Reventon
Would you like to react to this message? Create an account in a few clicks or log in to continue.

บทความ เรื่องฮาๆกับไวรัส RECYCLER (ไอค่อนถังขยะ)

Go down

บทความ เรื่องฮาๆกับไวรัส RECYCLER (ไอค่อนถังขยะ) Empty บทความ เรื่องฮาๆกับไวรัส RECYCLER (ไอค่อนถังขยะ)

ตั้งหัวข้อ  Admin Thu May 28, 2009 6:00 pm

เพื่อน : นี่ๆ มึงรู้จักไอ้โฟล์เดอร์ Recycler หรือเปล่า
ผม : รู้จัก.....ทำไมหรือ
เพื่อน : แล้วไอ้ Recycler มันมีหน้าที่อะไรล่ะ
ผม : เวลาเราลบไฟล์หรือโฟร์เดอร์อะไรก็ตาม มันจะไปสิงสถิตย์ที่ถังขยะก่อนที่เราจะเอามันไปเททิ้งน่ะสิ
เพื่อน : ไหงถังขยะตัวนี้ต้องไปเข้าสิง Flash Drive กูด้วย
ผม : สงสัยเทศบาลเอาไปวางไว้มั้ง
เพื่อน : เฮ้ยๆ อย่าเล่นมุข
ผม : เออๆ กูบอกก็ได้......
เพื่อน : มันคืออะไรอ่ะ
ผม : วัยรุ่น
เพื่อน : ไวรัสต่างหาก
ผม : เหอๆ
เพื่อน : แสดงว่าเครื่องกูติดไวรัสไปแล้วใช่ป่ะ
ผม : อย่าบอกนะว่ามึงเข้า Flash Drive ผ่านทาง My Computer
เพื่อน : Yes
ผม : เอาแล้วไง...เดือดร้อนกูอีกแล้ว
เพื่อน : น่าๆ เพื่อนก็ต้องช่วยเพื่อนสิวะ
ผม : ถ้างั้นเวลาแกมีแฟนเป็นของตัวเอง ก็เท่ากับว่าเป็นแฟนของกูใช่ป่ะ
เพื่อน : มั้ง........................ถ้างั้นเวลามึงแต่งงานแล้ว เมียมึงก็ต้องเป็นของกูด้วยสิ
ผม : เออๆ ยอมมึงแหระ
เพื่อน : มันจะทำอะไรมิดีมิร้ายเครื่องหรือเปล่า
ผม : อย่างน้อยมันก็ย้ายเข้าไปนอนในฮาร์ดดิสก์มึงแล้วล่ะ
ผม : แล้วตอนนี้มันสร้างความเสียหายอะไรพีซีมึงหรือเปล่า
เพื่อน : ไม่รู้สิ...............แต่ว่าเครื่องมันรู้สึกอืดๆลง
ผม : มันลบอะไรไปหรือเปล่า
เพื่อน : ก็ไม่อ่ะนะ
ผม : มันก่อกวนอะไรหรือเปล่า
เพื่อน : เอ๊ะ! มึงจะถามวนไปวนมาทำไมฟะ ก็บอกแล้วว่าเครื่องรู้สึกอืดๆลง
ผม : เออๆ ลืมไป
เพื่อน : มีตัวฆ่าไวรัสโดยเฉพาะหรือเปล่าอ่ะ
ผม : Search หาในเน็ตแล้วไม่เจอว่ะ
เพื่อน : อ่าว............แล้วจะทำไงดี
ผม : ลบเอาเองสิฟะ ถามโง่ๆ
เพื่อน : ก็มีแต่มึงที่ฉลาดคนเดียวนั่นแหละ
ผม : ไม่ต้องชมหรอก ยังไงเสียกูก็ไม่มีค่าชมให้มึงหรอก
เพื่อน : แล้วจะฆ่ายังไงดีอ่ะ
ผม : ใช้โปรแกรมแอนตี้ไวรัสสแกนหายัง
เพื่อน : กูใช้ NOD32 สแกนตรวจสอบดูแล้ว แต่มันบอกว่าไม่เห็น
ผม : แสดงว่ามึงยังไม่อัพเดทฐานข้อมูลไวรัสน่ะสิ
เพื่อน : ก็อัพเดทพร้อมๆกับมึงเมื่อ 3 วันก่อนนั่นแหละ
เพื่อน : แล้วมึงเคยเจอไวรัสตัวนี้หรือยัง
ผม : เจอมาแล้วครั้งหนึ่ง
เพื่อน : แล้วไปติดมาจากไหน
ผม : ตอนเอา Flash Drive ไปเสียบที่โรงเรียนนั่นแหละ
เพื่อน : แล้ว NOD32 ที่บ้านมึงสแกนแล้วเจออ่ะเปล่า
ผม : ไม่เจอเหมือนกัน แต่กูก็ไม่โง่พอที่จะเข้า Flash Drive ผ่านทาง My Computer หรอก
เพื่อน : ไปสืบข้อมูลของไวรัสตัวนี้มาหรือยัง
ผม : สืบพันธุ์มาแล้ว
เพื่อน : สืบค้น!
ผม : สืบค้นก็สืบค้น
เพื่อน : มันบอกว่ายังไงบ้าง
ผม : ไปเจอในเว็บไซต์ของ Trend Micro มา
เพื่อน : มันบอกว่ายังไงบ้าง
ผม : มันบอกว่า ''แม้วขายหุ้นแมนฯซิตี้ได้แล้ว''
เพื่อน : รู้แล้วว่าทำไม ''ปลาแม้วตายเพราะปาก'' เพราะมึงพูดกวนตีนนี่แหละ
ผม : โอ่ๆ อย่าเครียดสิ
เพื่อน : ดีๆ
ผม : คือยังงี้ ไฟล์ที่ไวรัสใช้ในการแพร่กระจายคือ mmc32.exe ซึ่งจะอยู่ในโฟร์เดอร์ Recycler นั่นแหละ
เพื่อน : แล้วไงต่อ
ผม : เทคนิคที่มันใช้ในการหลบซ่อนตัวก็คือ UPX
เพื่อน : UPX มันคืออะไร เกี่ยวข้องกับไวรัสที่ลงในเครื่อง CTX หรือเปล่า
ผม : คนละอันกันแล้ว UPX ย่อมาจาก Ultimate Packer for eXecutables เป็นโปรแกรมของบริษัท Sourceforge ที่ใช้ทำการบีบอัดไฟล์พวก .exe หรือ .dll ให้มีขนาดลดลง ทำให้สามารถใช้งานโปรแกรมที่ถูกบีบอัดได้ในขณะที่การทำงานของโปรแกรมกลับไม่ ช้าลง ถึงช้าก็ช้าอยู่บ้าง
เพื่อน : การหลบซ่อนของไวรัสตัวนี้คล้ายๆกับการซุกหุ้นของเฮียแม้วใช่ป่ะ
ผม : ก็คงใช่
เพื่อน : UPX นี่ก็คล้ายๆกับระบบการบีบอัดแบบ Winzip ใช่ป่ะ
ผม : ประมาณนั้น
ผม : ข้อมูลต่อมาคือ ไฟล์ไวรัสมันเป็นไฟล์ประเภท PE
เพื่อน : PE คือ วิชาพละศึกษาใช่ปะ
ผม : มึงเล่นได้ฝืดมาก PE ย่อมาจาก Portable Executable ซึ่งน่าจะหมายถึง ''ไฟล์ที่สามารถเปลี่ยนแปลงรูปแบบการใช้งานตัวเองได้''
เพื่อน : แล้วมันทำงานอัตโนมัติเมื่อเวลาเราเปิดเครื่องหรือเปล่า
ผม : มันก็แน่อยู่แล้ว เพราะเวลามึงลบโฟล์เดอร์ Recycler ที่ Flash Drive ในเครื่องที่มีไวรัส มันก็จะสร้างตัวเองขึ้นมาตลอดเวลานั่นแหละ
เพื่อน : เขาเรียกว่า ''โปรแกรมที่ฝังตัวอยู่ในหน่วยความจำ'' ใช่ป่ะ
ผม : Yes
เพื่อน : ประเภทของไวรัสคือ
ผม : Worm ไง
เพื่อน : คุณสมบัติของไวรัสมันคืออะไร
ผม : ก่อกวน
เพื่อน : แล้วมันไม่ทำลายข้อมูลอะไรหรือเปล่า
ผม : Nej
เพื่อน : อะไรคือ Nej
ผม : Nej เป็นภาษาเยอรมันแปลว่า ''ไม่'' หรือ ''ปฏิเสธ'' ไง
เพื่อน : ไวรัสตัวนี้มันทำงานอยู่บน OS ตัวไหนบ้างวะ
ผม : Windows 98, ME, NT, 2000, XP, Server 2003
เพื่อน : ไฟล์ไวรัสมันอาศัยอยู่ตรงส่วนไหนบ้างอ่ะ
ผม : จากการสืบค้นมาแล้วก็มีประมาณดังนี้

- C:\\WINDOWS\\system32\\crss.exe
- C:\\WINDOWS\\system32\\crss.exebak
- C:\\WINDOWS\\system32\\dnscon70.dll
- C:\\WINDOWS\\system32\\mstcpcon20.dll
- C:\\WINDOWS\\system32\\netmanage.dll
- C:\\WINDOWS\\system32\\netused.dll
- C:\\WINDOWS\\system32\\SR1000R.DLL
- C:\\WINDOWS\\system32\\SR1000R.DLLbak
- C:\\WINDOWS\\Temp\\_ISTMPI.DIR\\autorun.inf
- C:\\WINDOWS\\Temp\\_ISTMPI.DIR\\template.tmp
- C:\\WINDOWS\\Temp\\Del37.tmp

เพื่อน : แล้วค่า Registry ที่มันเขียนขึ้นมาเพื่อสั่งการทำงานตัวเองคืออะไรบ้าง
ผม : มีอยู่ 2 ส่วนคือ

- HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Dnscon
- HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetManager

เพื่อน : แสดงว่าถ้าเราจะฆ่าไวรัสนั้นเราต้องตามไปลบพวกไฟล์และค่าเหล่านี้ใช่ป่ะ
ผม : ถูกต้องนะคร้าบบบบบบบบบบบบบ!
ผม : แต่อย่าลืมว่ามึงต้องเข้าไปลบไวรัสใน Safe Mode นะเออ
เพื่อน : รับทราบ!
ผม : อย่าลืมทำการ Disable ในส่วนของ System Restore ด้วย เพราะ ไวรัสมันแฝงตัวกระจัดกระจายในนั้นด้วย
เพื่อน : Roger That!
ผม : อย่าลืมเข้าไป ''Folder Options'' แล้วเปิดการทำงานของ Hidden files and folder และไปปิด Hide protected operating system files ด้วย
เพื่อน : Yes Sir!
เพื่อน : แล้วไหน Flash Drive นั้นเราต้องลบไฟล์ไวรัสตัวไหนบ้าง
ผม : มึงก็ลบไอ้ Autorun.ini กับโฟร์เดอร์ Recycler นั่นแหละ
เพื่อน : ถ้าเกิดว่าไฟล์ไวรัสตามที่มึงบอกมานั้น เวลาหามันหาไม่เจอมันแปลว่าอะไรวะ
ผม : แสดงว่ามันไม่มีน่ะสิ เพราะ ช่วงแรกๆที่ไวรัสถูกปล่อยออกมานั้น พวกนักวิจัยไวรัสจ้าวต่างๆ ก็ค่อยๆศึกษาโครงสร้างและการทำงานของไวรัสกันทั้งนั้นแหละ ทำให้ข้อมูลในช่วงแรกๆอาจไม่เหมือนกันบ้าง
เพื่อน : สรุปว่ามีโปรแกรมแอนตี้ไวรัสตัวไหนบ้างที่สแกนเห็นไวรัสตัวนี้บ้าง
ผม : Kaspersky, McCafee, AntiVir, Pc-Cillin และ RemoveIT Pro
เพื่อน : แล้ว NOD32 ล่ะ
ผม : คงชาติหน้าตอนสายๆมั้ง กว่าจะเห็นไวรัสตัวนี้ได้
เพื่อน : ไวรัสตัวนี้เราจะเรียกชื่อมันว่าอะไรดี
ผม : คิดได้อยู่ 2 ชื่อคือ Recycler กับ MMC32 ว่ะ
เพื่อน : น่าสน
เพื่อน : แล้วมึงจะเขียนโปรแกรมฆ่าไวรัสโดยเฉพาะขึ้นมาบ้างหรือเปล่าวะ
ผม : กูคงไม่ทำอ่ะนะ เพราะ ไม่ได้เก่งขนาดนั้น
เพื่อน : แล้วมึงมีวิธีไหนที่เด็ดๆบ้างในการป้องกันไวรัสไม่ให้เข้าเครื่องพีซี โดยไม่ต้องใช้โปรแกรมแอนตี้ไวรัส
ผม: ก็ใช้ถุงยางอนามัยใส่เข้าไปไนหัวเสียบ Port ของพวก USB, RJ45 ไง
เพื่อน : ถ้างั้นกูก็จะเอาไปลองมั้งดีกว่า
ผม : ลองกับพีซีที่บ้านมึงหรือ
เพื่อน : เปล่าว่ะ............ลองกับคน หุๆ
ผม : ซะงั้น...





สรุปให้ดีกว่าจะได้เลว เอ๊ย!เร็วขึ้น
ลบไฟล์ต่อไปนี้ (ลบเท่าที่มีนะ ถ้าไม่มีก็ไม่ต้องหามาใส่เครื่อง)
- C:\\WINDOWS\\system32\\crss.exe
- C:\\WINDOWS\\system32\\crss.exebak
- C:\\WINDOWS\\system32\\dnscon70.dll
- C:\\WINDOWS\\system32\\mstcpcon20.dll
- C:\\WINDOWS\\system32\\netmanage.dll
- C:\\WINDOWS\\system32\\netused.dll
- C:\\WINDOWS\\system32\\SR1000R.DLL
- C:\\WINDOWS\\system32\\SR1000R.DLLbak
- C:\\WINDOWS\\Temp\\_ISTMPI.DIR\\autorun.inf
- C:\\WINDOWS\\Temp\\_ISTMPI.DIR\\template.tmp
- C:\\WINDOWS\\Temp\\Del37.tmp

ลบค่ารีจิสทรีโดยการคลิกปุ่ม Start -> Run พิมพ์คำว่า regedit แล้วเข้าไปตามตำแหน่งนี้
-HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Dnscon
- HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetManager

เท่านี้ก็เรียบร้อย ถ้าอยากเห็นผลก็รีสตาร์ทซะ

บทความ เรื่องฮาๆกับไวรัส RECYCLER (ไอค่อนถังขยะ) 1_display
Admin
Admin
Admin

จำนวนข้อความ : 183
Join date : 13/05/2009

https://reventon.thai-forum.net

ขึ้นไปข้างบน Go down

ขึ้นไปข้างบน


 
Permissions in this forum:
คุณไม่สามารถพิมพ์ตอบ