File ที่ใช้ทดสอบ : anti-malware.exe
เมื่อผู้ใช้ internet click link ไปยังที่อยู่ของ malware จะขึ้น popup message ดังภาพ
เมื่อกด OK จะขึ้น Fake Scan page ดังภาพ
และจะขึ้น popup Security warning ดังภาพ
และัจะขึ้น ให้ Download file ดังภาพ
เมื่อ Download มาเรียบร้อยแล้ว หากเรา ติืดตั้งโปรแกรมลงเครื่อง ก็จะเป็นการติดตั้งโปรแกรม
Personal Shield Pro และโปรแกรมต่างๆจะโดน block เปิดใช้งานไม่ได้
หน้าตาโปรแกรม
และโปรแกรม Personal Shield Pro จะทำการเปลี่ยน Desktop wallpaper ด้วยครับ
...
Malware Scan result
...
| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.09.14.00 | 2011.09.14 | - |
| AntiVir | 7.11.14.204 | 2011.09.14 | - |
| Antiy-AVL | 2.0.3.7 | 2011.09.14 | - |
| Avast | 4.8.1351.0 | 2011.09.14 | Win32:MalOb-GV [Cryp] |
| Avast5 | 5.0.677.0 | 2011.09.14 | Win32:MalOb-GV [Cryp] |
| AVG | 10.0.0.1190 | 2011.09.14 | - |
| BitDefender | 7.2 | 2011.09.15 | - |
| ByteHero | 1.0.0.1 | 2011.09.13 | - |
| CAT-QuickHeal | 11.00 | 2011.09.14 | - |
| ClamAV | 0.97.0.0 | 2011.09.14 | - |
| Commtouch | 5.3.2.6 | 2011.09.14 | - |
| Comodo | 10114 | 2011.09.14 | - |
| DrWeb | 5.0.2.03300 | 2011.09.15 | - |
| Emsisoft | 5.1.0.11 | 2011.09.14 | - |
| eSafe | 7.0.17.0 | 2011.09.14 | - |
| eTrust-Vet | 36.1.8561 | 2011.09.14 | - |
| F-Prot | 4.6.2.117 | 2011.09.14 | - |
| F-Secure | 9.0.16440.0 | 2011.09.14 | - |
| Fortinet | 4.3.370.0 | 2011.09.14 | - |
| GData | 22 | 2011.09.14 | Win32:MalOb-GV |
| Ikarus | T3.1.1.107.0 | 2011.09.14 | - |
| Jiangmin | 13.0.900 | 2011.09.14 | - |
| K7AntiVirus | 9.113.5133 | 2011.09.14 | Trojan |
| Kaspersky | 9.0.0.837 | 2011.09.15 | - |
| McAfee | 5.400.0.1158 | 2011.09.14 | - |
| McAfee-GW-Edition | 2010.1D | 2011.09.14 | Heuristic.LooksLike.Trojan.Dropper.B |
| Microsoft | 1.7604 | 2011.09.14 | - |
| NOD32 | 6464 | 2011.09.14 | - |
| Norman | 6.07.11 | 2011.09.14 | - |
| nProtect | 2011-09-14.01 | 2011.09.14 | - |
| Panda | 10.0.3.5 | 2011.09.14 | - |
| PCTools | 8.0.0.5 | 2011.09.15 | - |
| Prevx | 3.0 | 2011.09.15 | - |
| Rising | 23.74.03.03 | 2011.09.09 | - |
| Sophos | 4.69.0 | 2011.09.14 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.09.14 | - |
| Symantec | 20111.2.0.82 | 2011.09.15 | - |
| TheHacker | 6.7.0.1.296 | 2011.09.14 | - |
| TrendMicro | 9.500.0.1008 | 2011.09.14 | - |
| TrendMicro-HouseCall | 9.500.0.1008 | 2011.09.15 | - |
| VBA32 | 3.12.16.4 | 2011.09.14 | BScope.Lipler.075 |
| VIPRE | 10476 | 2011.09.14 | - |
| ViRobot | 2011.9.14.4668 | 2011.09.14 | - |
| VirusBuster | 14.0.212.0 | 2011.09.14 | - |
| MD5: 7b60fd5d5c50e0ff5f7de6118c4e7977 |
| SHA1: ce439d9abf40d1fd431c5fee61456b937cae93f2 |
| SHA256: b74202a8850b7bd29691cbf5f0936b229deeea17b0da789883f558e8d5a6499b |
| File size: 376832 bytes |
| Scan date: 2011-09-14 22:56:32 (UTC) |
****************************************************************************
วิธีกำจัด : Fake Alert : Personal Shield Pro
****************************************************************************
1. Download iExplore.exe แล้ว Run โปรแกรม
2. เปิดโปรแกรม ExplorerXP แล้ว Browse เข้าไป delete file oF22401DlHoF22401.exe ตามนี้
C:\Documents and Settings\All Users\Application Data\oF22401DlHoF22401\
3. ใช้ Hijack This Fix check ที่บรรทัดนี้
O4 - HKCU\..\RunOnce: [oF22401DlHoF22401] C:\Documents and Settings\All Users\Application Data\oF22401DlHoF22401\oF22401DlHoF22401.exe (Random)
Windows 7
O4 - HKCU\..\RunOnce: [dG01610NkOiC01610] C:\ProgramData\dG01610NkOiC01610\dG01610NkOiC01610.exe
หรือใช้ Malwarebytes' Anti-Malware Scan ก็ได้ครับ
หมายเหตุ : ชื่อ folder และชื่อไฟล์อาจเปลี่ยนเป็นชื่ออื่น
ส่วน Windows 7 จะอยู่ C:\ProgramData\
ไม่มีความคิดเห็น:
แสดงความคิดเห็น