วิธีกำจัดไวรัส Trojan

-
วิธีแรกตามนี้>>ลบไวรัสโทรจัน


วิธีที่สองตามนี้>>

-- วิธีกำจัดไวรัส Trojan.Peacomm หรือ TROJ_SMALL_EDW--

ข้อมูลทั่วไป
Trojan.Peacomm เป็นม้าโทรจันที่ถูกปล่อยโดยหนอนอินเทอร์เน็ตชื่อ WORM_NUWAR.CQ [Trend Micro] ซึ่งอาจถูกดาวน์โหลดจากเว็บไซต์ที่ประสงค์ร้ายโดยไม่ได้ตั้งใจหรือด้วยความเข้าใจผิด
นอกจากนี้ม้าโทรจันยังถูกแนบมาพร้อมกับอีเมลสแปมได้ด้วย
ไฟล์ของม้าโทรจันนั้นมีความสามารถของรูทคิท (Rootkit) กล่าวคือม้าโทรจันนั้นสามารถซ่อนไฟล์และฝังโพรเซสของตัวเองไว้ในโพรเซสของ services.exe ส่งผลให้ตรวจจับได้ยากมากขึ้น และม้าโทรจันเองจะหลอกล่อให้ผู้ใช้ทำการติดตั้งด้วยวิธีเดียวกันกับการติดตั้งไดร์เวอร์อุปกรณ์ใหม่ภายในเครื่อง
ความสามารถด้านระบบเครือข่ายของม้าโทรจันนี้คือสามารถดาวน์โหลดม้าโทรจันชนิดอื่นจากเว็บไซต์ต่างๆ รวมทั้งการส่งแพ็กเก็ตแบบ UDP ไปยังเครื่องที่ถูกม้าโทรจันนี้คุกคาม เพื่อใช้ประโยชน์ในการแพร่กระจายตัวโทรจันเอง
ลักษณะของอีเมลมีดังนี้

หัวข้ออีเมล* A killer at 11, he's free at 21 and kill again!
* U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
* British Muslims Genocide
* Naked teens attack home director.
* 230 dead as storm batters Europe.
* Re: Your text
* Radical Muslim drinking enemies's blood.
* Chinese missile shot down Russian satellite
* Chinese missile shot down Russian aircraft
* Chinese missile shot down USA aircraft
* Chinese missile shot down USA satellite
* Russian missile shot down USA aircraft
* Russian missile shot down USA satellite
* Russian missile shot down Chinese aircraft
* Russian missile shot down Chinese satellite
* Saddam Hussein safe and sound!
* Saddam Hussein alive!
* Venezuelan leader: "Let's the War beginning".
* Fidel Castro dead.
ไฟล์ที่แนบมากับอีเมล* FullVideo.exe
* Full Story.exe
* Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
* MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
* ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
* FullNews.exe
ตัวอย่างอีเมลที่หนอนชนิดนี้ส่งออกมา

วิธีการแพร่กระจาย
ม้าโทรจันชนิดนี้สามารถแพร่กระจายโดยหนอนอินเทอร์เน็ตปล่อยออกมา หรือผ่านอีเมลสแปมที่ม้าโทรจันส่งออกมา
ผลกระทบที่เกิดขึ้น
  • ส่งอีเมลออกมาเป็นจำนวนมาก : ม้าโทรจันจะส่งอีเมลสแปมที่มีไฟล์โทรจันแนบออกไป
  • เครื่องอาจทำงานผิดพลาด : เนื่องจากม้าโทรจันจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
  • เปิดการเชื่อมต่อที่ผิดปกติ : ม้าโทรจันชนิดนี้เปิดการเชื่อมต่อไปยังพอร์ต 4000/UDP และ 7871/UDP
รายละเอียดทางเทคนิค
เมื่อม้าโทรจัน Trojan.Peacomm ถูกเอ็กซิคิวต์ ม้าโทรจันจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้
  • การกำจัดหนอนแบบอัตโนมัติ ( หมายเหตุ เนื่องจากม้าโทรจันชนิดนี้เป็นรูทคิทด้วย ดังนั้นจึงต้องทำการลบรูทคิทออกก่อน )
    1. ดาวน์โหลดโปรแกรมกำจัดรูทคิทที่ชื่อ Trend Micro Rootkit Bluster (http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1049.zip ) จากนั้นทำการแตกไฟล์บีบอัด พร้อมกับเอ็กซิคิวต์
    2. กดปุ่ม Scan ในหน้าต่างหลักของโปรแกรมที่ดาวน์โหลดได้จากข้อ 1. เพื่อเริ่มทำการค้นหารูทคิทที่แอบฝังในเครื่อง
    3. เลือกไฟล์ดังต่อไปนี้ โดยการกดปุ่ม Shift ที่คีย์บอร์ดค้างไว้แล้วใช้เม้าส์คลิ๊กเลือกที่โปรแกรม
      • PEERS.INI
      • WINCOM32
      • WINCOM32.INI
      • WINCOM32.SYS
    4. จากนั้นกดปุ่ม Delete Selected Items เมื่อเสร็จสิ้นกระบวนการกำจัดรูทคิทแล้วจะปรากฏไดอะล็อกเพื่อถามให้รีสตาร์ทเครื่อง ในขั้นนี้ให้ตอบ Yes
    5. เริ่มต้นส่วนของการกำจัดไฟล์ของม้าโทรจันด้วยการดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    6. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จากhttp://www.trendmicro.com/download/viruspattern.aspหมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
    7. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 5.
    8. ตัดการเชื่อมต่อเครือข่าย
    9. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    10. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    11. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    12. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
วิธีป้องกันตัวเองจากหนอนชนิดนี้
  1. ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
  5. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ

    โดย:katatummo
    ที่มา: www.thaicert.nectec.or.th 

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

วงจรของการพัฒนาระบบ (System Development Life Cycle - SDLC)

-
รูปภาพ
                                ระบบสารสนเทศทั้งหลายมีวงจรชีวิตที่เหมือนกันตั้งแต่เกิดจนตายวงจรนี้จะเป็นขั้นตอนที่เป็นลำดับตั้งแต่ต้นจนเสร็จเรียบร้อยเป็นระบบที่ใช้งานได้ ซึ่งนักวิเคราะห์ระบบต้องทำความเข้าใจให้ดีว่าในแต่ละขั้นตอนจะต้องทำอะไร และทำ    อย่างไร ซึ่งมีขั้นตอนการพัฒนาระบบอยู่ด้วยกัน 7 ขั้นตอน                                  1. การตรวจสอบเบื้องต้น (Preliminary Investigation)   เป็นขั้นตอนที่นักวิเคราะห์ระบบจะต้องเข้าไปมีส่วนเกี่ยวข้องกับการกำหนดปัญหาโอกาสและเป้าหมายขององค์กรขั้นตอนนี้ถือเป็นขั้นตอนวิกฤตที่จะนำไปสู่การประสบความสำเร็จหรือความล้มเหลวของโครงการ โดยนักวิเคราะห์ระบบต้องสนใจหาปัญหา หาโอกาส หาเป้าหมายที่ชัดเจนของงานต่าง ๆ เมื่อเห็นถึงปัญหา โอกาส หรือเป้าหมายที่สามารถนำระบบคอมพิวเตอร์เข้าไปแก้ไขได้ จะถือเป็นจุดเริ่มต้นในการสร้างระบบคอมพิวเตอร์ โดยนักวิเคราะห์ระบบจะต้องพยายามหาโอกาสในการปรับปรุงใช้ระบบคอมพิวเตอร์เข้าไปใช้ในด้านต่าง ๆ   จะต้องมองปัญหาให้ถูกต้อง ต้องมองเป้าหมายที่ชัดเจนเพื่อจะได้รู้ทิศทางของการทำระบบเพื่อให้เป็นไปตามเป้าหมาย              
อ่านเพิ่มเติม

PL/SQL_002_Introduction to PL/SQL ตอนที่ 2

-
รูปภาพ
คำสั่งในภาษา PL/SQL 1. ใช้คำสั่งภาษา SQL ได้ดังนี้ Data Retrieval SELECT Data Manipulation Language INSERT UPDATE DELETE Transaction Control COMMIT ROLLBACK SAVEPOINT 2. การ Assign ค่าตัวแปร ชื่อตัวแปร := expression ; 3. การทำงานตามเงื่อนไขด้วย IF statement IF condition THEN statements ; [ELSIF condition THEN statements; ] [ELSE statements;] END IF; โดย : condition คือตัวแปร Boolean หรือ expression ที่ได้ผลลัพธ์เป็นค่า Boolean หมายเหตุ * ELSIF เขียนติดกัน และ 1 IF จะมีกี่ ELSIF ก็ได้ * END IF เขียนเป็น 2 คำ * IF statement มีได้อย่างมาก 1 ELSE เท่านั้น ตัวอย่าง IF V_date_shipped - V_date_ordered < 5 THEN V_ship_flag := ‘Acceptable’; ELSE V_ship_flag := ‘Unacceptable’; END IF; IF V_last_name = ‘Dumas’ THEN V_job := ‘Sales Representative’; V_region_id := 35; END IF; 4. การทำงานแบบ loop เป็นการทำงานคำสั่งชุดเดิม หลาย ๆ รอบ loop ใน PL/SQL มี 3 แบบ 4.1 Basic loop LOOP statement 1; statement 2; ... EXIT [WHEN condition]; END LOOP;
อ่านเพิ่มเติม

PL/SQL_001_Introduction to PL/SQL ตอนที่ 1

-
PL ย่อมาจาก Procedural Language เป็นภาษาที่ Oracle พัฒนาขึ้น เพื่อให้ผู้ใช้สามารถพัฒนาโปรแกรม ในลักษณะ procedure ได้ โดยในขณะเดียวกันยังคงสามารถใช้คำสั่ง SQL ได้เช่นเดิม ลักษณะคำสั่งภาษา SQL จะเป็นการสั่งทีละคำสั่งเดียว แล้วให้ผลลัพธ์ทันที เช่น SELECT * FROM emp; หรือ UPDATE emp SET salary = salary * 1.1; ส่วนลักษณะคำสั่งภาษา PL/SQL จะเป็นการทำงานทีละ procedure เช่น DECLARE V_deptno NUMBER; BEGIN SELECT deptno INTO v_deptno FROM dept WHERE deptname = ‘Accounting’; UPDATE emp SET deptno = V_deptno WHERE empno = 10; END; ข้อดีของภาษา PL/SQL 1. Control flow การทำงานในโปรแกรมได้ด้วยคำสั่งต่าง ๆ เช่น IF statement, Loop ต่าง ๆ 2. การเข้าถึงข้อมูล สามารถทำได้ง่ายด้วยคำสั่ง SQL ธรรมดา 3. Portability คือ เขียนโปรแกรมครั้งเดียว สามารถ port ข้าม platform ได้ถ้าต้องการย้ายเครื่อง ไม่จำเป็นต้องเขียนใหม่ สามารถเอา source code เก่ามาใช้ได้เลย 4. Tools ต่างๆ ของ oracle ใช้ภาษา PL/SQL ในการเขียนโปรแกรม ทำให้ผู้พัฒนาไม่ต้องเรียนรู้ หลายภาษา เพียงแค่เรียน PL/SQL อย่างเดียว
อ่านเพิ่มเติม