ขอขอบคุณรูปไวรัสระยะสุดท้ายก่อนอวสานของเครื่อง
ที่โดนHacked by 1 byte{No virus No work No money}
จากคุณmailto:paew1967@yahoo.com
ที่มา
เดิมตอนผม อยุ่ มอ.ได้ยินเค้าติด Hack by 1 Byte เห็นเพื่อนบอกว่าร้ายมาก มีเพื่อนมาบอกอีกว่า เค้าเผลอเปิดมันขึ้นมา ติดเครื่อง เค้าฟอร์แมท เลย เพราะแก้ไม่ออก ทำแบบเดียวกับ Godzilla ไม่ได้ แต่ผมก้อยังไม่รู้ร้อนอะไร ก็ทำไมตูไม่โดนอ่ะ แต่พอผมกลับบ้านไปที่นครศรีธรรมราช ลุงมารับไปที่สถานี ผมเห็นเลยครับ hack by 1 byte บน ie แต่ ไม่ใช่ 1 byte ธรรมดา มันมีพ่วง { No virus No work No Money } ไม่มีไวรัส ไม่มีงาน ไม่มีเงิน ฟังๆแล้ว เหมือนกับว่า คนเขียนWorm ได้เขียนWormตัวนี้เพื่อ เงิน งานของเค้าคงเขียนไวรัสประมาณนั้น
พอผมกลับถึงบ้าน ร้านเครื่องเขียนก้อโดน เค้าล้างเครื่องไปเลยครับ เห็นเค้าบอกว่า ตอนสุดท้ายที่เห็น เป็นรูปหัวกะโหลก แล้วเครื่องดับไปเลย ข้อมูลหายหมด หลังจากนั้นก็ทำใจ เมื่อมันบุกถึงบ้านเกิดผม ผมกลับบ้านคราวนั้นเลยหมกมุ่น ที่จะฆ่าตัวนี้ให้ได้ คิดกันคืนนั้นเลยครับ ผมเริ่มค้นหาคำสั่ง dos เพราะใช้ไม่ค่อยเป็นเท่าไหร่ โดยศึกษาจาก Help ใน windows นี่แหละครับ ก็ทำด้วยความเจ็บใจครับ เริ่มจากไปเสียบ เครื่องที่มีWorm แล้วเก็บมาดู ทดสอบเครื่องเอง แล้วดูว่ามันทำอะไรบ้าง แล้วแก้ มันทีละอย่างครับ
สำหรับตัวแก้ตัวนี้ ทดสอบมาแล้วนะครับ จากเครื่องที่บ้าน รวมทั้งหมด ประมาณ 4 เครื่อง hack by 1 byrte { No Virus No work No money } ย้ำนะครับว่า 4 เครื่อง จริงๆ และก็แก้ได้เฉพาะตัวนี้เท่านั้น นานๆคงจะเจอที
ทำไมถึงเรียกว่า worm ไม่เรียกว่า virus
เพราะไวรัส เป็นการแพร่กระจายแบบ ติดเชื้อไปยังไฟล์ต่างๆ แต่ไฟล์นั้นก็ยังใช้งานได้ เพียงแต่มีไวรัสแฝง ไปด้วย แต่ worm เป็นไฟล์wormเพียวๆ ไม่ได้แฝง หรือ เกาะไปกับไฟล์ใด ๆ มันเป็นตัวของมันเอง ไม่ได้เกาะแกะกับใคร
Worm ตัวนี้ทำงานยังไงบ้าง ?
อาการที่เห็นชัดๆ เมื่อไฟล์โดนทำลายแล้ว
เนื่องจากไฟล์ระบบเสียหาย ดังนั้น Windows ร้องขอแผ่น CD WINDOWS XP เพื่อติดตั้ง ใหม่ ขึ้นมาเรื่อยๆจนไม่ต้องทำอะไรเลยครับ
- คลิกขวาที่ไดรฟ์ แล้วมีตัวหนาเป็นคำว่า Auto
- เนื่องจากคล้ายๆกับ Godzilla และ Hacked by 1 byte เปลี่ยน IE Title เป็น Hacked by 1 byte { No Virus No work No money }
- มีการลบไฟล์ระบบ เหล่านี้ทิ้ง แล้วแทนที่ด้วยตัว Worm ทั้งหมด winlogon.exe csrss.exe cmd.exe smss.exe regedit.exe msconfig.exe taskmgr.exe rstui.exe lsass.exe
- เนื่องจากWormไปแทนที่ไฟล์ระบบแล้วดังนั้น จึงใช้ Task Manager ไม่ได้ Registry Editer ไม่ได้ Msconfig ไม่ได้ เปิด command prompt SystemRestore ไม่ได้
- winlogon csrss srmss.exe เป็นไฟล์ที่ระบบต้องใช้ทุกครั้ง ตอนเริ่มต้น windows ดังนั้นไวรัส ไม่จำเป็นต้องไปสร้าง register เพื่อ run ตัวเองตอนเปิดเครื่อง
- ขั้นสุดท้ายจะเป็น หัวกะโหลก ให้ดูเพื่อความสะใจ และแล้วข้อมูลที่เคยมีก็อันตระทาน(เขียนถูกป่าว ..?)หายไป
อาการจากคุณ ไม่แสดงตน เมื่อ 19 เม.ย.50
อาการติด Hacked by .. นี้เป็นอยู่ประมาณ 3 วันค่ะ ระหว่างนั้นก็ยังพอเปิดเครื่องทำงานกับอพยพข้อมูลหนีภัยไปได้เรื่อยๆ เพราะคิดว่าต้องล้างเครื่องแน่ๆ ไม่แน่ใจว่าของคนอื่นจะเป็นอย่างไร แต่เครื่องเรามันไม่ขึ้นกระโหลกไขว้ทันทีทันควัน มีการยืดเวลาตายให้หน่อย
จนประมาณ 3 วันผ่านไป เปิดเครื่องมากะว่าจะลองใช้โปรแกรมแก้อีกรอบ คราวนี้มาเลยค่ะ อยู่ๆ ไอค่อนต่างๆที่อยู่บนหน้าจอก็วูบหาย เพิ่งจะเห็นกะตาตัวเองก็คราวนี้ไอ้ที่เขาเรียกๆกันว่า หายไปกะตา หรือ หายไปในพริบตา มันเป็นอย่างไร ใจหายวาบ สิ่งแรกที่ทำคือลองคลิกไดรฟ์ D เช็คว่าที่โกยๆไปเก็บเหมือนห้องเก็ยของนั้นอยู่บ้างหรือเปล่า
สิ่งที่เห็นก็คือ 0 byte .... ล้มทั้งยืน
แถมหน้าจอยังขึ้นกระโหลกไขว้กระพริบปิ๊บๆๆๆๆ และแล้ว ก็ทำอะไรไม่ได้อีกเลย
จนในที่สุดก็เลยแบกหลบน้ำสงกรานต์ไปให้เพื่อนช่วยดูให้ ซึ่งข่าวดีก็คือ แม้จะเห็นว่ามัน 0 byte แต่พอเอาโปรแกรมกู้ไฟล์มาช่วย (easy recovery) มากู้ ก็เก็ยกลับมาได้หมดแล้วค่ะ
อย่างที่ได้เล่าเหตุการณ์ข้างต้น เห้นได้ว่า ผมไม่ได้เจอด้วยตัวเอง และ หัวกะโหลกนั่น ผมก็ไม่เคยเห้น ฟังเค้าบอกเล่ามา สำหรับคนที่โดนจริงๆ หรือว่าโดนหัวกะโหลกแล้ว เอาไปใช้ดู ว่าได้ผลอย่างไรบ้าง แต่โดยสมมติฐานตามคำบอกเล่า ถ้าขึ้นหัวกะโหลกแล้วน่าจะไม่ได้ผล เพราะเค้าบอกว่า ไฟล์หายหมด
ไฟล์ที่จะติดไปกับ Flash Drive มีอะไรบ้าง ?
แน่นอน autorun.inf แต่จะงงนิดๆ พอเปิดดูเข้าไป กลับไม่มีข้อความใดๆ ในไฟล์เลย เพราะเจ้าไฟล์นี่แหละครับ ที่จะทำให้มี คำว่า auto ตอนคลิกขวาที่ไดรฟ์ และWorm ได้ใช้ ไฟล์ระบบ ในการ รันตัวเองบน Registry แล้ว จึงไม่ต้องใช้ โปรเซส wscript.exe แต่อย่างใด
winlogon.exe นี่เป็นWormครับ
การลบ Worm ที่ติดไปกับ Flash Drive
ต้องใช้กับเครื่องปกติ เพียวๆ ที่ไม่โดน Virus หรือ Worm
แสดงไฟล์ System ไปที่ Tools-> Folder Options ->Tab View ->เลือก Show Hidden File and Folder และเอากาถูก หน้า Hide Protected Operating System..... ออก แต่ถ้าขี้เกียจทำหรือ ทำไม่ถูก ผมได้ทำเครื่องมือแสดงไฟล์ไว้แล้วครับ ดูที่นี่ครับ http://kill-virus.blogspot.com/2007/04/system-file.html
ไฟล์ Worm ก็จะแสดงออกมา ให้ลบไฟล์ autorun.inf และ winlogon.exe หรือ handydriver.exe ออก โดย Shift+Del ไปเลยก็ได้
เมื่อโดนหัวกะโหลกแล้วชะตากรรมคอมพิวเตอร์ของคุณจะเป็นอย่างไร
จากที่ผมได้ศึกษาจาก HDD ที่เสียท่าให้กับเจ้า Worm ตัวนี้โดยสุดท้ายเป็นรูปหัวกะโหลกนั้น ตอนนี้ก็ได้รวบรวมข้อมูลจากผู้เสียหายหลายท่านผลปรากฎออกมาแบบน่าเสียใจดังนี้1.เครื่องคอมพิวเตอร์ไม่สามารถ Boot เข้าสู่ Windows ได้ จะปรากฎเป็นหน้าจอมืดๆ หรือเครื่อง Restart ไม่ยอมหยุด2.เข้า SafeMode ไม่ได้ จะแก้ไขอะไรก็ไม่ได้3.ข้อมูลทุกไดรฟ์ที่ไม่ใช่ไดรฟ์ C : จะโดนลบหายเกลี้ยง แม้กระทั่ง Map Network Drive (อ้างอิงจากคุณ com07) หากมี Map Drive เจ้า Worm ตัวนี้ก็จะเข้าไปในเครื่องอื่นๆ ในระบบLan ด้วย หลังโดนหัวกะโหลกข้อมูลจะหายคงเหลือไว้เพียงเจ้า Worm ตัวแสบไว้ให้เห็นต่างหน้า
วิธีการแก้ไขหลังโดนหัวกะโหลกที่น่าจะทำได้คือ
ทำใจก่อนแล้วลองทำครับ
1.ใช้โปรแกรม Rocovery HDD ดูครับเผื่อช่วยได้บ้างซึ่งมีหลายโปรแกรมเลยทีเดียว หากได้ข้อมูลแล้วก็ Backup ไว้ทันที
2.ลง Windows ใหม่ใน Drive C: ง่ายสุด เพราะผมดูไฟล์ที่เสียหายแล้ว ลงใหม่ง่ายกว่าครับ
3.แนะนำโปรแกรม Rocovery ครับ
มาดู SourceCode แบบพื้นๆของมันก่อนว่ามันทำอะไรบ้าง
Method ที่ผมศึกษาจากไฟล์ Worm ที่พอเห็นได้พอจะมีคร่าวๆดังนี้ครับ
1.DeleteAnyFile ( แค่ชื่อก็หนาวแล้ว เพราะ สั่งให้ลบทุกไฟล์เลยครับ )
2.DestroyFile ( ทำลาย ไฟล์ )
3.miniCommand
4.Controlmornitor
5.frmBlack frmRed frmBlue frmGrey น่าจะเป็นตัวแสดงการกระพริบ หรือ พื้นหลังของหัวกะโหลก
6.frmSkull ( น่าจะใช้สำหรับแสดง หัวกะโหลกให้ดูครับ )
7.frmFreeze แช่แข็งเอาไว้
8.Regedit ( ตัวจัดการ Registry )
9.SpreadToRemove Drive ลบไดรฟ์
10.mainProcess
11.Joker
12.Project 1
สาเหตุที่ Boot Windows ไม่ได้
ไฟล์สำคัญในการเริ่มต้นของระบบโดนลบ เช่น
1.NTDETECT.COM
2.COMMAND.COM
3.IO.SYS
4.BOOT.INI
และน่าจะมีไฟล์อื่นอีกในตระกูล INF เช่น biosinfo.infใครเป็นคนสร้าง Worm ตัวนี้
สำหรับคนที่สนใจว่าใครสร้างเจ้า Worm Hackby 1 Byte ทั้ง 2 ตัวนี้ ให้ copy " BR1GH7N4RY " แล้วไปวางใน Google ดูครับจะรู้ว่าใครชายหรือหญิงตอนนี้อยู่ไหน บอกใบ้ว่าใกล้ๆตัวเรานี่เอง( คำนี้ได้มาจากเบาะแสที่ทิ้งไว้กับเจ้าตัว Worm นี้เลยครับ )
ในความคิดผมเองผมว่า เก่งแล้วควรจะเก่งในทางที่ดี ทางสร้างสรรค์ดีกว่านะครับตอนนี้ข้อมูลในเครื่องของใครหลายๆคน หายเกลี้ยง กันไปแล้ว ยิ่งงานที่ทำมานานเป็นปีๆงานวิทยานิพนธ์ หายหมดครับ กฎหมายน่าจะดูแลตรงนี้หน่อยก็ดีนะครับ เมื่อก่อนผมก็เป็นคนนึงที่อยากจะสร้างไวรัส มันเท่ มันแน่ อีกอย่างคือมันส์ดี แต่พอโตขึ้น ผมเริ่มพอจะคิดได้ว่า ถ้าเราโดนไวรัสจากคนอื่นบ้างหล่ะ แล้วข้อมูลที่เรารักนักหนา หายหมด เครื่องเจ๊งบ๊ง ถ้าเราทำในสิ่งที่ช่วยเหลือคนอื่นไม่ดีกว่าหรือ ? ยิ่งพอเห็นคนเดือดร้อนเยอะ ยิ่งน่าเห็นใจครับ
วิธีที่ผมใช้ป้องกัน
ใครจะนำไปใช้ก็ไม่สงวนอะไรเลยครับ
ผมมักจะแบ่งพาร์ติชั่น แยก ระหว่าง Windows กับข้อมูลไว้คนละที่กัน
c: 10 - 20 GB system เพียวๆ
d: ที่เหลือ GB Program Files, ข้อมูล ต่างๆ
แล้วก็เซ็ต Mydocument ให้อ้างอิงไปเก็บยัง Drive D:
แล้ว
1. Ghost Image ไดรฟ์ C เก็บไว้ ใน D: จะได้พื้นที่เล็กๆ เราสามารถสำรองได้หลายๆครั้ง หลายๆครา2. ใช้ โปรแกรม DeepFreeze หรือ Recovery Genius ป้องกันไดรฟ์ C : ไว้
ข้อเสียวิธีนี้คือ เมื่อรีเซตเครื่อง ข้อมูลใน Drive C จะกลับมาเหมือนเดิมทุกครั้ง จึงไม่สามารถ Save ไฟล์ได้เลย เพราะจะหายทุกครั้งที่ Boot เครื่องใหม่
ข้อดีคือ กันไวรัส ได้ดี เพราะไวรัสส่วนใหญ่จะจู่โจมและฝังตัวใน ระบบ ซึ่งอยู่ใน Drive C เสมอ พอรีเซตปั๊บไวรัสก็หายแล้ว
แล้วก็จะมีคำถามว่า แล้วไวรัสที่ติดไปกับ FlashDrive หละ ไดรฟ์ D หละ มันยังอยู่ครับ แต่จัดการง่ายมากแค่แสดงตัวมันออกมาแล้วลบทิ้ง ก็เกลี้ยงกรึบ (ภาษาใต้) แล้วครับ ที่หนักๆจะอยู่ที่ ไดรฟ์ C : ครับ
วิธีนี้เป็นวิธีที่ผมว่า OK สุดๆ แล้วสำหรับผม และอย่าลืม สำรองข้อมูลสำคัญของคุณไว้ใน CD หรือ DVD เสมอนะครับ
ดาวโหลด
Update 19 april 2007 !
App.Name : 1Byte{NoVWM}SKULLFixTools
Version : 3.00 Final Fixed
Size : 751 KB
Type : Self Executable
Released : 16 April 2007
Download V 2.06
- ต้อง Run บน SafeMode ครับ เพราะ ผมยังไม่ได้ฝังไว้ใน Registry เลยก่อนเริ่มระบบครับ การเข้า SafeMode ให้ Restart เครื่อง แล้วกด F8 ย้ำๆ จนคีย์บอร์ดพัง จึงจะเข้าได้ (ล้อเล่ง) บางเครื่อง กด F8 แล้ว เป็นการเข้า Boot Menu ก็ให้เลือก Boot จาก harddisk ก่อนแล้ว แล้วกด F8 ย้ำๆอีกครั้ง จากนั้นจะขึ้นหน้าต่าง ดำๆขาวๆ ให้เลือก safemode ครับ อยุ่บนสุดเลย จากนั้นมันก็จะขึ้น ข้อความที่เราอ่านไม่รู้เรื่อง.ยาวๆ ให้รอครับ รอสักพัก ก็จะมีลูกศร cursor ขึ้นมา มี Pop up เกี่ยวกับ System Restore ให้ตอบ yes ครับ
- จากนั้นก้อให้เปิดไฟล์ที่ดาวโหลดมา แล้วโปรแกรมจะทำงานเอง เสร็จแล้วโปรแกรมจะสั่งให้ Reset เครื่องเองครับ แล้วก้อจะใช้งานได้ปกติครับ ไม่ต้อง เข้า SafeMode แล้ว
- หากใครที่ใช้ FixTools เดิมไปแล้วให้ดาวโหลดตัวนี้ไปจัดการอีกทีครับ
ได้ผลยังไงบ้าง โปรดแสดงความคิดเห็นด้วยนะครับ ขอบคุณคร๊าบ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น