ข้อมูลไม่ชัดเจน ตอบไม่ถูกอะ ???
ไม่ชัดเจนหรอ ชัดเจนจะตาย
ไวรัส DATA.EXE
เป็นหนอน(Worm) ชื่อ W32.Tellsky แพร่กระจายตัวเองไปตามแมปไดร์ฟหรือไดร์ฟและโฟลเดอร์ที่มีการเปิดใช้งาน โดยมีพฤติกรรมดังนี้ครับ
ไวรัส DATA.EXE
เป็นหนอน(Worm) ชื่อ W32.Tellsky แพร่กระจายตัวเองไปตามแมปไดร์ฟหรือไดร์ฟและโฟลเดอร์ที่มีการเปิดใช้งาน โดยมีพฤติกรรมดังนี้ครับ
1. สำเนาตัวเองเป็น %System%\msnmsgr.exe
*** %System% เป็นค่าที่อ้างอิงถึงระบบโฟลเดอร์ โดยค่าเริ่มต้นของแต่ละวินโดวส์ คือ
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP) ***
2. เพิ่มค่าเข้าไปใน Registry :
"MsnMsgr" = "%System%\msnmsgr.exe"
ไปยังสับคีย์ :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
และสับคีย์
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
(นี่คือเหตุผลที่ทำให้หนอนตัวนี้เริ่มทำงานทุกครั้งที่เปิดเครื่อง เมื่อเข้าสู่ Windows)
3. เพิ่มค่าเข้าไปใน Registry :
"DisableRegistryTools" = "1"
"DisableCMD" = "1"
"DisableTaskMgr" = "1"
ไปยังสับคีย์ :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
และที่สับคีย์
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\system
(นี่คือเหตุผลที่ทำให้เข้าไปแก้ไข Registry ไม่ได้ ใช้งาน CMD ไม่ได้ และเปิดTaskManeger ไม่ได้)
4. แจ้งเตือน Error ตามข้อความด้านล่างนี้ครับ :
Title: Windows System Resource Error
Message: Runtime Error 0FA39FAC
5. สำเนาตัวของมันเองไปยังทุกไดร์ฟที่มีอยู่ในเครื่อง โดยใช้ชื่อต่างๆ ดังต่อไปนี้ :
Data.exe
MyPicture.exe
New Folder.exe
Download.exe
Font.exe
Game.exe
Window.exe
Document.exe
Desktop.exe
Nok Picture.exe
6. สร้างไฟล์ autorun.inf ไว้ที่ root directory ของทุกไดร์ฟจึงทำให้เมื่อไดร์ฟถูกเปิดใช้งานหรือมีการทำหรือพบแมปไดร์ฟ หนอนตัวนี้ก็จะทำการแพร่กระจายต่อไปทันที
7. อาจจะมีการดาวน์โหลดและประมวลผลไฟล์จาก URLs ข้างล่างนี้ครับ :
[http://]www.Atom-Soft.com/New[REMOVED]
[http://]www.Atom-Soft.com/Infec[REMOVED]
[http://]www.Atom-Soft.com/Fil[REMOVED]
[ftp://]61.19.242.5
------------------------------------------------------------------------------------
ไวรัสตัว นี้ ติดเชื้อเครื่องผ่านทางแฮนดี้ไดร์ว จะทำการเขียนแก้ไขค่าในรีจีสทรีที่ระบบปฏิบัติการใช้รัน MSN Messenger ในตอนเริ่มบูตเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงานทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ
www.Atom-Soft.com ผ่านทาง http และ ftp ไวรัสจะ แพร่กระจายตัวเองไปทุกๆไดร์วและโฟลเดอร์ โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานในโฟลเดอร์นั้น ทำการเลียนแบบชื่อโฟลเดอร์ แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 221 KBและ 213 KB ยกเว้นโฟลเดอร์ program files และ desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อโฟลเดอร์ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป (ข้อมูลเพิ่มเติมจาก trackerx90)
------------------------------------------------------------------------------------
ถ้าพบเจอไฟล์เหล่านี้ ซึ่งดูแล้วเหมือนจะเป็นโฟลเดอร์ ห้าม"double click" โดยเด็ดขาด เพราะนั่นอาจจะทำให้ พาร์ติชั่น(ไดร์ฟ C หรือ D) ถูกลบทิ้ง นั่นก็หมายถึงข้อมูลที่อยู่ภายในนั้น ก็จะต้องสุญหายไปด้วยเช่นกัน ...
ไฟล์ที่ว่ามีชื่อตามนี้ครับ..............
# Data.exe
# MyPicture.exe
# New Folder.exe
# Download.exe
# Font.exe
# Game.exe
# Window.exe
# Document.exe
# Desktop.exe
# Nok Picture.exe
---------------------------------------------------------------------------------
วิธีแก้ เท่าที่มีข้อมูล มีวิธีแก้อยู่ 2 วิธีครับ
วิธีที่ 1 ใช้โปรแกรมหรือเครื่องมือจัดการครับ
ดาวน์โหลดตัวแก้ คลิกที่นี่ครับ...
http://www.prevx.com/security.asp (ขนาด 12.5 MB.)
วิธีที่ 2 ใช้การจัดการแบบเป็นขั้นตอน(จะทำยากกว่าวิธีแรกครับ)
1. ทำการปิด System Restore โดยการคลิ๊กขวาที่ My Computer -->Properties -->System Restore คลิ๊กในช่องสี่เหลี่ยมหน้าข้อความ Tune off System Restore on all Devices ให้มีเครื่องหมายถูกขึ้นมา (ถ้ามีเครื่องหมายถูกอยู่แล้วก็ไม่ต้องไปคลิ๊กครับ) คลิ๊ก OK แล้ว Restart เครื่องครับ
2. ทำการติดตั้งโปรแกรมป้องกันไวรัสที่ เวอร์ชั่นล่าสุด และทำการ Update ให้ล่าสุดครับ(Update Virus Database(Version of Signature)) ทำการ Full Scan เมื่อตรวจพบ W32.Tellsky ก็สามารถ Clean หรือ Delete ได้เลยครับ (ถ้าจัดการมันได้ก็ข้ามไปข้อ 3. เลยครับ)
แต่ถ้าพบแล้ว Clean หรือ Delete ไม่ได้ ต้องใช้ตัวลบมันออกไปครับ โดยทำการดาวน์โหลด killbox.exe ........โดยดาวน์โหลดได้จากลิงค์ข้างล่างนี้
http://download.bleepingcomputer.com/spyware/KillBox.zip แล้วเอาไปวางไว้ที่หน้าเดสก์ทอป คลิ๊กขวา แล้ว Extrack Here จะได้ไฟล์ KillBox.exe
ลาก เม้าส์คลุมข้อความด้านล่างนี้ทั้งหมดเท่าที่ไดร์ฟเรามีอยู่ (*** ถ้าเราแบ่ง Harddisk ไว้หลายไดร์ฟ ก็จะต้องพิมพ์เองเพิ่มจนครบทุกไดร์ฟ) คลิ๊กขวา เลือก Copy
-----------------------------------------------------------------
C:\Windows\System32\msnmsgr.exe
C:\autorun.inf
C:\Data.exe
C:\MyPicture.exe
C:\New Folder.exe
C:\Download.exe
C:\Font.exe
C:\Game.exe
C:\Window.exe
C:\Document.exe
C:\Desktop.exe
C:\Nok Picture.exe
D:\autorun.inf
D:\Data.exe
D:\MyPicture.exe
D:\New Folder.exe
D:\Download.exe
D:\Font.exe
D:\Game.exe
D:\Window.exe
D:\Document.exe
D:\Desktop.exe
D:\Nok Picture.exe
E:\autorun.inf
E:\Data.exe
E:\MyPicture.exe
E:\New Folder.exe
E:\Download.exe
E:\Font.exe
E:\Game.exe
E:\Window.exe
E:\Document.exe
E:\Desktop.exe
E:\Nok Picture.exe
-------------------------------------------------------------------
และหลังจากที่เสร็จแล้ว(ครบทุกไดร์ฟ) ก็ไปที่หน้าเดสก์ทอป Double click ที่ Killbox
-- Click ที่ "delete on reboot"
-- Click ที่ "all files
-- ในช่องว่างหน้าโปรแกรม ให้คลิ๊กขวาแล้ววาง
-- Click ที่เครื่องหมายกากะบาทสีแดง เพื่อลบไฟล์ แล้วมันจะถามให้ลบไฟล์ต่อไปอีกเรื่อยๆ ก็คลิ๊กเหมือนเดิม จนครบทุกไฟล์ click "Yes" เพื่อ Restart เครื่องครับ
3. ไปแก้ไขค่าใน Registry ครับ
เมื่อ ติดหนอนตัวนี้ สิ่งที่ยุ่งยากก็คือมันจะปิดการใช้งานของ RegistryTools(Regedit) เราจึงจะยังไม่สามารถเข้าไปแก้ไข Registry ได้ในทันที ต้องแก้จุดนี้ก่อน
แก้วิธีแรก
เปิด Notepad ขึ้นมา แล้วทำการก๊อปปี้ข้อความข้างล่างนี้ นำไปวางไว้ใน Notepad แล้ว save as โดยตั้งชื่ออะไรก็ได้ แต่นามสกุลต้องเป็น .reg
-----------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools" =dword:00000000
"DisableCMD" = dword:00000000
"DisableTaskMgr" =dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools" =dword:00000000
"DisableCMD" = dword:00000000
"DisableTaskMgr" =dword:00000000
------------------------------------------------------------------
ทำการ Double click ที่ไฟล์ที่เราตั้งชื่อ .reg
แล้วคลิ๊ก yes เพื่อเพิ่มค่าต่างๆ เหล่านี้เข้าไปใน Regitry
แต่ถ้าไม่สามารถเพิ่มหรือแก้ค่าใน Register ได้อีก ก็ต้องแก้วิธีที่2 ครับ คือ
http://securityresponse.symantec.com/avcenter/UnHookExec.inf เอามาแก ้ให้ได้ regedit กลับมา เมื่อดาวน์โหลดมาแล้วก็คลิ๊กขวา แล้วเลือก Install ครับ แล้วจึงกลับไปทำข้อที่ 3. อีกครั้งหนึ่ง
ทำการก๊อปปี้ข้อความด้านล่างนี้ก่อน
------------------------------------------------------
Reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsnMsgr /f
---------------------------------------------------------------
แล้วไปที่ Start --> run แล้ววางลง คลิ๊ก ok
ทำการก๊อปปี้ข้อความด้านล่างนี้ก่อนต่อ
-----------------------------------------------------------
Reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v MsnMsgr /f
----------------------------------------------------------
แล้วไปที่ Start --> run แล้ววางลง คลิ๊ก ok
4. Restart เครื่องครับ
ข้อมูลจาก :
http://thammai.com/phpbb/viewtopic.php?t=205