(Trojan Zbot +Win32.Ramnit > infection .exe + .dll , htm , html)
MD5 : cb717c90c520627b4b1022538a807f41
SHA1 : 235d9f78138022d92a741e9038c55ede28e8080
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.11.19.00 | 2010.11.18 | - |
| AntiVir | 7.10.14.54 | 2010.11.19 | - |
| Antiy-AVL | 2.0.3.7 | 2010.11.19 | - |
| Avast | 4.8.1351.0 | 2010.11.19 | - |
| Avast5 | 5.0.594.0 | 2010.11.19 | - |
| AVG | 9.0.0.851 | 2010.11.19 | - |
| BitDefender | 7.2 | 2010.11.19 | - |
| CAT-QuickHeal | 11.00 | 2010.11.09 | - |
| ClamAV | 0.96.4.0 | 2010.11.19 | - |
| Command | 5.2.11.5 | 2010.11.19 | - |
| Comodo | 6772 | 2010.11.19 | - |
| DrWeb | 5.0.2.03300 | 2010.11.19 | - |
| eSafe | 7.0.17.0 | 2010.11.18 | - |
| eTrust-Vet | 36.1.7986 | 2010.11.19 | - |
| F-Prot | 4.6.2.117 | 2010.11.19 | - |
| F-Secure | 9.0.16160.0 | 2010.11.19 | - |
| Fortinet | 4.2.254.0 | 2010.11.18 | - |
| GData | 21 | 2010.11.19 | - |
| Ikarus | T3.1.1.90.0 | 2010.11.19 | - |
| Jiangmin | 13.0.900 | 2010.11.19 | - |
| K7AntiVirus | 9.68.3030 | 2010.11.19 | - |
| Kaspersky | 7.0.0.125 | 2010.11.19 | - |
| McAfee | 5.400.0.1158 | 2010.11.19 | - |
| McAfee-GW-Edition | 2010.1C | 2010.11.19 | - |
| Microsoft | 1.6402 | 2010.11.19 | - |
| NOD32 | 5634 | 2010.11.19 | - |
| Norman | 6.06.10 | 2010.11.19 | - |
| nProtect | 2010-11-19.02 | 2010.11.19 | - |
| Panda | 10.0.2.7 | 2010.11.19 | Suspicious file |
| PCTools | 7.0.3.5 | 2010.11.19 | - |
| Prevx | 3.0 | 2010.11.19 | - |
| Rising | 22.74.03.08 | 2010.11.19 | - |
| Sophos | 4.59.0 | 2010.11.19 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.11.19 | - |
| Symantec | 20101.2.0.161 | 2010.11.19 | - |
| TheHacker | 6.7.0.1.086 | 2010.11.18 | - |
| TrendMicro | 9.120.0.1004 | 2010.11.19 | - |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.11.19 | - |
| VBA32 | 3.12.14.2 | 2010.11.19 | - |
| VIPRE | 7352 | 2010.11.19 | - |
| ViRobot | 2010.10.30.4121 | 2010.11.19 | - |
| VirusBuster | 13.6.50.0 | 2010.11.19 | - |
Files added
C:\Program Files\Microsoft\WaterMark.exe
C:\WINDOWS\system32\qtplugin.exe
C:\WINDOWS\Temp\~TMAE.tmp
C:\Documents and Settings\All Users\Documents\Server\hlp.dat
C:\Documents and Settings\All Users\Documents\Server\sphlp.dll
C:\WINDOWS\system32\dmlconf.dat
Random filename (G:\ = USB Drive)
G:\RECYCLER\S-8-3-64-1048448514-4065553481-533076170-7412\AmXrPwdM.exe
G:\RECYCLER\S-8-3-64-1048448514-4065553481-533076170-7412\hOSNkgcG.cpl
G:\Copy of Shortcut to (1).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (2).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (3).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (4).lnk > lnk runner or lnk stater
G:\xxxx.tmp (Running numper) > lnk runner or lnk stater
G:\autorun.inf
Keys added
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\LowRegistry
Values deleted
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR: 0x00000000
Values added
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
RegistryMonitor1: "C:\WINDOWS\system32\qtplugin.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\
RegistryMonitor2: "15508748"
Values modified
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Userinit: "userinit.exe,,c:\program files\microsoft\watermark.exe"
HKLM\SYSTEM\CurrentControlSet\Enum\PCI\VEN_8086&DEV_24C2&SUBSYS_013A1028&REV_01\3&172e68dd&0&E8\Device Parameters\”DetectedLegacyBIOS” = “1″
HKLM\SYSTEM\ControlSet001\Services\sr\Parameters\FirstRun: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters\FirstRun: 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Templates: "C:\WINDOWS\system32\config\systemprofile\Templates"
-----------------------------------------------------------------------
ไวรัสลูกผสมตัวนี้ร้ายนะครับ ติดผ่านทาง USB drive โดยไม่ใช้ช่องทาง autorun.inf แต่เป็นการเจาะผ่าน ทาง .lnk shortcut file ซึ่งเมื่อ Windows Explorer แสดง icon ของไฟล์ .lnk นั้น ไวรัสก็จะทำงานและวิ่งเข้าเครื่องทันทีครับ ตามที่เคยมีรายงานมา่ก่อนหน้านี้แล้ว และที่สำคัญ ไฟล์ .exe และ .dll ของโปรแกรม จะติดไวรัสตัวนี้ และไม่สามารถ clean หรือ repair ได้
ต้อง delete ทิ้ง ชื่อที่ Antivirus รู้จักแล้วคือ Win32.Ramnit
โดย virus จะสร้างไฟล์ autorun.inf และ้ไฟล์แบบ random .exe ไว้ใน recycler ใน USB drive
และสร้างไฟล์ Copy of Shortcut to (1 - 4).lnk
ผมก็เพิ่งเคยทดสอบไวรัสแบบใหม่นี้เป็นตัวแรก หาวิธีแก้อยู่นาน ถึงแม้จะลง antivirus และ update แล้ว Scan เรียบร้อยแ้ล้ว สักพักจะกลับมาเหมือนเดิม เพราะ virus ได้ติดไฟล์ .exe ในระบบไปแล้ว ลองติดตั้ง Avast แล้วใช้ boot time scan ก็ยังกลับมาเหมือน
Avast , ESET , AVIRA นั้นไม่สามารถ repair ไฟล์ที่ติดเชื้อได้
ตัวอย่างดังภาพ
ถ้าลำพัง trojan Zbot นั้นกำจัดได้ไม่ยาก โดยใช้ Zbot killer ของ kaspersky
แต่ว่าเ้จ้า zbot ตัวนี้ได้เปิดประตูหลัง ให้ไวรัส ramnit เข้ามาด้วยทำให้ไฟล์ในเครื่องนามสกุล .exe ,.dll ,.html ติดไวรัสไปด้วย โดยเครื่องที่ติดไวรัสนี้ แล้ว antivirus รู้จักหลังจากติดไปแล้วนั้นแก้ไขได้ลำบาก
ตัวอย่างไวรัส ที่ผม capture ไว้
Trojan Zbot (.exe) + Ramnit(.cpl)
===================================================
วิธีแก้ไวรัส Win32.Ramnit + lnk runner
===================================================
ใช้ Recuse CD (กำจัดได้สะดวกที่สุด) Scan Full harddisk
ตัวอย่างการทดสอบด้วย Dr.WEB
ตัวอย่างการทดสอบด้วย Bitdefender
ส่วน Tool อีก 2 ตัวผม ยังไม่เคย test นะครับ ลองอ่านๆดูเขาว่า สามารถ disinfect ไฟล์ที่ติดเชื้อได้
ใครจะลองดูก็ได้ะนะครับ
Symantec Fix Ramnit
Microsoft Safety Scanner
ข้อแนะนำเพิ่มเติม
หลังจากแก้ virus ramnit ได้แล้ว ควรเข้าไปเปลี่ยน password ของ Acunt พวก facebook ,email และ internet banking ด้วยนะครับ
เพราะ username password virus ramnit จะขโมยไป
เพราะ username password virus ramnit จะขโมยไป
1.ให้ปิด function autorun และปิด system restore
2. ให้ติดตั้ง path
ดู Update path ของ Windows แต่ละรุ่น ได้ตามนี้ครับ ทาง web securitytracker ได้รวบรวมไว้แล้ว
http://securitytracker.com/id?1024216
http://www.securityfocus.com/bid/41732/solution
Option การติดตั้งเพิ่มเติม
3.ติดตั้งโปรแกรม (block ไวรัสที่สร้าง .lnk)
3.1 Sophos Windows Shortcut Exploit Protection Too
หรือ
3.3 ติดตั้ง MicrosoftFixit50486 (disable .LNK and .PIF File ซึ่งถูก exploited โดย Stuxnet Rootkit)
ควรติดตั้งโปรแกรม Freeze ระบบ windows ก็จะเป็นการดี เช่น Returnil (freeware)
ใช้สิทธิระดับต่ำคือ Limit user แ่ทนการ log on ด้วยสิทธิ Admin
Patch ป้องกันการติดเชื้อของไวรัสตัวนี้
- Microsoft Windows Kernel ‘Win32k.sys’ Local Privilege Escalation Vulnerability (CVE-2014-4113)
- Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (CVE-2010-2568)
- Oracle Java SE Remote Code Execution Vulnerability (CVE-2013-1493)
- Oracle Java Runtime Environment Multiple Remote Code Execution Vulnerabilities (CVE-2013-0422)
อันนี้เป็น ramnit version ก่อนหน้านี้
link อื่นๆ
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Ramnit.A
http://storage101.net/?q=content/ramnit-botnet-network-ถูกทำลายแล้ว
http://techdows.com/2010/07/use-microsoft-fix-it-to-disable-lnk-and-pif-file-functionality-exploited-by-stuxnet-rootkit.html
http://techdows.com/2010/07/trend-micros-sysclean-detects-and-removes-stuxnet-malware-exploiting-lnk-shortcut-windows-vulnerability.html
http://techdows.com/2010/07/use-microsoft-fix-it-to-disable-lnk-and-pif-file-functionality-exploited-by-stuxnet-rootkit.html
http://storage101.net/?q=content/ramnit-botnet-network-ถูกทำลายแล้ว
http://techdows.com/2010/07/use-microsoft-fix-it-to-disable-lnk-and-pif-file-functionality-exploited-by-stuxnet-rootkit.html
http://techdows.com/2010/07/trend-micros-sysclean-detects-and-removes-stuxnet-malware-exploiting-lnk-shortcut-windows-vulnerability.html
http://techdows.com/2010/07/use-microsoft-fix-it-to-disable-lnk-and-pif-file-functionality-exploited-by-stuxnet-rootkit.html
Simply superb blog! this is my first visit and have bookmarked for future..please keep updating
ตอบลบSecurity Guard CV
โดน Trojan Zbot +Win32.Ramnit > infection .exe + .dll , htm , html)
ตอบลบลง win ใหม่ก็ไม่หายครับทำไงดี
ขออภัยอย่างสูงครับ ที่ตอบล่าช้า เนื่องจาก post ของคุณ idtipon ไปอยู่ใน Spam ผมก็ลืมดู
ตอบลบการที่ลง windows ใหม่แล้วไม่หาย อาจเกิดจาก ไฟล์ที่นำมาติดตั้ง อาจติด ไวรัส ramnit ไปก่อนหน้านี้แล้วก็ได้ครับ พอเวลา เราเอาไฟล์โปรแกรมที่ติดไวรัส Ramnit มาติดตั้ง เช่น ติดตั้ง driver ซึี่ง Driver อาจจะเก็บไว้ใน drive D และติดไวรัส ramnit อยู่แต่เราไม่รู้ จึงติดตั้ง driver ไป ไวรัส Ramnit ก็จะำทำงานทันที หลังจากนั้นพอเราลง antivirus และ update จึงพบว่ามีไวรัส Ramnit ติดไฟล์ที่อยู่ในเครื่องเป็นจำนวนมาก และทำให้ไม่สามารถลบได้หมด
วิธีแก้ คือ อย่างที่บอกครับ ใช้ Rescue CD ของ Kaspersky โดย Scan Harddisk ทั้งลูกเลยครับ อย่า Scan เฉพาะ drive C อย่างเดียว
เมื่อ Scan เรียบร้อยแล้ว ถึงค่อยลง Anti virus ตามลงไป
หรือถ้า ลง windows ใหม่ ก็ให้ลงจากแผ่น หรือจากไฟล์ที่เราเคย Ghost (ก่อนหน้าที่จะติดไวรัส) พวก Driver ต่างๆก็ควรติดตั้งจากแผ่นเช่นกันครับ
เวลาติดตั้งโปรแกรมต่างๆ ไม่แนะนำให้เสียบ USB Drive นะครับ เพราะอาจติดไวรัส Ramnit ซ้ำรอยเดิมได้ครับ ถ้าจะเสียบก็ต้องลง antivirus และ updat ใ้ห้เรียบร้อยก่อนครับ
และเพื่อป้องกันระบบ Windows ของเรา ในระยะยาว ผมแนะนำให้ติดตั้งโปรแกรม Returnil เพิ่มเิติมหลังจาก ลง Windows เพราะจะช่วยให้เราปลอดภัยจากไวรัสประเภทนี้ได้ดีมากๆ
ขอ โทษนะครับ ผม อาจจะ พูด แรงไป
ตอบลบแต่ขอ พิมพ์ เพื่อ คนที่ โดน ณ ปัญจุบัน
ก็อย่างเคือง ผมละกันนะ จ๊ะ (ดักไว้ก่อน)
ทำไมพวกคุณต้อง ทำเรื่องง่ายให้เป็น เรื่องอยากๆ
ไว้ รัส มันเหมือน กระปิ นั้นแหละครับ บางที่มันเหม็น
แต่มัน อร่อย (อาจจะสำหรับบางคน)
วิธีโคตร ง่าย สำหรับ ไวรัส หลายๆตัว (แทบทั้งหมดแต่ไม่หมด)
(แก้ให้ลูกค้ามาเยอะ แลกเงิน สองสามร้อยในเวลา สองนาที)
โทษที่ครับอาจจะดูหน้า เลือดไปหน่อย แต่ค่าเช่ามันแพง 555+
เข้าเรื่อง
คุณ เคยใช้ hiren boot cd ไหม
ถ้าไม่เคยไป หาซื้อ หรือ หาอ่านใน google
แผ่นละ ร้อยกว่าบาท ซื้อ ตามร้าน ขาย software ก๊อปปี้ นะมีขาย
ถ้ามีความรู้ เขียนแผ่นหรือโหลด ก็หา โหลด เอา แล้วเขียนใสแผ่น
หรือ แฟสไดร์ฟเอา เร็วและง่าย
บูตจากแผ่น
บูตตอนเปิดเครืองนะ เหมือนลงวินโดว์นั่นแหละไม่อยากๆ
เข้า mini window (คุณต้องมีความรู้ นิด1 มันก็พอๆกับลงwindow นั้นแหละ เพราะ งั้นคุณก็มีได้)
พอเข้า win mini อาจจะ winmini xp vista win7
ก็เหมือนกัน อาจจะงง อันนี้ หมาย ถึง
winmini มีทั้ง แบบ xp vista win7
พอเข้าไปหน้า winmini ก็ดูพาทิชั่นเรามีไดร์ฟไหนบ้าง
c d e f หรือ ห่า เหว อะไร ก็ว่า กันไป เข้าไป แล้ว ดูแต่ละ พาทิชั่นเลย
ว่ามีโฟเดอร์ RECYCLER ไหม เจอก็ลบให้หมด
อะ ถ้า คุณบอก มันอยู่ใน แฟสไดรฟ์ คุณก็เสียบ แฟส ไดร์ฟไป
หาโฟเดอร์ RECYCLER ลบ ก็เหมือนกัน (คุณตามลบทุกไดร์ฟที่คุณมีนะ)
ง่ายๆ รีเครือง เข้า window อีไวรัส ที่คุณว่า แก้ อยาก เย็นอะไรนั่น ก็หมดไปละ ลองกันดูละกัน
ส่วนไอ้ hirenboot cd นั่น หาซื้อเลยถูกและง่าย ใช้ได้บ่อย ในทุกกรณี
แผ่นนั้นอันเดียว แก้ได้หมดแหละ อยู่ที่คุณใช้มันเป็นไหม
เยอะแยะ
อืมม....
ตอบลบขอคุณครับ ที่แสดงความคิดเห็น
แต่การกำจัดไวรัสมันไม่ได้ง่ายขนาดนั้นครับ
และที่ทำ blog เกี่ยวกับปัญหาไวรัส ก็เพื่อกรณีศึกษาครับ
ให้ได้ลองศึกษาการทำงานของไวรัส ไวรัสตัวใหม่ๆใช้วิธีอะไร แบบไหน
สร้างอะไร แก้ไขระบบอะไรไปบ้าง ป้องกันอย่างไร แก้อย่างไร ครับ
thx มากก ๆ เป็นเหมือนกันไวรัสตัวนี้
ตอบลบขอบคุณ blog ดีดีแบบนี้จ้าา :))))
ขอบคุณมากครับสำหรับความรู้
ตอบลบผมคิดว่าคุณ Kong Kao kao ไปสร้างบล็อกเพื่ออวดเก่งดีกว่าครับ :D
เขาทำเพื่อให้คนที่ไม่รู้ทำตาม ไม่ใช่ให้คนรู้แล้วมาอวดเก่งแต่ไม่ยอมแบ่งปันครับ
อ้างอิงจากคุณ Kong kao kao ครับ ผมมอบให้คุณเลย
"ขอ โทษนะครับ ผม อาจจะ พูด แรงไป
ก็อย่างเคือง ผมละกันนะ จ๊ะ (ดักไว้ก่อน)"
อยากกดไลค์สักสองร้อยไลค์
ลบอยากกดไลค์สักสองจุดสองล้านล้านไลค์
ลบแก้ได้แล้วครับ ตามวิธีที่คุณ PeeTech บอกครับ ผมใช้ Kaspersky Rescue disk 10 บูตระบบKaspersky ลีนุกซ์ สแกนทั้งลูก และต้องเอา อุปกรณ์อื่นๆที่เคยต่อพวง กำชับนะครับทุกอย่าง มือถือ ทัมไดร์ เมมกล้อง อะไรก็ตาม สเกนให้หมด อย่าให้เหลือ ถ้ามีไฟล์หลงเหลือ สักตัว ก็ต้องเริ่มใหม่ และก็ต้องลงวินโดว์ใหม่ ครับ เพราะมีไฟล์เสียหายอย่างแน่นอน
ตอบลบส่วนวิธีที่คุณ Kong Kao kao แจ้งไว้ ไม่เป็นผลสำเร็จครับ เพราะไวรัสตัวนี้จะวิ่งจับ ไฟล์.exe .html .dll ที่มีการรัน โดนเฉพาะ เมื่อเวลาคุณเรียกใช้โปรแกรม อะไรก็ตาม จะติดไวรัสทันที สังเกตุ แม้แต่ไฟล์ระบบของวินโดว์เอง และยิ่ง มีแอนตี้ ยิ่งทำให้ติดกันยกใหญ่ เมื่อติดไวรัสแล้ว แอนตี้ไปสเกน ก็เท่ากับเรียก.exe .html .dll ขึ้นมา จึงทำให้ ติดทันที และนไฟล์ติดตั้งโปรแกรม อะไรก็ตามที่คุณมี และเคยต่อพวงกับคอมที่ติดไวรัส ก็เรียบร้อยหมด ผมสเกน hdd ex ลบเกลี้ยงเลยครับเพราะติดเชื้อหมด เรียกว่า ล้างบาง เริ่มกันใหม่ หากคุณฝืนลงโปรแกรมที่ติดไวรัสแล้ว ก็จะทำให้ระบบทั้งระบบ ติดทันที่ ไวรัสตัวนี้แก้ไม่ยากหากรู้วิธีแล้ว เน้นว่าต้องสะอาด ปลอดเชื้อจริง แม้นแต่ .html ไฟล์เดียวก็ไม่ได้ ...
ขอบคุณ ขอบคุณ ขอบคุณ ที่สุดค่ะ
ตอบลบขอบคุณครับ
ตอบลบ