GotoKnow
  • เข้าระบบ
  • สมัครสมาชิก
  • แผงจัดการ
  • ออกจากระบบ
GotoKnow

วิธีกำจัดไวรัสภาษาจีน

วิธีฆ่าไวรัสภาษาจีน วิธีกำจัดไวรัสภาษาจีน W32.Bropia

ชื่อ : W32.Bropia
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32.Bropia
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX   

ข้อมูลทั่วไป

 ตัวหนอนนี้จะแพร่กระจายผ่านโพรโตคอล(พอร์ต 1863/tcp) ที่ให้บริการจากโปรแกรม MSN Messenger โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งไฟล์ไปยัง ผู้ที่มีรายชื่ออยู่ใน contact list ของผู้รับและหากผู้รับ รับไฟล์และเปิดใช้งานจะทำให้ติดตัวหนอนชนิดนี้ได้ การแพร่กระจายของหนอนชนิดนี้ผ่านไฟล์ในชื่อที่แตกต่างกัน เช่น  

ไฟล์ชื่อ : love_me.pif
sexy_bedroom.pif
drunk_lol.pif
naked_party.pif
web_cam.pif
drunk_lol.pif
webcam_004.pif
 

วิธีการแพร่กระจาย  
    
 หนอนชนิดนี้สามารถแพร่กระจายผ่านโปรแกรม MSN เป็นหลัก

ผลกระทบที่เกิดขึ้น  
·         ส่งไฟล์แนบให้กับผู้ที่มีรายชื่ออยู่ใน contact list ของผู้รับ : หนอนจะส่งไฟล์ ผ่านโปรแกรม MSN โดยอัตโนมัติ
·         เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้ 
          หยุดการทำงานโปรแกรมป้องกันไวรัส : ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย อาจถูกหนอนชนิดอื่นแพร่กระจายเข้ามาได้  

รายละเอียดทางเทคนิค 
ลักษณะที่อาจจะบ่งให้เห็นว่าติดตัวหนอน  
1.       ไม่สามารถทำการ click ขวาได้
2.       ไม่สามารถใช้งาน task manager ได้ โดยการกด Ctrl-Alt-Del
3.       ตัวหนอนสร้างไฟล์ในเครื่องผู้เสียหายดังนี้
C:<
ชื่อไฟล์ของหนอน>.pif
C:\omc.com
C:\windows\system32\lexplore.exe
4.       เครื่องจะพยายามติดต่อ MSN
5.       ตัวหนอนจะติดตั้งโปรแกรมโทรจันในเครื่องโดยเปิดพอร์ตชนิด udp ที่มีหมายเลขที่สูงกว่า 1024 เช่น
44802/udp
9943/udp
2268/udp
เป็นต้น
6.       เครื่องทำงานช้าลง  

วิธีกำจัดหนอนชนิดนี้  

·        
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    
1.       ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2.       ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern 
3.       แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
4.       ตัดการเชื่อมต่อเครือข่าย
5.       หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6.       จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7.       เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8.       ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส   

·         สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
1.       ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)
2.       ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
3.       รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
4.       สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมด ที่กล่าวมาแล้วในข้างต้น  

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:  หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้  
1.       คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2.       เลือกแถบ Performance
3.       กดปุ่ม File System
4.       เลือกแถบ Troubleshooting
5.       ใส่เครื่องหมายเลือก "Disable System Restore"
6.       กดปุ่ม Apply
7.       กดปุ่ม Close
8.       กดปุ่ม Close อีกที
9.       เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว 10.   หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก  

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP   หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้  
1.       คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2.       เลือกแถบ System Restore
3.       ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4.       กดปุ่ม Apply
5.       กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6.       หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก  

วิธีป้องกันตัวเองจากหนอนชนิดนี้   
1.       ห้ามรับไฟล์ หรือเปิดใช้งานไฟล์ที่ได้รับจากโปรแกรม MSN
2.       สำหรับผู้ดูแลระบบท่านควรปิดการใช้งานของพอร์ต 1863/tcp เพื่อระงับการแพร่กระจายของตัวหนอนชนิดนี้
3.       ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ 4.       สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5.       ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
6.       ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php

บันทึกนี้เขียนที่ GotoKnow โดย 

หมายเลขบันทึก: 63930
เขียน:
แก้ไข:
ความเห็น: 2
อ่าน:
สัญญาอนุญาต: สงวนสิทธิ์ทุกประการ

ความเห็น (2)

เหอๆๆ  ดีๆๆ รู้แล้วๆ เดี๋ยวจะนำไปปฏิบัตินะคับ

<a href=http://plagiarism.edublogs.org>plagiarism checker</a> <a href=http://plagiarism.edublogs.org>plagiarism detector</a> <a href=http://plagiarism.edublogs.org>check for plagiarism</a>