(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
autorun.exe , Msupdate.exe
CRC32: 818D5CF3
MD5: 367BF350436402C353188D8C47BB3BCA
SHA-1: E3A70BF9B98C4B469148B121FDAA99D9568C71FB
===================================================
other name
a-squared 4.5.0.24 2009.08.24 Worm.Win32.Emold!IK
AhnLab-V3 5.0.0.2 2009.08.23 -
AntiVir 7.9.1.3 2009.08.21 Worm/Agent.24068
Antiy-AVL 2.0.3.7 2009.08.21 -
Authentium 5.1.2.4 2009.08.23 W32/Zbot.I.gen!Eldorado
Avast 4.8.1335.0 2009.08.23 Win32:Rootkit-gen
AVG 8.5.0.406 2009.08.23 SHeur2.ARRA
BitDefender 7.2 2009.08.24 Worm.Generic.76724
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.SDB
ClamAV 0.94.1 2009.08.23 Trojan.Zbot-5327
Comodo 2075 2009.08.24 -
DrWeb 5.0.0.12182 2009.08.24 Trojan.Inject.6008
eSafe 7.0.17.0 2009.08.23 Win32.Hacktool.Rootk
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.23 W32/Zbot.I.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.24 Worm.Win32.Bezopi.p
Fortinet 3.120.0.0 2009.08.24 PossibleThreat
GData 19 2009.08.24 Worm.Generic.76724
Ikarus T3.1.1.68.0 2009.08.24 Worm.Win32.Emold
Jiangmin 11.0.800 2009.08.23 -
K7AntiVirus 7.10.825 2009.08.22 Worm.Win32.Bezopi.p
Kaspersky 7.0.0.125 2009.08.24 Worm.Win32.Bezopi.p
McAfee 5718 2009.08.23 Generic.dx!cgu
McAfee+Artemis 5718 2009.08.23 Generic.dx!cgu
McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Win32.Suspicious.B!89
Microsoft 1.4903 2009.08.23 Worm:Win32/Emold.U
NOD32 4361 2009.08.23 a variant of Win32/AutoRun.FakeAlert.CQ
Norman 6.01.09 2009.08.21 -nProtect 2009.1.8.0 2009.08.23 -
Panda 10.0.0.14 2009.08.23 Generic Worm
PCTools 4.4.2.0 2009.08.23 -
Prevx 3.0 2009.08.24 -
Rising 21.43.62.00 2009.08.24 -
Sophos 4.44.0 2009.08.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.24 Hacktool.Rootkit
TheHacker 6.3.4.3.386 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_EMOLD.AA
VBA32 3.12.10.9 2009.08.24 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.23 Worm.Emold.GO
------------------------------------------------------------------------
เมื่อ virus ทำงาน ได้สร้างไฟล์ดังนี้
C:\windows\msupdate.exe
สร้างไฟล์ ใน USB Drive
X:\autorun.inf
X:\Autorun.exe
ทำการแก้ไข Registry โดย Delete key เกี่ยวกับการ boot เข้า safemode ทำให้เวลาเข้า safemode จะขึ้นหน้าจอ blue screen
HKLM\SYSTEM\ControlSet001\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-------------------------------------------------------------------------
วิธีกำจัด virus : autorun.exe , Msupdate.exe
(Win32/Autorun.FackAlert.CQ : Detect by NOD32)
แบบ Manual
------------------------------------------------------------------------
Download virus Remove Tool
Unlocker ,ExplorerXP, Hijack This , PeeTech_SafemodeRecovery
1. เข้าไปใน C:\windows หาไฟล์ชื่อ msupdate.exe เมื่อพบแล้ว Click ขวาที่ไฟล์ เลือก unlocker จะขึ้นหน้าต่างดังภาพ click ที่ svchost.exe แล้วกดปุ่ม unlocker
จากนั้น delete ไฟล์ msupdate.exe
2. ใช้โปรแกรม ExplorerXP เข้าไป Delete ไฟล์ใน USB Drive คือไฟล์
autorun.inf
autorun.exe
REG:system.ini: UserInit=Userinit.exe,
HKLM\..\Run: [msupdate] msupdate.exe
4. Run โปรแกรม PeeTech_SafemodeRecovery เมื่อเสร็จแล้วเครื่องจะ restart
สุดท้ายให้ติดตั้งโปรแกรม CPE17 หรือ USB Disk security เพื่อป้องกัน virus ที่อาศัย autorunและ Update ฐานข้อมูล virus ให้ใหม่อยู่เสมอ
================== Test by PeeTech =====================
จำนวนครั้งที่ทดสอบ : 2 ครั้ง
ระบบปฏิบัติการที่ใช้ทดสอบ : Windows XP SP2
ไม่มีความคิดเห็น:
แสดงความคิดเห็น