posted on 13 Jul 2012 00:28 by seepan99
5. โทรจัน มัลแวร์ spam virus ต่างกันอย่างไร
โทรจัน (Trojan) คือโปรแกรมจำพวกหนึ่งที่ถูกออกแบบขึ้นมาเพื่อแอบแฝง กระทำการบางอย่าง ในเครื่องของเรา จากผู้ที่ไม่หวังดี ชื่อเรียกของโปรแกรมจำพวกนี้ มาจากตำนานของม้าไม้แห่งเมืองทรอย โทรจันจะถูกแนบมากับ อีการ์ด อีเมล์ หรือโปรแกรมที่มีให้ดาวน์โหลดตามอินเทอร์เน็ตในเว็บไซต์ใต้ดิน และสามารถเข้ามาในเครื่องของเรา โดยที่เราเป็นผู้รับมันมาโดยไม่รู้ตัวนั่นเอง
มัลแวร์ (Malware) ย่อมาจากคำว่า Malicious ware ซึ่งจะใช้แทนโปรแกรมประสงค์ร้ายต่างๆ โดยทำงานในลักษณะที่เป็นไวรัส ทั้งประเภทเวิร์ม (Worm) หรือหนอนอินเทอร์เน็ต และพวกม้าโทรจัน (Trojan Horse) การแอบดักจับข้อมูล (Spyware) และ (Key Logger) บนเครื่องคอมพิวเตอร์ของผู้ใช้งาน ตลอดจนโปรแกรมประเภทขโมยข้อมูล (Cookie) และการฝังMalicious Mobile Code (MMC) ผ่านทางช่องโหว่ของโปรแกรม Internet Explorer (IEVulnerability) ที่เกิดขึ้น โดยโปรแกรมจะทำการควบคุมการทำงานโปรแกรม Internet Explorer ให้เป็นไปตามความต้องการของผู้ที่ไม่หวังดี เช่น การแสดงโฆษณาในลักษณะของการ Pop-Up หน้าต่างโฆษณาออกมาเป็นระยะ เราเรียกโปรแกรมประเภทนี้ว่า แอ็ดแวร์ (Adware) ซึ่งภัยเหล่านี้ในปัจจุบันได้เพิ่มขึ้นอย่างรวดเร็ว ซึ่งอาจจะเกิดผลกระทบแก่ผู้ใช้งานได้ ถ้ารับโปรแกรมเหล่านี้เข้ามาในเครื่องคอมพิวเตอร์
สแปม (Spam) คือ การส่งอีเมลที่มีข้อความโฆษณาไปให้โดยไม่ได้รับอนุญาตจากผู้รับ การสแปมส่วนใหญ่ทำเพื่อการโฆษณาเชิงพาณิชย์ มักจะเป็นสินค้าที่น่าสงสัย หรือการเสนองานที่ทำให้รายได้อย่างรวดเร็ว หรือบริการที่ก้ำกึ่งผิดกฏหมาย ผู้ส่งจะเสียค่าใช้จ่ายในการส่งไม่มากนัก แต่ค่าใช้จ่ายส่วนใหญ่จะตกอยู่กับผู้รับอีเมลนั้น
ไวรัส คือ โปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้ และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่นๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูล ไวรัสก็อาจแพร่ระบาดได้เช่นกันการที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปฝังตัวอยู่ในหน่วยความจำคอมพิวเตอร์เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรมๆ หนึ่ง การที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้น ยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัว ปกติผู้ใช้มักจะไม่รู้ัตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัส ขึ้นมาทำงานแล้วจุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบนหน้าจอ
6. ยกตัวอย่างชื่อไวรัส 10 ชื่อ พร้อม บอกวิธีการป้องกัน
1. ไวรัส Brontok
ลักษณะอาการ
- Menu Folder Option จะหายไป
- จะเกิดไฟล์ .exe ชื่อเหมือน Folder ในทุก Folder ที่เปิดเข้าไปดู
-มีหน้าเวปขึ้นมาเขียนว่า Brontok
- ไม่สามารถเรียกใช้ Registry Editor และFolder Option ได้
วิธีแก้ไข
1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode ( กด f8 รัวๆตอนรีบู๊ดเครื่อง)เลือกเข้าในฐานะของ Administrator
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start upยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่
5. โหลด File UnHookExec.inf จาก
http://securityresponse.symantec.com...UnHookExec.inf
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesExplorer ลบค่า "NoFolderOptions" = "1
8. ไปที่ %UserProfile%Local SettingsApplication Data ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมด
9. ไปที่ %UserProfile%Start MenuProgramsStartup
ลบFile Empty.pif
10.ไปที่ %UserProfile%Templates ลบFile A.kotnorB.com
11.ไปที่ %Windir%inf ลบfile norBtok.exe
12. ไปที่%System% ลบfile 3D Animation.scr
2. ไวรัสคลิปVDO.EXE
เป็นไวรัสที่ไม่ได้สร้างความเสียหายร้ายแรงแก่ระบบเท่าใดแต่สร้างความรำคาญให้แก่ผู้ใช้ที่ติดไวรัสชนิดนี้มา โดยไวรัสชนิดนี้จะมีรูปร่างเหมือนFolderที่อยู่ในWin dows ทั่วๆไป แต่จะมีนามสกุลเป็น.exeทำให้เมื่อคลิกมัน ก็จะทำการฝังตัวไว้ใน C:WINDOWSsystem32 โดยจะทำการรันตัวมันเองขึ้นมาเรื่อยๆและสร้างไฟล์ คลิปVDO.exe ขึ้นมาใหม่เรื่อยๆ แม้ว่าจะทำการลบไฟล์ คลิปVDO.exe แล้วก็ตาม
วิธีแก้ไขไวรัส คลิปVDO.exe
1.เข้า windows task manager โดยกด Ctrl+Alt+Del ไปที่แทบ processes หาไฟล์ที่ชื่อ soundmsg.exe จากนั้นก็จัดการ end progress โดยการคลิ้กขวาเลือก end process หรือ กด delete แล้วตอบ yesไป
2. ลบไฟล์ คลิปVDO.exe
3. ไปที่ C:windowssystem32 แล้วหาไฟล์ soundmsg.exe หรือsearch หาไฟล์ soundmsg.exe
4.ไปที่Start menu->Run พิมพ์เข้า RegEdit เลือกที่HK_Local_MachineSoftwareMicrosoftWindowsCu rrentVersionRun ลบค่า Registry ที่ชื่อVirus test
5.ถ้าไวรัสติดที่Handy drive ให้เข้าSave Mode ของWindows แล้วเข้าไปลบไฟล์คลิปVDO.exe
3. ไวรัส Svchost.exe
เป็นWormชนิดหนึ่ง ที่สร้างชื่อเลียนแบบไฟล์ Svchost.exe ของระบบปฏิบัติการWindow ซึ่งไฟล์ svchost.exe เป็นไฟล์ generic host processใช้รัน กับ DLL ไฟล์เพื่อสร้าง Service ขึ้นมาเช่น EventSystem,Netman,NtmsSvc,RasMan โดยที่สามารถรันได้หลายๆ instance พร้อมกัน
อีกชื่อหนึ่งที่ใช้คือW32.CodeBlue ซึ่งส่งผลกระทบกับระบบปฎิบัติการ Windows ที่ใช้งานโปรแกรมประยุกต์ IIS
วิธีตรวจสอบ
ในDrive C หรือ D จะมีFolder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมีFolder ต่างๆเช่น c , cpu ,n ,w และอื่นๆ
- ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:WINDOWSsystem32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญจะอยู่ใน C:Svchost.exe หรือC:WINDOWSSvchost.exe
วิธีแก้ไข
1.ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้
ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3.ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs
4. ไวรัส Flashy.exe
ลักษณะอาการ
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้
-หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
-อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบFlash Driveเข้าไปหรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ (นามสกุล .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป
วิธีแก้ไข
1. ให้ใส่รหัสผ่าน คือ hacked
2. เข้าไปที่Task Manager เลือก Processes หาชื่อ Flashy.exe และ systemID.pif เลือกEnd Process
3. เนื่องจาก ไม่สามารถเข้าไปแก้ไขค่า Registry ในRun> regedit ได้ จึงต้องสร้างไฟล์เพื่อปลดล็อค regedit โดยการสร้าง Notepadแล้วพิมพ์ ดังนี้ โดย File สามารถใช้ปลดล็อค ได้กับทุกกรณีที่มีการล็อค regedit ที่เกิดจากไวรัสตัวอื่นๆ
เมื่อพิมพ์เสร็จก็ให้ save เป็นนามสกุล .inf หรือสามารถ Download โดยคลิ๊กที่ Link
http://securityresponse.symantec.com...UnHookExec.inf
เมื่อสร้าง หรือ Download เสร็จ ให้คลิกขวาแล้วเลือก install
4. ไปที่ Run พิมพ์ regedit แล้วให้ลบไฟล์ใน regedit ดังนี้
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion PoliciesExplorer ลบ "NoFolderOptions" = "1“
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "HideFileExt" = "1"
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "Hidden" = "2"
-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SharedAccess ลบ "Start" = "4"
-HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run ลบ Flashy.exe
5. ไปที่Start MenuProgramsStartup ลบ systemID.pif
6. ไปที่ Run พิมพ์ msconfig เลือก start up เอาเช็คถูกหน้า systemIDออก
7. ไปที่ Run พิมพ์ regedit แล้วไปที่HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
โดยแก้ค่าRegistryดังนี้ (ถ้าไม่มีก็คลิกขาวเลือกNewเลือกString value)
"AutoAdminLogon"="1" "DefaultUserName"=“ชื่อผู้ใช้"
"DefaultPassword"hacked"
8. เปิด Show hidden File แล้วไปที่ C:WINDOWSsystem32 ลบ File ชื่อ Flashy.exe
9. หาแผ่น Hirens BootCD 8.1 โดยการโหลดจากhttp://files.9down.com:8080/HBCD81%5...own.com%5D.rar
Writeลงแผ่นCD แล้วทำการ Boot เครื่องด้วย CD ให้เลือกหัวข้อ Password ข้อ 1. แล้วเลือก patition เลือก Account ที่จะล้าง Password และ ออกจากโปรแกรม
5. ไวรัส Toy.exe
ลักษณะอาการ
1.เมื่อเปิดเครื่องขึ้นมาหน้า Desktop จะมีภาษาจีนและ ภาษาอังกฤษขึ้นมา
2.ไม่สามารถ เข้า Local Disk ต่างๆได้ตามปกติรวมถึงFlash Drive ด้วยโดยจะดับเบิ้ลคลิ๊กเข้าDrive ต่างๆโดยตรงไม่ได้ ต้องคลิ๊กขวาแล้ว Open หรือ Explore เท่านั้น
วิธีแก้ไข
1.เข้าไปที่
C:Document and Setting ชื่อ User Start Menu Program Startup
และ C:WINDOWSSYSTEM32
ลบFile ที่ชื่อ mslogon
2.ทำการ Restart เครื่อง
Windows Genuine
เนื่องจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows XP PRo ผิดลิขสิทธิ์ทั่วโลกกว่าครึ่งกำลังถูก Microsoft ตรวจสอบลิขสิทธิ์ทำให้ต้อง Format Harddisk ใหม่ทั้งหมด ผ่านทาง Windows Update ปัญหานี้เกิดจากตัวอัพเดตที่มีรหัส KB890859 โดยจะทำให้ user mode ของWindowsเกิดปัญหา จะเริ่มจาก Microsoft จะเข้ามาเตือนว่า Update พร้อมสำหรับ โหลดแล้ว (สำหรับผู้ที่ตั้งเป็น Notify me but don't download) เมื่อการอัพเดตเสร็จสมบูรณ์ Product Key จะถูกส่งไปยัง Microsoft Server เพื่อดูว่าผิดลิขสิทธิ์หรือไม่ หากผิด เมื่อเครื่องคุณ Restart แล้วก็จะไม่สามารถLogonได้ เครื่องจะมีหน้าจอสีฟ้า เกิดจากการแก้ไขไฟล์ในระดับ kernel ทำให้เกิด c000021a fatal error
วิธีแก้ไข
1.เปิด Windows Task Manager.
2.กด End process wgatray.exe ใน Task Manager.
3.Restart Windows XP แล้วเข้า Safe Mode.
4.ลบFile WgaTray.exe จาก c:WindowsSystem32.
5.ลบFile WgaTray.exe จาก c:WindowsSystem32dllcache.
6.ไปที่ Run พิมพ์ RegEdit.
7.ไปที่HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsN T
CurrentVersionWinlogonNotify
8.ลบ folder ‘WgaLogon’ และทุก File
9.Reboot Windows XP.
6. ไวรัส Godzila
ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก
3)คลิก OK
3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name (เพื่อ sort File)
2)คลิกเลือกไฟล์ wscript.exe
3)คลิกปุ่ม End Process
5.เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive ด้วย
6.เปิดโฟลเดอร์ C:WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Registry Edit
8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> microsoft-->windows-->Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Group Policy
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซี ดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได ้ง่ายขึ้น
12.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options
13.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องวงกลม เลือก Donot show hidden file and folders
2)คลิก OK
แล้วลองรีสตาร์ทเครื่องดูครับว่ายังเป็นอยู่ไหมคะ
ลักษณะอาการ
- Menu Folder Option จะหายไป
- จะเกิดไฟล์ .exe ชื่อเหมือน Folder ในทุก Folder ที่เปิดเข้าไปดู
-มีหน้าเวปขึ้นมาเขียนว่า Brontok
- ไม่สามารถเรียกใช้ Registry Editor และFolder Option ได้
วิธีแก้ไข
1. หากมีคอมพิวเตอร์หลายเครื่อง มีการแชร์ไดร์ฟ หรือแลนกันไว้ให้จัดการยกเลิกการแชร์ ตัดการติดต่อกันเสียก่อน
2. เข้า Safe Mode ( กด f8 รัวๆตอนรีบู๊ดเครื่อง)เลือกเข้าในฐานะของ Administrator
3. ไปที่ Run พิมพ์ msconfig กด OK เลือก Start upยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
4. Restart เครื่องใหม่
5. โหลด File UnHookExec.inf จาก
http://securityresponse.symantec.com...UnHookExec.inf
6. เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install
7. ไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesExplorer ลบค่า "NoFolderOptions" = "1
8. ไปที่ %UserProfile%Local SettingsApplication Data ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมด
9. ไปที่ %UserProfile%Start MenuProgramsStartup
ลบFile Empty.pif
10.ไปที่ %UserProfile%Templates ลบFile A.kotnorB.com
11.ไปที่ %Windir%inf ลบfile norBtok.exe
12. ไปที่%System% ลบfile 3D Animation.scr
2. ไวรัสคลิปVDO.EXE
เป็นไวรัสที่ไม่ได้สร้างความเสียหายร้ายแรงแก่ระบบเท่าใดแต่สร้างความรำคาญให้แก่ผู้ใช้ที่ติดไวรัสชนิดนี้มา โดยไวรัสชนิดนี้จะมีรูปร่างเหมือนFolderที่อยู่ในWin dows ทั่วๆไป แต่จะมีนามสกุลเป็น.exeทำให้เมื่อคลิกมัน ก็จะทำการฝังตัวไว้ใน C:WINDOWSsystem32 โดยจะทำการรันตัวมันเองขึ้นมาเรื่อยๆและสร้างไฟล์ คลิปVDO.exe ขึ้นมาใหม่เรื่อยๆ แม้ว่าจะทำการลบไฟล์ คลิปVDO.exe แล้วก็ตาม
วิธีแก้ไขไวรัส คลิปVDO.exe
1.เข้า windows task manager โดยกด Ctrl+Alt+Del ไปที่แทบ processes หาไฟล์ที่ชื่อ soundmsg.exe จากนั้นก็จัดการ end progress โดยการคลิ้กขวาเลือก end process หรือ กด delete แล้วตอบ yesไป
2. ลบไฟล์ คลิปVDO.exe
3. ไปที่ C:windowssystem32 แล้วหาไฟล์ soundmsg.exe หรือsearch หาไฟล์ soundmsg.exe
4.ไปที่Start menu->Run พิมพ์เข้า RegEdit เลือกที่HK_Local_MachineSoftwareMicrosoftWindowsCu rrentVersionRun ลบค่า Registry ที่ชื่อVirus test
5.ถ้าไวรัสติดที่Handy drive ให้เข้าSave Mode ของWindows แล้วเข้าไปลบไฟล์คลิปVDO.exe
3. ไวรัส Svchost.exe
เป็นWormชนิดหนึ่ง ที่สร้างชื่อเลียนแบบไฟล์ Svchost.exe ของระบบปฏิบัติการWindow ซึ่งไฟล์ svchost.exe เป็นไฟล์ generic host processใช้รัน กับ DLL ไฟล์เพื่อสร้าง Service ขึ้นมาเช่น EventSystem,Netman,NtmsSvc,RasMan โดยที่สามารถรันได้หลายๆ instance พร้อมกัน
อีกชื่อหนึ่งที่ใช้คือW32.CodeBlue ซึ่งส่งผลกระทบกับระบบปฎิบัติการ Windows ที่ใช้งานโปรแกรมประยุกต์ IIS
วิธีตรวจสอบ
ในDrive C หรือ D จะมีFolder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมีFolder ต่างๆเช่น c , cpu ,n ,w และอื่นๆ
- ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:WINDOWSsystem32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญจะอยู่ใน C:Svchost.exe หรือC:WINDOWSSvchost.exe
วิธีแก้ไข
1.ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้
ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3.ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs
4. ไวรัส Flashy.exe
ลักษณะอาการ
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้
-หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ
-อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบFlash Driveเข้าไปหรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ (นามสกุล .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวง Lan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน)
- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป
วิธีแก้ไข
1. ให้ใส่รหัสผ่าน คือ hacked
2. เข้าไปที่Task Manager เลือก Processes หาชื่อ Flashy.exe และ systemID.pif เลือกEnd Process
3. เนื่องจาก ไม่สามารถเข้าไปแก้ไขค่า Registry ในRun> regedit ได้ จึงต้องสร้างไฟล์เพื่อปลดล็อค regedit โดยการสร้าง Notepadแล้วพิมพ์ ดังนี้ โดย File สามารถใช้ปลดล็อค ได้กับทุกกรณีที่มีการล็อค regedit ที่เกิดจากไวรัสตัวอื่นๆ
เมื่อพิมพ์เสร็จก็ให้ save เป็นนามสกุล .inf หรือสามารถ Download โดยคลิ๊กที่ Link
http://securityresponse.symantec.com...UnHookExec.inf
เมื่อสร้าง หรือ Download เสร็จ ให้คลิกขวาแล้วเลือก install
4. ไปที่ Run พิมพ์ regedit แล้วให้ลบไฟล์ใน regedit ดังนี้
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion PoliciesExplorer ลบ "NoFolderOptions" = "1“
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "HideFileExt" = "1"
-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsion ExplorerAdvanced ลบ "Hidden" = "2"
-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SharedAccess ลบ "Start" = "4"
-HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersion Run ลบ Flashy.exe
5. ไปที่Start MenuProgramsStartup ลบ systemID.pif
6. ไปที่ Run พิมพ์ msconfig เลือก start up เอาเช็คถูกหน้า systemIDออก
7. ไปที่ Run พิมพ์ regedit แล้วไปที่HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
โดยแก้ค่าRegistryดังนี้ (ถ้าไม่มีก็คลิกขาวเลือกNewเลือกString value)
"AutoAdminLogon"="1" "DefaultUserName"=“ชื่อผู้ใช้"
"DefaultPassword"hacked"
8. เปิด Show hidden File แล้วไปที่ C:WINDOWSsystem32 ลบ File ชื่อ Flashy.exe
9. หาแผ่น Hirens BootCD 8.1 โดยการโหลดจากhttp://files.9down.com:8080/HBCD81%5...own.com%5D.rar
Writeลงแผ่นCD แล้วทำการ Boot เครื่องด้วย CD ให้เลือกหัวข้อ Password ข้อ 1. แล้วเลือก patition เลือก Account ที่จะล้าง Password และ ออกจากโปรแกรม
5. ไวรัส Toy.exe
ลักษณะอาการ
1.เมื่อเปิดเครื่องขึ้นมาหน้า Desktop จะมีภาษาจีนและ ภาษาอังกฤษขึ้นมา
2.ไม่สามารถ เข้า Local Disk ต่างๆได้ตามปกติรวมถึงFlash Drive ด้วยโดยจะดับเบิ้ลคลิ๊กเข้าDrive ต่างๆโดยตรงไม่ได้ ต้องคลิ๊กขวาแล้ว Open หรือ Explore เท่านั้น
วิธีแก้ไข
1.เข้าไปที่
C:Document and Setting ชื่อ User Start Menu Program Startup
และ C:WINDOWSSYSTEM32
ลบFile ที่ชื่อ mslogon
2.ทำการ Restart เครื่อง
Windows Genuine
เนื่องจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows XP PRo ผิดลิขสิทธิ์ทั่วโลกกว่าครึ่งกำลังถูก Microsoft ตรวจสอบลิขสิทธิ์ทำให้ต้อง Format Harddisk ใหม่ทั้งหมด ผ่านทาง Windows Update ปัญหานี้เกิดจากตัวอัพเดตที่มีรหัส KB890859 โดยจะทำให้ user mode ของWindowsเกิดปัญหา จะเริ่มจาก Microsoft จะเข้ามาเตือนว่า Update พร้อมสำหรับ โหลดแล้ว (สำหรับผู้ที่ตั้งเป็น Notify me but don't download) เมื่อการอัพเดตเสร็จสมบูรณ์ Product Key จะถูกส่งไปยัง Microsoft Server เพื่อดูว่าผิดลิขสิทธิ์หรือไม่ หากผิด เมื่อเครื่องคุณ Restart แล้วก็จะไม่สามารถLogonได้ เครื่องจะมีหน้าจอสีฟ้า เกิดจากการแก้ไขไฟล์ในระดับ kernel ทำให้เกิด c000021a fatal error
วิธีแก้ไข
1.เปิด Windows Task Manager.
2.กด End process wgatray.exe ใน Task Manager.
3.Restart Windows XP แล้วเข้า Safe Mode.
4.ลบFile WgaTray.exe จาก c:WindowsSystem32.
5.ลบFile WgaTray.exe จาก c:WindowsSystem32dllcache.
6.ไปที่ Run พิมพ์ RegEdit.
7.ไปที่HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsN T
CurrentVersionWinlogonNotify
8.ลบ folder ‘WgaLogon’ และทุก File
9.Reboot Windows XP.
6. ไวรัส Godzila
ลักษณะอาการ
1.เครื่องจะไม่สามารถ Double Click เปิดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิดไดร์ฟโดยเลือกเมนู Open หรือExplore
2.มีข้อความปรากฏบน Title Bar ของ Internet Explorer ว่า “Hacked By Godzilla”
วิธีการแก้ไขเมื่อติดไวรัส Godzilla
1.Double Click ไอคอน My Computer ที่ Desktop เลือกเมนู Tools --> Folder Options
2.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิกเลือก Show Hidden files and folders
2)เอาเครื่องหมาย / ในช่องสี่เหลี่ยมหน้า Hide extention… และ Hide protected operating system file ออก
3)คลิก OK
3.กดปุ่ม Ctrl+Alt+Delete ที่คีย์บอร์ด
4.ปรากฏไดอะล็อกบ็อก Windows Task Manager คลิกเลือกแท็บ Processes
1)คลิกเลือกเมนู Image Name (เพื่อ sort File)
2)คลิกเลือกไฟล์ wscript.exe
3)คลิกปุ่ม End Process
5.เปิดไดร์ฟ ( โดยคลิกเม้าส์ขวาเลือก Explore ห้าม Double Click ไดร์ฟ ) ทำการลบไฟล์ autorun.inf และ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete ) ทุกไดร์ฟที่มีอยู่ในเครื่องคอมพิวเตอร์ซึ่งรวมทั้ง Handy Drive ด้วย
6.เปิดโฟลเดอร์ C:WINDOWS เพื่อลบไฟล์ MS32DLL.dll.vbs ออก (โดยกด Shift+Delete )
7.ไปที่ปุ่ม Start-->Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง regedit กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Registry Edit
8.คลิกเลือก HKEY_LOCAL_MACHINE --> Software --> microsoft-->windows-->Current Version --> Run เพื่อลบไฟล์ MS32DLL (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
9.คลิกเลือก HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main เพื่อลบไฟล์ที่ Window Title “Hacked by Godzilla” ออก (โดยการกดปุ่ม Delete ที่คีย์บอร์ด )
10.คลิกปุ่ม Start --> Run ปรากฏไดอะล็อกบ็อก Run พิมพ์คำสั่ง gpedit.msc กดปุ่ม OK
ปรากฏไดอะล็อกบ็อก Group Policy
11.คลิกเลือก User Configuration --> Administrative Templates --> System --> Double Click ไฟล์ Turn Off Autoplay ปรากกฎไดอะล็อกบ็อก Turn Off Autoplay Properties
1)คลิกเลือก Enabled
2)คลิกเลือก All drives
3)คลิก OK
เพื่อป้องกันการเปิดไดร์ฟอัตโนมัติในกรณีที่นำแผ่นซี ดี หรือ Handy Drive มาใช้งานซึ่งเป็นช่องทางที่จะทำให้เกิดการติดไวรัสได ้ง่ายขึ้น
12.Double Click ไอคอน Mycomputer ที่ Desktop เลือกเมนู Tools --> Folder Options
13.ปรากฏไดอะล็อก Folder Options คลิกแท็บ View
1)คลิก / ในช่องวงกลม เลือก Donot show hidden file and folders
2)คลิก OK
แล้วลองรีสตาร์ทเครื่องดูครับว่ายังเป็นอยู่ไหมคะ
7. ไวรัส Hoax
ลักษณะอาการ
หลายๆ ปีก่อน ผมเชื่อว่าหลายท่านคงเคยได้รับจดหมายลูกโซ่ (จดหมายธรรมดาที่ไม่ใช่ E-mail เหมือนในปัจจุบัน) ซึ่งเนื้อหาจะมีลักษณะให้ส่งต่อจดหมายไปยังผู้อื่น เช่น พี่น้อง ญาติ เพื่อน เป็นต้น และถ้าส่งต่อไปแล้วจะโชคดี มิเช่นนั้นจะมีภัยอย่างใหญ่หลวงมาถึงตัว แต่เนื่องด้วยความก้าวหน้าทางเทคโนโลยีในปัจจุบัน ได้แปรเปลี่ยนรูปแบบการส่งมาในรูปแบบของ E-mail
การป้องกัน
ทำได้ง่ายครับ เพียงแค่ไม่ส่งต่อ E-mail นั้นๆ ไปให้ผู้อื่น เท่านี้ คุณก็ช่วยให้โลกของ E-mail ดีขึ้นมากเลยครับ
8. ไวรัส ที่ผ่านทาง E-mail
ช่องทางหนึ่งในการแพร่กระจายไวรัส ซึ่งถือเป็นช่องทางโปรดของไวรัส คือ E-mail เนื่องจากเป็นช่องหนึ่งที่ทุกๆ คนจำเป็นต้องใช้งาน การแพร่กระจายของไวรัส จะอาศัยการส่งผ่านทาง E-mail โดยการส่งไปยังผู้รับอัตโนมัติ โดยใช้ E-mail Address ที่เรามีการบันทึกไว้ใน address book โดยไวรัสพวกนี้จะทำการสร้าง subject ของ mail แบบอัตโนมัติ นอกจากนี้ยังอาจมีการส่ง attache file เพื่อให้ผู้รับคลิกเพื่อเปิดโปรแกรมไวรัส (เพื่อให้ไวรัสทำงาน) โปรแกรมที่เป็นช่องทางของไวรัสได้ดี เช่น Microsoft Outlook, Outlook Express เป็นต้น
การป้องกัน
1. Update โปรแกรม Windows ให้ทันสมัยอยู่เสมอ
2. Update โปรแกรม Browser ให้ทันสมัยอยู่เสมอ
3. Update โปรแกรม Anti-virus ให้ทันสมัยอยู่เสมอ
4. ไม่เปิดอ่านอีเมล์ที่เราไม่รู้จัก
5. ไม่เปิดอ่าน mail ที่มีหัวข้อต่าง ๆ ดังนี้ Your Password, Games, Jokes เป็นต้น
6. ไม่เปิดอ่านอีเมล์ที่มี attached file ที่มีนามสกุล .EXE, .SCR, .PIF, VBS เป็นต้น
2. Update โปรแกรม Browser ให้ทันสมัยอยู่เสมอ
3. Update โปรแกรม Anti-virus ให้ทันสมัยอยู่เสมอ
4. ไม่เปิดอ่านอีเมล์ที่เราไม่รู้จัก
5. ไม่เปิดอ่าน mail ที่มีหัวข้อต่าง ๆ ดังนี้ Your Password, Games, Jokes เป็นต้น
6. ไม่เปิดอ่านอีเมล์ที่มี attached file ที่มีนามสกุล .EXE, .SCR, .PIF, VBS เป็นต้น
9. ไวรัส Worm
เป็นไวรัสประเภทหนึ่งที่ก่อกวน สามารถทำสำเนาตัวเอง (copy) และแพร่กระจายไปยังเครื่องคอมฯ เครื่องอื่นๆ ได้ ทำให้คอมพิวเตอร์ส่วนตัว และในระบบเครือข่ายเสียหายมานักต่อนักแล้ว ไวรัส วอร์ม นี้ปัจจุบันมีหลากหลายมาก มีการแพร่กระจายของไวรัสได้รวดเร็วมาก ทั้งนี้เนื่องจากไวรัส วอร์ม จะสามารถแพร่กระจายผ่านทางอีเมล์ได้ ไม่ว่าจะเป็น Outlook Express หรือ Microsoft Outlook
ลักษณะอาการ
เครื่องคอมพิวเตอร์ทำงานช้าลง
เครื่องคอมพิวเตอร์ไม่สามารถทำงานได้
ไม่สามารถติดต่อระบบเครือข่ายได้
ไม่สามารถทำงานในระบบอินเตอร์เน็ตได้
Internet Explorer
เครื่องคอมพิวเตอร์ไม่สามารถทำงานได้
ไม่สามารถติดต่อระบบเครือข่ายได้
ไม่สามารถทำงานในระบบอินเตอร์เน็ตได้
Internet Explorer
วิธิป้องกัน
Update to Internet Explorer 5.01 SP2
Update to IE 5.5 SP2
Update to IE 6.0
Update to IE 5.5 SP2
Update to IE 6.0
10. Spyware
Spyware ถือได้ว่าเป็นภัยอย่างหนึ่งในการใช้งานในระบบเครือข่าย ไม่ว่าจะเป็นเครือข่ายส่วนบุคคล หรือเครือข่ายอินเตอร์เน็ต เนื่องจากจะทำให้สูญเสียความเป็นส่วนบุคคลหรือความปลอดภัยของข้อมูล อาจกล่าวได้ง่าย ๆ คือ จะทำให้ข้อมูลส่วนตัวของคุณ ไม่ว่าจะเป็นเรื่องบัตรเครดิต หรือข้อมูลส่วนตัวของคุณต่างๆ เช่น ชื่อ ที่อยู่ และรายละเอียดส่วนตัวอื่นๆ ที่คุณได้ทำไว้ในคอมพิวเตอร์ ถูกส่งต่อไปยังผู้สร้างโปรแกรม
นอกจากนี้ Spyware อาจมาในอีกรูปแบบหนึ่งที่เรียกว่า Adware หมายถึงมาในรูปแบบของการแสดงป้ายโฆษณา (banner) มักจะใช้กับโปรแกรมที่เรียกว่า Shareware ซึ่งเป็นโปรแกรมที่มีการโฆษณาให้ download ไปใช้งานได้ฟรี ซึ่งถ้าผู้ใช้สนใจ สามารถสั่งซื้อเพื่อให้สามารถใช้งานได้เต็มประสิทธิภาพ และปราศจากป้ายโฆษณา ตัวอย่างเช่น โปรแกรม DAP+ เป็นต้น ซึ่ง Adware ส่วนใหญ่ถือว่าไม่เป็นภัยกับข้อมูส่วนตัวของคุณ
ลักษณะอาการ
1. อาจมีป้ายโฆษณาเล็กๆ ปรากฏขึ้นมา (Adware) หรือที่เรียกว่า pop-up
2. ขโมยข้อมูลส่วนตัวในเรื่องคอมฯ ของคุณ โดยเฉพาะ username, password
3. เก็บข้อมูลการเข้าเว็บไซต์ต่างๆ และเว็บที่คุณชื่นชอบ ส่งไปยังผู้ที่ต้องการ
4. เว็บเริ่มต้นในการทำงาน ถูกเปลี่ยนไป
5. มีโปรแกรมใหม่ๆ ถูกติดตั้งขึ้นมาโดยที่ไม่ได้มีการติดตั้ง
6. ค้นหาข้อมูลใน Search Engine จะมีความแตกต่างออกไปจากเดิม
7. 9 ใน 10 ของคอมพิวเตอร์ส่วนใหญ่ติด Spyware (ตามที่เขาเหล่ามา)
2. ขโมยข้อมูลส่วนตัวในเรื่องคอมฯ ของคุณ โดยเฉพาะ username, password
3. เก็บข้อมูลการเข้าเว็บไซต์ต่างๆ และเว็บที่คุณชื่นชอบ ส่งไปยังผู้ที่ต้องการ
4. เว็บเริ่มต้นในการทำงาน ถูกเปลี่ยนไป
5. มีโปรแกรมใหม่ๆ ถูกติดตั้งขึ้นมาโดยที่ไม่ได้มีการติดตั้ง
6. ค้นหาข้อมูลใน Search Engine จะมีความแตกต่างออกไปจากเดิม
7. 9 ใน 10 ของคอมพิวเตอร์ส่วนใหญ่ติด Spyware (ตามที่เขาเหล่ามา)
วิธีการป้องกัน
1. ระวังเรื่องการ download โปรแกรมจากเว็บไซต์ต่างๆ
2. ระวังอีเมล์ ที่ให้คำแนะนำเกี่ยวกับการแจกโปรแกรมฟรี เกี่ยวกับกำจัด spyware
3. ระหว่าง การใช้งานอินเตอร์เน็ต ถ้ามีหน้าต่างบอกให้คลิกปุ่ม Yes ระวังสักนิด อ่านรายละเอียดให้ดี อาจมี spyware แฝงอยุ่ แนะนำให้คลิก No ไว้ก่อน จะปลอดภัยกว่า
4. หน้ามีหน้าต่าง pop-up ขึ้นมา แนะนำให้คลิกตัว "X" แทนการคลิกปุ่มใด ๆ และโดยเฉพาะบริเวณป้ายโฆษณา นั่นอาจหมายถึงคุณกำลังยืนยันให้มีการติดตั้ง spyware แล้ว
5. ตรวจสอบ ด้วยโปรแกรมกำจัด spyware อย่างน้อยอาทิตย์ละครั้ง สำหรับองค์กร แนะนำให้ตรวจสอบทุกวัน โดยเฉพาะเวลาพักทานข้าว ซึ่งถือได้ว่าเป็นเวลาที่เหมาะสมมากที่สุด
2. ระวังอีเมล์ ที่ให้คำแนะนำเกี่ยวกับการแจกโปรแกรมฟรี เกี่ยวกับกำจัด spyware
3. ระหว่าง การใช้งานอินเตอร์เน็ต ถ้ามีหน้าต่างบอกให้คลิกปุ่ม Yes ระวังสักนิด อ่านรายละเอียดให้ดี อาจมี spyware แฝงอยุ่ แนะนำให้คลิก No ไว้ก่อน จะปลอดภัยกว่า
4. หน้ามีหน้าต่าง pop-up ขึ้นมา แนะนำให้คลิกตัว "X" แทนการคลิกปุ่มใด ๆ และโดยเฉพาะบริเวณป้ายโฆษณา นั่นอาจหมายถึงคุณกำลังยืนยันให้มีการติดตั้ง spyware แล้ว
5. ตรวจสอบ ด้วยโปรแกรมกำจัด spyware อย่างน้อยอาทิตย์ละครั้ง สำหรับองค์กร แนะนำให้ตรวจสอบทุกวัน โดยเฉพาะเวลาพักทานข้าว ซึ่งถือได้ว่าเป็นเวลาที่เหมาะสมมากที่สุด
นางสาวสุภาพร แซ่ผ่าน บัญชี 2 ปี 5506103099
ไม่มีความคิดเห็น:
แสดงความคิดเห็น