shortcut virus ตัวใหม่

22 ส.ค.54 พบไวรัสใน handy drive ของเพื่อน 4 อัน แล้วผมก็ใช้คอมพิวเตอร์ 3 เครื่องจัดการ .. สรุปว่าฆ่า shortcut virus ตัวใหม่ ยังไม่ตายครับ

กรณีปัญหาการจัดการกับไวรัส
1) เครื่องที่ 1 ใช้ handy drive กับเครื่อง win7 ที่ไม่มี antivirus ทำให้ผมจับไวรัสตัวนี้ที่อยู่ใน recycle bin ไว้ได้ ถ้าต้องการเปิดแฟ้ม .zip ต้องใช้รหัสว่า virus
2) เครื่องที่ 2 เป็น win7 ใช้ symantec endpoint รายงานหลอกว่าฆ่าได้ แต่สงสัยว่าทำไมผมแก้ hidden กับ autorun.inf ไม่ได้ จึงเอาตัวเดิมไปลองในเครื่องใหม่ ซึ่งผมได้เอา autorun ออกแล้ว ก่อนเสียบ handy drive แต่การสั่งลบแฟ้ม autorun.inf ก็ยังเป็น access denied เมื่อสั่งลบผ่าน dos แม้ใช้ attrib -h ก็แก้ไม่ได้ ฟ้อง access denied เหมือนเดิม
3) เครื่องที่ 3 นำ handy drive ที่ฆ่าในขั้นสอง มาลองในเครื่องใหม่ พบว่าฆ่าได้อีก นำไปเสียบเครื่องอื่น ก็ฆ่าได้อีก สรุปได้ว่า symantec endpoint ฆ่าไวรัสตัวนี้ไม่ได้ ชื่อที่พบคือ TR/Dropper.Gen ,  W32/rcbot.ng และ trojan.adh ซึ่งไวรัสตัวที่ผมลบแบบ manual สามารถลบได้ตัวเดียว คือ w32/rcbot.ng
4) เครื่องที่ 4 นำเข้าเครื่องเจ้าหน้าที่ใช้ mcafee ที่ update ตลอด พบว่าเครื่องของเขาติดไวรัสตัวนี้เข้าแล้ว
สรุปว่า symantec endpoint และ mcafee ตัว update จัดการ shortcut virus ตัวนี้ไม่ได้ ส่วนแฟ้มไวรัสที่เก็บไว้ ยังไม่ได้ตรวจสอบว่าไวรัสมาทั้ง 2 ตัวหรือไม่ แฟ้มมีขนาดถึง 150 KB

การแก้ไข
1. ใช้ antivirus ฆ่าไวรัส ผลการทดสอบพบว่า antivir สามารถฆ่าได้ทั้ง 3 ตัว
2. ใช้ http://www.thaiall.com/download/unhidden.rar แก้ปัญหา folder ถูกซ่อน และมี shortcut ปรากฎขึ้น

การปิด autorun
1. ปิดผ่าน control panel,  autoplay
2. DOS>gpedit.msc มองไปถึง Administrative Templates, Windows Components, Autoplay Policies
3. กดปุ่ม shift ค้างไว้

แฟ้มไวรัส TR/Dropper.Gen
http://www.4shared.com/file/vwTdC7gS/virus_jwgkvsq.html

วิธีแก้ไขที่ไม่น่าจะใช้กับ virus ตัวนี้สำเร็จ
http://www.ichat.in.th/HRTCOMPUTER/topic-readid30271-page1
http://www.pcccr.ac.th/ict_parinya/web/index.php?option=com_content&view=article&id=96
http://www.navy.mi.th/ncd/main/knowledge/store_knowledge/p1231210140403.pdf

ได้ไวรัสที่ร่มแดงไม่รู้จัก

new virus
new virus

13 ม.ค.54 ได้ไวรัสมาใหม่ จากห้องปฏิบัติการของสถาบันการศึกษาแห่งหนึ่ง เมื่อต้นมกราคม 2554 ซึ่งค้นด้วย symantec โล่เหลือง กับ antivir ร่มแดงรุ่น update ไม่พบ แต่ kaspersky กับ Mcafee หาพบ ทราบชื่อว่า generic.dv!uvs

โดยติดมากับ flash drive เมื่อเสียบเข้าเครื่องที่มี antivir ก็จะฟ้องว่ามีการเขียน autorun.inf ในทุก drive ทีละ drive จึงทราบว่าติดไวรัส เพราะมี deepfreeze จึงแก้ไขได้ตามอาการ สำหรับอาการที่สองคือ folder ใน flash drive ถูกซ่อนทั้งหมด และใน msconfig พบแฟ้มเพิ่มมา 2 รายการ สำหรับการแก้ folder ถูกซ่อนใช้วิธี right click, properties ไม่ได้ ต้องใช้ DOS>attrib -h -s -r /S /D ก็จะได้ folder ทั้งหมดกลับคืนมา
สำหรับท่านที่ต้องการทดสอบ หรือแกะไวรัส ผมได้ติดรหัสผ่านของ .zip ไว้ คือ virus สามารถ download virus ตัวนี้ได้จาก
http://www.4shared.com/file/WUj1k-KB/virus_et3ypes.html