(Win32 FlyStudio.NFA : Detect by NOD32)
Notepad.exe
CRC32: 80E33AF2
MD5: 11583A25C3A1CFA8CECB922037981EC6
SHA-1: 1DD6060D63C808531619B2097920F2DF5EC12A2F
===================================================
Other name
a-squared 4.5.0.24 2009.08.25 Trojan-Downloader.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.08.24 Win-Trojan/Xema.variant
AntiVir 7.9.1.3 2009.08.24 TR/Agent.wzb
Antiy-AVL 2.0.3.7 2009.08.24 Trojan/Win32.VB
Authentium 5.1.2.4 2009.08.25 W32/Nuj.A.gen!Eldorado
Avast 4.8.1335.0 2009.08.24 Win32:Trojan-gen {Other}
AVG 8.5.0.406 2009.08.24 SHeur.CHRK
BitDefender 7.2 2009.08.25 Trojan.Spy.Agent.NXS
CAT-QuickHeal 10.00 2009.08.24 TrojanDropper.Regul.a
ClamAV 0.94.1 2009.08.25 -
Comodo 2083 2009.08.25 TrojWare.Win32.TrojanDownloader.VB.hnm
DrWeb 5.0.0.12182 2009.08.25 Win32.HLLW.Autoruner.6234
eSafe 7.0.17.0 2009.08.24 Win32.Downloader
eTrust-Vet 31.6.6698 2009.08.24 Win32/SillyAutorun.AIA
F-Prot 4.4.4.56 2009.08.24 W32/Nuj.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.25 Trojan-Downloader.Win32.VB.hnm
Fortinet 3.120.0.0 2009.08.24 W32/VB.HNM!tr.dldr
GData 19 2009.08.25 Trojan.Spy.Agent.NXS
Ikarus T3.1.1.68.0 2009.08.25 Trojan-Downloader.Win32.VB
Jiangmin 11.0.800 2009.08.23 Worm/AutoRun.xl
K7AntiVirus 7.10.826 2009.08.24 Worm.Win32.AutoRun.rbx
Kaspersky 7.0.0.125 2009.08.25 Trojan-Downloader.Win32.VB.hnm
McAfee 5719 2009.08.24 Generic Dropper.i
McAfee+Artemis 5719 2009.08.24 Generic Dropper.i
McAfee-GW-Edition 6.8.5 2009.08.25 Trojan.Agent.wzb
Microsoft 1.4903 2009.08.24 Worm:Win32/Regul.B
NOD32 4364 2009.08.24 Win32/FlyStudio.NFA
Norman 2009.08.24 W32/Lineage.BLDC
nProtect 2009.1.8.0 2009.08.24 Trojan-Downloader/W32.Agent.1512065
Panda 10.0.0.14 2009.08.24 Adware/AccesMembre
PCTools 4.4.2.0 2009.08.24 -
Prevx 3.0 2009.08.25 High Risk Worm
Rising 21.44.10.00 2009.08.25 Worm.Win32.Autorun.euk
Sophos 4.44.0 2009.08.25 Mal/EncPk-GF
Sunbelt 3.2.1858.2 2009.08.25 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.25 Trojan Horse
TheHacker 6.3.4.3.387 2009.08.25 W32/AutoRun.xxq
TrendMicro 8.950.0.1094 2009.08.25 WORM_AUTORUN.KAI
VBA32 3.12.10.10 2009.08.25 Worm.Win32.AutoRun.tbb
ViRobot 2009.8.24.1899 2009.08.24 Trojan.Win32.Downloader.1512065
VirusBuster 4.6.5.0 2009.08.24 Worm.Regul.EI
-------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ต่างดังนี้ (Random)
ตัวอย่างที่ผมทดสอบ 2 ครั้ง ได้ไม่เหมือนกัน virus ได้ random ชื่อ folder และไฟล์ไปเรื่อยๆ
C:\WINDOWS\system32\[ramdom folder]\[random mame]
Test ครั้งที่ 1
C:\WINDOWS\system32\420423\D2329D.EXE
C:\WINDOWS\system32\3B1B8A\com.run
C:\WINDOWS\system32\3B1B8A\dp1.fne
C:\WINDOWS\system32\3B1B8A\eAPI.fne
C:\WINDOWS\system32\3B1B8A\internet.fne
C:\WINDOWS\system32\3B1B8A\krnln.fnr
C:\WINDOWS\system32\3B1B8A\RegEx.fnr
C:\WINDOWS\system32\3B1B8A\shell.fne
C:\WINDOWS\system32\3B1B8A\spec.fne
C:\WINDOWS\system32\EF617B\423b.inf
C:\WINDOWS\system32\EF617B\8ace.EDT
C:\WINDOWS\system32\EF617B\8ace.inf
....................................................................................................................
Test ครั้งที่ 2
C:\WINDOWS\system32\3AD897\0A4C66.EXE
C:\WINDOWS\system32\7DECB1\com.run
C:\WINDOWS\system32\7DECB1\dp1.fne
C:\WINDOWS\system32\7DECB1\eAPI.fne
C:\WINDOWS\system32\7DECB1\internet.fne
C:\WINDOWS\system32\7DECB1\krnln.fnr
C:\WINDOWS\system32\7DECB1\RegEx.fnr
C:\WINDOWS\system32\7DECB1\shell.fne
C:\WINDOWS\system32\7DECB1\spec.fne
C:\WINDOWS\system32\077562\897d.inf
C:\WINDOWS\system32\077562\ b190.EDT
C:\WINDOWS\system32\077562\b190.inf
....................................................................................................................
สร้างไฟล์ลงใน %temp% อยู่ใน E_4
C:\DOCUME~1\[User Logon]\LOCALS~1\temp\E_4\krnln.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\shell.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\eAPI.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\internet.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\spec.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\RegEx.fnr
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\dp1.fne
C:\DOCUME~1\[User Logon ]\LOCALS~1\temp\E_4\com.run
สร้างไฟล์ใน USB Drive
X:\Autorun.inf
X:\Notepad.exe
ซ่อน Folder จริง และสร้าง folder ปลอม ที่มีนามสกุล .exe ขึ้นมาแทน ดังภาพ
ตัวอย่าง Foder และไฟล์ ที่ virus สร้างขึ้น
มีการเชื่อมต่อไปยังประเทศจีน
http://www3.866-86.cn/a/a4.htm
http://www2.866-86.cn/a/a1.htm
โดยเปิดหน้า web page อยู่เป็นระยะๆ
ตัวอย่าง
------------------------------------------------------------------------
วิธีกำจัด virus : Notepad.exe
(Win32 FlyStudio.NFA : Detect by NOD32)
แบบ manual
-----------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExplorerXP, Hijack This , DKDC_Hash , NOD32 Recovery Tool
ต้องขออภัย ที่ใช้ Tool หลายตัว คือผมทำเผื่อคนที่ไม่ถนัดในการเข้าไปแก้ไขแบบ Advance เช่น registry
ก่อนอื่นให้ตัดการเชื่อมต่อ Internet ก่อนครับ
1. เปิดโปรแกรม Kill process หา Folder ที่เป็นนามสกุล .exe แล้วเลือก Terminal ให้หมดทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไปหา folder ที่อยู่ใน system32 ดู folder ที่มีตัวเลขตัวอักษร 6 ตัว
มีอยู่ 3 folder และข้างใน folder มีไฟล์ที่บอกไว้ด้านบน (test1,test2) ก็ใช่เลย delete ออกได้เลยครับ
ผมก็บอกไม่ได้ว่า virus จะสร้าง ชื่อ folder อะไรไว้บ้างเนื่องจาก มัน random เปลี่ยนชื่อไปเรื่อย
3.ใช้โปรแกรม DKDC_Hash เลือกไฟล์ virus ต้นฉบับ และเลือกระบุ Drive เพื่อ Scan USB Drive
4.ใช้โปรแกรม Hijack This fix checked ที่ 2 บรรทัด
(ดูค่า run ที่มี folder ต่อจาก systen32)
HKLM\..\Run: [xxx] C:\WINDOWS\system32\[random foder]\[random filename]
Startup: กกกกกก.lnk = C:\WINDOWS\system32\[random foder]\[random filename]
Exam 1
HKLM\..\Run: [0A4C66] C:\WINDOWS\system32\3AD897\0A4C66.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\3AD897\0A4C66.EXE
Exam 2
Exam 1
HKLM\..\Run: [0A4C66] C:\WINDOWS\system32\3AD897\0A4C66.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\3AD897\0A4C66.EXE
Exam 2
HKLM\..\Run: [D2329D] C:\WINDOWS\system32\420423\D2329D.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\420423\D2329D.EXE
Startup: กกกกกก.lnk = C:\WINDOWS\system32\420423\D2329D.EXE
5. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Showhidden และกำจัดไฟล์ autorun.inf
ใน USB Drive
6. ใช้โปรแกรม ATF cleanner clear ไฟล์ใน temp หรือไปที่เมนู start เลืก Run พิมพ์ %temp% และ Delete ข้อมูลใน temp ให้หมด
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
================= Test by PeeTech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2
No comments:
Post a Comment