Virus.Win32.Sality
[Technical Zone] : 12 กันยายน 2555
ชื่อ: Virus.Win32.Salityประเภท: Virus
ชนิด: Malware
แพลตฟอร์ม: W32 Windows
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Win32/Sality.aa …..xx
การทำงานของไวรัส
*มันจะ้เข้าไปทำให้ Firewall เราไม่ทำงาน
*ไวรัสตัวนี้จะจำลองตัวเอง โดยการค้นหา drives ทุกๆ drive หรือใน เน็ตเวิร์ค มันจะเข้าไปแตกไฟล์ .exe และแฝงตัวโดยเพิ่มบางส่วนเข้าไปในไฟล์ .exe นั้น เมื่อเรามีการ run ไฟล์ .exe ขึ้นมาตามปกติ เจ้าไวรัสตัวนี้มันก็จะถูกเปิดขึ้นมาด้วย เพราะระบบจะบอกเป็นโปรแกรมพื้นฐานที่เราต้องเปิด
* ไวรัสมันจะมาแก้ไข registry ลองสำรวจดู ว่าใน run มีอะไรแปลกปลอมหรือเปล่า
*ฉะนั้นจากข้างต้น ไวรัสจะถูกเข้าถึงทุึกครั้งที่เครื่องเรา start ขึ้นมา
* และมันจะแพร่กระจายไปตาม Flash Drive, Thumb Drive แล้วแต่จะเรียก มันจะเข้าไปแล้ว copy ตัวเองแฝงไว้ที่ directory แรก นั่นคือเปิดไปก็เจอเลย โดยมันจะ "สุ่ม ชื่อ" (หาใน google ยังไงก็ไม่เจอ) ที่มีนามสกุล ดังนี้ .exe.pif.cmd
* จากนั้นก็ทำการฝัง autorun.inf เข้าไปด้วย
* เมื่อเอา flash drive ไปเสียบ ที่ไหน ไวรัสมันก็จะ run ทันที
* มันจะลบไฟล์พวก *.vdb*.avc*drw*.key
* และมันยังไปสั่งไม่ให้โปรแกรมพวกanti virus ทำงานครับ
อาการหลักๆเมื่อติดไวรัส
1. task manager เปิดไม่ได้ หรือหายไป
2. ติดตั้งโปรแกรม antivirus ไม่ได้ รันโปรแกรมเพื่อติดตั้ง แล้วหายไป
3. รันโปรแกรมอะไรก็ตามเปิดมาจะโดนปิดอัตโนมัติ
4. เครื่องช้าผิดปรกติ
การแก้ไข
1.โหลดไฟล์ช่วยหยุดไวรัสมาก่อน SALITY KILLER.ZIP
http://support.kaspersky.com/viruses/disinfection/1874#block2
ข้อควรจำนะครับหลังจากโหลดไฟล์เสร็จแล้วไม่ต้อง คลายออกมาจาก Zip คลายออกปุ๊บโดนมันเกาะปั๊บแน่ๆให้เปิดไฟล์ salitykiller ในไฟล์ zip แล้วโปรแกรม salitykiller จะทำการสแกนและหยุดไวรัส Sality ครับ รอจนเสร็จ ด้านล่างคือตัวอย่างการรันโปรแกรม
สแกนจอเสร็จจะขึ้น press any key to
continue กดปุ่มใดๆเพื่อปิดโปรแกรม แล้วรีบูตเครื่องเพื่อติดตั้งโปรแกรม
antivirus ต่อไป และถ้าติดตั้งโปรแกรมเรียบร้อยแล้วให้สแกนด้วยโปรแกรม
antivirus ที update เป็นปัจจุบันแล้ว อีกที
ไม่มีความคิดเห็น:
แสดงความคิดเห็น