ร่วมเสนอความคิดเห็น

หัวข้อกระทู้ : มาทำความรู้จัก Trojan.Peacomm ตัวป่วนคอมพิวเตอร์



(D)
มาทำความรู้จัก Trojan.Peacomm


Trojan.Peacomm เป็นม้าโทรจันที่ถูกปล่อยโดยหนอนอินเทอร์เน็ตชื่อ WORM_NUWAR.CQ [Trend Micro] ซึ่งอาจถูกดาวน์โหลดจากเว็บไซต์ที่ประสงค์ร้ายโดยไม่ ได้ตั้งใจหรือด้วยความเข้าใจผิด
นอกจากนี้ม้าโทรจันยังถูกแนบมาพร้อมกับอีเมลสแปมได้ด ้วย
ไฟล์ของม้าโทรจันนั้นมีความสามารถของรูทคิท (Rootkit) กล่าวคือม้าโทรจันนั้นสามารถซ่อนไฟล์และฝังโพรเซสของ ตัวเองไว้ในโพรเซสของ services.exe ส่งผลให้ตรวจจับได้ยากมากขึ้น และม้าโทรจันเองจะหลอกล่อให้ผู้ใช้ทำการติดตั้งด้วยว ิธีเดียวกันกับการติดตั้งไดร์เวอร์อุปกรณ์ใหม่ภายในเ ครื่อง
ความสามารถด้านระบบเครือข่ายของม้าโทรจันนี้คือสามาร ถดาวน์โหลดม้าโทรจันชนิดอื่นจากเว็บไซต์ต่างๆ รวมทั้งการส่งแพ็กเก็ตแบบ UDP ไปยังเครื่องที่ถูกม้าโทรจันนี้คุกคาม เพื่อใช้ประโยชน์ในการแพร่กระจายตัวโทรจันเอง
ลักษณะของอีเมลมีดังนี้

หัวข้ออีเมล * A killer at 11, he's free at 21 and kill again!
* U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
* British Muslims Genocide
* Naked teens attack home director.
* 230 dead as storm batters Europe.
* Re: Your text
* Radical Muslim drinking enemies's blood.
* Chinese missile shot down Russian satellite
* Chinese missile shot down Russian aircraft
* Chinese missile shot down USA aircraft
* Chinese missile shot down USA satellite
* Russian missile shot down USA aircraft
* Russian missile shot down USA satellite
* Russian missile shot down Chinese aircraft
* Russian missile shot down Chinese satellite
* Saddam Hussein safe and sound!
* Saddam Hussein alive!
* Venezuelan leader: "Let's the War beginning".
* Fidel Castro dead.
ไฟล์ที่แนบมากับอีเมล * FullVideo.exe
* Full Story.exe
* Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
* MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
* ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
* FullNews.exe

ตัวอย่างอีเมลที่หนอนชนิดนี้ส่งออกมา

โดยคุณ psvtheewarat (1.7K)(1)   [พ. 24 ก.พ. 2553 - 20:09 น.]


โดยคุณ psvtheewarat (1.7K)(1)   [พ. 24 ก.พ. 2553 - 20:10 น.] #1056285 (1/15)
วิธีกำจัดหนอนชนิดนี้
การกำจัดหนอนแบบอัตโนมัติ (หมายเหตุ เนื่องจากม้าโทรจันชนิดนี้เป็นรูทคิทด้วย ดังนั้นจึงต้องทำการลบรูทคิทออกก่อน)

ดาวน์โหลดโปรแกรมกำจัดรูทคิทที่ชื่อ Trend Micro Rootkit Bluster ( http://www.trendmicro.com/ftp/produc...rv1.6-1049.zip) จากนั้นทำการแตกไฟล์บีบอัด พร้อมกับเอ็กซิคิวต์
กดปุ่ม Scan ในหน้าต่างหลักของโปรแกรมที่ดาวน์โหลดได้จากข้อ 1. เพื่อเริ่มทำการค้นหารูทคิทที่แอบฝังในเครื่อง
เลือกไฟล์ดังต่อไปนี้ โดยการกดปุ่ม Shift ที่คีย์บอร์ดค้างไว้แล้วใช้เม้าส์คลิ๊กเลือกที่โปรแก รม
PEERS.INI
WINCOM32
WINCOM32.INI
WINCOM32.SYS
จากนั้นกดปุ่ม Delete Selected Items เมื่อเสร็จสิ้นกระบวนการกำจัดรูทคิทแล้วจะปรากฏไดอะล ็อกเพื่อถามให้รีสตาร์ทเครื่อง ในขั้นนี้ให้ตอบ Yes
เริ่มต้นส่วนของการกำจัดไฟล์ของม้าโทรจันด้วยการดาวน ์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 5.
ตัดการเชื่อมต่อเครือข่าย
หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกน อีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไ วรัส
วิธีป้องกันตัวเองจากหนอนชนิดนี้
ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้ จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ด ังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เส มอ
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมง าน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันต ัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

โดยคุณ aragon_ttt (5K)  [พ. 24 ก.พ. 2553 - 20:15 น.] #1056296 (2/15)
ขอบคุณครับ


โดยคุณ p_sak (662)  [พ. 24 ก.พ. 2553 - 20:23 น.] #1056311 (3/15)
เจ้าตัวนี้แหละครับ ชอบอยู่ตามเวปใต้ดิน พอติดเมื่อไหร่ ผมต้องฟรอแมท เครื่องทิ้งทุกที
ขอบคุณสำหรับการแก้ไข เวลาติดจะได้ไม่ต้องฟรอแมทวินโดร์ครับ อิอิอๆ

โดยคุณ jungjung (1.3K)  [พ. 24 ก.พ. 2553 - 20:36 น.] #1056325 (4/15)
จะรู้ได้อย่างไรว่าเครื่องเราติดมาแล้วครับ

โดยคุณ CHOK77 (1.6K)  [พ. 24 ก.พ. 2553 - 20:40 น.] #1056333 (5/15)
ผมกำลังโดน.......อยู่เลยครับพี่ psvtheewarat

ทำไงดีอ่ะ.....................


โดยคุณ psvtheewarat (1.7K)(1)   [พ. 24 ก.พ. 2553 - 20:43 น.] #1056341 (6/15)
ดาวน์โหลดโปรแกรมกำจัดรูทคิทที่ชื่อ Trend Micro Rootkit Bluster ( http://www.trendmicro.com/ftp/produc...rv1.6-1049.zip) แล้ว ก็ทำตาม ขั้น ตอน ข้าบลเลย ครับ แก้ ง่าย นิดเดี่ยว อย่าปล่อยให้ มัน ลอยนวนอยู่ในเครื่องเรา

โดยคุณ poppoomi (401)  [พ. 24 ก.พ. 2553 - 20:44 น.] #1056346 (7/15)
โดยคุณ CHOK77 [ดูรายการทั้งหมดของผู้ตั้งประมูล] (118.173.239.*) [24 Feb 2010 20:40] #1056333 (5/5)
ผมกำลังโดน.......อยู่เลยครับพี่ psvtheewarat

ทำไงดีอ่ะ.....................

****************************************

คุณโชคไม่ต้องทำไรครับ เพราะเดี๋ยวก็โดนอีก เพราะเปิดเวป ทริปเปิ้ลเอ็กซ์ บ่อย

โดยคุณ CHOK77 (1.6K)  [พ. 24 ก.พ. 2553 - 21:03 น.] #1056403 (8/15)
แหม.....................ป่า...............ป็อบ..............ก็ใครเอามาให้ล่ะ

....................เว็บนี้อ่ะๆๆๆๆๆๆๆๆๆๆๆๆ......................

โดยคุณ CHOK77 (1.6K)  [พ. 24 ก.พ. 2553 - 21:05 น.] #1056416 (9/15)
ผมเข้า..............( http://www.trendmicro.com/ftp/produc...rv1.6-1049.zip)

ไม่ใด้อ่ะครับพี่............psvtheewarat.................

โดยคุณ benz127 (64)(1)   [พ. 24 ก.พ. 2553 - 21:32 น.] #1056475 (10/15)

โดยคุณ pusit (1.7K)  [พ. 24 ก.พ. 2553 - 22:05 น.] #1056529 (11/15)


(D)
ยอดเยี่ยมครับอาจารย์กุ๊บ

โดยคุณ toei89 (625)  [พฤ. 25 ก.พ. 2553 - 00:42 น.] #1056796 (12/15)

โดยคุณ คนสุพรรณฯ (6)  [พฤ. 25 ก.พ. 2553 - 05:26 น.] #1056865 (13/15)


(D)

โดยคุณ BCC-106 (434)  [พฤ. 25 ก.พ. 2553 - 07:06 น.] #1056925 (14/15)
ขอบคุณครับ

โดยคุณ psvtheewarat (1.7K)(1)   [พฤ. 25 ก.พ. 2553 - 12:42 น.] #1057298 (15/15)
นั้น ต้อง ลอง ตรงนี้ ครับ โหลด เลย แล้ว ทำ ขั้น ตอนต่อไปได้เลย http://www.acfs.go.th/csc/download/program/RootkitBusterv1.6-1049.zip

!!!! กรุณา Login ก่อนจึงจะเสนอความคิดเห็นได้ !!!

Copyright ©G-PRA.COM
www1