(Win32/Peerfrag.FD : Detect by NOD32)
File size 129,536 bytes
File size 129,536 bytes
MD5: 4E84E8259340641F1F9930D0F4D677BD
SHA-1: 0328D7ABC63694B9B5D0D09A10B1E7D27031DE3C
==================================================
SHA-1: 0328D7ABC63694B9B5D0D09A10B1E7D27031DE3C
==================================================
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| a-squared | 4.5.0.46 | 2010.01.04 | P2P-Worm.Win32.Palevo!IK |
| AhnLab-V3 | 5.0.0.2 | 2010.01.02 | Win32/Palevo.worm.129536.B |
| AntiVir | 7.9.1.122 | 2009.12.31 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 2010.01.04 | Worm/Win32.Palevo.gen |
| Authentium | 5.2.0.5 | 2010.01.04 | - |
| Avast | 4.8.1351.0 | 2010.01.03 | Win32:Rootkit-gen |
| AVG | 8.5.0.430 | 2010.01.03 | Worm/Generic.ARQQ |
| BitDefender | 7.2 | 2010.01.04 | Worm.Generic.102961 |
| CAT-QuickHeal | 10.00 | 2010.01.04 | I-Worm.Palevo.kyi |
| ClamAV | 0.94.1 | 2010.01.04 | - |
| Comodo | 3463 | 2010.01.04 | Heur.Suspicious |
| DrWeb | 5.0.1.12222 | 2010.01.04 | Win32.HLLW.Lime.18 |
| eSafe | 7.0.17.0 | 2010.01.03 | Win32.DRDelphi |
| eTrust-Vet | 35.1.7214 | 2010.01.04 | - |
| F-Prot | 4.5.1.85 | 2010.01.03 | - |
| F-Secure | 9.0.15370.0 | 2010.01.04 | Worm.Generic.102961 |
| Fortinet | 4.0.14.0 | 2010.01.02 | W32/Palevo.KYI!worm.p2p |
| GData | 19 | 2010.01.04 | Worm.Generic.102961 |
| Ikarus | T3.1.1.79.0 | 2009.12.31 | P2P-Worm.Win32.Palevo |
| Jiangmin | 13.0.900 | 2010.01.04 | Worm/Palevo.gyl |
| K7AntiVirus | 7.10.936 | 2010.01.02 | Trojan.Win32.Malware.1 |
| Kaspersky | 7.0.0.125 | 2010.01.04 | P2P-Worm.Win32.Palevo.kyi |
| McAfee | 5850 | 2010.01.03 | Generic.dx!hsc |
| McAfee+Artemis | 5850 | 2010.01.03 | Generic.dx!hsc |
| McAfee-GW-Edition | 6.8.5 | 2010.01.04 | Trojan.Dropper.Delphi.Gen |
| Microsoft | 1.5302 | 2010.01.04 | Worm:Win32/Rimecud.B |
| NOD32 | 4741 | 2010.01.04 | Win32/Peerfrag.FD |
| Norman | 6.04.03 | 2009.12.31 | - |
| nProtect | 2009.1.8.0 | 2010.01.04 | Worm/W32.Palevo.129536.C |
| Panda | 10.0.2.2 | 2010.01.03 | Generic Malware |
| PCTools | 7.0.3.5 | 2010.01.04 | Trojan-PSW.Banker |
| Prevx | 3.0 | 2010.01.04 | Medium Risk Malware |
| Rising | 22.29.00.04 | 2010.01.04 | Trojan.Spy.Win32.Zbot.fwh |
| Sophos | 4.49.0 | 2010.01.04 | Mal/Generic-A |
| Sunbelt | 3.2.1858.2 | 2010.01.03 | Trojan.Win32.Generic!BT |
| Symantec | 20091.2.0.41 | 2010.01.04 | Infostealer.Banker.C |
| TheHacker | 6.5.0.3.131 | 2010.01.04 | W32/Palevo.kyi |
| TrendMicro | 9.120.0.1004 | 2010.01.04 | TROJ_BUZUS.BEZ |
| VBA32 | 3.12.12.1 | 2010.01.04 | P2P-Worm.Win32.Palevo.kyi |
| ViRobot | 2010.1.4.2120 | 2010.01.04 | Worm.Win32.P2P-Palevo.102400.C |
| VirusBuster | 5.0.21.0 | 2010.01.03 | Worm.P2P.Palevo.EQP |
-------------------------------------------------------------------------------
ไวรัสได้สร้าง folder RECYCLER และ สร้างไฟล์ autorun.exe , desktop.ini ไว้ใน USB Drive
ถ้าเปิดเข้าดูแบบธรรมดาจะมองไม่เห็นต้อง zip folder RECYCLER ก่อนจึงจะมองเห็นไฟล์ที่ซ่อนอยู่ภายใน หรือ ใช้โปรแกรม ExplorerXP เปิดดูจึงจะมองเห็น
Files created
C:\RECYCLER\S-1-5-21-xxx\winmap.exe
C:\RECYCLER\S-1-5-21-xxx\Desktop.ini
C:\RECYCLER\S-1-5-21-xxx\psysnew.exe
C:\RECYCLER\S-1-5-21-xxx\Desktop.ini
X:\RECYCLER\autorun.exe
X:\RECYCLER\Desktop.ini
X:\autorun.inf
X:\ = Removable drive/USB Drive
%Temp% = C:\Documents and Settings\[User name]\Local Settings\Temp
C:\RECYCLER\S-1-5-21-[Random number]\[File name]
Values added
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman = "C:\RECYCLER\S-1-5-21-4756712232-1989252542-442455059-1658\winmap.exe"
HKU\S-1-5-21-xxx\Software\Microsoft\Windows\CurrentVersion\Run\psysnew = "C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe"
Values modified
HKU\S-1-5-21-xxx\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = "C:\RECYCLER\S-1-5-21-4756712232-1989252542-442455059-1658\winmap.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe,Explorer.exe"
File Download
%Temp%\201.exe (Random file name)
------------------------------------------------------------------------
วิธีกำจัด : winmap.exe , autorun.exe
(Win32/Peerfrag.FD :Detect by NOD32)
------------------------------------------------------------------------
ก่อนอื่นให้เสียบ USB drive ไว้กับ Computer ก่อนครับ
1. เปิดโปรแกรม ExplorerXP แล้วเข้าไปที่ C:\RECLCLER
หา Recycler ที่มีไฟล์ Winmap.exe เมื่อพบแ้ล้ว click ขวา ที่ Recycler แล้วเลือก Unlocker
2. เมื่อขึ้นหน้าต่าง unlocker ให้เลือก ที่ delete แล้วกดปุ่ม Unlock All
3. เลือก Recycler ที่มีไฟล์ psysnew.exe เมื่อพบแ้ล้ว click ขวา ที่ Recycler แล้วเลือก delete
4. ไปที่ start > Run พิมพ์ regedit.exe เข้าไปลบ Value data ของ 2 key นี้
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\psysnew
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
แก้ไขค่า Shell = Explorer.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell= Explorer.exe
หมายเหตุ
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
5. Delete folder RECYCLER และ autorun.inf ใน USB Drive (Delete = Shift+Del)
โดย delete ผ่านทางโปรแกรม ExplorerXP เพื่อความปลอดภัยครับ
คำแนะนำ
6. ติดตั้งโปรแกรม CPE17 หรือ ปิด function autorun ของ windows
หรือจะใช้ Panda Research USB Vaccine หรือ Flash Disinfector
เพื่อป้องกัน virus เขียนไฟล์ autorun.inf ลงใน root drive
No comments:
Post a Comment