Win32/Peerflag.BL

จากที่ติดค้างไว้เมื่อวาน ผมได้ทดสอบ usdrive32.exe แล้วมีการเปลี่ยนแปลงนิดหน่อย
ผมจึงลองทดสอบไฟล์ Autorun.exe ที่ได้เก็บตัวอย่างมาอีกตัวหนึ่ง NOD32 Detect เป็น
Win32/Peerflag.BL
------------------------------------------------------------------------
How to remove Win32/Peerflag.BL : Detect by NOD32

wnzip.exe, autorun.exe (ให้สังเกตุดีๆว่า wnzip.exe ไม่ใช่ winzip.exe)
file size 111616 bytes
MD5 : 6adbf4fb1af035eee18097d6575181af
SHA1: 3efdab36733cbed19070818f7fd99bc28314071f

usdrive32.exe (Nod32 ตรวจไม่พบ)
File size : 75264 bytes
CRC32: B7CCBF59
MD5 : 42D36DA12AE5731142261913C26CAE27
SHA1: 8FE40AB8A7560B16CC639F0B065C59C6660BF1CB
-------------------------------------------------------------------------
Aliases: (wnzip.exe, autorun.exe)
a-squared 4.5.0.24 2009.09.07 P2P-Worm.Win32.Palevo!IK
AhnLab-V3 5.0.0.2 2009.09.05 Win32/Palevo.worm.111616
AntiVir 7.9.1.8 2009.09.06 Worm/Palevo.jdg
Antiy-AVL 2.0.3.7 2009.09.07 Worm/Win32.Palevo.gen
Authentium 5.1.2.4 2009.09.06 -
Avast 4.8.1351.0 2009.09.07 Win32:Inject-UZ
AVG 8.5.0.409 2009.09.06 Generic14.ADSW
BitDefender 7.2 2009.09.07 Application.Generic.180682
CAT-QuickHeal 10.00 2009.09.07 I-Worm.Palevo.jdg
ClamAV 0.94.1 2009.09.07 -
Comodo 2210 2009.09.07 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.09.07 Win32.HLLW.Lime.18
eSafe 7.0.17.0 2009.09.06 -
eTrust-Vet 31.6.6721 2009.09.04 Win32/SillyP2P.EJ
F-Prot 4.5.1.85 2009.09.06 -
F-Secure 8.0.14470.0 2009.09.07 P2P-Worm.Win32.Palevo.jdg
Fortinet 3.120.0.0 2009.09.06 W32/Palevo.JDG!worm.p2p
GData 19 2009.09.07 Application.Generic.180682
Ikarus T3.1.1.72.0 2009.09.07 P2P-Worm.Win32.Palevo
Jiangmin 11.0.800 2009.09.07 Worm/Palevo.dzo
K7AntiVirus 7.10.837 2009.09.05 P2P-Worm.Win32.Palevo.jdg
Kaspersky 7.0.0.125 2009.09.07 P2P-Worm.Win32.Palevo.jdg
McAfee 5733 2009.09.06 Generic.dx!edo
McAfee+Artemis 5733 2009.09.06 Generic.dx!edo
McAfee-GW-Edition 6.8.5 2009.09.07 Heuristic.LooksLike.Trojan.Refroso.B
Microsoft 1.5005 2009.09.07 Trojan:Win32/Malat
NOD32 4401 2009.09.06 Win32/Peerfrag.BL
Norman 6.01.09 2009.09.04 W32/Malware.IDIQ
nProtect 2009.1.8.0 2009.09.06 Worm/W32.Palevo.111616.C
Panda 10.0.2.2 2009.09.06 W32/P2PWorm.CC.worm
PCTools 4.4.2.0 2009.09.06 -
Prevx 3.0 2009.09.07 High Risk Cloaked Malware
Rising 21.46.00.00 2009.09.07 -
Sophos 4.45.0 2009.09.07 Mal/EncPk-JU
Sunbelt 3.2.1858.2 2009.09.06 -
Symantec 1.4.4.12 2009.09.07 W32.Spybot.Worm
TheHacker 6.3.4.3.396 2009.09.04 W32/Palevo.jdg
TrendMicro 8.950.0.1094 2009.09.07 WORM_PALEVO.AC
VBA32 3.12.10.10 2009.09.06 P2P-Worm.Win32.Palevo.jdg
ViRobot 2009.9.7.1920 2009.09.07 Worm.Win32.P2P-Palevo.111616.B
VirusBuster 4.6.5.0 2009.09.06 -
ข้อมูลจาก Virus Total

usdrive32.exe
a-squared 4.5.0.24 2009.09.05 Net-Worm.Win32.Kolab!IK
AhnLab-V3 5.0.0.2 2009.09.04 -
AntiVir 7.9.1.8 2009.09.04 - > 2009-09-08 >TR/Dldr.Pher.WN
http://analysis.avira.com/samples/details.php?uniqueid=ybsMhJnmcyDSH3JR7bWm8CqhkmCnUZtN&incidentid=365532

Antiy-AVL 2.0.3.7 2009.09.04 Worm/Win32.Kolab.gen
Authentium 5.1.2.4 2009.09.05 W32/Downldr2.GIMN
Avast 4.8.1351.0 2009.09.04 Win32:Spyware-gen
AVG 8.5.0.409 2009.09.04 Worm/Spybot.CND
BitDefender 7.2 2009.09.05 Trojan.Proxy.Slennuga.A
CAT-QuickHeal 10.00 2009.09.05 Trojan.Agent.cuxg
ClamAV 0.94.1 2009.09.05 Trojan.Agent-121821
Comodo 2204 2009.09.05 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.09.05 BackDoor.IRC.Bot.122
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6721 2009.09.04 Win32/Spybot.ACL
F-Prot 4.5.1.85 2009.09.04 W32/Downldr2.GIMN
F-Secure 8.0.14470.0 2009.09.04 -
Fortinet 3.120.0.0 2009.09.05 PossibleThreat
GData 19 2009.09.05 Trojan.Proxy.Slennuga.A
Ikarus T3.1.1.72.0 2009.09.05 Net-Worm.Win32.Kolab
Jiangmin 11.0.800 2009.09.05 Worm/Kolab.sz
K7AntiVirus 7.10.836 2009.09.04 -
Kaspersky 7.0.0.125 2009.09.05 Trojan-Downloader.Win32.Pher.wn
McAfee 5731 2009.09.04 -
McAfee+Artemis 5731 2009.09.04 Artemis!42D36DA12AE5
McAfee-GW-Edition 6.8.5 2009.09.05 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.5005 2009.09.05 VirTool:Win32/Injector.gen!AD
NOD32 4397 2009.09.05 - IRC/SdBot (2009-09-09)
Norman 6.01.09 2009.09.04 W32/Spybot.DUYR
nProtect 2009.1.8.0 2009.09.05 Worm/W32.Kolab.75264
Panda 10.0.2.2 2009.09.04 Trj/CI.A
PCTools 4.4.2.0 2009.09.04 -
Prevx 3.0 2009.09.05 High Risk Worm
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.05 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.09.05 -
Symantec 1.4.4.12 2009.09.05 W32.Spybot.Worm
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.04 -
VBA32 3.12.10.10 2009.09.04 Net-Worm.Win32.Kolab.dlq
ViRobot 2009.9.4.1919 2009.09.04 Worm.Win32.Net-Kolab.75264
VirusBuster 4.6.5.0 2009.09.04 Trojan.Ceeinject.Gen
ข้อมูลจาก Virus Total
ข้อมูลที่ได้จาก Microsoft
------------------------------------------------------------------------
เมื่อ virus ทำงาน
ได้สร้างไฟล์ต่างๆดังนี้

C:\RECYCLER\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx\wnzip32.exe (lock)
C:\RECYCLER\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx\Desktop.ini (lock)
C:\RECYCLER\S-1-5-21-S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\RECYCLER\S-1-5-21-S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini
C:\WINDOWS\usdrive32.exe


* หมายเหตุ : หมายเลขใน RECYCLER ในแต่ละเครื่องอาจไม่เหมือนกันจะต้อง Zip ไฟล์ก่อนถึงเห็นไฟล์หรือเปิดด้วย ExplorerXP ถึงจะเห็น ไฟล์ virus ข้างใน ดังตัวอย่าง





สร้างไฟล์ ใน USB Drive
X:\RECYCLER\autorun.exe
X:\autorun.inf (lock)


ถ้าดูด้วยโปรแกรม ExplorerXP จะเห็นไฟล์ที่อยู่ใน recycler ดังภาพ


มีการแก้ไข Registry

Values added
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver Setup: "C:\WINDOWS\usdrive32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup: "C:\WINDOWS\usdrive32.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman: "C:\RECYCLER\S-1-5-21-9484861479-2595496117-027757260-9243\wnzip32.exe"
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe:*:C:\WINDOWS\usdrive32.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\373.exe:*:C:\WINDOWS\usdrive32.exe"

ใน Temp ชื่อ file ที่มีนามสกุล .exe ที่ virus ได้ download มา อาจมีชื่ออื่นๆ เช่น
752.exe 341.exe 543.exe 123.exe ....................... ฯลฯ

Values modified
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000344
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000344
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000000
-------------------------------------------------------------------------
virus ได้ทำการ ปิดระบบ firewall และไม่สามารถ ติดต่อกับเครื่อง Server ใน network ได้
และ internet ไม่สามารถ ใช้งานได้
virus ได้ทำการ เปิด port 139 และ 445 ถ้าเครื่องไหนไม่ได้ติดต้ง Patch เพื่ออุดช่องโหว่นี้ จะมีข้อความฟ้องเกี่ยวกับ
Generic Host Process Error

-------------------------------------------------------------------------
วิธีกำจัด wnzip.exe, autorun.exe (Win32/Peerflag.BL : Detect by NOD32 )
แบบ Manual
-------------------------------------------------------------------------
Download Virus Remove Tool

ExplorerXP ,Unlocker , Hijack This , NOD32 Recovery Tool , ATF Cleaner

ก่อนอื่น ให้ตัดการเชื่อมต่อ Internet หรือระบบ network ก่อน
1. กดปุ่ม Ctrl + Alt + Del ปิด Process ชื่อ usdrive32.exe
2. ใช้โปรแกรม ExplorerXP เปิดเข้าไปที่ C:\ แล้ว Click ขวา ที่ RECYCLER เลือก Unlocker
จะขึ้นหน้าต่าง unlocker ดังภาพ ให้ click ที่ unlock all
แล้ว จึงค่อย Delete RECYCLER ทั้งสอง (Delete = Shift + Del)




จากนั้นเข้าไปที่ USB Drive แล้ว Click ขวา ที่ไฟล์ Autorun.inf เลือก unlocker
แล้ว Delete ไฟล์ autorun.inf และ delete folder รูป RECYCLER

3. ใช้โปรแกรม hijack This fix checked บรรทัดต่อไปนี้
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\usdrive32.exe
HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\usdrive32.exe
HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\usdrive32.exe


ถ้าสังเกตุให้ดีจะเห็นว่า Hijack this ไม่แสดง Registry ของ virus อยู่ 1 registry คือ
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman: "C:\RECYCLER\S-1-5-21-9484861479-2595496117-027757260-9243\wnzip32.exe


4. Click start > Run พิมพ์ Regedit เข้าไป delete key นี้
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman



จากนั้น กดปุ่ม Ctrl+ F search หาหมายเลขนี้ {645FF040-5081-101B-9F08-00AA002F954E}
ถ้าพบให้ delete ให้หมด

5. ใช้โปรแกรม NOD32 Recovery Tool Fix now เพื่อแก้ไขค่า Firewall
6. ใช้โปรแกรม ATF Cleaner clear Temp ไฟล์ หรือ click Start > Run พิมพ์ %temp%
Delete ไฟล์ ใน temp ให้หมด
7. ติดตั้งโปรแกรม CPE17 เพื่อป้องกัน virus อาศัย Autorun
8. restart เครื่อง 1 ครั้ง
9. ติดตั้ง Update path KB894391 และ KB958644
เพื่อแก้ไข Generic Host process error และอุดช่องโหว่ 139 ,445
หรือ Download Windows Worm Door Cleaner เพื่อปิด Port 139 ,445


------------------------------------------------------------------------
หมายเหตุ :
ถ้าเครื่องไหน firewall ไม่ทำงาน ลองทำตามนี้ครับ
เมื่อ restart เครื่องขึ้นมาแล้ว click ที่ start -> run พิมพ์ cmd แล้ว Enter
ก็จะมีหน้าต่าง command prompt ก็ให้พิมพ์ว่า NETSH FIREWALL RESET
หรือลองเข้าตามนี้ Click Start > Setting > Controlpanel
Double-click ที่ Administrative Tools > Double-click ที่ services
เลื่อน scroll bar หา Windows Firewall/Internet Connection Sharing (ICS)
เมื่อพบ ให้ Double-click แล้วเลือก click start
ในช่อง Startup type : ให้เลือก Automatic แล้ว click OK
Restart 1 ครั้ง


--------------------------------------------------------------------------
Test by PeeTech
OS ที่ใช้ทดสอบ : Windows XP Sp2
จำนวนครั้งที่ทดสอบ : 2 ครั้ง