โปรแกรมฆ่า Hack by ทุกเวอร์ชั่น ที่ไปดัดแปลงvbs

Hack by 8 bit
Hack by Microsoft
Hack by pharaosh6
Hack by Godzilla
Mutation of trojan virus! dialogbox
Hack by SAN_COM
Hack by P102
Hack by THT
Hack by ASUS
Hack by HPEN_JATURUN  

อาการแบบนี้หรือเปล่า

• คลิกขวาที่ ไดรฟ์ แล้วมีคำว่า AutoPlay
• บน Title IE  มีข้อความแปลกๆ ที่ไม่ใช่คำว่า Microsoft Internet Explorer ไม่ว่าเปิดเวบไหนก็เจอ
• ดับเบิ้ลคลิกเปิดที่ไดรฟ์แล้ว ขึ้น Explorer มีโฟลเดอร์ขึ้นเยอะๆ ทางซ้าย เป็น Folder Tree
• เครื่องช้าทุกที
• ดับเบิ้ลคลิกเปิดไดรฟ์ไม่ได้

Wormตัวนี้ทำงานยังไงบ้าง ?

  Wormไฟล์ตระกูล VBS ทั้งหลาย นั้น สามารถมาทำเป็นWormได้  อย่างที่ได้ยินกันในชื่อ hack by Godzilla  ซึ่งข้อดีของ Wormนี้คือ  มองเห็น SourceCode สามารถใช้ Text Editor ต่างๆแก้ไขได้สบาย  แล้วยังแก้ชื่อ เป็น Hack by นู้น Hack by นี้ได้สบาย แต่ข้อเสียก็คือ  ถ้ามีคนไปเปลี่ยนตรงชื่อไฟล์  ละก็  แก้กันยากครับ เพราะชื่อ ใครตั้งชื่อไฟล์ว่าอะไรก็ได้    ถ้าบางคนไปเปลี่ยน ตรงคำว่า Hack by Godzilla  เป็น Hack by  ช้าง  Hack by NoteBook   Hack by อะไร ก็เปลี่ยนได้ ตามใจเราเลย   จึงเป็นที่มาว่า ทำไม Hack by นี้ ถึงมากเหลือเกิน   ความจริงแล้วต้นตอ มีไม่กี่อัน แต่ดันไปเปลี่ยน SourceCode ข้างใน  เพราะเป็น Text File นี่ครับ ใครจะเปลี่ยนเป็น อะไรก็ได้   อยู่แล้ว ใช่มั๊ย

      แต่จุดด้อยของ ไฟล์WormVBS พวกนี้ จะต้อง ใช้ Process  ของ Wscript.exe จึงจะสามารถ รันตัวเองได้   ครับ  จึงมีหลายเวบ ที่บอกให้ไปปิด Wscript.exe ก่อน จึงจะจัดการWormพวกนี้ได้  

จาก SourceCode ของมัน พอจะเดาได้ว่า  โปรแกรมได้ใช้ Wscript.exe ตลอดเวลา  เมื่อมีไดรฟ์ เพิ่มขึ้นมา  ก็จะไปปลุกให้ Wscript.exe ทำงาน สคริปต์ไวรัสอีก และมีการสั่งให้Wormทำงานทุกๆ กี่มิลลิวินาทีก็ว่าไป  ดังนันจึงต้องปิด wscript.exe ก่อนจึงจะทำงานได้

ไฟล์ที่จะติดไปกับ Flash Drive และ

Hard Drive มีอะไรบ้าง ?

Worm นี้ สามารถสร้างไฟล์เพิ่มขึ้นได้หลายๆไฟล์โดยใช้การวนลูปเอา แล้วสร้างไฟล์ที่เหมือนกับตัวเองเรื่อยๆ  ซึ่งจะสิงห์สถิตในทุกไดรฟ์ที่สามารถจะเขียนได้  โดยมีไฟล์สำคัญดังนี้

•  autorun.inf  เพื่อให้ Run ตัวเองเวลาคนดับเบิ้ลคลิกที่ไดรฟ์ และทำให้ ดับเบิ้ลคลิกเปิดดูธรรมดาไม่ได้  เปิดดุที่ไร  ชิ่งไป Explorer ทุกที  (สคริปไวรัส สั่งให้ Run explorer เองครับ  )
• ไฟล์Worm  ที่เห็นๆก็  MS32DLL.DLL.VBS   .MS32DLL.DLL.VBS Kernell.dll.vbs  Killvbs.vbs ที่แน่ๆ ก้อคือ เป็น สกุล vbs

การลบ Worm ที่ติดไปกับ Flash Drive

• ต้องใช้กับเครื่องปกติ เพียวๆ ที่ไม่โดน Virus หรือ Worm
• แสดงไฟล์ System ไปที่ Tools->  Folder Options ->Tab View ->เลือก  Show Hidden File and Folder และเอากาถูก หน้า Hide Protected Operating System.....และ Hide Extentions .... ออก  แต่ถ้าขี้เกียจทำหรือ ทำไม่ถูก ผมได้ทำเครื่องมือแสดงไฟล์ไว้แล้วครับ ดูที่นี่ครับ  http://gotoknow.org/blog/president/87671
• ไฟล์ Worm ก็จะแสดงออกมา  ให้ลบไฟล์  autorun.inf   และ  ไฟล์ที่เป็นสีจางๆ นามสกุล vbs ออก(เป็นรูปคล้ายราชโองการ สีเขียวๆฟ้าๆ  แฮะๆ) โดย Shift+Del ไปเลยก็ได้ ครับ

   Wormพวกนี้สามารถดู Source Code ได้   จึงไปปรับเปลี่ยนได้   แต่ถ้าเอาไปสร้างเป็น EXE หละ  มองไม่เห็น Source Code แก้กันลำบากแน่   จึงเป็นที่มาของ   Hack by 1 Byte  ที่เป็น SourceCode ที่ผ่านการ Compile เป็น Application แล้ว  จึงดู Source Code  ไม่ได้  ไม่รู้ว่ามันทำอะไรบ้าง  ทางที่รู้ได้ก็คือ ต้องโดนก่อน   หรือฟังคนอื่นเล่ามา......   แต่ก็มีข้อดีก็คือ ไม่สามารถแก้โค๊ดได้  ทำให้ ไม่ค่อยมีใคร แก้เป็น Hack by นู้นนี้ได้  

แต่ที่เป็นปัญหาตอนนี้คือ  หากใครนำสคริป Hack by Godzilla ไปพัฒนาต่อ คงจะแก้กันยากขึ้น  แต่ถ้ายังเป็น VB script  ขอให้ลองใช้ตัวนี้ดูครับ    

ดาวโหลดโปรแกรม

ที่ไม่ใช่ Hack by 1 Byte

ดาวโหลดไฟล์โปรแกรม

UPDATE

โปรแกรม anyHack except 1 byte

โปรแกรมนี้ใช้งานยังไง ?

• ดาวโหลดไฟล์
• เสียบ FlashDrive ที่มีหนอน ที่เครื่องคอมพิวเตอร์
• ดับเบิ้ลคลิกเปิดไฟล์ที่ดาวโหลด มา เพื่อ รันโปรแกรมให้ทำงาน
• จะมีหน้าจอ ดำๆ แว๊บนึง รอ..โปรแกรม จะ Restart เครื่องอัตโนมัติ  หากไม่Restart  เครื่อง ให้ Restart เครื่องเองเลยครับ
• เสร็จสิ้นกระบวนท่า

คำเตือน : หลังจากการทำงาน Computer จะ Restart อัตโนมัติ

ได้ผลยังไงบ้าง ได้โปรดแสดงความคิดเห็นด้วยนะครับ ขอบคุณคร๊าบ