เนื่องจากช่วงนี้ ในที่ทำงาน ไอ้ไวรัสตัวนี้ (win32.Sality.aa) ระบาดหนักครับ
ด้วยความสงสัย ว่า ไอ้ไวรัสตัวนี้มันติดได้ยังงัย แล้วติดแล้วจะเป็นยังงัย
เอาชื่อ นะคัรบ สำหรับคนที่ Update Antivirus แล้วนะครับจะรู้จักกันในนามต่อไปนี้นะครับ
Virus.Win32.Sality.a (Kaspersky Lab) is also known as: Win32.Sality.a (Kaspersky Lab), W32/Sality.a (McAfee), W32.HLLP.Sality (Symantec), Win32.HLLP.Sector.29032 (Doctor Web), W32/Sality-A (Sophos), PE_ROSEC.A (Trend Micro), W32/Sality.A (FRISK), Win32:V-29032 (ALWIL), Win32/Sality.A (Grisoft), Win32.Sality.A (SOFTWIN), W32/Sality.A (Panda), Win32/Sality.A (Eset)
ท่านใดที่ใช้antivirus ที่รู้จักไวรัสตัวนี้แล้วก็ไม่น่าห่วงครับ แต่เน้นไว้ก่อนนะครับ ว่า antiviirus ต้อง update ไม่งันก็เสร็จโจน เหมือนกันครับ เหมือนมี มีด แต่ไม่ลับอ่ะครับ
การแพร่พันธ์
Sality is a portable executable (ติดทาง flash dirve, handy drive หรือ trumb drive แล้วแต่จะเรียกครับ )(PE is the standard executable format for 32-bit Windows files) virus. PE viruses infect executable Windows files by incorporating their code into these files such that they are executed when the infected files are opened.
PE viruses may have other capabilities. Many PE viruses keylogging and open backdoor access ports that allow remote users to manipulate affected systems(เหมือนโจรมันมาแอบเปิดประตูบ้านเราไว้อ่ะครับ 6 - - เพื่อเพือนโจรคนอื่นจะแวะมาทักทายเพิมเติม); some can spread into other computers. (ทำเครื่องตัวเองติดไม่พอ ยังจะพยายามจะขยายพันธ์ข้ามเครื่องอีก เฮอะๆ)
Files infected by PE viruses are typically cleanable - they can be reverted back to their clean states. However, restoring affected systems may require procedures other than scanning with an antivirus program.
OS ที่เป็นแหล่งเพราะพันธ์ทีดีครับ
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
สนใจข้อมูลเพิ่มเติม ไปต่อได้ที่
1. http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=1/
2. http://www.trendmicro.com/vinfo/apac/virusencyclo/default5.asp?VName=PE_ROSEC.A
3. http://www.viruslist.com/en/viruses/encyclopedia?virusid=21026
4. http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.html
ด้วยความปรถนาดี ^^ ครับ
ลักษณะของไฟล์ Autorun ครับ
อาการที่สังเกตุได้นะคัรบ
1. ชื่อไฟล์เราแปลก ๆ ไปครับ มักจะมี exe ต่อท้าย
2. folder บ้างFolder ถูกเปลี่ยนแปลงไปให้กลายเป็น hidden หรือ ถูกซ่อนไปซะอย่างนั้นครับ
(อันนี้ไม่แน่ใจ ว่าเป็นจากSality หรือเปล่านะครับ แบบว่ามีระบาดหลายตัว)
3. แน่นอนทีเดียวครับเป็นไวรัสที่จิ๊มปุ๊บ ติด ปั๊บครับ
4. ระวังมันแพร่พันธ์ทาง network ด้วยนะครับ
แนวทางแก้ไขครับ FIX sality
1. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FSALITY%2EEK&VSect=Sn
2. ดวานโหลดตัว FIX http://u3.upload.sanook.com/A0/15bde4af8cd0e8b618fcf50de3412777
3. หรือ ดวาน์ของ AVG ได้ที่ http://www.softpedia.com/get/Antivirus/Win32-Sality-Remover.shtml
ใครเจออาการ แบบอื่นๆ นอกจากนี้ เล่าสู่กันฟังบ้างนะครับ
ขอบคุณค่ะ สำหรับข้อมูลดีๆ
เห็นทีจะต้องรีบไปลับคมมีด ..อัพเดท antivirus แล้วล่ะค่ะ
เข้ามาเม้นต์หัยผู้ชายสีส้ม
อยากกเจอ ๆๆๆๆๆ
ดีเลยดีมากๆ กำลังติดหวัดตัวนี้งอมเงมเลยครับ
ทดลองใช้ตัว Fix ที่แนะนำของ AVG ใช้ได้ดีทีเดียวค่ะ
ขอบคุณ ^^
ผมเจอ sality.nar ใช้ทุกอย่างที่แนะนำมา ไม่หายครับเพราะ คลีนไปแล้วก็กลับมาอีก อาการหนัก คือ มันไม่ยอมให้ Antivirus ทำงาน ปิด task manager และ regedit เวลาเราจะเอาโปรแกรมพวก Clean Registry มันก็จะปิดเองเลย ไม่ยอมให้เราเปิด ผมใช้ ScanSpyware ก็แสกนเจอแต่ลบไปแล้วก็กลับมาอีก ลอง SuperAntispyware ลอง Spyware Doctor ก็ไม่รอด กลับมาอีกตลอด ทั้งๆที่ ไม่ได้ต่อ เน็ตเวิร์คไว้ เลย ใช้ Eset Security 3.0.669 ล่าสุด มันไม่ยอมให้รันเลย แล้วระบบค้างไปเลย เข้า Safe mode ก็ Blue Screen ตลอด เป็นหลายเครื่องเลย ตัวนี้ร้ายๆจริงๆ หากเจอวิธีแก้ไข รบกวนด้วยนะครับ ถ้าผมเจอแล้วจะมาบอกให้ทราบเหมือนกัน มันร้ายมาก ขอบอก
ไวลงไวรัส อะไรไม่รู้จักเลยอ่ะ ไม่เคยติดเลย ฮาๆๆ
พี่โอมของแท้ ต้องพิมพิ์ผิด ฮาา ตรงคำว่า
การแพร่พันธ์ และุพันะ์ อื่นๆอีกอ่ะ คำถูกต้องมีสระอุด้วยน่ะใต้ ธ (พันธุ์)
ปรถนา เขียนตกอีกแ้ล้ว สระอา ล่ะ (ปราถนา)
แล้วก็ ดาวน์โหลด ไม่ได้เขียนอย่างนี้หรือครับ เขียนอย่างนั้นก็อ่าว่า ดาน ซิ
555 จะมา comment หรือแอบไปสอนเป็นครูภาษาไทยเนี้ย น้อง mokin อิอิ
จัดไปครับ อิอิ เป็นปกติครับพิมพ์ผิด ชอบคิดเร็วกว่าพิมพ์ สละมันเลยหายๆ ไปบางช่วง
ขอบคุณค่ะ จะได้ป้องกันไว้ก่อน
ไม่เคยติดไวรัส เพราะใช้แม็คครับ ไม่ต้องลง ไวรัส ซอฟท์แวร์ด้วย
แต่ข้อมูลดีมากครับ
ขอบคุณครับ
เจอเข้าไปแล้วค่ะ
ตอนนี้ยังแก้ไม่หายเลย
อาการที่เจอนี่ ไม่รู้เป็นของโจรตัวแรกหรือไอ้ตัวอื่น
แต่ว่าใช้งานtask managerไม่ได้ค่ะ
ลงโปรแกรมแล้วไม่ติด ไปๆมาๆการทำงานของเครื่องจะเพี้ยนๆไปหมดเลย
ชื่อไวรัสเหมือนกัน...
แต่รู้สึกว่าวิธีเล่นงานไม่เหมือนที่บอกน่ะครับ
มี Autorun แต่ข้างใน Autorun ไม่ได้เขียนแบบนี้
ฝังตัวในไฟล์ exe ของเราเลย เมื่อเราติดตั้งโปรแกรมนั้น ก็จะติดไวรสด้วย
เช่น Office ก็จะมีไฟล์ Setup.exe พอแสกนไวรัสที่เครื่องอื่น ก็จะเจอว่าตัวนี้เป็นไวรัส ทีแรกก็ไม่แน่ใจว่าจะใช่.. แต่พอลองเอาไปลง กลับติดไวรัสเฉยเลย
ทั้งๆที่ ลบตัว Autorun และตัวอื่นๆที่เป็นไวรัสโผล่ในในแฮนดี้ไดร์ฟไปหมดแล้ว
ก็ยังไม่แน่ใจอีก.. เลยเอา office อีกตัวมาลง (Office อยู่ในแฮนดี้เหมือนกัน)ซึ่งมาก๊อปจาก CD ต้นฉบับเดียวกัน มาแสกนที่เครื่องอื่นดู setup.exe ก็ไม่ใช่ไวรัสเหมือนตัวแรก แลยคิดว่ามันน่าจะฝังตัวในไฟล์ exe ได้แน่ๆ เพราะตัวอื่นๆก็เป็นหมดเลย
ตอนนี้ก็เลยเซ็งเลยครับ เพราะโปรแกรมติดไวรัสทั้งเครื่องเลย(ติดไฟล์ทุกไฟล์ที่เป็น exe) ช่วยหาทางแก้ให้หน่อย
เวลาแสกนเจอ ไวรัสมันก็ชื่อเดียวกัน คือ sality.nar
ขอบคุณค่ะ สงสัยที่เป็นปัญหาคงเจ้าตัวนี้ค่ะ
เพราะ เจอ สกุล exe แล้วข้อมูลหาย อิอิ
มีหลายสายพันธ์ดีจังครับ แต่ ที่คณะตอนนี้ก็ระบายอยู่ตามห้อง lab แม้จะ มี protect drive C แต่ไอ้เจ้า sality ก็ยังแอบแฝงไปอยู่ในไดร์วอื่น ๆ
อุ่นใจ นิดหนึ่งที่ antivirus ที่ใช้ปัจจุบัน จับไอ้ sality พอได้อยู่ (ผมใช้ kasperskyน่ะคัรบ)
แต่ sality.nar คิดว่า antivirus หลายตัว น่าจะจับได้แล้ว (ที่ update ด้วยนะครับ) Nod อธิบายไว้ชัดดีครับ เผื่อใครสนใจไปอ่านต่อ http://www.eset.cz/buxus/generate_page.php?page_id=20616
เครื่องผม ก็ โดนเจ้าตัวนี้เล่นงานอยู่เหมือนกัน ผมใช้ NOD2.7 อัปเดท ตลอด แต่ก็เอาไม่อยู่ เจ้าตัว nod มันมาแจ้งเตื่อนว่า ตรวจจับได้ ทุก10-20 วินาที แล้วก็ Clean หรือว่า Delete ไม่หาย ..ตอนนี้เครื่องนี้ต้องตัดออกจาก ระบบ LAN แล้วคับ...กลัวว่าจะลามไปเครื่องอื่น ๆ ด้วยครับ ...เวลาย้ายงาน ก็ใช้ flash dirve, handy drive หรือ trumb drive ย้ายเอา ...และเครื่องอื่น ก็ลง เจ้าตัว ARDV 1.2 เป็นตัวป้องกันการ Auto RUN ไม่ทราบว่าจะเอา อยู่ไหม ครับ...ไม่ใช้flash dirve, handy drive หรือ trumb drive ไม่ได้ เพราะธรรมดาเครื่องต้องใช้ Lan ครับ....
ผู้ใดพบการแก้ เจ้าไวรัสตัวนี้ ช่วยกรุณาแจ้งให้ทราบด้วย จักเป็นพระคุณยิ่ง
ล้างเครื่องไม่ได้ ครับมีโปรแกรมเฉพาะทางลงไว้ครับ
ผมพึ่งเจอ win32.Sality.z เนื่องจากว่าไม่ได้ลงโปรแกรม AntiVirus แต่ลงRollback program เพราะคิดว่าถ้ามีปัญหาก็จะ Back กลับไปไปจุดที่เซ็ตไว้ครับ แต่ผมคาดการณ์ผิดครับ เมื่อผม Back กลับมันก็ทำได้แค่ Drive C เท่านั้น แต่ Sality.z มันแอบไปสร้างฐานไว้ที่ Drive อื่น ๆ ด้วย ผมก็จัดการเอา โปรแกรม AntiVirus ลง ในขณะที่กำลังสั่งรันเพื่อลงโปรแกรม มันจะหายแวบไปเลย ลงอะไรก็ไม่ได้ ไม่ว่าจะเป็น Kaspersky หรือ NOD32 หรือ Norton ทุกโปรแกรมจะแว๊บหายไปเลย สรุปก็คือลงไม่ได้ ผมเลยเอาฮาร์ดดิสค์ออกไปพ่วงกับเครื่องอื่น ๆ ที่มีป้องกันไวรัสคือ Norton2007 ครับ มันค้นเจอครับและมันก็จัดการ Clean และ ลบออก ได้ประมาณ 700 file ครับ หลังจากนั้นก็เอาไปติดตั้งกลับคืน และ จะเห็นว่า Kaspersky ที่เลยลงไว้โผล่ออกมา เลยทำการอับเดท และสั่งให้มันรัน Full scan อีกครั้งก็ยังเจออีก ในที่สุดคอมผมก็ใช้งานได้ตามปกติครับ
ผมก็เจอแต่ เป็นsality.j กับ sality.y มันให้ใช้การรีจีส อะไรไม่ได้เลยสักอย่าง สแกนแล้วบูธใหม่เข้าวินโดว์ หน้าจอค้างเป็นสีฟ้าอ่อนทั้งจอเลย ลงใหม่อย่างเดียว เซ็ง
อยากรบกวนถามเพื่อนๆหน่อยครับว่า ตอนนี้แอนติ โปรแกรมตัวไหนดีที่สุดครับ เพราะรู้สึกว่า NOD32 ที่ใช้ประจำเริ่มมองไม่ค่อยเห็นไวรัสแล้ว ถึงเห็นก็ไม่ยอมฆ่าให้เรา
โดยส่วนตัวผมชอบ Kaspersky นะครับ แม้เวอร์ชั่นใหม่จะไม่ร้องกร๊๊ด เมื่อเดิมเวลาเจอไวรัส แต่ยังจับได้ ดีอยู่เหมือนเดิมติ นิดหน่อย มันกินทรัพยากรเครื่องหนักเอาเหมือนกันครับ แต่ผมเห็น review antivirus ที่ http://anti-virus-software-review.toptenreviews.com/ ครับ
พบวิธีการฆ่าเจอแล้วครับ!!!! พี่น้อง..... ตามลิ้งค์นี้ไปครับผมขี้เกียจอธิบายโดยละเอียดซ้ำซาก(มันยาววววววววววว.......)
เครื่องผมโดนไปหลายเครื่องเนื่องจาก LAN กันไว้แล้วเจ้าลูกชายตัวดี นำแฟลชไดรฟ์ ไปขอจิ้มดูดเอาโปรแกรมเกมส์จากเพื่อน มาลงเล่นเกมส์ ตอนแรกผมเจอเป็นไวรัส Bad1 Bad2 bad3 system.exe และ msmsgs.exe จึงทำการฆ่าทิ้งซะ...หลังจากนั้นก็ไม่ได้สนใจอะไรอีก....
มาพบทีหลังว่า เครื่องทุกเครื่องถูกปิดการใช้งาน Task Manager เลยลองอัพเดท NOD32 จากเครื่องที่ลงวินโดว์จากแผ่นCD และรีบลงNOD32ต่อจากที่เพิ่งลงวินโดว์ใหม่เลย แล้วอัพเดทก่อน....จากนั้นสแกนดู ปรากฎว่าเจ้า NOD32แ้จ้งเตือน
ว่าพบ ไวรัส Win32/Sality.NAT เจอเป็นฟาร์ม!!!!!!!!!!! เกาะกินเฉพาะไฟล์ที่มีนามสกุล .exe .....โอ้ว....กรรม....ปวดประสาทจะกินเลยครับพี่น้องเอ้ยยยยยยยยยย...........!!!!!!!!!
เอาล่ะ ตามไปดูการฆ่ามัน จากที่นี่ครับ
-------> http://www.itnangrong.site88.net/modules.php?name=Forums&file=viewtopic&t=155#266