปกติ

192.168.200.3   ad.doubleclick.net
192.168.200.3   ad.fastclick.net
192.168.200.3   ads.fastclick.net
192.168.200.3   ar.atwola.com
192.168.200.3   atdmt.com
192.168.200.3   avp.ch
192.168.200.3   avp.com
192.168.200.3   avp.ru
192.168.200.3   awaps.net
192.168.200.3   banner.fastclick.net
192.168.200.3   banners.fastclick.net
192.168.200.3   ca.com
192.168.200.3   click.atdmt.com
192.168.200.3   clicks.atdmt.com
192.168.200.3   customer.symantec.com
192.168.200.3   dispatch.mcafee.com
192.168.200.3   download.mcafee.com
192.168.200.3   download.microsoft.com
192.168.200.3   downloads-us1.kaspersky-labs.com
192.168.200.3   downloads-us2.kaspersky-labs.com
192.168.200.3   downloads-us3.kaspersky-labs.com
192.168.200.3   downloads.microsoft.com
192.168.200.3   downloads1.kaspersky-labs.com
192.168.200.3   downloads2.kaspersky-labs.com
192.168.200.3   downloads3.kaspersky-labs.com
192.168.200.3   downloads4.kaspersky-labs.com
192.168.200.3   engine.awaps.net
192.168.200.3   f-secure.com
192.168.200.3   fastclick.net
192.168.200.3   ftp.avp.ch
192.168.200.3   ftp.downloads1.kaspersky-labs.com
192.168.200.3   ftp.downloads2.kaspersky-labs.com
192.168.200.3   ftp.downloads3.kaspersky-labs.com
192.168.200.3   ftp.f-secure.com
192.168.200.3   ftp.kasperskylab.ru
192.168.200.3   ftp.sophos.com
192.168.200.3   go.microsoft.com
192.168.200.3   ids.kaspersky-labs.com
192.168.200.3   kaspersky-labs.com
192.168.200.3   kaspersky.com
192.168.200.3   liveupdate.symantec.com
192.168.200.3   liveupdate.symantecliveupdate.com
192.168.200.3   mast.mcafee.com
192.168.200.3   mcafee.com
192.168.200.3   media.fastclick.net
192.168.200.3   microsoft.com
192.168.200.3   msdn.microsoft.com
192.168.200.3   my-etrust.com
192.168.200.3   nai.com
192.168.200.3   networkassociates.com
192.168.200.3   norton.com
192.168.200.3   office.microsoft.com
192.168.200.3   pandasoftware.com
192.168.200.3   phx.corporate-ir.net
192.168.200.3   rads.mcafee.com
192.168.200.3   secure.nai.com
192.168.200.3   securityresponse.symantec.com
192.168.200.3   service1.symantec.com
192.168.200.3   sophos.com
192.168.200.3   spd.atdmt.com
192.168.200.3   support.microsoft.com
192.168.200.3   symantec.com
192.168.200.3   trendmicro.com
192.168.200.3   update.symantec.com
192.168.200.3   updates.symantec.com
192.168.200.3   updates1.kaspersky-labs.com
192.168.200.3   updates2.kaspersky-labs.com
192.168.200.3   updates3.kaspersky-labs.com
192.168.200.3   updates4.kaspersky-labs.com
192.168.200.3   updates5.kaspersky-labs.com
192.168.200.3   us.mcafee.com
192.168.200.3   vil.nai.com
192.168.200.3   viruslist.com
192.168.200.3   viruslist.ru
192.168.200.3   virusscan.jotti.org
192.168.200.3   virustotal.com
192.168.200.3   windowsupdate.microsoft.com
192.168.200.3   www.avp.ch
192.168.200.3   www.avp.com
192.168.200.3   www.avp.ru
192.168.200.3   www.awaps.net
192.168.200.3   www.ca.com
192.168.200.3   www.f-secure.com
192.168.200.3   www.fastclick.net
192.168.200.3   www.grisoft.com
192.168.200.3   www.kaspersky-labs.com
192.168.200.3   www.kaspersky.com
192.168.200.3   www.kaspersky.ru
192.168.200.3   www.mcafee.com
192.168.200.3   www.microsoft.com
192.168.200.3   www.my-etrust.com
192.168.200.3   www.nai.com
192.168.200.3   www.networkassociates.com
192.168.200.3   www.pandasoftware.com
192.168.200.3   www.sophos.com
192.168.200.3   www.symantec.com
192.168.200.3   www.symantec.com
192.168.200.3   www.trendmicro.com
192.168.200.3   www.viruslist.com
192.168.200.3   www.viruslist.ru
192.168.200.3   www.virustotal.com
192.168.200.3   www3.ca.com
127.0.0.1 https://89.149.254.14/*
127.0.0.1 https://85.17.212.185/*
127.0.0.1 http://installs.in/*
127.0.0.1 https://85.17.201.65/*
127.0.0.1 https://85.17.212.185/*
127.0.0.1 https://195.24.77.223/*

ได้ไวรัสที่ร่มแดงไม่รู้จัก

13 ม.ค.54 ได้ไวรัสมาใหม่ จากห้องปฏิบัติการของสถาบันการศึกษาแห่งหนึ่ง เมื่อต้นมกราคม 2554 ซึ่งค้นด้วย symantec โล่เหลือง กับ antivir ร่มแดงรุ่น update ไม่พบ แต่ kaspersky กับ Mcafee หาพบ ทราบชื่อว่า generic.dv!uvs

โดยติดมากับ flash drive เมื่อเสียบเข้าเครื่องที่มี antivir ก็จะฟ้องว่ามีการเขียน autorun.inf ในทุก drive ทีละ drive จึงทราบว่าติดไวรัส เพราะมี deepfreeze จึงแก้ไขได้ตามอาการ สำหรับอาการที่สองคือ folder ใน flash drive ถูกซ่อนทั้งหมด และใน msconfig พบแฟ้มเพิ่มมา 2 รายการ สำหรับการแก้ folder ถูกซ่อนใช้วิธี right click, properties ไม่ได้ ต้องใช้ DOS>attrib -h -s -r /S /D ก็จะได้ folder ทั้งหมดกลับคืนมา
สำหรับท่านที่ต้องการทดสอบ หรือแกะไวรัส ผมได้ติดรหัสผ่านของ .zip ไว้ คือ virus สามารถ download virus ตัวนี้ได้จาก
http://www.4shared.com/file/WUj1k-KB/virus_et3ypes.html

ได้ไวรัสเข้าคอลเล็กชันอีกหนึ่งตัว

25 ก.ค.53 ได้ไวรัสตัวใหม่มาอีก 1 ตัวจาก memory ของกล้อง เข้าใจว่าติดมาจากที่เครื่องคอมพิวเตอร์ในห้องปฏิบัติการ เพราะ mem ตัวนี้ เสียบเข้าไปในหลายเครื่อง แล้ววันนี้เสียบเข้าไปในเครื่องที่บ้าน ซึ่งมี Antivir ก็มี popup เป็นไวรัสชื่อ TR/PWS Magania.dmox ส่วนอีกเครื่องที่ลง NOD ไม่ฟ้องอะไร แสดงว่าไวรัสตัวนี้อยู่ร่วมกับ NOD ที่ไม่ได้ update signature อย่างมีความสุข ถ้าต้องการไวรัสตัวนี้ผม zip และติดรหัสผ่านไว้ รหัสผ่านสำหรับเปิดให้ไวรัสทำงานคือ virus
+ http://bit.ly/cRRia2

พบคำว่า ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ ในไซต์ขององค์กร

มีการ upload แฟ้ม และพบว่าแฟ้มมี signature อันตราย

13 มี.ค.53 พบปัญหาจึงมีขั้นตอนการดำเนินการที่แบ่งกิจกรรมเป็น 3 ส่วนที่สำคัญคือ ที่มาของปัญหา การตรวจสอบ และการดำเนินการแก้ไข รายละเอียดมีดังนี้ 1) ผู้ใหญ่ท่านหนึ่งโทรศัพท์แจ้งว่าผลสืบค้นเว็บไซต์ขององค์กร พบคำว่า “ไซต์นี้อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ” เมื่อค้นด้วย url ของเว็บไซต์กับ google.com ก็พบว่ามี 2 ไซต์ในเครื่องบริการเดียวกันติดโผปัญหานี้จริง 2) ใช้ FTP เข้าไปตรวจแฟ้มจากที่บ้าน ซึ่งเครื่องบริการใช้ code ของ wordpress กับทั้ง 2 ไซต์ พบว่ามี script ประเภท badware อยู่จริง โดยแฟ้มถูกปรับปรุงจากผู้พัฒนาเว็บไซต์เมื่อเวลา 12.30น. (วันนี้เอง) จึง download code มาแก้ไขด้วยการลบ script บรรทัดปัญหาออกไปไม่กี่แฟ้ม แล้ว upload เข้าไปทับแฟ้มเดิมใหม่ ซึ่งเชื่อว่าไม่กระทบในทางลบจึงดำเนินการโดยไม่แจ้งผู้พัฒนาเว็บไซต์ 3) ผลการทดสอบ view source ยังพบบรรทัดปัญหาที่เป็นผลการทำงานของ badware อยู่ที่นั่นเช่นเดิม การ scan เข้าไปในระบบทั้งหมดจากที่บ้านอาจไม่สะดวกเรื่องความเร็วในการประมวลผล จึงเดินทางไปที่องค์กรแล้วแก้ปัญหาหน้าเครื่องด้วยการ scan แฟ้มทั้งหมด พบว่า signature ของไวรัสหรือ badware อยู่ 4 แบบ คือ eval, doc.write ด้วย javascript 2 แบบ และ script ที่พบในครั้งแรก 4) ใช้ file search ของ windows ร่วมกับ replace แบบ multi-line ของ editplus ในการ scan แล้วสั่งลบ signature ออกจากแฟ้มทั้งหมด ซึ่งพบว่ากว่า 200 แฟ้มนั้นมีเวลาถูกแก้ไขในเวลาประมาณ 12.30 -12.55น. ซึ่งตรงกับเวลาที่ผู้พัฒนาเว็บไซต์ส่งแฟ้มเข้าไปในระบบ แสดงเวลา upload ชัดเจนใน log ของ FTP Server มีประเด็นที่น่าสงสัยคือทำไมผลไปแสดงใน google.com เร็วมาก และถูกตรวจพบในเวลาที่รวดเร็ว รวมไม่ถึง 3 ชั่วโมงเท่านั้น .. จึงสงสัยว่า code มีปัญหามาก่อน 12.30น. หรือไม่ 5) ผลการแก้ไขทำให้ signature ของไวรัสถูกลบออกไปทั้งหมด เนื่องจากคาดว่า server ไม่ได้ติดไวรัสโดยตรง แต่คาดว่าเครื่องของผู้พัฒนาเว็บไซต์อาจติดไวรัส แล้วส่งแฟ้มที่ถูกแก้ไขเข้าเครื่องบริการ ที่สงสัยเช่นนั้นเพราะผู้เขียนใช้ ftp เชื่อมต่อเข้าระบบ ทำการดาวน์โหลดและอัพโหลด แต่ไม่เกิดผลต่อแฟ้มที่ดำเนินการ เมื่อแก้ไขแล้วก็ยังไม่พบไวรัสทำงานอีกครั้ง .. สรุปว่ารอดูอาการต่อไปเพื่อพิสูจน์ข้อสงสัย 6) ดำเนินการกับ google.com ด้วยการเข้าไปในส่วนของ webmaster tools แล้ว verify เว็บไซต์ทั้ง 2 แบบ download file แทนแก้ code เพราะสะดวกที่จะดำเนินการกับ wordpress ที่อาจมีการแก้ไขแฟ้ม index.php ในภายหลัง 7) เลือก ขอรับการตรวจสอบ จากระบบของ webmaster tools ใน google.com เนื่องจากดำเนินการแก้ไขปัญหาหรือต้นเหตุของ badware หรือ malware ทั้งหมดแล้ว .. เพราะแก้ไขแล้วจริง ๆ และคาดว่าทางผู้พัฒนาเว็บไซต์จะตรวจสอบตนเองพบ และไม่ส่งแฟ้มที่มีปัญหามาเผยแพร่ในเว็บไซต์ขององค์กรอีก เพื่อความแน่นอนในต้นเหตุของปัญหาจึงต้องตรวจสอบกับทีมผู้พัฒนาเว็บไซต์ในองค์กรว่าไม่มีใครมีไวรัสไว้ในครอบครองหรือไม่ .. สรุปว่าขณะนี้อยู่ระหว่างรอด google.com ตรวจสอบ
8) หลังแจ้งให้ google.com ดำเนินการยกเลิกการ block ในเวลาประมาณ 22.00 น. พบว่ามีการแก้ไขแล้วเมื่อเวลา 8.00น. ของวันรุ่งขึ้น สรุปว่าการดำเนินการครั้งนี้สำเร็จ และต้องเฝ้าดู (monitor) ต่อไปว่าจะไม่เกิดเหตุแบบนี้ขึ้นอีก

รวมภาพแสดงการทำงาน แก้ปัญหา virus ใน script

+ http://www.google.com/webmasters/tools/dashboard?hl=th
+ http://www.google.co.th/search?q=ayume.eu
+ http://www.google.co.th/search?q=cartoon.co.th

อ่านเรื่องไวรัส conficker หรือ downadup มาบอกต่อ

3 พ.ย.52 ไวรัส conficker หรือ downadup สามารถโจมตีโดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ทางไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 ตั้งแต่ 23 ตุลาคม 2251 ที่ http://www.microsoft.com/technet/security/bulletin/ms08-067.mspxสามารถ update ผ่าน DOS Mode ได้ 2 แบบคือ /passive หรือ /quiet เพื่อปิดช่องโหว่ดังกล่าว ไวรัสตัวนี้ถูกเรียกในหลายชื่อ เช่น 1)Win32/Conficker.A (CA) 2)Mal/Conficker (Sophos) 3)Mal/Conficker-A (Sophos) 4)Trojan.Win32.Agent.bccs (Kaspersky) 5)W32.Downadup.B (Symantec) 6)Win32.Worm.Downadup.Gen (BitDefender) 7)Trojan-Downloader.Win32.Agent.aqfw (Kaspersky) 8)W32/Conficker.worm (McAfee) 9)Trojan:Win32/Conficker!corrupt (Microsoft) 10)W32.Downadup (Symantec) 11)W32/Conficker.worm.gen (Symantec)
     ไวรัสจะคัดลอกตัวเองไปไว้ใน 1)%System%\[Random].dll 2)%Program Files%\Internet Explorer\[Random].dll 3)%Program Files%\Movie Maker\[Random].dll 4)%All Users Application Data%\[Random].dll 5)%Temp%\[Random].dll 6)%System%\[Random].tmp 7)%Temp%\[Random].tmp 8)%Handydrive%\RECYCLER\S-…[…].[3 random characters] 9)%Handydrive%\autorun.inf
     มีผลให้บริการของระบบถูกปิดหรือประมวลผลไม่ได้ เช่น 1) Windows Automatic Update Service (wuauserv) 2) Background Intelligent Transfer Service (BITS) 3) Windows Security Center Service (wscsvc) 4) Windows Defender Service (WinDefend) 5) Error Reporting Service (ERSvc) 6) Windows Error Reporting Service (WerSvc) และ Register ถูกแก้ไขเป็นเหตุให้เกิดการโจมตีในเครือข่าย โดยแก้ไข HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters “TcpNumConnections” = “0x00FFFFFE” และไม่สามารถเข้าเว็บไซต์ที่มีคำว่า virus spyware malware rootkit defender microsoft symantec norton mcafee trendmicro sophos panda etrust networkassociates computerassociates f-secure kaspersky jotti f-prot nod32 eset grisoft drweb centralcommand ahnlab esafe avast avira quickheal comodo clamav ewido fortinet gdata hacksoft hauri ikarus k7computing norman pctools prevx rising securecomputing sunbelt emsisoft arcabit cpsecure spamhaus castlecops threatexpert wilderssecurity windowsupdate
     การแพร่เกิด 3 ทาง คือ 1)จุดบกพร่องที่ไม่ update MS08-067 2)การ Share file ในเครือข่าย 3)ผ่าน Handy drive โดยเครื่องมือลบไวรัสตัวนี้หาได้จาก 1)http://support.microsoft.com/kb/962007 2)http://www.bitdefender.com/VIRUS-1000462-en–Win32.Worm.Downadup.Gen.html 3)http://it.yonok.ac.th/anuchit/FixDwndp.rar
     ตรวจค่าใน Register ด้วย DOS>reg query hklm\system\currentcontrolset\services\tcpip\parameters ถ้าพบว่า TcpNumConnections = 0x00FFFFFE แสดงว่าติดไวรัสตัวนี้ซะแล้ว สำหรับแหล่งอ้างอิง คือ 1)http://thaicert.nectec.or.th/advisory/alert/conficker.php 2)http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

ตรวจสอบว่าบริการเหล่านี้ถูกไวรัสปิดไปหรือไม่
DOS>sc.exe query wuauserv
DOS>sc.exe query bits
DOS>sc.exe query windefend
DOS>sc.exe query ersvc