ขั้นตอนการทำงานของ W32.CodeBlue
1.เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:Inetpubwwwrootscripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:Svchost.exe และเรียกใช้งาน
4. C:Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบ
W32.CodeBlue จะสร้างและแก้ไข
1.ทำการสร้างไฟล์ C:Svchost.exe และแก้ไขregistryดังนี้ HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
2. สร้างไฟล์ชั่วคราวที่ C:d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:WINNTsystem32Wscript.exe
3.ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
4.ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน
วิธีตรวจสอบ
ในDrive C หรือ D จะมีFolder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมีFolder ต่างๆเช่น c , cpu ,n ,w และอื่นๆ - ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:WINDOWSsystem32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญจะอยู่ใน C:Svchost.exe หรือC:WINDOWSSvchost.exe
วิธีแก้ไข
1.ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่ HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้ ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3.ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs
--------------------------------------------------------------------------------------------------------------------
ไวรัสตัวที่ 2 ไวรัส Brontok เป็นไวรัสชนิด Malware ไวรัสตัวนี้จะทำลาย Menu Folder Option จะหายไป และจะเกิดไฟล์ใหม่ที่ชื่อเหมือนโฟล์เดอร์เดิมแต่จะมี.EXE เพิ่มหลังชื่อโฟล์เดอร์และไม่สามารถใช้เมนู Folder Option ได้
วิธีการแก้ไขสำหรับไวรัสนี้คือ
1.ถ้าหากมีคอมพิวเตอร์หลายเครื่องมีการแชร์ไดร์ฟหรือแลนกันไว้ให้จัดการยกเลิกการแชร์ตัดการติดต่อกันเสียก่อนแล้วเข้า Safe Mode ( กด f8 รัวๆตอนรีบู๊ดเครื่อง)เลือกเข้าในฐานะของ Administrator
2.ไปที่ Run พิมพ์ msconfig กด OK เลือก Start up ยกเลิกเครื่องหมายหน้ารายการเหล่านี้ออกไป norBtok , smss
3.Restart เครื่องใหม่ และโหลด File UnHookExec.inf จาก
[url=http://securityresponse.symantec.com]http://securityresponse.symantec.com...UnHookExec.inf[/url]
4.เมื่อโหลดเสร็จให้ คลิกขวาที่ไฟล์ แล้วเลือก install และไปที่ Run พิมพ์ regedit ไปที่ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesExplorer ลบค่า "NoFolderOptions" = "1 และไปที่ %UserProfile%Local SettingsApplication Data ลบ File csrss.exe , inetinfo.exe , lsass.exe , services.exe , smss.exe , winlogon.exe ออกให้หมดจากนั้นไปที่ %UserProfile%Start MenuProgramsStartup และ ลบ File Empty.pif และไปที่ %UserProfile%Templates แล้วลบ File A.kotnorB.com และไปที่ %Windir%inf เพื่อ ลบ file norBtok.exe สุดท้ายไปที่ %System%
เพื่อลบ file3DAnimation.scr
ไม่มีความคิดเห็น:
แสดงความคิดเห็น