Saturday, November 3, 2007

Virus VBS.Godzilla or Hacked by Godzilla

ชื่อไวรัส: VBS/Butsur.A (NOD32), VBS/IE-Title (McAfee), VBS.Zodgila (Symantec), VBS/Small (AVG)VBS_SOLOW.A (TrendMicro) VBS.Godzila หรือ Hacked By Godzilla

เนื้อหาต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัส VBS.Godzila หรือ VBS_Godzilla หรือ Hacked by Godzilla และวิธีการในการป้องกันไม่ให้ติดไวรัส รวมถึงการแก้ไขในกรณีที่ติดไวรัสตัวนี้ โดยข้อมูลต่างๆ นั้นจะอ้างอิงจากเว็บไซต์ Trend Micro System

ข้อมูลทั่วไปของไวรัส VBS.Godzila หรือ Hacked By Godzilla
ไวรัส VBS.Godzila หรือ VBS_Godzilla หรือ Hacked by Godzilla นั้น จะอยู่ในไฟล์ VBScript ในการทำงานของไวรัสตัวนี้นั้น จะต้องใช้ไฟล์ WSCRIPT.EXE ในการทำงาน ซึ่งไฟล์ WSCRIPT.EXE นี้เป็นไฟล์ปกติของระบบวินโดวส์สำหรับใช้รันไฟล์ VBScript

การแพร่ระบาดของไวรัส VBS.Godzila นั้น จะแพร่ระบาดผ่านทางไดรฟ์เก็บข้อมูลแบบพกพา ในไฟล์ชื่อ AUTORUN.INF และ {random}.DLL.VBS เมื่อไฟล์ไวรัสถูกเอ็กซีคิวท์ ไวรัสจะทำการสำเนาตัวมันเองลงในโฟลเดอร์ Windows ซึ่งโดยทั่วไปจะเป็น "C:\Windows" และรูทโฟลเดอร์ของระบบ ซึ่งโดยทั่วไปจะเป็น "C:\" นอกจากนี้มันยังทำการสำเนาไฟล์ AUTORUN.INF ลงในรูทโฟลเดอร์ของไดรว์เก็บข้อมูลแบบพกพา เพื่อให้ทำการเอ็กซีคิวท์ไฟล์ไวรัสเมื่อมีการดับเบิลคลิกไดรว์นอกจากนี้มันจะทำการสร้างคีย์รีจีสทรี เพื่อแก้ไขข้อความที่แสดงใน title bar ของ Internet Explorer

ลักษณะของไฟล์ไวรัส VBS.Godzila
ไฟล์ไวรัส VBS.Godzila นั้นมีลักษณะดังต่อไปนี้
File type: VB Script
Size of malware: 3,678 Bytes
Payload 1: ปิดการทำงานของ Registry Editor และ Windows functionalities
Payload 2: เปลี่ยนข้อความที่แสดงใน title bar ของ Internet Explorer

การทำงานของไวรัส VBS.Godzila
เมื่อไฟล์ VBS.Godzila ไวรัสถูกเอ็กซีคิวท์ ไวรัสจะทำการสำเนาตัวมันเองในชื่อ {random}.DLL.VBS ลงในโฟลเดอร์ Windows และรูทโฟลเดอร์ของระบบ ซึ่งโดยทั่วไปจะเป็น C:\ จากนั้นไวรัสจะทำการแก้ไขรีจีสทรีของวินโดวส์ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
random = "%Windows%\{random}.dll.vbs

(Note: %Windows% คือ โฟลเดอร์ Windows ซึ่งโดยทั่วไปจะเป็น "C:\Windows" หรือ "C:\WINNT")

นอกจากนี้มันจะทำการสร้างรีจีสทรีคีย์ เพื่อแก้ไขข้อความที่แสดงใน Title bar ของ Internet Explorer เป็นข้อความใดข้อความหนึ่งดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
• Window Title = "Hacked by Godzilla"
• Window Title = "Hacked by MOOzilla"
• Window Title = "Hacked by UC"
• Window Title = "Hacked by YaHaa, Your Firewall Is FxxK."
• Window Title = "Hacked by Zay"
• Window Title = "Malaysian Hackers"
• Window Title = "Protected by CPCT"
• Window Title = "TAGA ETI, MARINDUQUE MABUHAY!!! by: Nicklaus S. Bu๑ag"
• Window Title = "TAGA LIPA ARE!"
• Window Title = "TAGA XPRESS-ON KAMI"

ไวรัสยังแก้ไขรีจีสทรีคีย์ดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "0"

(Note: ค่าดีฟอลท์ของคีย์นั้นจะเป็น user-defined)

ไวรัสยังทำการปิดการทำงานของ Search และ Run ของ Windows โดยการสร้างรีจีสทรีคีย์ดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind = "1"
NoRun = "1"
NoFolderOptions = "1"

ไวรัสยังทำการปิดการทำงานของ Registry Editor โดยการสร้างรีจีสทรีคีย์ดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"

ไวรัสยังทำการแก้ไขหน้า start page ของ Internet Explorer โดยการแก้ไขค่ารีจีสทรีคีย์ อันใดอันหนึ่งดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = "http://{BLOCKED}share.com/files/Sex.zip"
Start Page = "http://www.{BLOCKED}siat.org/"
Start Page = "http://www.{BLOCKED}chaos.in.th/"

ไวรัสยังทำการเพิ่มค่ารีจีสทรี Debugger = "notepad.exe" ในรีจีสทรีคีย์ต่างๆ ดังนี้

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\cmd.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\install.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\msconfig.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedit.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedt32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\RegistryEditor.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\setup.exe

ไวรัสยังทำการแก้ไขข้อมูลการลงทะเบียน (Registration Information) ของระบบที่ติดไวรัส โดยการแก้ไขรีจีสทรีคีย์ต่างๆ ดังนี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = "{random}"
RegisteredOwner = "{random}"
ProductId = "{random}"

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0
ProcessorNameString = "{random}"

(Note: ค่าดีฟอลท์ของคีย์นั้นจะเป็น user-defined)

นอกจากนั้นไวรัส VBS.Godzila ยังทำการสำเนาไฟล์ AUTORUN.INF ลงในรูทโฟลเดอร์ของไดรว์เก็บข้อมูลแบบพกพา เพื่อให้ทำการเอ็กซีคิวท์ไฟล์ไวรัสเมื่อมีการดับเบิลคลิกไดรว์ โดยเนื้อหาในไฟล์จะมีลักษณะดังนี้

[AutoRun]
shellexecute=wscript.exe {random}.dll.vbs

ระบบที่ได้รับผลกระทบจากไวรัส VBS.Godzila
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, NT, 2000, XP, และ Windows Server 2003

การสังเกตอาการ
1. ใช้งาน Run และ Search ไม่ได้
2. ไม่สามารถใช้งาน Registry Editor ได้
3. Title bar ของ Internet Explorer มีลักษณะดังที่ได้กล่าวถึงในด้านบน
4. มี registry key ในระบบ ตามที่ได้กล่าวถึงด้านบน

วิธีการแก้ไขแบบ Manual
1. ทำการสแกนด้วยโปรแกรมป้องกันไวรัสที่มีอัพเดทฐานข้อมูลไวรัสล่าสุด แล้วทำการลบไฟล์ไวรัส
2. ทำการสแกนด้วย Virus Fix tool เช่น McAfee Stinger อ่านวิธีการใช้งาน McAfee Stinger ที่ http://thaiwinadmin.blogspot.com/2007/09/kb-092007-04.html หรือ Trend Micro Sysclean ที่ http://thaiwinadmin.blogspot.com/2007/09/kb-092007-08.html
3. ทำการลบไฟล์ registry ที่กล่าวถึงด้านบน

การแก้ไขด้วย Fix Tool
สำหรับท่านที่โดนเจ้าไวรัส VBS.Godzila เล่นงาน สามารถใช้ Fix Tool ของ ESET เพื่อทำการฆ่าไวรัสและกู้คืนระบบได้ โดยสามารถดาวน์โหลดได้จากเว็บไซต์ ESET Thailand (http://www.nod32th.com) หรือ ดาวนโหลดโดยตรงจาก VBS/Butsur.A (ESET) Fix Tool

คำแนะนำทั่วไปในการป้องกันไวรัส
วิธีการทั่วๆ ไปในการป้องกันไวรัสและมัลแวร์นั้น มีดังนี้
1. ติดตั้งโปรแกรมป้องกันไวรัสและทำการอัพเดทไวรัสซิกเนเจอร์อย่างสม่ำเสมอ (ควรอัพเดททุกๆ วัน)
2. ทำการสแกนไวรัสอย่างสม่ำเสมอ
3. ปิดการใช้งาน Autoplay ในทุกๆ ไดรว์ อ่านวิธีการได้จาก การปิดใช้งาน Autoplay
4. ปิดการใช้งาน WSCript อ่านวิธีการได้จาก การป้องกันไวรัสจาก Flash drive
5. ทำการสแกนสื่อเก็บข้อมูลแบบพกพาทุกครั้ง ก่อนการใช้งาน
6. หากจำเป็นต้องทำการแชร์ข้อมูลให้ทำการแชร์แบบอ่านอย่างเดียว (Read Only)
7. หากเป็นไปได้ให้ทำการอัพเดทวินโดสว์อย่างสม่ำเสมอ (ควรอัพเดทอย่างน้อย เดือนละ 1 ครั้ง ในทุกๆ วันพุธสัปดาห์ที่สองของแต่ละเดือน)

แหล่งอ้างอิง
• เว็บไซต์ Tren Micro: VBS_SOLOW.A
http://thaiwinadmin.blogspot.com
VBS_SOLOW.A VBS.Godzilla VBS/Godzilla VBS_Godzilla Hacked by Godzilla
© 2007 Thai Windows Administrator, All Rights Reserved.

0 Comment: