Virus Alert: Trojan-Win32/Winwebsec

ระวังโทรจัน Win32/Winwebsec
บทความโดย: Thai Windows Administrator Blog

ชื่อไวรัส: Trojan-Win32/Winwebsec
วันที่ออกระบาด: 21 เมษายน 2552
ชื่ออื่นๆ:
System Security (other)
Winweb Security (other)
FakeAlert-WinwebSecurity.gen (McAfee)
Mal/FakeAV-AK (Sophos)
Troj/FakeVir-LB (Sophos)
Adware/AntiSpywarePro2009 (Panda)
Adware/UltimateCleaner (Panda)
Adware/Xpantivirus2008 (Panda)
Win32/Adware.SystemSecurity (ESET)
Win32/Adware.WinWebSecurity (ESET)
AntiVirus2008 (Symantec)
SecurityRisk.Downldr (Symantec)
W32/AntiVirus2008.AYO (Norman)

รายละเอียด:
Trojan-Win32/Winwebsec เป็นไวรัสที่ปลอมตัวเป็นโปรแกรมป้องกันไวรัส เพื่อหลอกผู้ใช้ให้ติดตั้งลงบนเครื่อง จากนั้นมันก็จะทำการแสดงข้อความเตือนเพื่อหลอกผู้ใช้ว่ามีการพบไวรัสอยู่บนเครื่องคอมพิวเตอร์ พร้อมกับแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการลงทะเบียนและจ่ายค่าบริการในการกำจัดไวรัส (ซึ่งไม่มีอยู่จริงบนเครื่อง) โดย Trojan-Win32/Winwebsec จะแพร่ระบาดในชื่อต่างๆ หลายชื่อ ในอินเทอร์เฟชที่แตกต่างกันหลายๆ แบบ

อาการเมื่อติดไวรัส
เมื่อเครื่องคอมพิวเตอร์ติด Trojan-Win32/Winwebsec จะมีหรือแสดงอาการต่างๆ ดังนี้
1. มีไฟล์ในชื่อและตำแหนงต่างๆ ดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
%COMMON_APPDATA%\WinwebSecurity\WinwebSecurity.exe
%COMMON_APPDATA%\WinwebSecurity\config.udb
%COMMON_APPDATA%\WinwebSecurity\init.udb
%COMMON_APPDATA%\WinwebSecurity\Languages\English.lng

2. มีการแก้ไขรีจีสทรีดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
- เพิ่มค่า "" (เหมือนกับชื่อไฟล์หลอกๆ เช่น 1677291695) มีข้อมูลเป็น: "" (e.g. C:\Documents and Settings\All Users\Application Data\922926319\1677291695.exe) เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

- เพิ่มค่า WinwebSecurity มีข้อมูลเป็น: "%COMMON_APPDATA%\WinwebSecurity\WinwebSecurity.exe" เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

- เพิ่มค่า: adpws มีข้อมูลเป็น: "%COMMON_APPDATA%\.exe" (e.g. "%COMMON_APPDATA%\5689887B.exe") เข้าใน subkey: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

3. แสดงภาพหรือไดอะล็อกบ็อกซ์หรือข้อความเตือนผู้ใช้ว่ามีการพบไวรัสอยู่บนเครื่องคอมพิวเตอร์ ลักษณะดังรูปด้านล่าง


ตัวอย่างของข้อความเตือนที่ 1 ซึ่ง Trojan-Win32/Winwebsec แสดงหลอกผู้ใช้ (ภาพจาก MMPC)


ตัวอย่างของข้อความเตือนที่ 2 ซึ่ง Trojan-Win32/Winwebsec แสดงหลอกผู้ใช้ (ภาพจาก MMPC)

วิธีการกำจัดไวรัส
เมื่อเครื่องคอมพิวเตอร์ติดไวรัส Trojan-Win32/Winwebsec สามารถกำจัดหรือแก้ไขได้โดยการสแกนด้วยโปรแกรม Microsoft Windows Defender หรือสแกนผ่านทางออนไลน์ที่เว็บไซต์ Windows Live safety scanner (http://onecare.live.com/site/en-us/default.htm) หรือทำการสแกนด้วยโปรแกรมป้องกันไวรัสตัวที่ติดตั้งอยู่บนเครื่อง (อย่าลืมทำการอัพเดท Virus Definition ก่อนทำการสแกนนะครับ)

แหล่งข้อมูลอ้างอิง
• Trojan:Win32/Winwebsec - MMPC

© 2009 TWAB. All Rights Reserved.