บร็อนต็อก
บร็อนต็อก (Brontok) เป็นไวรัสคอมพิวเตอร์ที่ทำงานบนไมโครซอฟท์ วินโดวส์ สามารถแพร่กระจายผ่านทางจดหมายอิเล็กทรอนิกส์ สายพันธุ์ต่าง ๆ มีดังนี้
ชื่ออื่นๆ
ชื่ออื่น ๆ ของบร็อนต็อกมีดังนี้ W32/Rontokbro.gen@MM, W32.Rontokbro@mm, BackDoor.Generic.1138, W32/Korbo-B, Worm/Brontok.a, Win32.Brontok.A@mm, Worm.Mytob.GH, W32/Brontok.C.worm, Win32/Brontok.E, และ W32.Rontokbro.D@mm
อาการ
เมื่อบร็อนต็อกทำงานเป็นครั้งแรก มันจะสำเนาตัวเองลงในไดเรกทอรีข้อมูลโปรแกรมประยุกต์ของผู้ใช้ จากนั้นมันจะตั้งตัวเองให้เริ่มทำงานพร้อมกับวินโดวส์ โดยสร้างรายการเรจิสทรีในกุญแจ
HKLM\Software\Microsoft\Windows\CurrentVersion\Run มันจะปิดโปรแกรมแก้ไขเรจิสทรีของวินโดวส์ (regedit.exe) และปรับเปลี่ยนการตั้งค่าของวินโดวส์เอกซ์พลอเรอร์ มันลบรายการ "ตัวเลือกโฟลเดอร์" ออกไปจากเมนูเครื่องมือ ซึ่งทำให้ไฟล์ต่าง ๆ ที่ซ่อนไว้ตรงตำแหน่งที่ปกปิดไม่สามารถเข้าถึงได้โดยง่าย และมันก็ยังปิดไฟร์วอลล์ของวินโดวส์ ในบางสายพันธุ์ ถ้ามันพบว่าข้อความบนชื่อหน้าต่างใดก็ตามตรงกับสายอักขระที่มันระบุ (เช่น "application data") มันจะรีบูตเครื่องทันที ความคับข้องใจของผู้ใช้ก็ยังเกิดขึ้น เมื่อผู้ใช้พิมพ์ตำแหน่งที่อยู่ลงในวินโดวส์เอกซ์พลอเรอร์ มันจะถูกทำให้ว่างก่อนพิมพ์เสร็จ มันแพร่ตัวเองไปยังที่อยู่จดหมายอิเล็กทรอนิกส์ที่พบในเครื่องคอมพิวเตอร์ โดยใช้เอนจินส่งจดหมายของมันเอง และปลอมชื่อผู้ส่งเป็นที่อยู่ของผู้ใช้นั้น
คอมพิวเตอร์จะรีสตาร์ตเมื่อผู้ใช้พยายามเปิดคอมแมนด์พร็อมต์ในวินโดวส์ และป้องกันไม่ให้ผู้ใช้ดาวน์โหลดไฟล์ มันยังป๊อปอัปเว็บเบราว์เซอร์ปริยายขึ้นมาและโหลดเว็บเพจ (เอชทีเอ็มแอล) ที่วางไว้อยู่ในโฟลเดอร์ "รูปภาพของฉัน" (ในวินโดวส์วิสตาคือ "รูปภาพ") มันจะสร้างไฟล์ .exe ในโฟลเดอร์ต่าง ๆ ที่โดยปกติจะตั้งชื่อตามโฟลเดอร์ของมัน (เช่น ..\documents\documents.exe) ซึ่งสิ่งนี้รวมไปถึงไดรฟ์เครือข่ายที่กำหนดเส้นทางไว้ทั้งหมดด้วย
หน้าตาของ Brontok A
การแพร่ระบาด
1. ติดต่อกันได้ทางอินเตอร์เน็ต
2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive , หรือ อื่นๆ
3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร
อาการเมื่อติดไวรัส Brontok A , Brontok B
1. มีรูป (แบบด้านบน) แสดงขึ้นหน้าจอโดยที่ไม่ได้เรียกใช้งาน
2. ไม่มี Folder Options ในเมนู Tool เมื่อเปิด Windows Explorer
1. ติดต่อกันได้ทางอินเตอร์เน็ต
2. การคัดลอกไฟล์ผ่าน Disk Drive , Flash Drive , หรือ อื่นๆ
3. แพร่ระบาดผ่านระบบเครือข่าย LAN ในองค์กร
อาการเมื่อติดไวรัส Brontok A , Brontok B
1. มีรูป (แบบด้านบน) แสดงขึ้นหน้าจอโดยที่ไม่ได้เรียกใช้งาน
2. ไม่มี Folder Options ในเมนู Tool เมื่อเปิด Windows Explorer
2. เมื่อเข้า msconfig เครื่องจะรีสตาร์ท (Start --> Run พิมพ์ msconfig คลิก OK)
3. เปิดเข้า Registry Editor ไม่ได้
4. ในโฟลเดอร์ จะมี ไฟล์.exe ที่ชื่อเดียวกับชื่อของโฟลเดอร์ (เป็น Brontok B worm)
ขั้นตอนการกำจัด Brontok
1. ติดตั้งโปรแกรมประเภทแอนตี้ไวรัสพร้อมอัพเดตไฟล์โปรแกรมล่าสุด
(ใน Wep Page นี้ จะยกตัวอย่างโปรแกรม NOD32)
2. ถอดสายแลนออก (ถ้ามี) เข้า Windows ในโหมด Safe Mode (การเข้า Safe Mode ทำได้โดยเมื่อกดสวิตช์เปิดเครื่องแล้ว หลังเสียงบี๊บของเครื่องดัง 1 ครั้ง ให้กดคีย์บอร์ด F8 ย้ำรอหลาย ๆ ครั้ง จนหน้าจอขึ้นข้อความที่มี Menu ให้เลือก กดปุ่มคีย์บอร์ดลูกศรชี้ขึ้นไปที่คำว่า Safe Mode กด Enter) แล้วทำการสแกนไวรัสทั้งฮาร์ดดิสก์และฆ่าทิ้ง (delete)
เข้า Windows Explorer แล้วคลิกขวาที่โฟลเดอร์ เลื่อนไปคลิกที่การสแกนไวรัสของโปรแกรมที่ติดตั้ง
ตั้งค่าการกำจัดไวรัสเมื่อสแกนพบ
เมื่อสแกนพบไวรัส ต้องคลิกสแกนซ้ำอีกเพื่อกำจัดไวรัส
เลือกกำจัดทีละโฟลเดอร์ที่คาดว่าจะมีไวรัส หรือกำจัดที่ไดรว์ C: , D: ทีเดียวเลยก็ได้ แต่อาจต้องใช้เวลานานหน่อย
3. รีสตาร์ทเครื่อง เข้าโหมดปกติ ต่ออินเตอร์เน็ต ไม่ต้องกลัวไวรัสอีกแล้ว เพราะได้อัพเดตไฟล์โปรแกรมเป็นปัจจุบันแล้ว ขั้นตอนนี้จะเป็นการแก้ไขให้เข้า Registry Editor ได้ วิธีการคือต้องเข้าไปดาวน์โหลดไฟล์ UnHookExec.inf ก่อนจากเว็บไซต์ http://securityresponse.symantec.com/avcenter/UnHookExec.inf
4. เมื่อได้ไฟล์ UnHookExec.inf มาแล้ว ให้คลิกขวาที่ไฟล์นี้ จากนั้นคลิกที่คำว่า Install เสร็จสิ้นแล้วให้รีสตาร์ทเครื่อง
5. ขั้นตอนนี้จะเป็นการแก้ไขให้เมนู Tool ใน Windows Explorer มีเมนู Folder Options วิธีการคือ เข้าไปใน Registry Editor โดยการคลิกที่ Start --> Run แล้วพิมพ์ regedit แล้วคลิก OK
6. ให้คลิกที่เครื่องหมาย + หน้าข้อความ ไล่ไปเรื่อย ๆ ตามเส้นทางต่อไปนี้ อย่าให้พลาด ถึงคำสุดท้ายให้คลิกที่ข้อความ
HKEY_CURRENT_USER / Software / Microsoft / Windows / Policies / Explorer
ในคอลัมน์ทางด้านขวา ให้ดับเบิลคลิกที่ NoFolderOptions จะได้กรอบขึ้นมา ให้แก้ในช่อง Value data ที่มีเลข 1 ให้เป็นเลข 0 แล้วคลิก OK แล้วออกจากโปรแกรมทั้งหมด รีสตาร์ทเครื่อง เป็นอันเสร็จพิธี
ดาวน์โหลดโปรแกรมกำจัดไวรัส brontox ไปติดตั้งก่อน จากนั้นทำตามขั้นตอนต่อไปนี้
ขั้นตอนการกำจัดไวรัส
1. รันโปรแกรม CS_DevEvil แล้วคลิก start เพื่อเริ่มกำจัดไวรัส
2. โปรแกรมจะถามให้ Restart ให้ตอบ Cancel
3. รันโปรแกรม anti-virus เช่น Macfee , NOD32 , Avast แล้วทำการ scan drive เพื่อค้นหาไวรัสในแต่ละ Folder ที่หลงเหลืออยู่
หมายเหตุ: ทั้ง 3 ขั้นตอนต้องทำต่อกัน และควรปิดโปรแกรมอื่นๆ ก่อนเริ่มกำจัดไวรัส
2. โปรแกรมจะถามให้ Restart ให้ตอบ Cancel
3. รันโปรแกรม anti-virus เช่น Macfee , NOD32 , Avast แล้วทำการ scan drive เพื่อค้นหาไวรัสในแต่ละ Folder ที่หลงเหลืออยู่
หมายเหตุ: ทั้ง 3 ขั้นตอนต้องทำต่อกัน และควรปิดโปรแกรมอื่นๆ ก่อนเริ่มกำจัดไวรัส
ไม่มีความคิดเห็น:
แสดงความคิดเห็น