เพื่อนๆ พี่ๆ น้องๆ หลายคนน่าจะมีปัญหากับไวรัสตัวนี้เหมือนผม ที่หัวเรื่องหน้าต่าง อินเตอร์เน็ตด้านบนจะมีข้อความ
?~~~---@ sille ต่อท้าย วิธีการแก้ง่ายก็ตามด้านล่างครับ
โหลดโปรแกรมด้านล่าง เสียบแฟลชไดรฟ์ด้วยแล้วรันขึ้นมาโปรแกรมจะลบไวรัสตัวนี้ให้เองครับ
ไวรัสตัวนี้มันจะจำลองตัวเองใส่ในแฟลชไดรฟ์ของพี่ๆ แล้วพี่ไปเสียบเครื่องใหน ดับเบิ้ลคลิ๊กเปิดแฟลชไดรฟ์พี่ขึ้นมา มันก็จะกระจายตัวเองสู่เครื่องใหม่โดยอัติโนมัติ เพราะของผมไม่ทราบโดนแฟลชไดรฟ์ของใครเข้าไปเหมือนกัน อิอิ แก้กันดูนะครับ
http://gotoknow.org/blog/president/86031 อาการแบบนี้หรือเปล่า
คลิกขวาที่ ไดรฟ์ แล้วมีคำว่า AutoPlay
บน Title IE มีข้อความแปลกๆ ที่ไม่ใช่คำว่า Microsoft Internet Explorer ไม่ว่าเปิดเวบไหนก็เจอ
ดับเบิ้ลคลิกเปิดที่ไดรฟ์แล้ว ขึ้น Explorer มีโฟลเดอร์ขึ้นเยอะๆ ทางซ้าย เป็น Folder Tree
เครื่องช้าทุกที
ดับเบิ้ลคลิกเปิดไดรฟ์ไม่ได้
ไวรัสตัวนี้ทำงานยังไงบ้าง ?
ไวรัสไฟล์ตระกูล VBS ทั้งหลาย นั้น สามารถมาทำเป็นไวรัสได้ อย่างที่ได้ยินกันในชื่อ hack by Godzilla ซึ่งข้อดีของ ไวรัสนี้(ซึ่งอันที่จริงไม่ใช่ไวรัส ) คือ มองเห็น SourceCode สามารถใช้ Text Editor ต่างๆแก้ไขได้สบาย แล้วยังแก้ชื่อ เป็น Hack by นู้น Hack by นี้ได้สบาย แต่ข้อเสียก็คือ ถ้ามีคนไปเปลี่ยนตรงชื่อไฟล์ ละก็ แก้กันยากครับ เพราะชื่อ ใครตั้งชื่อไฟล์ว่าอะไรก็ได้ ถ้าบางคนไปเปลี่ยน ตรงคำว่า Hack by Godzilla เป็น Hack by ช้าง Hack by NoteBook Hack by อะไร ก็เปลี่ยนได้ ตามใจเราเลย จึงเป็นที่มาว่า ทำไม Hack by นี้ ถึงมากเหลือเกิน ความจริงแล้วต้นตอ มีไม่กี่อัน แต่ดันไปเปลี่ยน SourceCode ข้างใน เพราะเป็น Text File นี่ครับ ใครจะเปลี่ยนเป็น อะไรก็ได้ อยู่แล้ว ใช่มั๊ย
แต่จุดด้อยของ ไฟล์ไวรัส VBS พวกนี้ จะต้อง ใช้ Process ของ Wscript.exe จึงจะสามารถ รันตัวเองได้ ครับ จึงมีหลายเวบ ที่บอกให้ไปปิด Wscript.exe ก่อน จึงจะจัดการไวรัสพวกนี้ได้
จาก SourceCode ของมัน พอจะเดาได้ว่า โปรแกรมได้ใช้ Wscript.exe ตลอดเวลา เมื่อมีไดรฟ์ เพิ่มขึ้นมา ก็จะไปปลุกให้ Wscript.exe ทำงาน สคริปต์ไวรัสอีก และมีการสั่งให้ไวรัสทำงานทุกๆ กี่มิลลิวินาทีก็ว่าไป ดังนันจึงต้องปิด wscript.exe ก่อนจึงจะทำงานได้
ไฟล์ที่จะติดไปกับ Flash Drive และ Hard Drive มีอะไรบ้าง ?
ไวรัสนี้ สามารถสร้างไฟล์เพิ่มขึ้นได้หลายๆไฟล์โดยใช้การวนลูปเอา แล้วสร้างไฟล์ที่เหมือนกับตัวเองเรื่อยๆ ซึ่งจะสิงห์สถิตในทุกไดรฟ์ที่สามารถจะเขียนได้ โดยมีไฟล์สำคัญดังนี้
autorun.inf เพื่อให้ Run ตัวเองเวลาคนดับเบิ้ลคลิกที่ไดรฟ์ และทำให้ ดับเบิ้ลคลิกเปิดดูธรรมดาไม่ได้ เปิดดุที่ไร ชิ่งไป Explorer ทุกที (สคริปไวรัส สั่งให้ Run explorer เองครับ )
ไฟล์ไวรัส ที่เห็นๆก็ MS32DLL.DLL.VBS .MS32DLL.DLL.VBS Kernell.dll.vbs Killvbs.vbs ที่แน่ๆ ก้อคือ เป็น สกุล vbs
ดังนั้นถึงแม้ จะลง Windows ใหม่ Format เครื่อง ไวรัสก็ยังอยู่ ไดรฟ์อื่นอยู่ดี เช่น Drive D : หรือ Flash Drive พอเราเผลอไป ดับเบิ้ลคลิกเพื่อเปิด มัน ก็จะติดอีก สุดท้าย ลงใหม่ ล้างใหม่ ก็ไร้ค่าจริงๆครับ
ไวรัสพวกนี้สามารถดู Source Code ได้ จึงไปปรับเปลี่ยนได้ แต่ถ้าเอาไปสร้างเป็น EXE หละ มองไม่เห็น Source Code แก้กันลำบากแน่ จึงเป็นที่มาของ Hack by 1 Byte ที่เป็น SourceCode ที่ผ่านการ Compile เป็น Application แล้ว จึงดู Source Code ไม่ได้ ไม่รู้ว่ามันทำอะไรบ้าง ทางที่รู้ได้ก็คือ ต้องโดนก่อน หรือฟังคนอื่นเล่ามา...... แต่ก็มีข้อดีก็คือ ไม่สามารถแก้โค๊ดได้ ทำให้ ไม่ค่อยมีใคร แก้เป็น Hack by นู้นนี้ได้
แต่ที่เป็นปัญหาตอนนี้คือ หากใครนำสคริป Hack by Godzilla ไปพัฒนาต่อ คงจะแก้กันยากขึ้น แต่ถ้ายังเป็น VB script ขอให้ลองใช้ตัวนี้ดูครับ
