Monday, November 19, 2007

เตือนภัยไวรัส: WORM_FLASHY

ชื่อไวรัส: WORM_FLASHY.B, Trojan.Win32.Disabler.i (Kaspersky), BackDoor-DIY (McAfee), Trojan Horse (Symantec), TR/Disabler.I (Avira), Mal/Packer (Sophos), Backdoor.Flbot.A (BitDefender), Backdoor:Win32/Glupzy.A (MIcrosoft)

เนื้อหาต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัส WORM_FLASHY.B หรือ Backdoor.Flbot.A วิธีการในการป้องกันไม่ให้ติดไวรัส รวมถึงการแก้ไขในกรณีที่ติดไวรัสตัวนี้ โดยข้อมูลต่างๆ นั้นจะอ้างอิงจากเว็บไซต์ Trend Micro System

ข้อมูลทั่วไปของไวรัส WORM_FLASHY.B หรือ Backdoor.Flbot.A
ไวรัส WORM_FLASHY.B หรือ Backdoor.Flbot.A จะอยู่ในไฟล์ชื่อ Flashy.exe โดยเริ่มแรกมันจะแฝงอยู่ในเว็บไซต์ และลวงให้ผู้ใช้ทำการดาวน์โหลดและติดตั้งลงบนเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว จากนั้นเจ้าไวรัสตัวนี้จะแพร่ระบาดผ่านทางสื่อเก็บข้อมูลแบบพกพา โดยการสำเนาไฟล์ไวรัสชื่อไฟล์ Flashy.exe ลงในไดรว์เก็บข้อมูลแบบพกพาทุกๆ ไดรว์ และไวรัสยังทำการเปิดพอร์ตหมายเลข 23 ซึ่งเป็นพอร์ตของ telnet เพื่อรอรับคำสั่งจากผู้ประสงค์ร้าย ซึ่งผู้ประสงค์ร้ายสามารถทำการควบคุมเครื่องคอมพิวเตอร์ที่ติดไวรัสตัวนี้ได้ นอกจากนี้มันยังทำการดิสเอเบิล Folder Options ที่อยู่ในเมนู Tools และในบางครั้งไวรัส WORM_FLASHY.B อาจจะทำการสำเนามัลแวร์อื่นๆ ลงเครื่องได้อีกด้วย

การทำงานของไวรัส WORM_FLASHY.B หรือ Backdoor.Flbot.A
เมื่อไฟล์ไวรัสของ WORM_FLASHY.B หรือ Backdoor.Flbot.A ถูกเอ็กซีคิวท์ ไวรัสจะทำการสำเนาตัวมันเองในไฟล์ Flashy.exe ลงในโฟลเดอร์ต่างๆ ดังนี้
1. โฟลเดอร์ %Windows%\System32 ซึ่งโดยทั่วไปจะเป็น "C:\Windows\System32" สำหรับ Windows XP และ Windows Server 2003 หรือ "C:\WinNT\System32" สำหรับ Windows NT หรือ "C:\Windows\System" สำหรับ Windows 98/ME
2. โฟลเดอร์ %User Profile%\Start Menu\Programs\Startup\systemID.pif ซึ่งโดยทั่วไปจะเป็น C:\Documents and Settings\{User name}

จากนั้นไวรัส WORM_FLASHY.B จะทำการแก้ไขรีจีสทรีของวินโดวส์ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Flashy Bot = "%System%\Flashy.exe"

ยังทำการแก้ไขรีจีสทรีของวินโดวส์เพื่อดิสเอเบิล Folder Options ที่อยู่ในเมนู Tools ดังนี้

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = "1"

จากนั้นไวรัส WORM_FLASHY.B จะทำการสำเนาไฟล์ไวรัสชื่อไฟล์ Flashy.exe ลงในไดรว์เก็บข้อมูลแบบพกพาทุกๆ ไดรว์ ยังทำการเปิดพอร์ตหมายเลข 23 เพื่อรอรับคำสั่งจากผู้ประสงค์ร้าย ซึ่งผู้ประสงค์ร้ายสามารถทำการควบคุมเครื่องคอมพิวเตอร์ที่ติดไวรัสตัวนี้ได้

ไฟล์ไวรัส
ไวรัสตัวนี้ จะถูกตรวจพบในไฟล์ชื่อต่างๆ กันไป ตัวอย่างเช่น AHDV_VIRUS.exe, Bus_Ticket1.exe, Download.exe, EXAM.EXE, Flashy.exe, Font.exe, Homeworks.exe, ICON.exe, RECYCLER.exe, Slide.exe และ theme.exe เป็นต้น

ระบบที่ได้รับผลกระทบจากไวรัส WORM_FLASHY
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, NT, 2000, XP, และ Windows Server 2003

อาการเมื่อติดไวรัส WORM_FLASHY.B หรือ Backdoor.Flbot.A
- มีไฟล์ต่างๆ ที่ได้กล่าวถึงไปด้านบน
- ในหน้าต่าง Windows Explorer จะไม่มีคำสั่ง Folder Options ในเมนู Tools เนื่องจากไวรัสจะทำการดิสเอเบิลไว้
- มีรีจีสทรีคีย์ต่างๆ ที่ได้กล่าวถึงไปด้านบน
- มีการเปิดพอร์ตหมายเลข 23 (telnet) โดยที่ผู้ใช้ไม่ได้กระทำเอง

วิธีการแก้ไขเมื่อติดไวรัส WORM_FLASHY
วิธีการแก้ไขเมื่อติดไวรัส WORM_FLASHY นั้น ก่อนอื่นต้องทำการเทอร์มิเนตโพรเซสของไวรัส โดยใช้โปรแกรม Process Explorer ก่อน ตามวิธีการดังนี้

การเทอร์มิเนตโพรเซสของไวรัส
1. ทำการติดตั้งโปรแกรม Process Explorer โดยดาวน์โหลดโปรแกรมได้จาก www.sysinternals.com และอ่านวิธีการใช้งานได้จาก การใช้งาน Process Explorer
2. รันโปรแกรม Sysinternals Process Explorer จากนั้นให้ทำการ Kill โพรเซสชื่อ flashy.exe หรือชื่ออื่นๆ ที่โปรแกรมป้องกันไวรัสแจ้งเตือน โดยให้สังเกตได้จากการนำเม้าส์ไปคลิกที่โพรเซสเหล่านั้น จะแสดงพาธของโพรเซสเป็น "C:\Windows\system32\flashy.exe" สำหรับ Windows XP และ Windows Server 2003 หรือ "C:\WinNT\System32\flashy.exe" สำหรับ Windows NT หรือ "C:\Windows\System\flashy.exe" สำหรับ Windows 98/ME
3. ทำการปิดโปรแกรม Process Explorer
4. ทำการลบไฟล์ Flashy.exe ในทุกๆ ไดรว์ รวมถึงไดรว์เก็บข้อมูลแบบพกพา
5. ทำการลบไฟล์ %User Profile%\Start Menu\Programs\Startup\systemID.pif

หมายเหตุ:
หากไม่สามารถทำการการเทอร์มิเนตโพรเซสได้ ให้รีสตาร์ทเป็น Safe Mode แล้วทำตามขั้นตอนด้านบนอีกครั้ง

แก้ไขรีจีสทรี
ทำการลบรีจีสทรีซึ่งเรียกรันไฟล์ Flashy.exe และดิสเอเบิล Folder Options ตามขั้นตอนดังนี้
1. Start > Run พิมพ์คำสั่ง regedit กด Enter
2. ช่องด้านซ้ายให้คลิกที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. ช่องด้านขวาให้ทำการลบรีจีสทรี Flashy Bot = "%System%\Flashy.exe"
4. ช่องด้านซ้ายให้คลิกที่ HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer9
5. ช่องด้านขวาให้ทำการลบรีจีสทรี NoFolderOptions = "1"
6. ปิดโปรแกรม Registry Editor
7. ทำการสแกนไวรัสแบบเต็มรูปแบบเพื่อให้แน่ใจว่าไวรัสได้ถูกลบออกหมดแล้ว
8. ป้องกันการรันไฟล์ Flashy.EXE โดยใช้ GPEdit.msc

การแก้ไขด้วย Fix Tool
สำหรับท่านที่เครื่องคอมพิวเตอร์โดนเจ้าไวรัส WORM_FLASHY เล่นงาน สามารถแก้ไขโดยใช้ Fix Tool ของ BitDefender เพื่อทำการฆ่าไวรัสและกู้คืนระบบได้ โดยสามารถดาวน์โหลดได้จากเว็บไซต์ BitDefender Thailand หรือ ดาวนโหลดโดยตรงจาก BitDefender: Flashy Remove Tools

วิธีการป้องกัน
1. การป้องกันไวรัสด้วยโปรแกรม Trust No Exe อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/11/kb-112007-17.html
2. ปิดการใช้งาน Autoplay อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/turnoff-autoplay-on-all-drives-in.html
3. วิธีการป้องกันไวรัสจาก Flash drive อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/protect-computer-from-flash-drives.html
4. ป้องกันไม่ให้วินโดวส์รันโปรแกรมที่กำหนด อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/10/kb-102007-22.html

แหล่งอ้างอิง
เว็บไซต์ Tren Micro: WORM_FLASHY.B
เว็บไซต์ McAfee: Backdoor-DIY

การป้องกัน การแก้ไข WORM_FLASHY WORM_FLASHY.B Backdoor.Flbot.A Flbot Backdoor-DIY
© 2007 Thai Windows Administrator, All Rights Reserved.

0 Comment: