( Win32/Patched.AG)
System.exe , msmsgs.exe
MD5 : CF79F82AA29A807E1EEA4A637960972F
SHA1 : 4858082AB4A563C62D6750013F527FF9EB587F75
CRC32 : 3843957D
==============================================
Other name
ArcaVir > Downloader.Agent.Apey
A-squared > Worm.Win32.AutoIt!IK
Avast > Win32:Patched-GS
AVG > Win32/Patched
AntiVir > TR/Dldr.Agent.WZ
Bitdefender > Win32.Worm.Autoit.O
ClamAV > Trojan.Autoit-14
Comodo > TrojWare.Win32.Patched.G
Dr.WEB > Win32.HLLW.Autoruner.6157
eTrust-Vet > Win32/Eldycow.HS
F-PROT > W32/Downldr2.AICJ
F-Secure > Worm.Win32.AutoIt.i
G-DATA > Win32.Worm.Autoit.O
Ikarus > Worm.Win32.AutoIt
Jiangmin > Win32/Loadll.b
Kaspersky > Worm.Win32.AutoIt.i
McAfee > W32/Kibik.c
Microsoft >Win32/Wixud.A
NOD32 > Win32/Patched.AG
Norman > W32/Obfuscated.H11!genr
Panda > W32/PatchLog.P
PCTools > Worm.AutoIT.V
Quick heal > Trojan.Patched.BZ
Rising > Win32.Agent.xql
Sophos > W32/LibHack-A
Symantec > W32.SillyFDC
TheHacker > W32/AutoIt.i
TrendMicro > PE_KIBIK.B
VirusBuster > Worm.AutoIT.V
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างๆดังนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
สร้างไฟล์ใน USB Drive
X:\autorun.inf
X:\system.exe
Regedit , TaskManager ถูก Disable , Folder option หายไม่สามารถ show hidden file ได้
virus ได้ ซ่อน folder จริงใน USB Drive แล้วสร้าง folder ปลอม นามสกุล .exeถ้าเปิด msconfig เครื่องจะ restart ภายใน 5 วินาที ซึ่งถ้าดูใน msconfig จะเห็นว่ามีไฟล์ bad1 bad2 bad3 คล้ายๆกับ Win32/Autoit.AC
ถ้าลองเปิดด้วยโปรแกรม System Explorer จะเห็นดังภาพ ว่าค่า Startups มี bad1,bad2,bad3
ถ้าดูด้วยโปรแกรม Autoruns Tab ของ Logon
มีการแก้ไข Registry ดังนี้
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS1: "C:\WINDOWS\system32\system.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS2: "C:\WINDOWS\system32\bad1.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS3: "C:\WINDOWS\system32\bad2.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SYS4: "C:\WINDOWS\system32\bad3.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Msmsgs: "C:\WINDOWS\system32\Msmsgs.exe"
------------------------------------------------------------------------
วิธีกำจัด virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
แบบ Manual
------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExlorerXP , hijack This , DKDC_Hash , NOD32 Recovery Tool
ก่อนอื่นตัดการเชื่อมต่อ internet และระบบเครือข่ายต่างๆ
ถ้ามี USB Drive ก็เสียบไว้เลยครับ
1. เปิดโปรแกรม Kill Process แล้วเลือก Terminal folder ปลอมที่มีนามสกุล .exe ให้หมดทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไป Delete file ตามนี้
C:\WINDOWS\autorun.inf
C:\WINDOWS\system32\msmsgs.exe
C:\Program Files\ESET\nod32.exe
3. ใช้โปรแกรม DKDC_HASH scan หาไฟล์ virus ใน USB Drive
4. เปิดโปรแกรม Hijack this แล้ว Fix checked ที่ 6 บรรทัดนี้ครับ
HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
HKLM\..\Run: [Msmsgs] C:\WINDOWS\system32\Msmsgs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่าRegitry สำคัญๆ
6. เข้าไปแก้ไข Folder ที่จริง ที่ถูกซ่อนไว้ โดยการ click ขวาที่ folder ที่ถูกซ่อน (สีเหลืองจางๆ) แล้วเอาเครื่องหมายถูกหน้า hidden ออก แล้วกดปุ่ม OK แล้วเลือก option apply changes to this folder, subfolder and file แล้วกดปุ่ม OK
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
จบแล้วครับวิธีแก้ virus : System.exe , msmsgs.exe ( Win32/Patched.AG)
================== Test by PeeTech ====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฎิบัติการที่ใช้ทดสอบ : Windows XP SP2
No comments:
Post a Comment