วิธีกำจัดไวรัส Trojan
วิธีแรกตามนี้>>ลบไวรัสโทรจัน
วิธีที่สองตามนี้>>
ข้อมูลทั่วไป
Trojan.Peacomm เป็นม้าโทรจันที่ถูกปล่อยโดยหนอนอินเทอร์เน็ตชื่อ WORM_NUWAR.CQ [Trend Micro] ซึ่งอาจถูกดาวน์โหลดจากเว็บไซต์ที่ประสงค์ร้ายโดยไม่ได้ตั้งใจหรือด้วยความเข้าใจผิด
นอกจากนี้ม้าโทรจันยังถูกแนบมาพร้อมกับอีเมลสแปมได้ด้วย
ไฟล์ของม้าโทรจันนั้นมีความสามารถของรูทคิท (Rootkit) กล่าวคือม้าโทรจันนั้นสามารถซ่อนไฟล์และฝังโพรเซสของตัวเองไว้ในโพรเซสของ services.exe ส่งผลให้ตรวจจับได้ยากมากขึ้น และม้าโทรจันเองจะหลอกล่อให้ผู้ใช้ทำการติดตั้งด้วยวิธีเดียวกันกับการติดตั้งไดร์เวอร์อุปกรณ์ใหม่ภายในเครื่อง
ความสามารถด้านระบบเครือข่ายของม้าโทรจันนี้คือสามารถดาวน์โหลดม้าโทรจันชนิดอื่นจากเว็บไซต์ต่างๆ รวมทั้งการส่งแพ็กเก็ตแบบ UDP ไปยังเครื่องที่ถูกม้าโทรจันนี้คุกคาม เพื่อใช้ประโยชน์ในการแพร่กระจายตัวโทรจันเอง
วิธีการแพร่กระจาย
ม้าโทรจันชนิดนี้สามารถแพร่กระจายโดยหนอนอินเทอร์เน็ตปล่อยออกมา หรือผ่านอีเมลสแปมที่ม้าโทรจันส่งออกมา
ผลกระทบที่เกิดขึ้น
เมื่อม้าโทรจัน Trojan.Peacomm ถูกเอ็กซิคิวต์ ม้าโทรจันจะมีกระบวนการดังนี้
วิธีกำจัดหนอนชนิดนี้
วิธีที่สองตามนี้>>
-- วิธีกำจัดไวรัส Trojan.Peacomm หรือ TROJ_SMALL_EDW--
ข้อมูลทั่วไป
Trojan.Peacomm เป็นม้าโทรจันที่ถูกปล่อยโดยหนอนอินเทอร์เน็ตชื่อ WORM_NUWAR.CQ [Trend Micro] ซึ่งอาจถูกดาวน์โหลดจากเว็บไซต์ที่ประสงค์ร้ายโดยไม่ได้ตั้งใจหรือด้วยความเข้าใจผิด
นอกจากนี้ม้าโทรจันยังถูกแนบมาพร้อมกับอีเมลสแปมได้ด้วย
ไฟล์ของม้าโทรจันนั้นมีความสามารถของรูทคิท (Rootkit) กล่าวคือม้าโทรจันนั้นสามารถซ่อนไฟล์และฝังโพรเซสของตัวเองไว้ในโพรเซสของ services.exe ส่งผลให้ตรวจจับได้ยากมากขึ้น และม้าโทรจันเองจะหลอกล่อให้ผู้ใช้ทำการติดตั้งด้วยวิธีเดียวกันกับการติดตั้งไดร์เวอร์อุปกรณ์ใหม่ภายในเครื่อง
ความสามารถด้านระบบเครือข่ายของม้าโทรจันนี้คือสามารถดาวน์โหลดม้าโทรจันชนิดอื่นจากเว็บไซต์ต่างๆ รวมทั้งการส่งแพ็กเก็ตแบบ UDP ไปยังเครื่องที่ถูกม้าโทรจันนี้คุกคาม เพื่อใช้ประโยชน์ในการแพร่กระจายตัวโทรจันเอง
ลักษณะของอีเมลมีดังนี้
| หัวข้ออีเมล | * A killer at 11, he's free at 21 and kill again! * U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel * British Muslims Genocide * Naked teens attack home director. * 230 dead as storm batters Europe. * Re: Your text * Radical Muslim drinking enemies's blood. * Chinese missile shot down Russian satellite * Chinese missile shot down Russian aircraft * Chinese missile shot down USA aircraft * Chinese missile shot down USA satellite * Russian missile shot down USA aircraft * Russian missile shot down USA satellite * Russian missile shot down Chinese aircraft * Russian missile shot down Chinese satellite * Saddam Hussein safe and sound! * Saddam Hussein alive! * Venezuelan leader: "Let's the War beginning". * Fidel Castro dead. |
| ไฟล์ที่แนบมากับอีเมล | * FullVideo.exe * Full Story.exe * Video.exe * Read More.exe * FullClip.exe * GreetingPostcard.exe * MoreHere.exe * FlashPostcard.exe * GreetingCard.exe * ClickHere.exe * ReadMore.exe * FlashPostcard.exe * FullNews.exe |
ตัวอย่างอีเมลที่หนอนชนิดนี้ส่งออกมา
วิธีการแพร่กระจาย
ม้าโทรจันชนิดนี้สามารถแพร่กระจายโดยหนอนอินเทอร์เน็ตปล่อยออกมา หรือผ่านอีเมลสแปมที่ม้าโทรจันส่งออกมา
ผลกระทบที่เกิดขึ้น
- ส่งอีเมลออกมาเป็นจำนวนมาก : ม้าโทรจันจะส่งอีเมลสแปมที่มีไฟล์โทรจันแนบออกไป
- เครื่องอาจทำงานผิดพลาด : เนื่องจากม้าโทรจันจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
- เปิดการเชื่อมต่อที่ผิดปกติ : ม้าโทรจันชนิดนี้เปิดการเชื่อมต่อไปยังพอร์ต 4000/UDP และ 7871/UDP
เมื่อม้าโทรจัน Trojan.Peacomm ถูกเอ็กซิคิวต์ ม้าโทรจันจะมีกระบวนการดังนี้
วิธีกำจัดหนอนชนิดนี้
- การกำจัดหนอนแบบอัตโนมัติ ( หมายเหตุ เนื่องจากม้าโทรจันชนิดนี้เป็นรูทคิทด้วย ดังนั้นจึงต้องทำการลบรูทคิทออกก่อน )
- ดาวน์โหลดโปรแกรมกำจัดรูทคิทที่ชื่อ Trend Micro Rootkit Bluster (http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1049.zip ) จากนั้นทำการแตกไฟล์บีบอัด พร้อมกับเอ็กซิคิวต์
- กดปุ่ม Scan ในหน้าต่างหลักของโปรแกรมที่ดาวน์โหลดได้จากข้อ 1. เพื่อเริ่มทำการค้นหารูทคิทที่แอบฝังในเครื่อง
- เลือกไฟล์ดังต่อไปนี้ โดยการกดปุ่ม Shift ที่คีย์บอร์ดค้างไว้แล้วใช้เม้าส์คลิ๊กเลือกที่โปรแกรม
- PEERS.INI
- WINCOM32
- WINCOM32.INI
- WINCOM32.SYS
- จากนั้นกดปุ่ม Delete Selected Items เมื่อเสร็จสิ้นกระบวนการกำจัดรูทคิทแล้วจะปรากฏไดอะล็อกเพื่อถามให้รีสตาร์ทเครื่อง ในขั้นนี้ให้ตอบ Yes
- เริ่มต้นส่วนของการกำจัดไฟล์ของม้าโทรจันด้วยการดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จากhttp://www.trendmicro.com/download/viruspattern.aspหมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 5.
- ตัดการเชื่อมต่อเครือข่าย
- หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
- จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
- เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
- ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
- ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
โดย:katatummo
ที่มา: www.thaicert.nectec.or.th
ความคิดเห็น
แสดงความคิดเห็น