Virus alert: VBS_PICA.AE

VBS_PICA.AE หรือ killVBS.vbs virus

Virus name: VBS_PICA.AE (Trend Micro)
Aliases: Virus.VBS.AutoRun.d (Kaspersky), VBS/Pica.worm.gen (McAfee), Trojan Horse (Symantec), VBS/Small.NAA (Avira), Virus:VBS/Autorun.A (Microsoft) หรือ killVBS.vbs virus

ข้อมูลทั่วไปของไวรัส
ไวรัส VBS_PICA.AE หรือ killVBS.vbs เป็นไวรัสประเภท VB Script โดยจะอยู่ในไฟล์ชื่อเดียวกันคือ ไฟล์ killVBS.vbs โดยการแฝงอยู่ในเว็บไซต์บนอินเทอร์เน็ต และลวงให้ผู้ใช้ทำการดาวน์โหลดและติดตั้งลงบนเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว หลังจากที่เครื่องคอมพิวเตอร์ติดไวรัสตัวนี้ ไวรัสก็จะทำการแก้ไขหน้า Home Page ของ Internet Explorer ในขณะเดียวกันมันก็จะทำการแก้ไขรีจีสทรีเพื่อ ให้ทำการรันไฟล์ killVBS.vbs ทุกครั้งที่ทำการสตาร์ทเครื่อง

การทำงานของไวรัส VBS_PICA.AE
ไวรัส VBS_PICA.AE หรือ killVBS.vbs เป็นไวรัสประเภท VB Script โดยจะอยู่ในไฟล์ชื่อเดียวกันคือ ไฟล์ killVBS.vbs โดยการแฝงอยู่ในเว็บไซต์บนอินเทอร์เน็ต และลวงให้ผู้ใช้ทำการดาวน์โหลดและติดตั้งลงบนเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว หลังจากที่เครื่องคอมพิวเตอร์ติดไวรัสตัวนี้ ไวรัสก็จะทำการสำเนาตัวเอง (ไฟล์ชื่อ killVBS.vbs ) ลงในโฟลเดอร์ %System%\

หมายเหตุ
มื่อ %System% คือโฟลเดอร์ System ของวินโดวส์ ซึ่งโดยทั่วไปจะเป็น "C:\Windows\System32" สำหรับ Windows XP และ Windows Server 2003 หรือ "C:\WinNT\System32" สำหรับ Windows NT หรือ "C:\Windows\System" สำหรับ Windows 98/ME

จากนั้นไวรัส VBS_PICA.AE จะทำการแก้ไขรีจีสทรีของวินโดวส์ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\wscript.exe "%system%\killVBS.vbs""

หมายเหตุ
ค่าปกติคือ %System%\userinit.exe,

นอกจากนี้ไวรัส VBS_PICA.AE ยังทำการสำเนาไฟล์ Autorun.inf และ ไฟล์ไวรัส (ชื่อไฟล์ killVBS.vbs)ลงในไดรฟ์ C-Z เพื่อให้วินโดวส์ทำการเอ็กซีคิวท์ไฟล์ไวรัส เมื่อมีการเชื่อมต่อไดรฟ์เข้ากับเครื่องคอมพิวเตอร์หรือมีการดับเบิลคลิกไดรฟ์โดยเนื้อหาในไฟล์ Autorun.inf จะมีลักษณะดังนี้

[AutoRun]
shellexecute=wscript.exe killVBS.vbs

ระบบที่ได้รับผลกระทบจากไวรัส VBS_PICA.AE
ระบบปฏิบัติการที่ได้รับผลกระทบจากไวรัส VBS_PICA.AE: Windows 98, ME, 2000, XP, และ Windows Server 2003

อาการเมื่อติดไวรัส VBS_PICA.AE
- หน้า Home Page ของ Internet Explorer เปลี่ยนไปและไม่สามารถเปลี่ยนกลับคืนได้
- มีไฟล์ต่างๆ ที่ได้กล่าวถึงไปด้านบน
- มีรีจีสทรีคีย์ต่างๆ ที่ได้กล่าวถึงไปด้านบน

วิธีการแก้ไข
สำหรับวิธีการแก้ไขเมื่อเครื่องคอมพิวเตอร์ติดไวรัส VBS_PICA.AE นั้น สามารถอ่านได้จาก วิธีการแก้ไขเมื่อติดไวรัส killVBS.vbs ที่เว็บไซต์ http://thaiwinadmin.blogspot.com/2007/07/fix-killvbsvbs.html

ลิงก์ที่เกี่ยวข้อง
การแก้ไขเมื่อติดไวรัส killVBS.vbs: http://thaiwinadmin.blogspot.com/2007/07/fix-killvbsvbs.html

VBS_PICA.AE killvbs.vbs, kilvbs virus
© 2007 Thai Windows Administrator, All Rights Reserved.