Flashy.exe

ไวรัส Flashy.exe

     
                ไวรัส คือ โปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้ และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่นๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูล ไวรัสก็อาจแพร่ระบาดได้เช่นกัน

                การที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปฝังตัวอยู่ในหน่วยความจำคอมพิวเตอร์เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรมๆ หนึ่ง การที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้น ยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัว ปกติผู้ใช้มักจะไม่รู้ตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัสขึ้นมาทำงานแล้ว

                จุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบนหน้าจอ เป็นต้น

ไวรัส Flashy.exe 

                ไวรัส ชนิดนี้ เป็นไวรัสประเภท โทรจันที่เข้าไปเปลี่ยนแปลงรหัสผ่านระดับ Administrator ของWindows เมื่อติดไวรัสให้ใช้ username และ password นี้สำหรับเข้าระบบ

User name : Administrator
Password : hacked 

                โทรจัน (Trojan ) เป็นโปรแกรมที่ถูกเขียนขึ้นมาให้ทำตัวเหมือนว่าเป็น โปรแกรมธรรมดาทั่ว ๆ ไป เพื่อหลอกล่อผู้ใช้ให้ทำการเรียกขึ้นมาทำงาน แต่เมื่อ ถูกเรียกขึ้นมาแล้ว ก็จะเริ่มทำลายตามที่โปรแกรมมาทันที ม้าโทรจันบางตัวถูกเขียนขึ้นมาใหม่ทั้ง ชุด โดยคนเขียนจะทำการตั้งชื่อโปรแกรมพร้อมชื่อรุ่นและคำอธิบายการใช้งานที่ดูสมจริง เพื่อหลอกให้คนที่จะเรียกใช้ตายใจ

อาการของเครื่องที่ติด Flashy.exe 
- ไม่สามารถเรียกใช้ Task Manager, Registry Editor และFolder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe

 จะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ อยู่เฉยๆ

อาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที
- เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้
- หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ ( ที่มีนามสกุลว่า .exe ) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่าAplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ
- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้าBrontok ) และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน Virus เข้าเครื่องในทันที
- Virus ตัวนี้ไม่แพร่กระจายในเครือข่าย (คือไม่ใช่ อยู่ๆก็ไปเขียนค่าหรือ ติดตั้งตัวเองในเครื่องอื่นๆในวงLan ของเรา มันจะอยู่แต่เครื่องที่มันอยู่เท่านั้น แต่ใช้ Flash Drive เป็นพาหะแทน) 

- อาการจะแสดงผลในทันที ไม่รีรอค่อยๆ เป็นค่อยๆ ไป อย่าง Brontok ..

วิธีกำจัดไวรัส  Flashy.exe 

วิธีที่ 1

- ใช้โปรแกรม NOD32 Flashy-Fix ในการกำจัด คลิกดาวโหลด 
- โดยการทำงานของ Tools ตัวนี้จะช่วยในเรื่องการกำจัดไฟล์ และ service ต่างๆของโทรจัน flashy ภายในhard disk เท่านั้นไม่ได้รวมถึง flash drive หากต้องการสแกน flash drive ต้องใช้โปรแกรม NOD32 ทำการสแกน ดาวโหลดได้ที่หน้าดาวโหลดโปรแกรมครับ ในส่วนของ password ของเครื่องคอมพิวเตอร์ของคุณ จะต้องเข้าไปแก้ไขเอง โดย password ที่ตัว flashy ได้ทำการสร้างขึ้นมานั้นคือ hacked เมื่อ Login แล้วคุณจะสามารถเข้าไปเปลี่ยน password ได้ด้วยตัวเอง

วิธีใช้งาน

1. เมื่อคุณ download ลงมาแล้วจะได้รับไฟล์ NOD32 Flashy-Fix

2. ให้คุณทำการ double click ที่ไฟล์ NOD32 Flashy-Fix เพื่อเริ่มการทำงานของโปรแกรม

3. ให้คุณอ่านและทำความเข้าใจ License agreement แล้วกด I Agree ดูรูป

4. เมื่อถึงหน้าต่าง Choose Component จะมี 2 หัวข้อให้คุณเลือกคือ

- Remove Flashy Trojan คือการกำจัดตัวโทรจัน Flashy ออกไป

- Scan and clean with NOD32 ทำการสแกนเครื่องของคุณด้วย NOD32 อีกครั้ง
5. แนะนำให้คุณเลือกทั้ง 2 ข้อครับ แต่ถ้าคุณไม่มีโปรแกรม NOD32 อยู่ให้เลือกข้อ ข้อเดียวครับ แล้วกด Do it now ดูรูป

6. จากนั้นก็นั่งรอการแก้ไข หลังจากทำการกำจัดเสร็จแล้วให้ Restart computer 1ครั้ง

วิธีที่ 2

1. เราต้องทำให้เครื่องเราที่ ติด password อยู่ boot ให้ได้ก่อน ทำได้โดย หาแผ่น Hirens BootCD 8.1 เข้าหัวข้อ pass.... เลือกข้อ 1. Act...
- โปรแกรม จะถามว่า patition เราอันไหน เราก็เลือกไป
- โปรแกรม จะถามว่า Account ที่จะล้าง pass อันไหน เราก็เลือกไป
- เสร็จแล้ว ออกจากโปรแกรม เราก็ reboot กด f8 เพื่อเข้า Safe Mode
2. เมื่อเข้า Safe Mode มาแล้ว
- คลิกขวาที่ My Computer > Properties > แท็บ System Restore > เลือก Turn off System Restore on all drives > OK
3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และsystemID.pif > End Process (กรณีถ้าตรวจพบ..)
4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน v

@ECHO OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s /v Start /t REG_DWORD /d 2
-------------------------------------------------------- -----------------------------------------------------------------------
5. ไปที่ Start Menu\ All Programs\Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete) ไปที่C:\WINDOWS\system หา Flashy.exe แล้วลบทิ้ง
6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง

บร็อนต็อก

บร็อนต็อก (Brontok) เป็นไวรัสคอมพิวเตอร์ที่ทำงานบนไมโครซอฟท์ วินโดวส์ สามารถแพร่กระจายผ่านทางจดหมายอิเล็กทรอนิกส์ สายพันธุ์ต่าง ๆ มีดังนี้

ชื่ออื่นๆ

ชื่ออื่น ๆ ของบร็อนต็อกมีดังนี้ W32/Rontokbro.gen@MM, W32.Rontokbro@mm, BackDoor.Generic.1138, W32/Korbo-B, Worm/Brontok.a, Win32.Brontok.A@mm, Worm.Mytob.GH, W32/Brontok.C.worm, Win32/Brontok.E, และ W32.Rontokbro.D@mm

อาการ

เมื่อบร็อนต็อกทำงานเป็นครั้งแรก มันจะสำเนาตัวเองลงในไดเรกทอรีข้อมูลโปรแกรมประยุกต์ของผู้ใช้ จากนั้นมันจะตั้งตัวเองให้เริ่มทำงานพร้อมกับวินโดวส์ โดยสร้างรายการเรจิสทรีในกุญแจHKLM\Software\Microsoft\Windows\CurrentVersion\Run มันจะปิดโปรแกรมแก้ไขเรจิสทรีของวินโดวส์ (regedit.exe) และปรับเปลี่ยนการตั้งค่าของวินโดวส์เอกซ์พลอเรอร์ มันลบรายการ "ตัวเลือกโฟลเดอร์" ออกไปจากเมนูเครื่องมือ ซึ่งทำให้ไฟล์ต่าง ๆ ที่ซ่อนไว้ตรงตำแหน่งที่ปกปิดไม่สามารถเข้าถึงได้โดยง่าย และมันก็ยังปิดไฟร์วอลล์ของวินโดวส์ ในบางสายพันธุ์ ถ้ามันพบว่าข้อความบนชื่อหน้าต่างใดก็ตามตรงกับสายอักขระที่มันระบุ (เช่น "application data") มันจะรีบูตเครื่องทันที ความคับข้องใจของผู้ใช้ก็ยังเกิดขึ้น เมื่อผู้ใช้พิมพ์ตำแหน่งที่อยู่ลงในวินโดวส์เอกซ์พลอเรอร์ มันจะถูกทำให้ว่างก่อนพิมพ์เสร็จ มันแพร่ตัวเองไปยังที่อยู่จดหมายอิเล็กทรอนิกส์ที่พบในเครื่องคอมพิวเตอร์ โดยใช้เอนจินส่งจดหมายของมันเอง และปลอมชื่อผู้ส่งเป็นที่อยู่ของผู้ใช้นั้น

คอมพิวเตอร์จะรีสตาร์ตเมื่อผู้ใช้พยายามเปิดคอมแมนด์พร็อมต์ในวินโดวส์ และป้องกันไม่ให้ผู้ใช้ดาวน์โหลดไฟล์ มันยังป๊อปอัปเว็บเบราว์เซอร์ปริยายขึ้นมาและโหลดเว็บเพจ (เอชทีเอ็มแอล) ที่วางไว้อยู่ในโฟลเดอร์ "รูปภาพของฉัน" (ในวินโดวส์วิสตาคือ "รูปภาพ") มันจะสร้างไฟล์ .exe ในโฟลเดอร์ต่าง ๆ ที่โดยปกติจะตั้งชื่อตามโฟลเดอร์ของมัน (เช่น ..\documents\documents.exe) ซึ่งสิ่งนี้รวมไปถึงไดรฟ์เครือข่ายที่กำหนดเส้นทางไว้ทั้งหมดด้วย 

หน้าตาของ Brontok A 

การแพร่ระบาด 

1. ติดต่อกันได้ทางอินเตอร์เน็ต

2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive , หรือ อื่นๆ

3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร

อาการเมื่อติดไวรัส Brontok A , Brontok B 

1. มีรูป (แบบด้านบน) แสดงขึ้นหน้าจอโดยที่ไม่ได้เรียกใช้งาน

2. ไม่มี Folder Options ในเมนู Tool เมื่อเปิด Windows Explorer 

2. เมื่อเข้า msconfig เครื่องจะรีสตาร์ท (Start --> Run พิมพ์ msconfig คลิก OK)

3. เปิดเข้า Registry Editor ไม่ได้


4. ในโฟลเดอร์ จะมี ไฟล์.exe ที่ชื่อเดียวกับชื่อของโฟลเดอร์ (เป็น Brontok B worm)


ขั้นตอนการกำจัด Brontok 

1. ติดตั้งโปรแกรมประเภทแอนตี้ไวรัสพร้อมอัพเดตไฟล์โปรแกรมล่าสุด
(ใน Wep Page นี้ จะยกตัวอย่างโปรแกรม NOD32)

2. ถอดสายแลนออก (ถ้ามี) เข้า Windows ในโหมด Safe Mode (การเข้า Safe Mode ทำได้โดยเมื่อกดสวิตช์เปิดเครื่องแล้ว หลังเสียงบี๊บของเครื่องดัง 1 ครั้ง ให้กดคีย์บอร์ด F8 ย้ำรอหลาย ๆ ครั้ง จนหน้าจอขึ้นข้อความที่มี Menu ให้เลือก กดปุ่มคีย์บอร์ดลูกศรชี้ขึ้นไปที่คำว่า Safe Mode กด Enter) แล้วทำการสแกนไวรัสทั้งฮาร์ดดิสก์และฆ่าทิ้ง (delete)
เข้า Windows Explorer แล้วคลิกขวาที่โฟลเดอร์ เลื่อนไปคลิกที่การสแกนไวรัสของโปรแกรมที่ติดตั้ง


ตั้งค่าการกำจัดไวรัสเมื่อสแกนพบ


เมื่อสแกนพบไวรัส ต้องคลิกสแกนซ้ำอีกเพื่อกำจัดไวรัส


เลือกกำจัดทีละโฟลเดอร์ที่คาดว่าจะมีไวรัส หรือกำจัดที่ไดรว์ C: , D: ทีเดียวเลยก็ได้ แต่อาจต้องใช้เวลานานหน่อย


3. รีสตาร์ทเครื่อง เข้าโหมดปกติ ต่ออินเตอร์เน็ต ไม่ต้องกลัวไวรัสอีกแล้ว เพราะได้อัพเดตไฟล์โปรแกรมเป็นปัจจุบันแล้ว ขั้นตอนนี้จะเป็นการแก้ไขให้เข้า Registry Editor ได้ วิธีการคือต้องเข้าไปดาวน์โหลดไฟล์ UnHookExec.inf ก่อนจากเว็บไซต์ http://securityresponse.symantec.com/avcenter/UnHookExec.inf

4. เมื่อได้ไฟล์ UnHookExec.inf มาแล้ว ให้คลิกขวาที่ไฟล์นี้ จากนั้นคลิกที่คำว่า Install เสร็จสิ้นแล้วให้รีสตาร์ทเครื่อง

5. ขั้นตอนนี้จะเป็นการแก้ไขให้เมนู Tool ใน Windows Explorer มีเมนู Folder Options วิธีการคือ เข้าไปใน Registry Editor โดยการคลิกที่ Start --> Run แล้วพิมพ์ regedit แล้วคลิก OK

6. ให้คลิกที่เครื่องหมาย + หน้าข้อความ ไล่ไปเรื่อย ๆ ตามเส้นทางต่อไปนี้ อย่าให้พลาด ถึงคำสุดท้ายให้คลิกที่ข้อความ
HKEY_CURRENT_USER / Software / Microsoft / Windows / Policies / Explorer
ในคอลัมน์ทางด้านขวา ให้ดับเบิลคลิกที่ NoFolderOptions จะได้กรอบขึ้นมา ให้แก้ในช่อง Value data ที่มีเลข 1 ให้เป็นเลข 0 แล้วคลิก OK แล้วออกจากโปรแกรมทั้งหมด รีสตาร์ทเครื่อง เป็นอันเสร็จพิธี
 

อันนี้เป็นอีกอันนึงที่อาจจะช่วยได้
ดาวน์โหลดโปรแกรมกำจัดไวรัส brontox ไปติดตั้งก่อน จากนั้นทำตามขั้นตอนต่อไปนี้

ขั้นตอนการกำจัดไวรัส

1. รันโปรแกรม CS_DevEvil แล้วคลิก start เพื่อเริ่มกำจัดไวรัส
2. โปรแกรมจะถามให้ Restart ให้ตอบ Cancel
3. รันโปรแกรม anti-virus เช่น Macfee , NOD32 , Avast แล้วทำการ scan drive เพื่อค้นหาไวรัสในแต่ละ Folder ที่หลงเหลืออยู่
หมายเหตุ: ทั้ง 3 ขั้นตอนต้องทำต่อกัน และควรปิดโปรแกรมอื่นๆ ก่อนเริ่มกำจัดไวรัส