Thursday, November 8, 2007

เตือนภัยไวรัส: WORM_SMALL.HYN หรือ Recycler Virus

เนื้อหาต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัส WORM_SMALL.HYN และวิธีการในการป้องกันไม่ให้ติดไวรัส รวมถึงการแก้ไขในกรณีที่ติดไวรัสตัวนี้ โดยข้อมูลต่างๆ นั้นจะอ้างอิงจากเว็บไซต์ Trend Micro System

ชื่อไวรัส: WORM_SMALL.HYN หรือ Recycler

ข้อมูลทั่วไปของไวรัส WORM_SMALL.HYN หรือ Recycler
ไวรัส WORM_SMALL.HYN นั้น เริ่มแรกมันจะแฝงอยู่ในเว็บไซต์ และลวงให้ผู้ใช้ทำการดาวน์โหลดและติดตั้งลงบนเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว จากนั้นเจ้าไวรัสตัวนี้จะแพร่ระบาดผ่านทางสื่อเก็บข้อมูลแบบพกพา โดยมันจะทำการสร้างโฟลเดอร์ชื่อ Recycler ในไดรว์เก็บข้อมูลแบบพกพาทุกๆ ไดรว์ จากนั้นจะทำการสำเนาไฟล์ Autorun.inf และ ไฟล์ไวรัส (ชื่อไฟล์INFO.EXE และ U.EXE) ลงในโฟลเดอร์ที่มันทำการสร้างขึ้นมา โดยไฟล์ Autorun.inf นั้น จะทำหน้าที่เรียกรันไฟล์ไวรัสทุกครั้งที่มีการแอ็คเซสไดรว์เก็บข้อมูลแบบพกพา

การทำงานของไวรัส WORM_SMALL.HYN
เมื่อไฟล์ไวรัสของ WORM_SMALL.HYN ถูกเอ็กซีคิวท์ ไวรัสจะทำการสำเนาตัวมันเองในไฟล์ชื่อ SVCHOST.EXE ลงในโฟลเดอร์ %Windows%\System ซึ่งโดยทั่วไปจะเป็น "C:\Windows\System" หรือ "C:\WinNT" จากนั้นไวรัสจะทำการสร้างโฟลเดอร์ชื่อ _sv_CMD_ ในโฟลเดอร์ %Windows%\System และทำการสำเนาไฟล์ไวรัสลงในโฟลเดอร์ที่สร้างขึ้นมาในชื่อไฟล์ U.EXE อีกหนึ่งไฟล์

จากนั้นไวรัส WORM_SMALL.HYN จะทำการแก้ไขรีจีสทรีของวินโดวส์ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = "userinit.exe, %Windows%\system\svchost.exe"

(ค่าปกติเป็น "%System%\userinit.exe, บน Windows 2000, XP, และ Server 2003, และ "userinit.exe,nddeagnt.exe" บน Windows NT)

การแพร่ระบาดผ่านทางสื่อเก็บข้อมูลแบบพกพา
ไวรัส WORM_SMALL.HYN นั้น จะทำการสร้างโฟลเดอร์ชื่อ Recycler ในไดรว์เก็บข้อมูลแบบพกพาทุกๆ ไดรว์ จากนั้นมันจะทำการสำเนาไฟล์ INFO.EXE และ U.EXE ลงในโฟลเดอร์ที่มันสร้างขึ้นมา และสำเนาไฟล์ Autorun.inf ลงในรูทโฟลเดอร์ของไดรว์เก็บข้อมูลแบบพกพาเพื่อให้วินโดวส์ทำการเอ็กซีคิวท์ไฟล์ไวรัส เมื่อมีการเชื่อมต่อไดรว์เข้ากับเครื่องคอมพิวเตอร์หรือมีการดับเบิลคลิกไดรว์ โดยเนื้อหาในไฟล์ Autorun.inf จะมีลักษณะดังนี้

[AutoRun]
open=
shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe

นอกจากนั้น ไวรัส WORM_SMALL.HYN ยังทำการสำเนาเท็กซ์ไฟล์ชื่อ DESKTOP.INI ลงบนเดสท็อปอีกด้วย

ระบบที่ได้รับผลกระทบจากไวรัส WORM_SMALL.HYN
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, NT, 2000, XP, และ Windows Server 2003

วิธีการแก้ไขเมื่อติดไวรัส WORM_SMALL.HYN
วิธีการแก้ไขเมื่อติดไวรัส WORM_SMALL.HYN นั้น ก่อนอื่นต้องทำการเทอร์มิเนตโพรเซสของไวรัส ด้วยโปรแกรม Process Explorer ก่อน ตามวิธีการดังนี้

การเทอร์มิเนตโพรเซสของไวรัส
1. ทำการติดตั้งโปรแกรม Process Explorer โดยดาวน์โหลดโปรแกรมได้จาก www.sysinternals.com และอ่านวิธีการใช้งานได้จาก การใช้งาน Process Explorer
2. รันโปรแกรม Sysinternals Process Explorer จากนั้นให้ทำการ Kill โพรเซสชื่อ svchost.exe (หากนำเม้าส์ไปคลิกดูจะบอกพาธเป็น C:\Windows\system\svchost.exe) ขอให้ใช้ความระมัดระวังในการเทอร์มิเนต เนื่องจากจะมีโพรเซสของวินโดวส์เองที่รันในชื่อเดียวกันซึ่งอยู่ในพาธ C:\Windows\system32\svchost.exe
3. ทำการปิดโปรแกรม Process Explorer

หมายเหตุ:
หากไม่สามารถทำการการเทอร์มิเนตโพรเซสได้ ให้รีสตาร์ทเป็น Safe Mode แล้วทำตามขั้นตอนด้านบนอีกครั้ง

แก้ไขรีจีสทรี
ทำการแก้ไขรีจีสทรี ตามขั้นตอนดังนี้
1. Start > Run พิมพ์คำสั่ง regedit กด Enter
2. ช่องด้านซ้ายให้คลิกที่ HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows NT>CurrentVersion>Winlogon
3. ทำแก้ไขค่าในรีจีสทรีคีย์ Userinit ด้วยการ Double Click ดังนี้ (หรือคลิกขวาแล้วเลือก Modify)

--> ค่าเดิม userinit.exe, c:\windows\system\svchost.exe

:สำหรับ Windows 2000, XP และ Windows Server 2003
--> แก้เป็น c:\windows\system32\userinit.exe

:สำหรับ Windows NT
--> แก้เป็น C:\WINNT\System32\userinit.exe,nddeagnt.exe

4. ปิดโปรแกรม Registry Editor
5. ทำการลบไฟล์ AUTORUN.INF ในไดรว์เก็บข้อมูลแบบพกพาที่มัลแวร์สร้างขึ้น
6. ทำการลบโฟลเดอร์ RECYCLER และ _sv_CMD_ ที่มัลแวร์สร้างขึ้นในไดรว์เก็บข้อมูลแบบพกพาโดยให้กดปุ่ม SHIFT+DELETE เพื่อทำการลบแบบถาวร
7. ทำการลบโฟลเดอร์ _sv_CMD_ ที่มัลแวร์สร้างขึ้นในโฟลเดอร์ %Windows%\System โดยให้กดปุ่ม SHIFT+DELETE เพื่อทำการลบแบบถาวร
8. ทำการสแกนไวรัสแบบเต็มรูปแบบเพื่อให้แน่ใจว่าไวรัสได้ถูกลบออกหมดแล้ว
9. ป้องกันการรันไฟล์ INFO.EXE และ U.EXE โดยใช้ GPEdit.msc

วิธีการป้องกัน
1. การป้องกันไวรัสด้วยโปรแกรม Trust No Exe อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/11/kb-112007-17.html
2. ปิดการใช้งาน Autoplay อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/turnoff-autoplay-on-all-drives-in.html
3. วิธีการป้องกันไวรัสจาก Flash drive อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/protect-computer-from-flash-drives.html
4. ป้องกันไม่ให้วินโดวส์รันโปรแกรมที่กำหนด อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/10/kb-102007-22.html

แหล่งอ้างอิง
Trend Micro: WORM_SMALL.HYN

การป้องกัน การแก้ไข WORM_SMALL.HYN Recycler
© 2007 Thai Windows Administrator, All Rights Reserved.

0 Comment: