ไวรัสตัวใหม่ w32.sality.ab
ความร้ายแรงของไวรัสสายพันธ์นี้ถือว่าร้ายแรงกว่าไวรัสที่เคยเจอมาเลยครับ
ไวรัสจำพวก sality นี้จำไว้เลยว่าจะเป็นไวรัสที่ไม่มีตัวแม่คอยทำงานดังนั้นโปรแกรมตรวจจับโปรเซสไวรัสจึงใช้ตรวจจับไวรัสสายพันธ์นี้ไม่ได้
ที่ผมเรียกมันชื่อ sality นี้เพราะว่ามันไม่มีตัวแม่ให้เรียกจึงต้องเรียกตามที่โปรแกรมแอนตี้ไวรัสเรียกครับ
หลักการทำงานของไวรัส sality คือเมื่อไวรัสเริ่มทำงาน ไวรัสจะเข้าไปฝังตัวอยู่ในไฟล์ exe ของโปรแกรมต่างๆที่กำลังทำงานอยู่ ไม่เว้นแม้แต่โปรแกรม
แอนตี้ไวรัส จากที่ผมลองไวรัสตัวนี้ดู โดยใช้โปรแกรม kaspersky ลองดูนะครับ เมื่อเปิดไฟล์ไวรัสแล้ว โปรแกรม kaspersky จะขึ้นมาเตือน
ว่าไฟล์ที่เราเปิดนั้นเป็นไฟล์มีความเสี่ยงที่จะเป็นไวรัส แล้วหลังจากนั้นหน้าต่างนั้นก็หายไปภายใน2วินาที แล้วหากเราเอาเมาท์ไปคลิกเปิดโปรแกรม
kaspersky ที่ทาสบาร์โปรแกรม kaspersky ก็จะหายไปเลยครับ นั่นเท่ากับว่าไวรัสได้เข้าไปเกาะไฟล์โปรแกรม kaspersky เรียบร้อยแล้วครับ
ไวรัสตัวนี้หากติดแล้วไม่รีบแก้ ไวรัสจะเข้าไปเกาะไฟล์ exe ของไฟล์โปรแกรมทุกโปรแกรมครับ และทุกไดว์ฟเลยครับ
แล้วเมื่อไวรัสได้เกาะโปรแกรมป้องกันไวรัสได้ แล้วโปรแกรมป้องกันไวรัสนั้นต้องเปิดขึ้นมาทุกครั้งตอนเปิดเครื่องอยู่แล้ว
ดังนั้นไวรัสจึงทำงานทุกครั้งเมื่อคุณเปิดเครื่องโดยไวรัสตัวนี้ไม่ต้องไปสร้างคีย์เรียกไวรัสขึ้นมาเลย
ซึ่งต่างกับไวรัสทั่วไปที่เมื่อติดแล้วจะสร้างคีย์เรียกตัวไวรัสขึ้นมาทำงานเราจึงใช้โปรแกรม Hijack this ตรวจดูได้
เมื่อไวรัสสามารถทำงานได้ทุกครั้งตอนเราเปิดเครื่องไวรัสก็จะสร้างลูกมัน ขึ้นมาโดยชื่อไฟล์ของลูกไวรัสนั้นจะไม่ซ้ำกันเลย จึงบอกไม่ได้ว่าชื่ออะไร
ทราบเพียงแต่ว่าชื่อมันจะอ่านไม่ได้เพราะชื่อมันเกิดจากการสุ่มอักษรในการสร้างชื่อครับ ลูกมันทั้งสองตัวนี้ โปรแกรม Security Task Manager 1.7
สามารถมองเห็นการทำงานได้ครับ
ไฟล์ของลูกมันนี้ทำหน้าที่บันทึกรหัสผ่านที่คุณกดในเวบต่างๆเช่นรหัสอี เมล์รหัสผ่านธนาคาออนไลน์เป็นต้น โดยจะแอบบันทึกรหัสแล้วส่งไปให้
เจ้าของไวรัสทางเมล์ครับ ผมทราบการทำงานนี้ เพราะตอนติดไวรัสตัวนี้ผมเปิดโปรแกรมมอนิเตอร์ดูว่าขณะติดไวรัสมีการเชื่อมต่อไปที่ใด
ผมเช็คจากไอพีแล้วเป็นไอพีของเมล์ลิส(maillist)ซึ่งผมก็ไม่รู้ว่าเป็นอีเมล์ไหนอีเมล์ใคร เพราะว่าโปรแกรมันบอกมาแค่นี้เอง
ดังนั้นไวรัส sality พวกนี้มันไม่ได้ติดเพื่อทำลายข้อมูล แต่มันติดเพื่อขโมยรหัสผ่านของเราครับ
คิดย้อนไปเมื่อผมเป็นช่างคอมได้ซักปีกว่า ตอนที่ผมเริ่มวิจัยไวรัสใหม่ๆ(ราว6ปีที่แล้ว )ตอนที่เขียนบทความในเวบ
http://gotoknow.org/blog/phand ผมลองไวรัสโดยใช้เครื่องตัวเองลองแล้วใช้การ์ด UNDO ช่วยย้อนคืนหลังจากติดไวรัสแล้ว
ตอนนั้นยังไม่รู้จักโปรแกรม VMware Workstation(โปรแกรมจำลองเครื่อง) ก็เลยไม่ได้ใช้ แล้วเครื่องที่ลองนั้นไม่ได้ลงโปรแกรมแอนตี้ไวรัส
ไว้ด้วย พอวันหนึ่งผมส่งไฟล์แก้ไวรัสให้เขาโหลด เขาบอกว่ามีไวรัส ผมก็เลยลงโปรแกรม AVG 7.5 เพื่อสแกนดู จึงได้รู้ว่าผมติดไวรัส sality
ติดทั้งเครื่องติดทุกไฟล์ และทุกไดว์ฟเลยครับ โปรแกรมผมจึงเสียหมดเลย เครื่องคอมหนะหากไม่ลงโปรแกรมแอนตี้ไวรัสหน่ะ
จะใช้งานทำงานได้เร็วมากๆเลย แต่ผลที่ได้คือโดนไวรัส sality เกาะไฟล์ exe หมดเลย หลังจากที่ผมได้บทเรียนนี้ผมจึงลงโปรแกรมแอนตี้ไวรัส
กันไวรัสตลอดมาครับ ท่านผู้อ่านละครับ ท่านได้ลงโปรแกรมแอนตี้ไวรัสไว้ในเครื่องกันบ้างหรือยัง
ท่านทราบไหมครับว่า 95% ที่โทรมาคุยกับป่านที่โพสในบอร์ดเกี่ยวกับปัญหาการติดไวรัสนั้น ไม่ได้ลงโปรแกรม Kaspersky Internet Security 7.0
ป้องกันไวรัสไว้ครับ หากเราลง Kaspersky Internet Security 7.0 ไว้และเซตให้โปรแกรมนี้ป้องกันการเขียนค่าใน regedit ด้วยละก็ จะมีโอกาส
ติดไวรัสน้อยมากเลยครับ แล้วก็ลง CPE17 กันไวรัส autorun ด้วยครับ
ขออธิบายเวอร์ชั่นของไวรัสที่ผมได้เจอมาก่อนนะครับ
เวอร์ชั่น 1 เจอเมื่อ5-6ปีก่อนอยู่ในไฟล์แฮกเมล์
เวอร์ชั่น 2 คือตัวที่พึ่งเขียนไปครับ http://www.webphand.com/notepad/
ตัวล่าสุดคือตัวที่ได้ลองวันนี้ครับ
สรุปผลหลังจากที่ได้ทดลองติดไวรัส sality เวอร์ชั่นล่าสุดก็ได้รู้ว่า โปรแกรม Kaspersky Internet Security 7.0 หากอัฟเดทแล้ว
สามารถป้องกันไวรัสตัวนี้ได้ครับ ก็คือมันรู้จักไวรัสตัวนี้แล้วแจ้งเตือนขึ้นมาดังรูปครับ
หากท่านใช้ Kaspersky Internet Security 7.0 แล้วติดไวรัสตัวนี้ซึ่งแน่นอนมันเข้าไปฝังในไฟล์ของโปรแกรม Kaspersky แล้ว
ที่ติดได้เพราะว่าไม่ได้อัฟเดทโปรแกรมKaspersky ครับหลังจากอัฟเดทแล้วเรารีสตาร์ทไฟล์อัฟเดทเหล่านั้นจะซ่อมและลบไฟล์ไวรัส
ที่มาเกาะในโปรแกรม Kaspersky ออกไปครับ
วิธีแก้ไขเมื่อติดไวรัส w32.sality.ab
ต้องติดตั้งโปรแกรม Kaspersky Internet Security 7.0 แล้วอัฟเดทแล้วสั่งสแกนทั้งเครื่องครับ
และต้องเปิดการใช้งานการเปลี่ยนแปลงค่า regedit ด้วยนะครับ วิธีใช้งานอย่างละเอียด
การป้องกัน
ก็ติดตั้งโปรแกรมป้องกันไวรัส Kaspersky Internet Security 7.0 แล้วก็ลง CPE17 กันไวรัส autorun ด้วยครับ
อย่าลืมอัฟเดทนะครับ Kaspersky Internet Security 7.0 บ่อยๆนะครับ
ขอขอบคุณ
ช่างป่าน
www.webphand.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น