( Win32 Hagaglan.G : Detect by NOD32 )
SCVVHSOT.exe, New Folder.exe
MD5 : F30CD03B0A49EE132756A6E8B13E7222
SHA1 : EBA6DDE1169657725A73FD3155F27400733D58B6
==================================================
Other name
a-squared > IM-Worm.Win32.Sohanad.as
AntiVir > Worm/Sohanad.AS
AVAST! > Win32:Sohanad-T
AVG > Worm/Generic.BRU
BitDefender > Win32.Worm.Sohanad.NAT
ClamAV > Worm.Sohanad
Dr.Web > Win32.HLLW.Texmer
F-Secure > IM-Worm.Win32.Sohanad.as
Kaspersky > IM-Worm.Win32.Sohanad.as
McAfee > W32/Hakaglan.worm.gen
Microsoft > Worm:Win32/Sohanad.I
Norman > Sohanad.DY
nProtect > Worm/W32.Brontok.541696
Panda > W32/Sohanat.DZ.worm
Quick Heal > I-Worm.Sohanad.as
Sophos > Mal/Airworm-A
Symantec > W32.Imaut.A
Trend Micro > WORM_SOHANAD.CO
VBA32 > IM-Worm.Win32.Sohanad.as 1.317
VirusBuster > Worm.Sohanad.U
------------------------------------------------------------------------
เมื่อ virus ทำงาน มีการสร้างไฟล์ ดังนี้
C:\windows\system32\ SCVVHSOT.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCCVHSOT.exe
สร้างไฟล์ใน USB Drive ดังนี้
SCVVHSOT.exe
New Folder.exe
autorun.inf
virus ได้ ซ่อน Folder ใน USB Drive และ สร้าง folder ปลอม ที่มีชื่อเหมือน กับ Folder ที่ซ่อนไว้ แต่ มีนามกุล .exe
คำสั่ง เรียกใช้ Taskmanager, Regedit ไม่สามารถใช้งานได้
Folder Option หายไปจาก เมนู Tool
virus ได้แก้ไข registry คือ
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr: 0x00000001HKU\\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001HKU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger: "C:\WINDOWS\system32\SCVVHSOT.exe"
------------------------------------------------------------------------
วิธีกำจัด virus SCVVHSOT.exe , New Folder.exe
( Win32 Hagaglan.G : Detect by NOD32 )
------------------------------------------------------------------------
Download Virus Remove Tool
Kill Process , ExplorerXP , Hijack This , DKDC_Hash , NOD32 Recover Tool
เมื่อเตรียมเครื่องมือเรียบร้อยแล้ว ให้ทำการตัดการเชื่อมต่อ internet และ ระบบเครื่อข่ายต่างๆ ก่อนนะครับ
และเสียบ USB Drive ไว้ที่เครื่อง เลยครับ
1. เปิดโปรแกรม Kill Process แล้ว ปิด Process รูป folder ที่มีนามสกุล .exe ทุกตัว
2. เปิดโปรแกรม ExplorerXP เข้าไปลบไฟล์ใน ตาม folder ต่อไปนี้
C:\windows\system32\ SCCVHSOT.exe
C:\windows\system32\blastblnnn.exe
C:\windows\system32\autorun.ini
C:\windows\Tasks\At1.job
C:\windows\ SCCVHSOT.exe
X:\autorun.inf
3. ใช้โปรแกรม Hijack This ทำการ Fix checked บรรทัดต่อไปนี้
REG:system.ini: Shell=Explorer.exe SCVVHSOT.exe
HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCCVHSOT.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
4.เปิดโปรแกรม DKDC_HASH แล้วเลือกไฟล์ ต้นฉบับ virus Win32 Hagaglan.G ซึ่งมีค่า
MD5 = F30CD03B0A49EE132756A6E8B13E7222
ก็คือไฟล์ SCVVHSOT.exe
แล้วเลือก option โดยผมเลือก ระบุ Drive เพื่อจะทำการ Scan USB Drive จากนั้น click ปุ่มค้นหา+ทำลาย โปรแกรมจะทำการค้นและและกำจัด Folder ปลอมออกไปครับ
5. เปิดโปรแกรม NOD32 Recovery Tool ทำการ Fix Now เพื่อคืนค่า Folder Option และ Show hidden file
หรือ อีกทางเลือก คือ ใช้ NOD32 Hakaglan Fix ซึ่งใช้กำจัดได้ทั้ง
Win32/Hagaglan.D , Win32/Hagaglan.G , Win32/Hagaglan.I
หรือ Sohanad Remove Tool
สุดท้ายขอแนะนำให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk Security เพื่อป้องกัน virus ที่อาศัย autorun
และควร Update ฐานข้อมูล Antivirus ให้เป็นปัจจุบัน
จบแล้วครับวิธีแก้ virus SCVHOST.exe, New Folder.exe (Win32/Hagaglan.G : Detect by NOD32)==================== Test by Peetech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2
No comments:
Post a Comment