ชื่อไวรัส: VBS/Butsur.A (NOD32), VBS/IE-Title (McAfee), VBS.Zodgila (Symantec), VBS/Small (AVG)VBS_SOLOW.A (TrendMicro) VBS.Godzila หรือ Hacked By Godzilla
เนื้อหาต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัส VBS.Godzila หรือ VBS_Godzilla หรือ Hacked by Godzilla และวิธีการในการป้องกันไม่ให้ติดไวรัส รวมถึงการแก้ไขในกรณีที่ติดไวรัสตัวนี้ โดยข้อมูลต่างๆ นั้นจะอ้างอิงจากเว็บไซต์ Trend Micro System
ข้อมูลทั่วไปของไวรัส VBS.Godzila หรือ Hacked By Godzilla
ไวรัส VBS.Godzila หรือ VBS_Godzilla หรือ Hacked by Godzilla นั้น จะอยู่ในไฟล์ VBScript ในการทำงานของไวรัสตัวนี้นั้น จะต้องใช้ไฟล์ WSCRIPT.EXE ในการทำงาน ซึ่งไฟล์ WSCRIPT.EXE นี้เป็นไฟล์ปกติของระบบวินโดวส์สำหรับใช้รันไฟล์ VBScript
การแพร่ระบาดของไวรัส VBS.Godzila นั้น จะแพร่ระบาดผ่านทางไดรฟ์เก็บข้อมูลแบบพกพา ในไฟล์ชื่อ AUTORUN.INF และ {random}.DLL.VBS เมื่อไฟล์ไวรัสถูกเอ็กซีคิวท์ ไวรัสจะทำการสำเนาตัวมันเองลงในโฟลเดอร์ Windows ซึ่งโดยทั่วไปจะเป็น "C:\Windows" และรูทโฟลเดอร์ของระบบ ซึ่งโดยทั่วไปจะเป็น "C:\" นอกจากนี้มันยังทำการสำเนาไฟล์ AUTORUN.INF ลงในรูทโฟลเดอร์ของไดรว์เก็บข้อมูลแบบพกพา เพื่อให้ทำการเอ็กซีคิวท์ไฟล์ไวรัสเมื่อมีการดับเบิลคลิกไดรว์นอกจากนี้มันจะทำการสร้างคีย์รีจีสทรี เพื่อแก้ไขข้อความที่แสดงใน title bar ของ Internet Explorer
ลักษณะของไฟล์ไวรัส VBS.Godzila
ไฟล์ไวรัส VBS.Godzila นั้นมีลักษณะดังต่อไปนี้
File type: VB Script
Size of malware: 3,678 Bytes
Payload 1: ปิดการทำงานของ Registry Editor และ Windows functionalities
Payload 2: เปลี่ยนข้อความที่แสดงใน title bar ของ Internet Explorer
การทำงานของไวรัส VBS.Godzila
เมื่อไฟล์ VBS.Godzila ไวรัสถูกเอ็กซีคิวท์ ไวรัสจะทำการสำเนาตัวมันเองในชื่อ {random}.DLL.VBS ลงในโฟลเดอร์ Windows และรูทโฟลเดอร์ของระบบ ซึ่งโดยทั่วไปจะเป็น C:\ จากนั้นไวรัสจะทำการแก้ไขรีจีสทรีของวินโดวส์ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
random = "%Windows%\{random}.dll.vbs
(Note: %Windows% คือ โฟลเดอร์ Windows ซึ่งโดยทั่วไปจะเป็น "C:\Windows" หรือ "C:\WINNT")
นอกจากนี้มันจะทำการสร้างรีจีสทรีคีย์ เพื่อแก้ไขข้อความที่แสดงใน Title bar ของ Internet Explorer เป็นข้อความใดข้อความหนึ่งดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
• Window Title = "Hacked by Godzilla"
• Window Title = "Hacked by MOOzilla"
• Window Title = "Hacked by UC"
• Window Title = "Hacked by YaHaa, Your Firewall Is FxxK."
• Window Title = "Hacked by Zay"
• Window Title = "Malaysian Hackers"
• Window Title = "Protected by CPCT"
• Window Title = "TAGA ETI, MARINDUQUE MABUHAY!!! by: Nicklaus S. Bu๑ag"
• Window Title = "TAGA LIPA ARE!"
• Window Title = "TAGA XPRESS-ON KAMI"
ไวรัสยังแก้ไขรีจีสทรีคีย์ดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "0"
(Note: ค่าดีฟอลท์ของคีย์นั้นจะเป็น user-defined)
ไวรัสยังทำการปิดการทำงานของ Search และ Run ของ Windows โดยการสร้างรีจีสทรีคีย์ดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind = "1"
NoRun = "1"
NoFolderOptions = "1"
ไวรัสยังทำการปิดการทำงานของ Registry Editor โดยการสร้างรีจีสทรีคีย์ดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
ไวรัสยังทำการแก้ไขหน้า start page ของ Internet Explorer โดยการแก้ไขค่ารีจีสทรีคีย์ อันใดอันหนึ่งดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = "http://{BLOCKED}share.com/files/Sex.zip"
Start Page = "http://www.{BLOCKED}siat.org/"
Start Page = "http://www.{BLOCKED}chaos.in.th/"
ไวรัสยังทำการเพิ่มค่ารีจีสทรี Debugger = "notepad.exe" ในรีจีสทรีคีย์ต่างๆ ดังนี้
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\cmd.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\install.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\msconfig.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedt32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\RegistryEditor.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\setup.exe
ไวรัสยังทำการแก้ไขข้อมูลการลงทะเบียน (Registration Information) ของระบบที่ติดไวรัส โดยการแก้ไขรีจีสทรีคีย์ต่างๆ ดังนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = "{random}"
RegisteredOwner = "{random}"
ProductId = "{random}"
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0
ProcessorNameString = "{random}"
(Note: ค่าดีฟอลท์ของคีย์นั้นจะเป็น user-defined)
นอกจากนั้นไวรัส VBS.Godzila ยังทำการสำเนาไฟล์ AUTORUN.INF ลงในรูทโฟลเดอร์ของไดรว์เก็บข้อมูลแบบพกพา เพื่อให้ทำการเอ็กซีคิวท์ไฟล์ไวรัสเมื่อมีการดับเบิลคลิกไดรว์ โดยเนื้อหาในไฟล์จะมีลักษณะดังนี้
[AutoRun]
shellexecute=wscript.exe {random}.dll.vbs
ระบบที่ได้รับผลกระทบจากไวรัส VBS.Godzila
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, NT, 2000, XP, และ Windows Server 2003
การสังเกตอาการ
1. ใช้งาน Run และ Search ไม่ได้
2. ไม่สามารถใช้งาน Registry Editor ได้
3. Title bar ของ Internet Explorer มีลักษณะดังที่ได้กล่าวถึงในด้านบน
4. มี registry key ในระบบ ตามที่ได้กล่าวถึงด้านบน
วิธีการแก้ไขแบบ Manual
1. ทำการสแกนด้วยโปรแกรมป้องกันไวรัสที่มีอัพเดทฐานข้อมูลไวรัสล่าสุด แล้วทำการลบไฟล์ไวรัส
2. ทำการสแกนด้วย Virus Fix tool เช่น McAfee Stinger อ่านวิธีการใช้งาน McAfee Stinger ที่ http://thaiwinadmin.blogspot.com/2007/09/kb-092007-04.html หรือ Trend Micro Sysclean ที่ http://thaiwinadmin.blogspot.com/2007/09/kb-092007-08.html
3. ทำการลบไฟล์ registry ที่กล่าวถึงด้านบน
การแก้ไขด้วย Fix Tool
สำหรับท่านที่โดนเจ้าไวรัส VBS.Godzila เล่นงาน สามารถใช้ Fix Tool ของ ESET เพื่อทำการฆ่าไวรัสและกู้คืนระบบได้ โดยสามารถดาวน์โหลดได้จากเว็บไซต์ ESET Thailand (http://www.nod32th.com) หรือ ดาวนโหลดโดยตรงจาก VBS/Butsur.A (ESET) Fix Tool
คำแนะนำทั่วไปในการป้องกันไวรัส
วิธีการทั่วๆ ไปในการป้องกันไวรัสและมัลแวร์นั้น มีดังนี้
1. ติดตั้งโปรแกรมป้องกันไวรัสและทำการอัพเดทไวรัสซิกเนเจอร์อย่างสม่ำเสมอ (ควรอัพเดททุกๆ วัน)
2. ทำการสแกนไวรัสอย่างสม่ำเสมอ
3. ปิดการใช้งาน Autoplay ในทุกๆ ไดรว์ อ่านวิธีการได้จาก การปิดใช้งาน Autoplay
4. ปิดการใช้งาน WSCript อ่านวิธีการได้จาก การป้องกันไวรัสจาก Flash drive
5. ทำการสแกนสื่อเก็บข้อมูลแบบพกพาทุกครั้ง ก่อนการใช้งาน
6. หากจำเป็นต้องทำการแชร์ข้อมูลให้ทำการแชร์แบบอ่านอย่างเดียว (Read Only)
7. หากเป็นไปได้ให้ทำการอัพเดทวินโดสว์อย่างสม่ำเสมอ (ควรอัพเดทอย่างน้อย เดือนละ 1 ครั้ง ในทุกๆ วันพุธสัปดาห์ที่สองของแต่ละเดือน)
แหล่งอ้างอิง
• เว็บไซต์ Tren Micro: VBS_SOLOW.A
http://thaiwinadmin.blogspot.com
VBS_SOLOW.A VBS.Godzilla VBS/Godzilla VBS_Godzilla Hacked by Godzilla
© 2007 Thai Windows Administrator, All Rights Reserved.
Windows Administrator Knowledge Base
Social Profiles
เรื่องล่าสุด
Popular Posts
-
สำหรับใครที่สงสัยว่า Aero Snap ใน Windows 7 คืออะไรและมีวิธีการใช้งานอย่างไร? บทความนี้มีคำตอบครับ Aero Snap ใน Windows 7 เป็นฟีเจอร์ที่ช... -
บทความนี้ผมมีประสบการณ์การแก้ปัญหาล็อกออน Windows Server ที่เป็นสมาชิกของแอคทีฟไดเร็กตอรีโดเมนแล้วได้รับข้อความว่า "The trust relations... -
ปัญหา Windows Explorer ไม่แสดง Preview Pane Preview Pane ของ Windows Vista นั้น มีประโยชน์อย่างมาก โดยมันจะช่วยให้ยูสเซอร์ดูตัวอย่างของไฟล์เ... -
วันนี้ผมรวบรวมทิปที่ช่วยให้การใช้โปรแกรม VirtualBox ได้อย่างรวดเร็ว ง่ายดาย และมีประสิทธิภาพมากขึ้นมาฝากครับ โดย VirtualBox นั้นเป็นซอฟต์แว... -
หลังจากทำการติดตั้ง Windows Server 2012 R2 แล้วเสร็จผมจึงเปิดใช้งานเดสก์ท็อประยะไกล (Remote Desktop) เพื่อใช้จัดการเซิร์ฟเวอร์ผ่านเครือข่าย...
Blog Archive
-
▼
2007
(265)
-
▼
November
(40)
- ไม่สามารถสตาร์ทระบบ Windows XP ได้เนื่องจากไฟล์ SA...
- Sysinternals ZoomIt v1.72
- Sysinternals Suite Build (20071127)
- Virus alert: VBS_PICA.AE
- Virtual Machine Remote Control Client Plus
- การใช้งานคำสั่ง Reg.exe
- เพิ่มความปลอดภัยในการใช้งาน Windows โดยการใช้งานคำ...
- เซ็ตอัพ Internet Connection Sharing (ICS) บน Windo...
- CCleaner v2.03.532
- Firefox v2.0.0.10
- เตือนภัยไวรัส: Worm_Agent.SPS
- Microsoft Security Bulletin Re-Release (MS07-061)
- How to clear System Restore Point on Windows XP
- Virus alert: WORM_SOHANAD
- Virus alert: WORM_FUBALCA
- BGInfo v4.12
- เตือนภัยไวรัส: WORM_FLASHY
- Windows Server 2008 Edition Summaries
- Sysinternals Suite (20071109)
- Download Sysinternals PsTools v2.44
- Top 10 Virus ที่ระบาดในประเทศไทย
- ไมโครซอฟท์เปิดให้ดาวน์โหลด Windows Server 2008 Rel...
- การเพิ่ม Windows XP เวิร์กสเตชันเข้าเป็นสมาชิก Domain
- Windows Vista System Requirements
- ป้องกันไวรัสโดยใช้โปรแกรม Trust No EXE
- Microsoft Security Bulletin Re-Release (MS06-049)
- Microsoft Security Bulletin Summary, November 2007
- Using Microsoft Virtual Server 2005 R2 SP1
- Microsoft Security Update for November 2007
- เตือนภัยไวรัส: WORM_SMALL.HYN หรือ Recycler Virus
- What's the difference between the Vista editions
- CCleaner v2.01.507
- Microsoft Security Advisory (943521)
- Microsoft Security Advisory (944653)
- Sysinternals utilities update
- การใช้งาน Xcacls.exe
- Virus VBS.Godzilla or Hacked by Godzilla
- การป้องกันและวิธีแก้ไขไวรัสที่มากับแผ่นวีซีดี
- เตือนภัยไวรัส: Worm/Agent.PYG หรือ Win32/Autoit.AC
- Firefox v2.0.0.9
-
▼
November
(40)
-
Labels
Apple Download Firefox Google Hyper-V Server Internet Explorer 10 Internet Explorer 11 Internet Explorer 8 Internet Explorer 9 Microsoft Office 2010 Office 2013 Operating System Security Security Update Tech News Tips Tutorials Virtualization Virus Alert VMware Windows 7 Windows 8 Windows 8.1 Windows Server 2003 Windows Server 2008 Windows Server 2012 Windows Vista Windows XP
-
ผู้ติดตาม
Copyright ©
Windows Administrator Blog | Powered by Blogger
0 Comment:
Post a Comment