มาดูวิธีแก้ไวรัส flashdrive ที่กำลังระบาดตอนนี้กันครับ

สวัสดีครับ วันนี้ผมจะมาเสนอวิธีการแก้ไวรัส flashdrive ที่กำลังระบาดอยู่ตอนนี้ครับ โดย flashdrive ที่ติดจะมีหน้าตาเป็นแบบนี้ครับ จะมี shortcut ที่ตั้งชื่อแบบนี้: [ชื่อของ flashdrive] (ขนาด GB)



ซึ่งถ้าเราเปิดเข้าไปตรงนั้น มันจะเปิดโฟลเดอร์งานของเรา (ที่มันเอาไปซ่อนไว้) ขึ้นมาให้ แต่ตอนนั้นคอมเราก็ติดไวรัสไปแล้วเรียบร้อยครับ

โดยพอเอาตัวมันไปสแกนที่ virustotal ก็พบว่าเป็น Trojan ตระกูล Bundpil/Gamarue/Rajbot ครับ (แล้วแต่บริษัทเขาจะตั้ง)
ผลสแกน: https://virustotal.com/en/file/102515976d9db83c19ca392e904dc4652be7debfc74cbce153404a06cf7860be/analysis/1465985295/

โดย flashdrive ของเราจะถูกติดตั้ง trojan ตัวนี้ทันทีที่เราเอาไปเสียบเครื่องที่ติด ซึ่งไฟล์งานเราก็ไม่ได้หายไปไหนครับ ถ้าเราตั้งให้เครื่องแสดงไฟล์ซ่อน flashdrive เราจะมีหน้าตาแบบนี้ครับ



ซึ่งไฟล์งานของเราจะอยู่ในโฟลเดอร์ไม่มีรูปที่อยู่บนสุดครับ วิธีการแสดงไฟล์ซ่อนดูได้ที่นี่ครับ
วิธีแสดงไฟล์ซ่อน

ก่อนที่จะเอาไฟล์ออกมา ต้องแน่ใจนะครับว่าเครื่องไม่มี trojan ตัวนี้ทำงานอยู่ มิฉะนั้น มันจะ delete ไฟล์ทั้งหมดใน flashdrive ทิ้งนะครับ!!!

จากนั้นก็ง่ายแล้วครับ หากต้องการนำไฟล์งานของเราออกมา เราก็ต้องไปหาคอมที่สะอาด ไม่มี trojan ตัวนี้อยู่ก่อนครับ ทีนี้เราก็แสดงไฟล์ซ่อน แล้วก็เข้าไปย้ายไฟล์ที่อยู่ในโฟลเดอร์ไม่มีชื่อนั้นออกมาไว้ที่หน้า flashdrive ของเราก็ได้แล้วครับ

แล้วก็อย่าลืมสแกนไวรัสใน flashdrive นะครับ

ส่วนการทำความสะอาดเครื่องที่ติดนั่น ก็ให้ใช้โปรแกรมทำความสะอาด malware สแกนและทำความสะอาดครับ
https://www.emsisoft.com/en/software/eek/

วิธีใช้อย่างละเอียด

http://www.bitdefender.com/scanner/online/free.html



สำหรับคนที่ต้องการดูข้อมูลทางเทคนิคนะครับ

trojan ตัวนี้ใช้วิธีเรียกตัวเองไม่เหมือนตัวอื่นๆเลยครับ โดยพอมาดูตัว shortcut แล้วเจอแบบนี้ครับ


ซึ่งพบว่ามันใช้ rundll32.exe ในการเริ่มการทำงานครับ เนื่องจากไฟล์นี้เป็นของ windows จริงๆ จึงทำให้อาจจะคิดว่าไม่อันตรายได้
http://www.howtogeek.com/howto/windows-vista/what-is-rundll32exe-and-why-is-it-running/

ไฟล์อื่นๆที่เจอใน flashdrive ก็ตามนี้ครับ

ไฟล์ desktop.ini มีสองหน้าที่ก็คือ 1)ทำให้ shortcut มีน่าตาเป็น flashdrive 2)ทำให้ folder ซ่อนมีรูปเป็น flashdrive
ไฟล์ชื่อมั่วๆ ก็คือไฟล์ trojan จริงๆครับ ซึ่งเป็นไฟล์ .dll ที่ออกแบบมาให้ใช้ได้กับ rundll32.exe

โดยเท่าที่ผมเจอมา trojan ตัวนี้มีหลายเวอร์ชั่นมาก ซึ่งแต่ละตัวจะมีวิธีการรันตัวเองต่างๆกันไปครับ โดยปกติไฟล์ของไวรัสจะไปอยู่ที่
C:\MSI
C:\AMD
%temp%
C:\programdata\local settings\temp
C:\programdata
หรือที่อื่นๆที่เรามักจะไม่เห็นมันครับ โดยรอบนี้ที่ผมทดสอบ ไฟล์ไปอยู่ที่ C:\programdata ครับ


วิธีการเริ่มทำงานอัตโนมัติ trojan ตัวนี้ใช้วิธีใส่ shortcut เข้าไปใน startup folder ครับ โดยทำตัวว่าเป็นตัวติดตั้งโปรแกรมแบบ .msi แล้วก็ใช้โปรแกรม msiexec.exe ที่เป็นไฟล์ windows ในการเรียกตัวเอง ดังนั้นถ้าโปรแกรมนี้ทำงานอยู่ทั้งๆที่ไม่ได้กำลังติดตั้งโปรแกรมอะไรอยู่ก็สงสัยได้ว่าติด trojan ตัวนี้แล้วครับ
https://support.microsoft.com/en-us/kb/314881

อีกอาการที่ทำให้น่าสงสัยก็คือ การตั้งค่าของ folder options ครับ โดยไม่ว่าเราจะไปพยายามตั้งใหม่ยังไง มันก็จะรีเซ็ตค่าเดิมกลับมาเป็นแบบนี้เองในไม่กี่นาทีครับ


หวังว่าข้อมูลนี้จะเป็นประโยชน์นะครับ ขอบคุณมากครับ
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่