(Win32 Spy.Ambler : Detect by NOD32)
chess.exe
MD5 : 4586667D8D5D82A93CB37D0A37876AB5
SHA1 : 831C3D706E1F7E6CFE37E9FA0F04EDC55366A5DA
Xlk.dll
MD5: 67AF34EBB9316287F6F4735BE72F825A
SHA1 : 502933FFF9965D1F084946F4EF2EC0B55D1FAE5E ===================================================
Other name
AntiVir > TR/Dropper.Gen
Authentium > W32/Worm.AKUA
AVAST> Win32:Ambler-B
AVG > BHO.HRA.dropper
BitDefender > Dropped:Trojan.Generic.1405901
CA (VET) > Win32/Ambler!generic trojan
Comodo > TrojWare.Win32.TrojanDownloader.BHO.~BO
F-Prot > W32/Worm.AKUA
F-Secure > Trojan-Spy:W32/Ambler.gen!B
Fortinet > W32/AutoRun.ADWJ!worm
GData > Worm.Win32.AutoRun.adwj
Ikarus > Trojan-Dropper.Win32.Ambler
JiangMin > Worm/AutoRun.gpg
Kaspersky > Worm.Win32.AutoRun.adwj
KingSoft > Worm.AutoRun
McAfee > W32/Autorun.worm!n
Microsoft > TrojanSpy:Win32/Ambler.D
NOD32 > Win32/Spy.Ambler
Norman > W32/Malware.FLZU
nProtect > Dropped:Trojan.Generic.1405901
Quick > Worm.AutoRun.aqez
Sophos > W32/Autorun-AON
Sunbelt > Trojan.Win32.Generic!BT
Symantec > Infostealer.Banker.E
The Hacker > W32/AutoRun.adwj
Trend Micro > TROJ_AGENT.ALQW
VBA32 > Worm.Win32.AutoRun.adwj
VirusBuster > Worm.AutoRun.LHW
===================================================
ไฟล์ที่ใช้ทดสอบ chess.exe
เมื่อ virus ทำงาน ได้มีการสร้างไฟล์ดังนี้
C:\WINDOWS\system32\rs
C:\WINDOWS\system32\xlk.dll
มีการแก้ไข Registry ดังนี้
Key added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgIDHKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLibHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
Value Added
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\TypeLib\: "{44210CD6-B610-4b87-A24E-D317C2C22385}"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\ProgID\: "Jmc"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\: "xlk.dll"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\InprocServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}\: "Google plugin"HKLM\SOFTWARE\Google\MJ1: 63 77 60 20
HKLM\SOFTWARE\Google\MJ2: 63 77 60 22
HKLM\SOFTWARE\Google\MJ3: 63 77 60 22
HKLM\SOFTWARE\Google\Add: 28 23 3D 23 23 22 3F 24 26 3F 23 23 20 3D 79 7E 70 3C 79 73 7D 75
HKLM\SOFTWARE\Google\LN: SG@OGG
HKLM\SOFTWARE\Google\COD: "l/.Q%T&%V:'% V:#sr$://Q!:.Q$&V&T'Q& Tj"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\: "DCOM service"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Locale: "EN"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\StubPath: "rundll32 xlk.dll,InitO"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\IsInstalled: 0x00000001
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}\Version: "4,3,6,3"
-------------------------------------------------------------------------
ถ้าดูด้วยโปรแกรม Security Task Manager จะเห็นดังภาพ
-------------------------------------------------------------------------
วิธีกำจั virus : chess.exe (Win32 Spy.Ambler : Detect by NOD32)
-------------------------------------------------------------------------
Download Virus Remove Tool
Unlocker , Hijack This , NOD32 Recovery Tool
1. เข้าไปที่ C:\WINDOWS\system32\ click ขวาที่ไฟล์ xlk.dll เลือก Unlocker
จะขึ้นหน้าต่างๆดังภาพ ให้ click ที่ rundll32.exe แล้วกดปุ่ม unlock
2. delete ไฟล์ใน system32 ตามนี้ครับ
C:\WINDOWS\system32\xlk.dll
C:\WINDOWS\system32\rs
3. ใช้โปแกรม Hijack This fix checked ที่ 2 บรรทัดนี้
BHO: Google plugin - {89F2C12A-027A-4de3-88F6-9F31A1C0F17C} - xlk.dll (file missing)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit=1
4. ใช้โปรแกรม NOD32 Recovery Tool คืนค่า Registry ของ Task Manager
5. Click Start > run พิมพ์ Regedit เข้าไปแก้ไขค่า Registry โดย click ที่ menu Edit เลือกที่ Find
ค้นหาค่า 2 ค่านี้ แล้ว delete ให้หมดครับ
{89F2C12A-027A-4de3-88F6-9F31A1C0F17C}
{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}
และ Delete Key "Google" ออกด้วยครับ ตามนี้ครับ
HKEY_LOCAL_MACHINE\SOFTWARE\Google
จบแล้วครับ วิธีแก้ virus chess.exe (Win32 Spy.Ambler : Detect by NOD32)
แต่ที่ผมแปลกใจคือ ไม่เห็นมีการสร้างไฟล์ chess.exe ลงในเครื่องเลย
=================== Test by PeeTech ===================
จำนวนครั้งที่ทดสอบ 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ Windows XP SP2
No comments:
Post a Comment