Virus:Win32/Autorun.FackAlert.CQ

autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
autorun.exe , Msupdate.exe
CRC32: 818D5CF3
MD5: 367BF350436402C353188D8C47BB3BCA
SHA-1: E3A70BF9B98C4B469148B121FDAA99D9568C71FB
===================================================
other name
a-squared 4.5.0.24 2009.08.24 Worm.Win32.Emold!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 Worm/Agent.24068
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Zbot.I.gen!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:Rootkit-gen
AVG 8.5.0.406 2009.08.23 SHeur2.ARRA
BitDefender 7.2 2009.08.24 Worm.Generic.76724
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.SDB
ClamAV 0.94.1 2009.08.23 Trojan.Zbot-5327
Comodo 2075 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.Inject.6008
eSafe 7.0.17.0 2009.08.23 Win32.Hacktool.Rootk
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Zbot.I.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.24 Worm.Win32.Bezopi.p
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Worm.Generic.76724
Ikarus T3.1.1.68.0 2009.08.24 Worm.Win32.Emold
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Worm.Win32.Bezopi.p
Kaspersky 7.0.0.125 2009.08.24 Worm.Win32.Bezopi.p
McAfee 5718 2009.08.23 Generic.dx!cgu
McAfee+Artemis 5718 2009.08.23 Generic.dx!cgu
McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Win32.Suspicious.B!89
Microsoft 1.4903 2009.08.23 Worm:Win32/Emold.U
NOD32 4361 2009.08.23 a variant of Win32/AutoRun.FakeAlert.CQ
Norman 6.01.09 2009.08.21 -nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Generic Worm
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.62.00 2009.08.24 -
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Hacktool.Rootkit
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_EMOLD.AA
VBA32 3.12.10.9 2009.08.24 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 Worm.Emold.GO
------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\msupdate.exe
สร้างไฟล์ ใน USB Drive
X:\autorun.inf
X:\Autorun.exe

ทำการแก้ไข Registry โดย Delete key เกี่ยวกับการ boot เข้า safemode ทำให้เวลาเข้า safemode จะขึ้นหน้าจอ blue screen

HKLM\SYSTEM\ControlSet001\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

-------------------------------------------------------------------------
วิธีกำจัด virus : autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
แบบ Manual
------------------------------------------------------------------------
Download virus Remove Tool

Unlocker ,ExplorerXP, Hijack This , PeeTech_SafemodeRecovery


1. เข้าไปใน C:\windows หาไฟล์ชื่อ msupdate.exe เมื่อพบแล้ว Click ขวาที่ไฟล์ เลือก unlocker จะขึ้นหน้าต่างดังภาพ click ที่ svchost.exe แล้วกดปุ่ม unlocker


จากนั้น delete ไฟล์ msupdate.exe

2. ใช้โปรแกรม ExplorerXP เข้าไป Delete ไฟล์ใน USB Drive คือไฟล์

autorun.inf

autorun.exe

3.ใช้โปรแกรม Hijack This ficked ที่ 2 บรรทัดนี้
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [msupdate] msupdate.exe

4. Run โปรแกรม PeeTech_SafemodeRecovery เมื่อเสร็จแล้วเครื่องจะ restart

สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ

================== Test by PeeTech =====================

จำนวนครั้งที่ทดสอบ : 2 ครั้ง

ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2