Virus Win32/FakeRean ~ Windows Administrator Blog

Thursday, August 20, 2009

Virus Win32/FakeRean

By dtp 8:55:00 AM No comments

ระวังไวรัส Win32/FakeRean
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์เตือนผู้ใช้วินโดวส์ให้ระวังไวรัส Win32/FakeRean ซึ่งปลอมตัวเป็นโปรแกรมป้องกันไวรัส โดยมีรายละเอียดดังนี้

ชื่อไวรัส: Win32/FakeRean
วันที่ออกระบาด: 11 สิงหาคม 2552
ชื่ออื่นๆ:
• XP AntiSpyware 2009 (other)
• XP Security Center (other)
• PC Antispyware 2010 (other)
• Home Antivirus 2010 (other)
• PC Security 2009 (other)

รายละเอียด:
Win32/FakeRean เป็นไวรัสที่ปลอมตัวเป็นโปรแกรมป้องกันไวรัส เพื่อหลอกผู้ใช้ให้ติดตั้งลงบนเครื่อง จากนั้นมันก็จะทำการแสดงข้อความเตือนเพื่อหลอกผู้ใช้ว่ามีการพบไวรัสอยู่บนเครื่องคอมพิวเตอร์ พร้อมกับแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการลงทะเบียนและจ่ายค่าบริการในการกำจัดไวรัส (ซึ่งไม่มีอยู่จริงบนเครื่อง)

ไวรัส Win32/FakeRean จะแพร่ระบาดในชื่อต่างๆ หลายชื่อตามรายชื่อด้านบน และมีอินเทอร์เฟชที่แตกต่างกันหลายๆ แบบ

อาการเมื่อติดไวรัส Win32/FakeRean
เมื่อเครื่องคอมพิวเตอร์ติด Win32/FakeRean จะมีหรือแสดงอาการต่างๆ ดังนี้
1. มีไฟล์ในชื่อและตำแหนงต่างๆ ดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
Binaries1.cab
Binaries2.cab
Binaries3.cab
%Program Files%\XP_AntiSpyware\AVEngn.dll
%Program Files%\XP_AntiSpyware\htmlayout.dll
%Program Files%\XP_AntiSpyware\pthreadVC2.dll
%Program Files%\XP_AntiSpyware\Uninstall.exe
%Program Files%\XP_AntiSpyware\wscui.cpl
%Program Files%\XP_AntiSpyware\XP_Antispyware.cfg
%Program Files%\XP_AntiSpyware\XP_AntiSpyware.exe
%Program Files%\XP_AntiSpyware\data\daily.cvd
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll

2. มีการแก้ไขรีจีสทรีดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
• Key: HKCU\Control Panel\don't load
Value: scui.cpl
Data: "No"
Value: wscui.cpl
Data: "No"

• Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value: ForceClassicControlPanel
Data: 0x1

• Key: HKLM\SOFTWARE\Microsoft\Security Center
Value: AntiVirusDisableNotify
Data: 0x1
Value: FirewallDisableNotify
Data: 0x1
Value: UpdatesDisableNotify
Data: 0x1

• Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP_AntiSpyware\
Value: DisplayName
Data: "XP Antispyware 2009"
Value: UninstallString
Data: "%Program Files%\XP_AntiSpyware\Uninstall.exe"

• Key: HKLM\Software\XP_Antispyware
Value: info
Data: ""

3. มีคีย์ต่างๆ ดังนี้
%Start menu%\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk
%Start menu%\Programs\XP_AntiSpyware\Uninstall.lnk
%Desktop%\XP_AntiSpyware.lnk
%APPDATA%\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk

4. มีการแสดงไอคอน (icon), ไดอะล็อก (dialog), ข้อความเตือน (warning), ป็อป-อัพ (pop-up) และ ฯลฯ

หมายเหตุ: ในที่นี้แสดงเพียงบางส่วน

วิธีการกำจัดไวรัส
เมื่อเครื่องคอมพิวเตอร์ติดไวรัส Win32/FakeRean สามารถกำจัดหรือแก้ไขได้โดยการสแกนด้วยโปรแกรม Microsoft Windows Defender หรือสแกนผ่านทางออนไลน์ที่เว็บไซต์ Windows Live safety scanner (http://onecare.live.com/site/en-us/default.htm) หรือทำการสแกนด้วยโปรแกรมป้องกันไวรัสตัวที่ติดตั้งอยู่บนเครื่อง (อย่าลืมทำการอัพเดท Virus Definition ก่อนทำการสแกนนะครับ)

แหล่งข้อมูลอ้างอิง
• Win32/FakeRean - MMPC

© 2009 TWAB. All Rights Reserved.

SANS เตือนให้ระวังไวรัสโจมตีระบบผ่านช่องโหว่ Internet Explorer[อัพเดท 21 กุมภาพันธ์ 2552]Trend Micro เรียก Malicious code ที่อยู่ในไฟล์ .DOC ซึ่งส่งมาทางอีเมลว่า "XML_DLOADR.A" และเรียกมัลแวร์ตัวนี้ว่า "HTML_DLOADER.AS" มัลแวร์ตัวนี้จะทำการขโมยข้อมูลโดยทำการส่งออกผ่านทางพอร์ตหมายเลข 443… Read More
10 อันดับไวรัสที่ระบาดทั่วโลก (ธ.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก (ธ.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก ในระหว่างเดือนธันวาคม 2551ที่มา: Trend Micro Virus Map: http://wtc.trendmicro.com/wtc/default.asp1. MAL_OTORUN12. POSSIBLE_VUNDO-63. MAL_VUNDO-84. CRYP_TAP-… Read More
Understanding virus namesบทความโดย: Thai Windows Administrator Blogถอดรหัสพันธุกรรมไวรัสสำหรับผู้ใช้คอมพิวเตอร์ประจำอย่างเราๆ ท่านๆ ปัญหาไวรัสคอมพิวเตอร์คงเป็นหนึ่งในปัญหาที่ประสบกันบ่อยๆ โดยเฉพาะอย่างยิ่งถ้าท่านเป็นเจ้าหน้าที่แผนกไอทีที่ต้องซัพพอร์ต… Read More
ไวรัส Conficker สายพันธุ์ใหม่ โจมตีโปรแกรมรักษาความปลอดภัยบทความโดย: Thai Windows Administrator Blogดูเหมือนว่าการระบาดของไวรัส Conficker หรือรู้จักกันในอีกชื่อว่า Downadup คงจะไม่จบลงง่ายๆ เนื่องจากมีรายงานถึงการระบาดของไวรัสตัวใหม่ๆ ของสายพันธ์นี้ออกมาเรื่อยๆ ล่าสุดมีรายงานว่า พบก… Read More
พบการแพร่ระบาดไวรัสสายพันธุ์ Conficker ตัวใหม่พบการแพร่ระบาดไวรัสสายพันธุ์ Conficker ตัวใหม่มีรายงานว่าพบการแพร่ระบาดไวรัส Conficker.B ซึ่งเป็นสายพันธุ์ใหม่ของไวรัส Conficker หรือ Downadup ซึ่งนักวิจัยเกี่ยวกับความปลอดภัยระบบคอมพิวเตอร์เชื่อว่า ไวรัสตัวใหม่นี้ถูกออกแบบมา… Read More