Malware Alert: Win32.Worm.Zimuse.A

ระวังเวิร์ม Win32.Worm.Zimuse.A ติดแล้วอาจจะทำให้ข้อมูลบนฮาร์ดดิสก์เสียหายได้

Bitdefender และ Eset (ผู้พัฒนาโปรแกรมแอนตี้ไวรัส NOD32) บริษัทผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสและสปายแวร์ชื่อดัง ได้ประกาศเตือนให้ผู้ใช้คอมพิวเตอร์ระวังการโจมตีของเวิร์มตัวใหม่ชื่อ Win32.Worm.Zimuse.A ซึ่งสามารถทำให้ข้อมูลบนฮาร์ดดิสก์เสียหายได้

รายละเอียดเวิร์ใ Win32.Worm.Zimuse.A
Virus Name: Win32.Worm.Zimuse.A
Aliases: Trojan.Startpage.G (Symantec), Trojan.Generic.1729691 (BitDefender), W32/Threat-SysVenFakP-based!Maximus (F-Prot)
Type of infiltration: Worm
Size: 195072 B
Affected platforms: Microsoft Windows

ผลกระทบ
Win32.Worm.Zimuse.A นั้นจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้

วิธีการแพร่ระบาด
Win32.Worm.Zimuse.A สามารถแพร่ระบาดได้ทางการดาวน์โหลดจากอินเทอร์เน็ตและผ่านสื่อเก็บข้อมูลแบบพกพา โดยมันจะแฝงตัวอยู่ในไฟล์บีบอัดที่สามารถรันได้ด้วยตัวเอง (PECompact) โดยจะหลอกผู้ใช้ว่าเป็นในโปรแกรมทดสอบไอคิว (IQ Test) ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มก็จะทำการสำเนาตัวเองในชื่อไฟล์ zipsetup.exe มีขนาด 195072 B ลงใรรูทโฟลเดอร์ของไดรฟ์ A:\, B:\, C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\

การทำงาน
เมื่อผู้ใช้ทำการรันไฟล์ zipsetup.exe (ด้วยความเข้าใจว่าเป็นโปรแกรมธรรมดา) เวิร์มก็จะทำการสำเนาไฟล์ autorun.inf ลงเครื่องคอมพิวเตอร์ (ไดเร็กตอรี่ที่เก็บไฟล์ zipsetup.exe) จากนั้นจะทำการสำเนาตัวเองลงในโฟลเดอร์ระบบของวินโดวส์จำนวนระหว่าง 5-11 ไฟล์แล้วแต่กรณี ดังนี้

%system%\drivers\Mstart.sys (13100 B)
%system%\drivers\Mseu.sys (18188 B)
%system%\mseus.exe (69632 B)
%system%\tokset.dll (195072 B)
%system%\ainf.inf (41 B)

จากนั้นจะแสดงหน้าไดอะล็อกบอกซ์ดังรูปด้านล่าง

(Credit: Eset.eu)


ทำการติดตั้งตัวเองในโฟลเดอร์ไดรเวอร์ของระบบ ดังนี้
%system%\drivers\Mstart.sys, MSTART
%system%\drivers\Mseu.sys, MSEU

ทำการแก้ไขรีจีสทรี่เพื่อให้ทำงานโดยอัตโนมัติพร้อมระบบวินโดวส์ ดังนี้
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dump" = "%programfiles%\Dump\Dump.exe"

นอกจากนี้ ยังทำการแก้ไขสร้างรีจีสทรี่เพิ่มขึ้นอีกหลายตัว โดยบางส่วนดังนี้
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "MSTART"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000]

ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ และจะแสดงไดอะล็อกบ็อกซ์ ดังรูปด้านล่าง





Click to enlarge (Credit: Eset.eu)


โดยเวิร์มอาจจะทำการลบไฟล์ต่างๆ ดังนี้
- C:\BOOT.INI
- C:\NTDETECT.COM
- C:\NTLDR
- C:\HYBERFILE.SYS
- C:\BOOTMGR

วิธีการป้องกัน
สำหรับวิีธีการป้องกันนั้นแนะนำว่า อย่าดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และ ทำการติดตั้งโปรแกรมป้องกันไวรัสและฐานข้อมูลอัพเดทไวรัส (Virus Definition) ให้เป็นปัจจุบันตลอดเวลา

วิธีการกำจัดไวรัส
สามารถกำจัดไวรัส Win32.Worm.Zimuse.A โดยใช้เครื่องมือจาก Eset โดยดาวน์โหลดได้ที่ Download Win32.Worm.Zimuse.A Remover

แหล่งข้อมูลอ้างอิง
• Bitdefender
• Eset
• Thai Windows Administrator Blog
• virus cpe -System Administrator --KKF

Read more »

การแก้ปัญหาไวรัส Sality

เครื่องที่ลงระบบปฏิบัติการใหม่
1.ลงปฏิบัติการ Windows XP/98/2000/2003 ใหม่
2.update path service pack 3
3.Update path ความปลอดภัยของ Windows
4. Anti Virus Kaspersky version 6
5.ลงโปรแกรมของบริษัทและโปรแกรมที่ใช้ในสำนักงาน
6.pack เข้ากับ Network ของบริษัท


เครื่องที่ไม่ลงระบบปฏิบัติการใหม่(วิธีนี้ไม่ 100 %)
ไฟล์ทุกไฟล์ที่โหลดมาห้ามแตกไฟล์ออกเพราะตัว sality จะไปจับ
1.โหลดไฟล์ช่วยหยุดไวรัสชื่อ Sality_off.zip
2.ไฟล์โปรแกรมแอนตี้ไวรัส Kaspersky version 6 (หากเครื่องคุณมีแอนตี้ไวรัสอยู่ให้ลบทิ้งไปเลยครับ)
ให้โหลด kaspersky มา แต่ยังไม่ต้องติดตั้งครับ แพคเป็นไฟล์ Zip ไว้ให้นะครับ (โหลดมาแต่ไม่ต้องคลายออกมานะครับ(เดี๋ยวไวรัสเกาะ)
3.ไฟล์ซ่อมอาการเข้า safe mode ไม่ได้สำหรับ
3.1 SafeBootWinXP.zip
3.2 SafeBootWin2000.zip
3.3 SafebootVista.zip
3.4 SafeBootWinServer2003.zip
3.5 Disable autorun.zip
ขั้นตอนการแก้ไข
ข้อควรจำนะครับหลังจากโหลดไฟล์เสร็จแล้วไม่ต้องคลายออกมาจาก Zip คลายออกปุ๊บโดนเกาะปั๊บ
1. ให้เปิดไฟล์ Sality_off ในไฟล์ zip เลยครับ
ไม่ต้องคลายออกมาครับ เปิดแล้วโปรแกรม Sality_off จะทำการสแกนและหยุดไวรัส Sality ครับ รอจนเสร็จครับ
อาจจะนานหน่อยก็ต้องรอครับ โดยโปรแกรมนี้จะสแกนทุกๆไดว์ฟทุกๆไฟล์ที่น่าสงสัยว่า Salityเกาะอยู่ครับ
เมื่อเสร็จแล้วจะขึ้นให้คุณกดปุ่มใดก็ได้ครับ แล้วก็ติดตั้งแอนตี้ไวรัสเลยครับ หรือหากมี kaspersky อยู่แล้วก็ให้รีสตาร์ทเครื่องเลยครับ ระหว่างที่สแกนก็จะพบว่าไฟล์โปรแกรมของเราโดนไวรัสเกาะอยู่ kaspersky จะถามเราว่าจะทำอย่างไร2.ให้เรากด Disinfect ครับ เพื่อที่จะลบไวรัสออกจากไฟล์โปรแกรมของเรา

แต่บางไฟล์โดนไวรัสเกาะลึกเกินไปก็ไม่สามารถลบไวรัสออกจากไฟล์ได้ kaspersky จะขึ้นมาถามอีกครั้งโดยที่จะมี
ให้กด แค่ deleted กับ Skip
ให้กด deleted เลยครับ

3. ต่อไปก็เปิดไฟล์ซ่อมอาการเข้า safmode ไม่ได้ครับ เลือกเอาครับว่ากำลังใช้วินโดว์อะไรอยู่
แล้วก็เปิดไฟล์ ปิดออโต้รันด้วยครับ ช่วยป้องกันไวรัสจากแฟลชไดว์ฟได้อีกระดับหนึ่งครับ
ไฟล์ซ่อมอาการเข้า safmode ไม่ได้สำหรับ
- SafeBootWinXP.zip
- SafeBootWin2000.zip
- SafebootVista.zip
- SafeBootWinServer2003.zip
- Disable autorun.zip
ขอบคุณ webphand.com แนะนำ

Read more »

Microsoft Security Update for January 2010

ไมโครซอฟท์ซีเคียวริตี้อัพเดท (Security Update) เดือนมกราคม 2553 แก้ปัญหาความปลอดภัยใน Windows
บทความโดย: Thai Windows Administrator Blog

งานแพตซ์ (Patch) ระบบในเดือนแรกของปีถือเป็นงานเบาของ Admin เนื่องจากมี Security Update ให้ต้องทำการติดตั้งเพียงแค่ 1 ตัว ตามรายละเอียดด้านล่าง

รายละเอียดของซีเคียวริตี้อัพเดทของเดือนมกราคม 2553
วันที่ 12 มกราคม 2553 (13 ม.ค 53 ตามเวลาในประเทศไทย) ไมโครซอฟท์ได้ออก "Microsoft Security Update for January 2010" หรือที่เรียกกันในหมู่ Admin ว่า "Patch Tuesday" จำนวน 1 ตัว คือ MS10-001 เพื่อแก้ปัญหาความปลอดภัยร้ายแรงระดับวิกฤติ (Critical) ใน Windows 2000 Service Pack 4 และระดับต่ำ (Low) ในวินโดวส์อื่นๆ

หมายเหตุ: MS10-001 นั้นจะแทนที่ MS09-029

Security Update ที่มีความร้ายแรงระดับ Critical
เดือนมกราคมนี้มี Security Update เพียง 1 ตัวคือ MS10-001 มีรายละเอียดดังต่อไปนี้

MS10-001: Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (972270)
Update Link: http://www.microsoft.com/technet/security/bulletin/ms10-001.mspx
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation not affected)
- Windows Server 2008 R2 for Itanium-based Systems

การอัพเดทระบบ
ผู้ใช้ที่ใช้วินโดวส์เวอร์ชันที่ได้รับผลกระทบ สามารถทำการอัพเดทจากเว็บไซต์ Microsoft Update ผ่านทางอินเทอร์เน็ต หรือทำการอัพเดทผ่านทาง Windows Server Update Services (WSUS) สำหรับผู้ใช้แบบองค์กรที่มีการติดตั้งระบบ WSUS Server ทั้งนี้ ตั้งแต่วันที่ 12 มกราคม 2553 (13 ม.ค. 53 ตามเวลาในประเทศไทย) เป็นต้นไป

ส่งท้ายเอนทรี่
การแพตซ์ระบบเดือนแรกของปีถือเป็นงานเบาของ Admin แต่ถึงจะมีแพตซ์เพียงตัวเดียวแต่เพื่อความปลอดภัยบรรดาท่านที่เป็น Admin ทั้งหลายก็อย่าลืมทำการอัพเดทระบบให้เรียบร้อยกันนะครับ

แหล่งข้อมูลอ้างอิง
• Microsoft Security Bulletin Advance Notification for January 2010

ลิงค์ที่เกี่ยวข้อง
• Microsoft Technet Security
• Microsoft Security Center

Read more »

Free Security Tools and Services

เครื่องมือและบริการด้านความปลอดภัยที่ดีและฟรี
รวบรวมเครื่องมือและบริการด้านความปลอดภัยที่ดีและฟรีมาฝากอีกแล้วครับ

Trend Micro
Trend Micro มีเครื่องมือและบริการด้านความปลอดภัยที่ฟรี 5 ด้วยกัน ดังนี้

หมายเหตุ:
สำหรับรายละเอียดเพิ่มเติมดูที่เว็บไซต์: http://us.trendmicro.com/us/products/personal/free-tools-and-services/index.html

1. HouseCall
การใช้งาน: http://housecall.trendmicro.com/
เป็น เว็บไซต์ที่ให้บริการสแกนไวรัสในแบบ web base ผ่านทางอินเทอร์เน็ต สามารถสแกน Viruses, Worms, Trojans และ Spyware นอกจากนี้ยังสามารถตรวจสอบ System Vulnerabilities พร้อมทั้งเตรียมลิงค์สำหรับข้อมูลการแพตช์ได้อีกด้วย

2. Trend Micro eMail ID
ดาวน์โหลดที่เว็บไซต์: http://us.trendmicro.com/us/products/personal/free-tools-and-services/emailID/
eMail ID เป็นเครื่องมือที่ช่วยปกป้องผู้ใช้จากการโจมตีแบบ Phishing โดยเป็นเครื่องมือแบบปลั๊ก-อิน (ฟรี) สำหรับบราวเซอร์ ที่ช่วยในการระบุ ID ของอีเมล โดย eMail ID จะทำการตรวจสอบอีเมลและแสดงให้ผู้ใช้ทราบถึง ID ของอีเมลที่แท้จริง

3. TrendProtect
ดาวน์โหลดที่เว็บไซต์: http://www.trendsecure.com/portal/en-US/free_security_tools/trendprotect.php?page=overview
เป็น เครื่องมือแบบปลั๊ก-อิน (ฟรี) สำหรับบราวเซอร์ ซึ่งช่วยปกป้องผู้ใช้จากหน้าเว็บที่เป็นอันตรายหรือมีภัยแอบแฝงอยู่ โดย TrendProtect จะจัดอันดับของหน้าเว็บที่ผู้ใช้กำลังเปิดดูอยู่ และหน้าเว็บที่ได้จากการค้นหาโดย Google, MSN และ Yahoo โดยการอ้างอิงกับฐานข้อมูลหน้าเว็บขนาดใหญ่ของ Trend Micro ที่ครอบคลุมหน้าเว็บเป็นพันล้านหน้า ซึ่งผู้ใช้สามารถใช้อันดับที่ได้ช่วยในการตัดสินใจว่าจะเปิดหน้าเวบนั้นหรือ ไม่

4. Trend Micro HijackThis (ขั้นสูง)
ดาวน์โหลดที่เว็บไซต์: http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php
Trend Micro HijackThis เป็นเครื่องมือที่ใช้ทำการสร้างรายงานการตั้งค่า Registry ของระบบปฏิบัติการในระดับลึก HijackThis นั้นจะไม่แยกแยะระหว่างการตั้งค่าที่ปลอดภัยกับไม่ปลอดภัย แต่ผู้ใช้จะต้องทำการตัดสินใจเองว่าจะทำการแก้ไขค่าใดบ้าง นอจจากนี้ HijackThis ยังมีความสามารถในการสแกนและลบมัลแวร์ได้อีกด้วย

5. Transaction Guard
ดาวน์โหลดที่เว็บไซต์: http://www.trendsecure.com/portal/en-US/free_security_tools/transaction_guard.php
Transaction Guard เป็นเครื่องมือซอฟต์แวร์ฟรี ซึ่งช่วยปกป้องผู้ใช้จากสปายแวร์เมื่อใช้งานหรือทำกิจกรรมต่างๆ บนอินเทอร์เน็ต อย่างเช่น การใช้บริการธนาคารอินเทอร์เน็ต หรือกิจกรรมด้านการเงินอื่นๆ โดย Transaction Guard จะมี 2 องค์ประกอบด้วยกันคือ
>>>- Spyware Monitor – จะทำการเฝ้าระวังสปายแวร์และแจ้งให้ผู้ใช้ทราบเมื่อมีการตรวจพบ
>>>- Secret Keyboard – ทำหน้าที่เป็นคีย์บอร์ดเสมือน โดยจะจัดเตรียม On-screen keyboard ให้ผู้ใช้ป้อนค่าต่างๆ ในการทำการกิจกรรมบนอินเทอร์เน็ต ตัวอย่างเช่น ป้อนค่า Username และ Password สำหรับการล็อกอินเข้าใช้บริการธนาคารอินเทอร์เน็ต เป็นต้น

AVG Free Tools
• AVG Tools ดาวน์โหลดที่เว็บไซต์: http://www.avg.com/download-tools
• AVG Virus Removal ดาวน์โหลดที่เว็บไซต์: http://www.avg.com/virus-removal

F-Secure Free Tools
• Malware Removal Tools ดาวน์โหลดที่เว็บไซต์: http://www.f-secure.com/security_center/malware_removal_tools.html
• BlackLight เครื่องมือสำหรับตรวจจับและกำจัด Rootkit ดาวน์โหลดที่เว็บไซต์: ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

McAfee
• Virus Removal Tools ดาวน์โหลดที่เว็บไซต์: http://us.mcafee.com/virusInfo/default.asp?id=vrt
• McAfee SiteAdvisor ดาวน์โหลดที่เว็บไซต์: http://www.siteadvisor.com/
• McAfee Stinger ดาวน์โหลดที่เว็บไซต์: http://vil.nai.com/vil/stinger/

ThreatFire
ThreatFire เป็นโปรแกรมแบบมัลติฟังก์ชัน สามารถป้องกันการโจมตีจาก Malware ต่างๆ เช่น Trojans, Spyware, Rootkits, Keyloggers และการโจมตีแบบ Buffer overflows
ดาวน์โหลดที่เว็บไซต์: http://www.threatfire.com/download/
เวอร์ชันปัจจุบัน: 4.0.0
ระบบปฏิบัติการ: Windows Vista, XP, 2000 และ 2003

Kaspersky
• Virus Removal Tools ดาวน์โหลดที่เว็บไซต์: http://www.kaspersky.com/removaltools
• Kaspersky Rescue Disk
Kaspersky Rescue Disk เป็นเครื่องมือสำหรับใช้กำจัดมัลแวร์โดยไม่ต้องบูมเครื่องเข้าระบบวินโดวส์ โดยสามารถทำการบูทเครื่องด้วยแผ่น Kaspersky Rescue Disk ได้เลย อ่านรายละเอียดเพิ่มเติมได้ที่เว็บไซต์: http://support.kaspersky.com/kav6mp2/rescue และดาวน์โหลดได้ที่เว็บไซต์: http://dnl-us6.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso หลังจากดาวน์โหลดเสร็จแล้วให้ทำการเบิร์นลงแผ่นซีดีก่อนนำไปใช้งาน

MicroWorld
• MicroWorld Free AntiVirus Toolkit Utility ดาวน์โหลดที่เว็บไซต์: http://www.mwti.net/products/mwav/mwav.asp

Norman
• Virus Removal Tools ดาวน์โหลดที่เว็บไซต์: http://www.norman.com/Virus/Virus_removal_tools/en-us

Secunia
• Online Vulnerability Scanning เป็นบริการตรวจสอบช่องโหว่ด้านความปลอดภัย สามารถใช้บริการได้ที่เว็บไซต์: http://secunia.com/vulnerability_scanning/online
• Secunia PSI (Personal Software Inspector) เป็นโปรแกรมตรวจสอบช่องโหว่ด้านความปลอดภัย (Vulnerability Scanning) ดาวน์โหลดที่เว็บไซต์: http://secunia.com/vulnerability_scanning

ESET
• FREE Spyware Removal and Antivirus Tools ดาวน์โหลดที่เว็บไซต์: http://www.eset.com/download/free-virus-remover.php

Avira
• Avira AntiVir Removal Tool ดาวน์โหลดที่เว็บไซต์: http://www.avira.com/en/support/support_downloads.html

Read more »

Rogue Antivirus List

รายชื่อโปรแกรม Rogue Antivirus
บทความโดย: Thai Windows Administrator Blog

ปัญหา Rogue Antivirus เมื่อ Antivirus ทำตัวเป็นเสมือนไวรัสเสียเอง คือ ปัญหาเรื่องโปรแกรม Antivirus บางตัว หลอกให้ผู้ใช้ทำการติดตั้งหรือที่ศัพท์เทคนิคเรียกว่า Rogue Antivirus นั้น มีจำนวนเพิ่มมากขึ้นทุกวัน

โดยโปรแกรม Rogue Antivirus เหล่านี้จะใช้เทคนิคตั้งชื่อโปรแกรมให้ดูน่าเชื่อถือ เพื่อหลอกให้ผู้ใช้หลงเชื่อและทำการติดตั้ง วันนี้เลยรวบรวมรายชื่อโปรแกรม Rogue Antivirus ซึ่งจัดทำโดยทีมงาน Rogue Antispyware มาฝากกันครับ

อย่างไรก็ตาม ทีมงาน Rogue Antispyware ได้ออกตัวว่า รายชื่อเหล่าโปรแกรมเหล่านี้ไม่ได้การันตี 100% (แต่ก็สามารถเชื่อถือได้ระดับหนึ่ง) สำหรับท่านใดที่ติดตั้งโปรแกรมเหล่านี้อยู่ ผมแนะนำว่าให้ทำการยกเลิกการติดตั้งจากระบบจะดีที่สุดครับ หากไม่สะดวกในการซื้อใช้โปรแกรม Antivirus ราคาแพงๆ ขอแนะนำให้ทดลองใช้ AVG Anti-Virus Free Edition 8.5 for Windows ซึ่งใช้ได้ฟรีสำหรับการใช้งานส่วนบุคคลครับ

• รายชื่อโปรแกรม Rogue Antivirus
- Windows Antivirus Pro
- AVCare
- Perfect Defender 2009
- Home Antivirus 2010
- WiniFighter
- Terminator 2009
- SecretService
- Windows Security Suite
- PC Security 2009
- Smart Defender Pro
- Zbot Trojan
- Spyware XP Guard
- System Security 2009
- Free Guide to Identifying Rogue Antispyware
- Virus Remover Professional
- Antivirus Protection
- Protection System
- Free Conficker Removal - SSClean Conficker Removal...
- Antivirus System Pro
- WinBlueSoft
- Unvirex
- XP Deluxe Protector
- Advanced Virus Remover
- Malware Doctor
- Removal of Malware Catcher 2009
- Fast Antivirus 2009
- Presto TuneUp
- Virtumonde Removal - Watch How Simple it Can Be!
- Crusader Antivirus or Spyware Crusader
- PCPrivacy Defender Destroyed by VIPRE
- Malware Catcher 2009
- CoreGuard Antivirus 2009
- Virus Shield 2009
- SystemProtector
- PCPrivacy Defender
- PCAntimalware
- Antivirus Agent Pro
- Internet Antivirus Pro Removed by VIPRE
- Extra Antivirus
- WiniBlueSoft
- AV Antispyware
- HomeAntivirus 2009
- Virus Sweeper
- Antivirus '09
- Pntispyware09
- Virtumonde Removal
- WinPC Antivirus
- AntiMalwareSuite

วิธีการตรวจสอบ
สำหรับวิธีการตรวจสอบปัญหาโปรแกรม Antivirus ที่กำลังใช้อยู่ว่ามีความน่าเชื่อถือหรือไม่ สามารถตรวจสอบได้จากเว็บไซต์ VirusTotal (http://www.virustotal.com)

แหล่งข้อมูลอ้างอิง
• Rogue Antispyware

Read more »

The 10 Common Windows Security Vulnerabilities

ช่องโหว่ความปลอดภัย 10 ข้อที่พบบ่อยในระบบวินโดวส์
บทความโดย: Thai Windows Administrator Blog

วันนี้รวบรวมช่องโหว่ความปลอดภัยที่พบบ่อยในระบบวินโดวส์ 10 ข้อมาฝากครับ

1. แชร์ไฟล์และโฟลเดอร์ โดยกำหนดให้ทุกคน (Everyone) มีสิทธิ์แบบฟูล (Full)

2. มีระบบการป้องกันมัลแวร์(Malware) ที่หละหลวม ตัวอย่างเช่น ทำการคอนฟิกที่ไม่ถูกต้อง หรือผู้ใช้บางคนไม่มีการติดตั้งใช้งานซอฟต์แวร์ป้องกันมัลแวร์ (Anti Malware Software)

3. มีระบบไฟร์วอลล์ (Firewall) ที่หละหลวม ตัวอย่างเช่น ทำการคอนฟิกที่ไม่ถูกต้อง หรือผู้ใช้บางคนไม่มีการติดตั้งใช้งานซอฟต์แวร์ไฟร์วอลล์ (Firewall Software) หรือไม่เปิดใช้งานวินโดวส์ไฟร์วอลล์

4. ไม่มีการเข้ารหัส (Encryption) ข้อมูลที่เก็บไว้ในเครื่อง หรือมีการเข้ารหัสแบบพื้นฐาน ทำให้ข้อมูลไม่ได้รับการปกป้องจากผู้บุกรุก

5. ไม่มีการกำหนดมาตรฐานขั้นต่ำของระบบความปลอดภัยที่จำเป็นต้องมี

6. ไม่ทำการแพตซ์ (Patch) ระบบวินโดวส์ รวมถึงซอฟท์แวร์ต่างๆ ที่ติดตั้งใช้งานอยู่บนเครื่อง เช่น VNC, RealPlayer, Flasg player เป็นต้น ทำให้ไงรัว มัลแวร์ หรือ แฮกเกอร์ ใช้ช่องโหว่ความปลอดภัยเป็นช่องทางในการโจมตีระบบ

7. มีการกำหนดนโยบายความปลอดภัย (Security policy) ของวินโดวส์ต่ำเกินไป เช่นกำหนดให้ไม่ต้องใช้รหัสผ่านในการเข้าใช้แชร์โฟบเดอร์ หรือกำหนดให้ไม่ต้องมีรหัสผ่าน

8. เซอร์วิสบางอย่างมีการเปิดใช้งานโดยไม่จำเป็น โดยที่ผู้ใช้เองก็ไม่ทราบ จึงไม่ได้จัดการเซอร์วิสเหล่านั้นอย่างเหมาะสม ทำให้เกิดพื้นที่โจมตีมากขึ้น (Attack Surface)

9. ไม่มีการกำหนดรหัสผ่านให้กับแอคเคาท์ของผู้ใช้ หรือมีการกำหนดรหัสผ่านที่คาดเดาได้ง่าย

10. การใช้งานวินโดวส์ในระบบเครือข่ายแบบไร้สาย รวมถึงอุปกรณ์เครือข่ายแบบไร้สายนั้น ยังมีปัญหาเรื่องความปลอดภัยในระดับค่อนข้างสูง

Read more »

Top 10 Phishing Scams

10 เรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล
บทความโดย: Thai Windows Administrator Blog

Phishing เป็นการโจมตีชนิดหนึ่งที่ผู้โจมตีใช้วิธีการส่งอีเมล โดยการปลอมตัวให้ผู้รับเข้าใจว่ามาจากเว็บไซต์ที่น่าเชื่อถือ เช่น มาจากธนาคาร ผู้ให้บริการบัตรเครดิต เป็นต้น เพื่อหลอกลวงผู้รับให้เปิดเผยข้อมูลส่วนตัวต่างๆ เช่น Usernames, Password หรือข้อมูลทางด้านบัญชีธนาคาร หรือข้อมูลส่วนตัวอื่นๆ

โดย McAfee ได้รวบรวมข้อมูลและสรุป 10 เรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล เพื่อใช้เป็นข้อมูลอ้างอิง ดังนั้น เมื่อท่านได้รับอีเมลที่มีข้อความลักษณะดัง 1 ใน 10 ข้อนี้ในกล่องรับจดหมาย (Inbox) ของระบบอีเมล ให้ตั้งข้อสังเกตไว้ก่อนว่าอีเมลฉบับนั้นน่าจะเป็น "Phishing email" และไม่ควรทำการคลิกลิงก์ที่แนบมากับอีเมลดังกล่าวโดยเด็ดขาด

ในกรณีที่ท่านต้องการตรวจสอบบัญชีธนาคารหรือข้อมูลส่วนตัวอื่นๆ จากเว็บไซต์ ให้ใช้วิธีการพิมพ์ชื่อเว็บไซต์ของผู้ให้บริการลงในช่องแอดเดรสของเบราเซอร์ ด้วยตัวเอง หรืออาจจะทำเป็นบุ๊คมาร์คเก็บไว้เพื่อความสะดวกในการใช้งาน

ถ้าไม่แน่ใจว่า อีเมลที่ได้รับเป็นอีเมลที่มาจากผู้ให้บริการจริงหรือไม่ ก่อนดำเนินการใดๆ ตามเนื้อหาในอีเมล ให้ทำการติดต่อกับผู้ให้บริการหรือบริษัทเหล่านั้นโดยตรงผ่านทางโทรศัพท์ หรือติดต่อกับศูนย์บริการลูกค้า (Customer Services) เพื่อตรวจสอบว่าเป็นผู้ส่งอีเมลจริงๆ หรือไม่

เรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล
สรุปเรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล จำนวน 10 เรื่อง มีดังนี้
1. security alert!
2. account notification!
3. account notification
4. please confirm your data!
5. Chase Bank: online banking notification
6. Chase Bank: necessary to be read!
7. Chase Bank: important notice
8. Chase Bank: important security notice
9. Chase Bank: account secure confirmation
10. Chase Bank customer service: security alert.

Top Brands Exploited by Phishing Scams
สำหรับแบรนด์หรือยี่ห้อที่มีการใช้ในการทำ Phishing มากที่สุดได้แก่ Amazon 72%, CommonWelth Bank 14%, eBay 9%, Others 5%


ที่มา
• Top 10 Phishing Scams

Read more »

วิธีแก้ปัญหา svchost.exe ใช้งาน CPU 100% (ที่ไม่ใช่ไวรัส)

หลายคนคงเคยเห็นปัญหา svchost.exe ใช้งาน CPU 100% บ่อยๆ โดยที่เราก็ไม่รู้สาเหตุ scan ไวรัสก็แล้วมันก็ไม่หาย และก็คงยังสงสัยกันอยู่ว่า ตกลงไอ้เจ้า svchost.exe มันเป็นไวรัสหรือเปล่า ซึ่งถ้าถามผมก็ต้องตอบว่า เป็นและไม่เป็น

“svchost.exe” หรือชื่อเต็มๆของมันคือ “Generic Host Process for Win32 Services” ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ restart ได้ แต่ถ้าเราเผลอไป end proces ก็จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network

ตำแหน่งที่อยู่ของ svchost.exe จะอยู่ที่ “%windir%\System32" หรือทั่วๆไป ก็คือ “C:\Windows\System32" หาก ไม่อยู่ในตำแหน่งดังกล่าว สรุปได้เลยว่าเป็นไวรัส ซึ่งมีไวรัสหลายตัวพยายามสร้างชื่อ process เลียนแบบ svchost.exe เช่น W32.Welchia.Worm ,W32.Assarm@mm ,W32/Jeefo ,SCVHOST.exe (Gaobot viruses), Svch0st.exe (Backdoor.Graybird viruses), Svchos1.exe (W32.HLLW.Gaobot.DK virus), Svchost32.exe (Backdoor.IRC.Zcrew), W32.HLLW.Deborms.C, W32.Mimail.J@mm, W32.Paylap.@mm, Svhost.exe (Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm) Tongue

จะ เห็นว่ามีไวรัสหลายตัวพยายามจะสร้าง process หลอกลวงขึ้นมา แต่ในเบื้องต้นเราสามารถสังเกตเห็นได้ง่ายๆ จากชื่อ Process ใน Task Manager (ถ้ายังเปิดได้) เช่น
- SCVHOST.exe
- Svch0st.exe
- Svchos1.exe
- Svchost32.exe
- Svhost.exe

Process เหล่านี้ถ้าเราสังเกตให้ดี ก็จะรู้ได้ไม่ยากครับว่ามันคือไวรัสเพราะชื่อมันยังไงก็ไม่เหมือน svchost.exe ส่วนวิธีกำจัดไวรัสจำพวกนี้มันก็ต้องแล้วแต่กรณีครับ


สาเหตุที่ svchost.exe (ไม่ใช่ไวรัส) ใช้งาน CPU 100% เกิดขึ้นเมื่อ Windows XP มีการสั่ง Automatic Update (โดยเครื่องนั้นต้อง turn on Automatic Update เอาไว้ด้วย)
วิธีแก้ปัญหาขั้นที่ 1

อย่าง ง่ายที่สุดก็คือ Turn off Automatic Update อันนี้แก้ที่ต้นเเหตุครับ โดยคลิกขวาที่ My Computer > Properties > เลือกแท็บ Automatic Updates > จากนั้นเลือกที่ Turn off Automatic Updates > Apply > OK เท่านี้ก็เรียบร้อยแล้วครับ

แต่ถ้าใครที่เจอปัญหานี้เข้าแล้ว และไม่สามารถแก้ได้ตามวิธีข้างต้น สามารถทำได้ดังวิธีต่อไปนี้นะครับ



วิธีแก้ปัญหาขั้นที่ 2(ใช้เมื่อทำขั้นแรกแล้วไม่หาย)

1. ดาวน์โหลด เครื่องมือมาก่อนจากที่นี่
2. แตกไฟล์ไว้ที่ desktop ครับ จะเห็นปรากฎ 3 ไฟล์ตามในรูป



3. boot เครื่องใหม่เพื่อเข้า safe mode (ต้องล็อกอินในฐานะ Admintrator ด้วยนะครับ)
4. ดับเบิ้ลคลิกไฟล์ตามลำดับ 1 ,2 และ 3 (ทำเช่นเดียวกับการลงโปรแกรม)
5. restart เข้าสู่ mode ปกติครับ

ขอบคุณที่มา: http://www.zone-it.com/92250

Read more »

ขอบคุณที่เข้ามาชมเว็บบอล็ก เผื่อมีประโยชน์ต่อผู้เข้าชมไม่มากก็น้อย

ขอบคุณครับ กำัลังแก้ปัญหาอยู๋...

Read more »

Tools กำจัด Anti virus ค่ายต่างๆ

01. DOWNLOAD AVAST REMOVAL TOOL

02. DOWNLOAD AVG REMOVAL TOOL 32BIT

03. DOWNLOAD ESET NOD32 REMOVAL TOOL

04. DOWNLOAD KASPERSKY REMOVAL TOOL

05. DOWNLOAD APP-REMOVER TOOL

Read more »

แนวทางการแก้ไขไวรัสเบื่องต้น

แนวทางการกำจัดไวรัส W32.Downadup
ชื่อ ของ ไวรัส
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)

ขั้นตอนที่ 1. ล็อกออนเข้าเครื่องด้วยโลคอลยูสเซอร์
**ไม่แนะนำให้ทำการ ล็อกออนด้วยโดเมนยูสเซอร์ เนื่องจากมัลแวร์อาจจะใช้โดเมนยูสเซอร์ดังกล่าวในการแอคเซสทรัพยากร เครือข่ายเพื่อทำการแพร่ระบาด
ขั้นตอนที่ 2. ทำการหยุดบริการ Server service
เพื่อการลบแอดมินแชร์ (แชร์โฟลเดอร์ชื่อ C$, D$, ADMIN$ ซึ่งเป็นการแชร์สำหรับแอดมินใช้จัดการระบ) ซึ่งจะเป็นหยุดการแพร่ระบาดของเวิร์มผ่านทางการแชร์ **ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่ จากนั้นทำการหยุดบริการ Server service โดยใช้ Services Microsoft Management Console (MMC) ตามขั้นตอนดังนี้
1. ดำเนินการข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้ดังนี้
* ใน Windows Vista และ Windows Server 2008 ให้คลิก Start พิมพ์ services.mscในกล่อง Start Search box
จากนั้นคลิก services.msc ในรายการโปรแกรม
* ใน Windows 2000, Windows XP และ Windows Server 2003 ให้คลิก Start คลิก Run พิมพ์ services.msc จากนั้นคลิก OK
2. ในหน้าต่าง Services ในคอลัมน์ Name ให้ดับเบิลคลิกที่ Server
3. ในหน้าต่าง Server Properties (Local Computer) ในส่วน Services status ให้คลิกปุ่ม Stop
4. ในส่วน Startup type ให้เลือกเป็น Disabled
5. คลิก Apply แล้วคลิก OK แล้วปิดหน้าต่าง Services
การหยุดบริการ Task Scheduler บนระบบวินโดวส์ Windows Vista และ Windows Server 2008 มีขั้นตอนดังนี้
1. คลิก Start พิมพ regedit ในกล่อง Start Search จากนั้นคลิก regedit.exe จากรายการโปรแกรม
2. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
3. ในส่วนดีเทลแพน ให้คลิกขวาที่ Start (ซึ่งเป็น REG_DWORD) จากนั้นคลิก Modify
4. ในไดอะล็อกบ็อกซ์ Edit DWORD Value ให้ใส่ค่า 4 ในกล่องใต้ Value Datadata เสร็จแล้วคลิก OK
5. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์



ขั้นตอนที่ 4. ดาวน์โหลดและทำการติดตั้งแพตซ์
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
Microsoft Security Bulletin MS08-068 – Important
Vulnerability in SMB Could Allow Remote Code Execution (957097)
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Microsoft Security Bulletin MS09-001 - Critical
Vulnerabilities in SMB Could Allow Remote Code Execution (958687)
ขั้นตอนที่ 5. ทำการรีเซ็ตรหัสผ่านของโลคอลแอดมินและโดเมนแอดมินใหม่ให้มีความแข็งแกร่งมากขึ้น
ขั้นตอนที่ 6. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
ขั้นตอนที่ 7.ในส่วนดีเทลแพน ให้คลิกขวาที่ netsvcs จากนั้นคลิก Modify
ขั้นตอนที่ 8. ให้เลื่อนลงไปด้านล่างสุดของลิสต์ ถ้าคอมพิวเตอร์ติดไวรัส Conficker จะมีชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่ม
ตัวอย่างเช่น "axqmiijz"
ขั้นตอนที่ 9. ทำการลบบรรทัดที่อ้างอิงถึง malware service ตรวจสอบให้แน่ใว่าเว้นบรรทัดหนึ่งบรรทัดใต้ค่าที่ถูกต้องตัวสุดท้ายเสร็จ
แล้วคลิก OK
ขั้นตอนที่ 10. ทำการจำกัดเพอร์มิสชันบนรีจีสทรีคีย์ SVCHOST
เพื่อป้องกันไม่ให้มัลแวร์สามรถทำการแก้ไขได้ ตามขั้นตอนดังนี้
* หลังจากกำจัดไวรัสเสร็จเรียบร้อยแล้วจะต้องทำการแก้ไขกลับไปเป็นค่าดีฟอลท์ดังเดิม
* ใน Windows 2000 จะต้องใช้โปรแกรม Regedt32 ในการตั้งค่าเพอร์มิสชันบนรีจีสทรีคีย์
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ Svchost จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for SvcHost ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for SvcHost คลิก Add
5. ในไดอะล็อกบ็อกซ์ Select User, Computer or Group ให้พิมพ์ everyone ในกล่องใต้ Enter the object name to select จากนั้นคลิก Check Names แล้วคลิก OK
6 .ในไดอะล็อกบ็อกซ์ Permissions Entry for SvcHost ในหัวข้อ Apply toให้เลือก This key only จากนั้นในหัวข้อ Full Control ที่อยู่ในส่วน Permission ให้คลิก Deny เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
7. ในไดอะล็อกบ็อกซ์ Security ให้คลิก Yesy แล้วคลิก OK อีกครั้ง


ขั้นตอนที่ 11. จากในขั้นตอนที่ 8 ซึ่งจะได้ชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่มคือ "axqmiijz" จากนั้นให้ดำเนินการตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยตามชื่อบริการของมัลแวร์
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
ในตัวอย่างนี้คือ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axqmiijz
2.ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ตามชื่อ "malware service" จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for "malware service" ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for "malware service" ให้คลิกเลือกเช็คบ็อกซ์ดังนี้
#Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here.
#Replace permission entries on all child objects with entries shown here that apply to child objects
5. คลิก Apply เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
ขั้นตอนที่ 12. กดปุ่ม F5 เพื่ออัพเดทโปรแกรม Registry Editor ในดีเทลแพนให้แก้ไฟล์ไฟล์ "ServiceDll" ดังนี้
1. ให้ดับเบิลคลิกที่ ServiceDll
2. จากนั้นให้ดูพาธที่ไฟล์ DLL อ้างอิง ซึ่งจะมีลักษณะดังนี้
%SystemRoot%\System32\emzlqqd.dll
จากนั้นให้ทำการเปลี่ยนชื่อเป็น
%SystemRoot%\System32\emzlqqd.old
3. คลิก OK
ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL
อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 14. ตรวจสอบไฟล์ Autorun.inf บนไดร์ฟทุกไดร์ฟในระบบ ซึ่งโดยทั่วไปไฟล์ Autorun.inf จะมีขนาด 1-2 KB และใช้โปรแกรม Notepad ไฟล์ Autorun.inf ดู โดยไฟล์ที่ถูกต้องจะมีลักษณะดังนี้
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
ขั้นตอนที่ 15. ถ้าไฟล์ Autorun.inf มีลักษณะผิดปกติหรือน่าสงสัย ตัวอย่างเช่น มีการเอ็กซีคิวท์ไฟล์ .exe ให้ทำการลบทิ้ง
ขั้นตอนที่ 16. ทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 17. คอนฟิกให้วินโดวส์แสดงไฟล์ที่ถูกซ่อนไว้ (Hidden files) โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ (ต่อกัน)
Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f


ขั้นตอนที่ 18. ตั้งค่า Show hidden files and folders เพื่อให้แสดงไฟล์ที่ถูกซ่อนไว้ตามขั้นตอนดังนี้
1. ตามพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2 ตัวอย่าง
%systemroot%\System32\emzlqqd.dll
ในหน้าต่าง Windows Explorer ให้เปิดโฟลเดอร์ %systemroot%\System32 หรือโฟลเดอร์ที่มัลแวร์อยู่
2. ในหน้าต่าง Windows Explorer คลิก Tools แล้วคลิก Folder Options
3. ในไดอะล็อกบ็อกซ์ Folder Options คลิกแท็บ View
4. จากนั้นคลิกเลือกเช็คบ็อกซ์ Select the Show hidden files and folders
5. เสร็จแล้วคลิก OK
ขั้นตอนที่ 19. คลิกเลือกไฟล์ DLL
ขั้นตอนที่ 20. แก้ไขเพอร์มิสชันของไฟล์ DLL ให้ทุกคน (Everyone) มีสิทธิ์ Full Control ตามขั้นตอนดังนี้
1. คลิกขวาที่ไฟล์ DLL แล้วคลิก Properties
2. คลิกแท็บ Security
3. คลิก Everyone แล้วคลิกเลือกเช็คบ็อกซ์ Full Control ในคอลัมน์ Allow
4. เสร็จแล้วคลิก OK
ขั้นตอนที่ 21. ทำการลบไฟล์ DLL ของมัลแวร์ ตัวอย่างเช่น ทำการลบไฟล์ %systemroot%\System32\emzlqqd.dll
ขั้นตอนที่ 22. ทำการลบ AT-scheduled tasks ทั้งหมด โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ AT /Delete /Yes
ขั้นตอน ที่ 23. เปิดใช้งานบริการ BITS, Automatic Updates, Error Reporting และWindows Defender โดยใช้ Services Microsoft Management Console (MMC) โดยดูวิธีการตามขั้นตอนที่ 2
ขั้นตอนที่ 24. ทำการดิสเอเบิล Autorun เพื่อป้องกันไม่ให้เครื่องกลับไปติดไวรัสอีก โดยดำเนินการตามขั้นตอนดังนี้
1. ดำเนินการตามข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้งานอยู่
* Windows 2000, Windows XP หรือ Windows Server 2003 ให้ติดตั้งอัพเดท 953252 (http://support.microsoft.com/kb/953252/)
ก่อนทำการดิสเอเบิล Autorun
* Windows Vista หรือ Windows Server 2008 ให้ติดตั้งอัพเดท 950582 (http://support.microsoft.com/kb/950582/)
ก่อนทำการดิสเอเบิล Autorun
**อัพเดท 953252 และ 950582 ไม่เกี่ยวกับมัลแวร์ เป็นอัพเดทสำหรับการแก้ไขการทำงานของ Autorun
2. ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun
/t REG_DWORD /d 0xff /f
ขั้นตอน ที่ 25. ถ้ามีการติดตั้งโปรแกรม Windows Defender ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ เพื่อให้ Windows Defender ทำการสตาร์ทโดยอัตโนมัติพร้อมวินโดวส์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender"
/t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
ขั้นตอนที่ 26. สำหรับผู้ที่ใช้ Windows Vista และ Windows Server 2008 ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์เพื่ออีนาเบิล TCP Receive Window Auto-tuning
netsh interface tcp set global autotuning=normal

Read more »

Monthly Malware Statistics: December 2009

Malicious programs detected on users’ computers

The first Top Twenty lists malicious programs, adware and potentially unwanted programs that were detected and neutralized when accessed for the first time, i.e. by the on-access scanner.

Position Change in position Name Number of infected computers
1 0 Net-Worm.Win32.Kido.ir 265622
2 0 Net-Worm.Win32.Kido.iq 211101
3 0 Net-Worm.Win32.Kido.ih 145364
4 0 Virus.Win32.Sality.aa 143166
5 0 Worm.Win32.FlyStudio.cu 101743
6 New not-a-virus:AdWare.Win32.GamezTar.a 63898
7 -1 not-a-virus:AdWare.Win32.Boran.z 61156
8 -1 Trojan-Downloader.Win32.VB.eql 61022
9 -1 Trojan-Downloader.WMA.GetCodec.s 56364
10 New Trojan.Win32.Swizzor.c 54811
11 New Trojan-GameThief.Win32.Magania.cpct 42676
12 -3 Virus.Win32.Virut.ce 45127
13 -3 Virus.Win32.Induc.a 37132
14 0 Trojan-Dropper.Win32.Flystud.yo 33614
15 3 Packed.Win32.Krap.ag 31544
16 -3 Packed.Win32.Black.a 31340
17 0 Worm.Win32.Mabezat.b 31020
18 -2 Packed.Win32.Klone.bj 28814
19 -7 Packed.Win32.Black.d 28560
20 -5 Worm.Win32.AutoRun.dui 28551

Read more »

virus ที่เจอในบริษัท แก้ยังไงก็ไม่หาย

1 Win32/Sality.NAR virus
2 Win32/VB.NEI worm
3 INF/Autorun.gen trojan
4 Win32/Conficker.AN worm
5 Win32/Sality.NAQ virus
6 Win32/Sality.NAO virus
7 a variant of Win32/Sality virus 10
8 probably unknown NewHeur_PE virus
9 Win32/Conficker worm
10 INF/Autorun virus
11 INF/Conficker worm
12 Win32/PSW.OnLineGames.NMY trojan

Read more »