1. ไวรัส Flashy.exe

ชื่ออื่น: W32.Glupzy.A (Symantec), Troj/Glupzy-a (Sophos)

Flashy.exe หรือ W32.Glupzy.A เป็นไวรัสประเภทโทรจัน แพร่เชื้อผ่านแชร์ไดรฟ์ในระบบเครือข่าย หรือผ่านตัวบันทึกข้อมูลแบบเคลื่นย้ายได้ เช่น แฟลชไดร์ฟ ยูเอสบีไดร์ฟ รวมไปถึงมือถือ และพีดีเอด้วย หลังจากที่ติดเชื้อไวรัสตัวนี้แล้ว มันจะปิดเมนูหรือคำสั่งบางอย่างของระบบ และเปิดประตูหลัง(Back door )ให้ผู้บุกรุกสามารถเข้าควบคุมเครื่องได้ การทำงานของมันคือ จะปลอมตัวเพื่อลวงให้ผู้ใช้เข้าใจผิดและเลือกมันขึ้นมาทำงาน เช่น มันจะซ่อนโฟลเดอร์หรือโปรแกรมเดิมในแฟลชไดรฟ์ไว้ แล้วปลอมชื่อและไอค่อน ให้ดูเหมือนเป็นโฟลเดอร์ เพื่อให้ผู้ใช้เข้าใจผิด และเรียกเปิดมันขึ้นมาทำงานโดยไม่รู้ตัว

การแพร่กระจาย

ผ่านทางแฟลชไดร์ฟ และสตอเรจแบบอื่นๆ มือถือ พีดีเอ และเครื่องเล่นเอ็มพีสมเป็นต้น

อาการ

- รหัสผ่านของผู้ใช้ Administrator จะถูกเปลี่ยนไปเป็นอย่างอื่น (เช่น Hacked)

- เรียกใช้ Task Manager, Registry Editor และ Folder Option ไม่ได้ เป้นต้น กรณีนี้มันทำเพื่อให้ตัวเองถูกกำจัดแบบแมนนวลทำได้ยากขึ้น

-โฟลเดอร์ที่เคยมีอยู่ในแฟลชไดร์ฟหรือเมโมรี่การ์ดจะถูกซ่อน (Hidden) ไว้

วิธีการแก้ไข

ปิด System Restore

ใช้ Fix Tool ที่ชื่อ Nod32 Flashy-Fix.exe

รีสตาร์ทเครื่องใหม่

2. ไวรัส Hacked By Godzilla

ชื่ออื่น VBS_Resulows.A (Trend Micro), VBS/Butsur.A (NOD32), VBS.Zodgila (Symantec)

หากดับเบิ้ลคลิ้กที่ไดร์ฟ จะกลายเป็น Autoplay แทนที่จะเป็น Explorer เป็นไวรัสประเภทหนอน(Worm) จะรบกวนการทำงานและการใช้เครือข่ายหรืออินเทอร์เน็ตของเจ้าของเครื่อง มีอาการคล้ายกับFlashy.exe แต่จะแฝงการทำงานอัติโนมัติแบบ Autorun ได้ เมื่อคุณเสียบแฟลชไดรฟ์ที่ติดเชื้อเข้าเครื่องคอมพิวเตอร์ และถูกทำให้กำจัดยากขึ้นโดยการเข้าไปใช้ระบบป้องกันและกู้คืนอัตโนมัติ (System Protection File) ทำให้เมื่อคุณเข้าไปเปิดตัวเลือก Show hidden file เพื่อตามลบด้วยมือ ตัววินโดว์เองจะตามปิด เพราะเข้าใจว่าการเปิดตัวเลือกนี้เป็นสิ่งผิดปกติและเป็นความเสียหายที่ต้องกู้กลับคืนอัตโนมัติ

การแพร่กระจาย

ผ่านทางแฟลชไดร์ฟ และสตอเรจแบบอื่นๆ เช่น มือถือ พีดีเอ และเครื่องเลนเอ็มพีสาม เป็นต้น รวมทั้งแผ่นดิสก์เก็ตด้วย

อาการ

-ที่ไตเติ้ลบาร์ของ IE จะมีข้อความHacked By Godzillaมาแทนคำว่าMicrosoft internet Explorer

-ไม่สามารถดับเบิลคลิกไดร์ฟต่างๆในมายคอมพิวเตอร์ได้ และทุกครั้งที่ดับเบิลคลิกคือการเรียกไวรัสให้ทำงาน

-เปลี่ยนเมนูคลิกขวาจากExplorer เป็นAutoplay

วิธีการแก้ไข

ปิด System Restore

ตัดการเชื่อมต่ออินเทอร์เน็ต

เสียบแฟลชไดรฟ์หรือสตอเรจที่คาดว่าติดไวรัส

ใช้ Fix Tool ที่ชื่อ Nod32 VBS [Butsur.A, B]-Fix.exe

รีสตาร์ทเครื่องใหม่

3. ไวรัส Hacked By 8bit, Hacked By 1Byte

ไตเติ้ลบาร์ IE จะถูกเปลี่ยน Hacked By 8bit หรือ Hacked By 1Byte เป็นสปายแวร์เช่นเดียวกับ Hacked By Godzilla ซึ่งรบกวนผู้ใช้และกรจายเชื้อไปตามแหล่งบันทึกข้อมูลต่างๆทั้งในฮาร์ดดิสก์และสื่อบันทึกข้อมูลแบบเคลื่อนย้าย โดยเฉพาะแฟลชไดรฟ์ ซึ่งดูเหมือนจะเป็นเป้าหมายหลักของไวรัสในช่วงเวลานี้ มันจะแพร่เชื้อโดยอาศัยคุณสมบัติAutorun ของวินโดว์ โดยที่พาร์ทิชันหรือไดร์ฟที่ติดไวรัสตัวนี้จะมีไฟล์ทำงานสองไฟล์ที่ซ่อนไว้ คือ autorun.inf ซึ่งเป็นไฟล์ปกติ สำหรับระบบวินโดว์มันมีหน้าที่ ระบุว่าต้องเรียกใช้ไฟล์อะไรเมื่อเสื่อบันทึกนี้ถูกใส่หรือต่อเข้ากับเครื่อง ซึ่งมันจะไปเรียกโปนแกรมชื่อ kerneldrive.exeซึ่งเป็นตัวไวรัสมาทำงาน

การแพร่กระจาย

ผ่านทางแฟลชไดร์ฟ และสตอเรจแบบอื่นๆ เช่น มือถือ พีดีเอ เครื่องเล่นเอ็มพีสาม เป็นต้น รวมทั้งแผ่นดิสก์เก็ตด้วย

อาการ

-ที่ไตเติลบาร์ของIE จะมีคำว่า Hacked By 1Byte หรือ Hacked By 8bit เพิ่มขึ้นมา

-เรียกใช้งานโปรแกรม Task Manager, Registry EditorและFolder Option ไม่ได้

-ปิดตัวเลือกเมนูShow Hidden File ของ Windows Explorer

วิธีการแก้ไข

ปิด System Restore

ใช้ Fix Tool ที่ชื่อ AntiVBA-Beight-A-en.exe

รีสตาร์ทเครื่องใหม่

4. ไวรัส Brontok

ชื่ออื่น Email-WORM.Win32.Brontoc.a (KasperskyLab), W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec)

เป็นไวรัสประเภทหนอน (worm) แพร่เชื้อโดยการส่งอีเมลล์ที่ติดเชื้อกระจาบไปในอินเทอร์เน็ต โดยการค้นหารายชื่ออีเมลล์จากแฟ้มข้อมูลที่มีในเครื่อง แล้วส่งอีเมลล์ไปพร้อมไฟล์ แนบชื่อ Keygen.exe โดยจะมีรูปไอคอนเหมือนกับโฟลเดอร์ ไอคอนของวินโดว์หากมองเผินๆแต่ตัวจริงมันเป็นไฟล์แบบประเภท .EXE ขนาด 42028 bytes เครื่องที่ติดเชื้อจะบูตเครื่องทันทีที่เปิดหน้าต่างที่มีคำ .exe หรือ Registry ซึ่งหน้าจะเป็นการทำนายว่าผู้ใช้พยายามเปิดหน้าต่างหรือโปรแกรมที่พยายามกำจัดมัน เป็นกลไกการป้องกันตัวเองแบบง่ายๆแต่สร้างความเดือดร้อนให้ผู้ใช้ ต้นกำเนิดมาจากประเทศอินโดนีเซียและมันจะส่งปิง (Ping)ไปโจมตีเว็บไซต์ 2 แห่ง คือIsrael.gov.il และ playboy.com แอนตี้ไวรัสจำนวนมากรู้จักไวรัสตัวนี้

การแพร่กระจาย

แพร่กระจายทางอีเมล์และแฟลชไดร์ฟ

อาการ

-เครื่องพีซีและอินเทอร์เน็ตจะช้าลง

-รีบูตเครื่องบ่อยๆโดยไม่มีสาเหตุ

-บางครั้งจะขึ้นจอเขียวและข้อความ Brontok

-ใช้งาน Regedit, msconfig.folder option ไม่ได้

วิธีการแก้ไข

ปิด System Restore

ใช้ Fix Tool ที่ชื่อ AntiBrontokA-en.exe

รีสตาร์ทเครื่องใหม่

5. ไวรัส VDO.exe

คลิป VDO.exe เป็นไวรัสที่ไม่ทำลายข้อมูลใดๆเข้าใจว่าคนสร้างจะทำมาเพื่อแกล้งคนที่คาดหวังว่าจะได้ดูอะไรในคลิป VDO หรืออาศัยเรื่องที่คนอนยากรู้อยากเห็นทำให้เผลอเรอขาดความระวัง แล้วก็ตามด้วยการโดนไวรัสเล่นงาน อาการ คือ จะเกิดโฟลเดอร์ชื่อ คลิป VDO (ความจริงมันคือ ไฟล์ชื่อคลิป VDO.exe) เมื่อเหยื่อหลงดับเบิลคลิกโฟลเดอร์ดังกล่าวก็จะกลายเป้นการสั่งรันไวรัสตัวนี้ทันที

การแพร่กระจาย

ผ่านทางแฟลชไดร์ฟ

อาการ

มีโฟลเดอร์ที่ชื่อ คลิป VDO (คลิป VDO.exe) ปรากฎขึ้นในทุกไดรฟ์ และไม่สามารถลบทิ้งได้

วิธีการแก้ไข

ทำได้ไม่ยากท่านสามารถแก้ได้เองดังนี้

1. ลบตัวไวรัสที่กำลังทำงานโดยเปิด Task manager อาจทำโดยกด Ctrl+Alt+Del แล้วไปที่แท็บ Processes แล้วสั่ง End Process ชื่อ Soundmsg.exe เป็นอันว่าไวรัสจะสงบชั่วคราวจากนั้นก็ตามลบไฟล์ที่ชื่อคลิป VDO.exe ทิ้ง ซึ่งดูเผินๆมันเหมือนเป็นโฟลเดอร์

2. ลบตัวไวรัส ซึ่งมันจะอยู่ที่C: \windows\system32ชื่อไฟล์ Soundmsg.exe

3. ใช้Registryเข้าไปที่ HK_Machine\Solfware\Microsolf\Windows\CurrentVertion\Run แล้วลบคีย์ที่ชื่อ Virus test

4. ตามไปลบโฟลเดอร์คลิป VDO ในแฟลชไดร์ฟตัวต้นเหตุด้วย

6. ไวรัส Monaliza

ชื่ออื่น Win32/Moafy.worm (NOD32)

เป็นอีกตัวที่แพร่หลายในบ้านเรา จากรายงานเท่าที่พบมีบันทึกอาการ เช่น เปิดหรือใช้Folder potion .Internet option, Task Manager, Regedit, CMDไม่ได้คลิ๊กขวาที่เดสก์ทอปไม่ได้ ชื่อเครื่องถูกเปลี่ยนเป็นInfectedในขณะที่เล่นMSNจะส่งข้อความลิงก์ที่ดาวน์โหลดไฟล์ไวรัสให้คู่สนทนาของคุณ

การแพร่กระจาย

ผ่านทางMSN (ลิงค์ไฟล์ดาวน์โหลด) และแฟลชไดร์ฟ

อาการ

-เปิดใช้งานFolder potion .Internet option, Task Manager, Regedit, CMDไม่ได้

-คลิ้กขวาที่หน้าเดสก์ทอปไม่ได้

-ชื่อเครื่องถูกเปลี่ยนเป็นInfected

-ส่งลิงก์โหลดไฟล์ไวรัสให้คู่สนทนาMSN

-มีรูปโมนาลิซ่าอยู่ที่หน้าจอ

-แสดงหน้าเออเรอร์ Kernel32.dll ตอนเข้าวินโดวส์

วิธีแก้ไข

ปิด System Restore

ใช้ Fix Tool ที่ชื่อ Nod32 Monalisa-Fix.exe

รีสตาร์ทเครื่องใหม่

ตามลบไฟล์ชื่อmoaphie.exeจากแฟลชไดรฟ์ต้นเหตุให้หมด

7.ไวรัส music.exe

ชื่ออื่น Win32/VB.NIV worm, W32/Generic.e (McAfee). Trojan.Win32

เป็นไวรัสที่มีจุดประสงค์สร้างความเสียหายเพราะมันจะลบไฟล์ .MP3 ซึ่งส่วนใหญ่เป็นเพลงและ .datซึ่งมันเหมารวมเอาว่าเป็นไฟล์มิวสิควีดีโอและหนัง ท่คัดลอกมาจากแผ่นวีซีดี นอกจากลบไฟล์เพลงและหนังแล้ว ตัวมันยังทำให้เครื่องช้าลง ด้วยวิธีการคัดลอกทุกโฟลเดอร์ในเครื่องและเติม.exe ต่อท้ายในทุกๆไดรฟ์ของเครื่องอีกด้วย

การแพร่กระจาย

มากับอีเมล์ชื่อLife is beautiful โดยแนบไฟล์เพาเวอร์พอยต์มาด้วย หากเหยื่อหลงเปิดไฟล์ดังกล่าวดูจะติดไวรัสทันที

อาการ

-ไฟล์.MP3 และ.dat ทั้งหมดในเครื่องจะถูกลบ

-ปรากฎชื่อโฟลเดอร์เดิม แต่ต่อท้ายด้วย .exe อยู่เต็มเครื่อง

-วินโดวส์ทำงานได้ช้าลงอย่างเห็นได้ชัด

วิธีแก้ไข

สามารถแก้ไขได้ด้วยตัวเอง ดังนี้

1. เปิดTask Manager แล้วสั่ง End Process ที่ชื่อ AccessDriveAndFile

2. สั่งShow hidden file and folderใน Folder option

3. ค้นหาชื่อไฟล์ music.exe และautorun.infในเครื่องเจอแล้วทำการลบให้หมด

4. ค้นหา music.exe ในแล้วจัดลบค่านี้ให้หมดไม่ว่าอยู่ตรงไหน

5. ตามไปลบไฟล์C:\WINDOWS\backup.regด้วย

6. จากนั้นไล่ลบไฟล์โลเดอร์ที่มี .exe ต่อท้ายให้หมด

8.ไวรัส ภาษาจีน หรือไวรัส TOY

ชื่ออื่น Win32Agen.WJ Trojan

ไวรัสตัวนี้มักติดต่อผ่านทางแฟลชไดร์ฟ และจะรายงานว่าแฟลชไดร์ฟใช้ไม่ได้ แต่ยังสามารถใช้งานได้โดยการคลิ้กขวาแล้วสั่ง Openได้ นอกจากสร้างความรำคาญและสร้างความสับสนแล้ว ไม่มีรายงานการสร้างความเสียหายอื่นอีก อาจเป็นเพราะเราอ่านภาษาจีนไม่ออกเลยไม่เดือดร้อนกับข้อความที่ขึ้นบนหน้าจอก็เป็นได้

การแพร่กระจาย

ผ่านทางแฟลชไดร์ฟเป็นหลัก ทุกครั้งที่ดับเบิลคลิ้กเปิดแฟลชไดร์ฟ คือการเรียกให้ไวรัสทำงาน

อาการ

มีตัวหนังสือภาษาจีนแสดงขึ้นมาที่หน้าจอเดสก์ทอป ถึงจะเปลี่ยนรูปวอลเปเปอร์ก็ไม่หาย

วิธีแก้ไข

ปิด System Restore

ใช้ Fix Tool ที่ชื่อ Nod32 Toy-Fix.exe

รีสตาร์ทเครื่องใหม่

9. ไวรัส MSN

ชื่ออื่น Win32/Delf.ADS (Nod32), Trojan.Win32.delf.aed (Kaspersky)

เป็นไวรัสประเภทหนอน(worm)จะถูกสร้างขึ้นให้แพร่เชื้อผ่านช่องทางสื่อสารแบบ MSN โดยเมื่อเครื่องใดติดเชื้อไวรัสมันจะสร้างไฟล์ชื่อ pic.zip ไว้ แล้วเมื่อถึงจังหวะเวลาที่มันถูกโปรแกรมไว้ มันจะส่งข้อความภาษาอังกฤษไปให้คู่สนทนาของคุณ โดยมีความหมายทำนองว่าคุณกำลังจะส่งภาพน่าสนใจมากให้เขา และตามมมาด้วยไฟล์ที่จะส่งคือ pic.zip ซึ่งในไฟล์ที่คุณ(ไวรัส)ส่งให้นั้น ข้างในจะเป็นไฟล์ชื่อIMG34814.pif ซึ่งเป็นไวรัส รายชื่อคู่สนทนาของคุณมันได้มาจากข้อมูลที่คุณบันทึกไว้ใน MSN นั่นเอง ซึ่งแปลว่าหากคุณมีรายชื่อในรายการของใคร คุณก็อาจได้รับข้อความชักชวนนี้ได้ แม้คุณจะไม่ได้แชทคุยกันนานแล้วก็ตาม อาจเป็นเรื่องไม่ค่อยสนุกนักสำหรับหนุ่มๆที่แอบคิดว่าตัวเองมีเสน่ห์จนสาวที่ไม่ได้คุยกันนานแล้วคิดถึง แต่ก็เป็นโชคดีที่หนุ่มไทยมีเพื่อนเฉพาะสาวไทย ที่ข้อความเหล่านั้นเป็นภาษาอังกฤษ เมื่อไวรัสทำงาน มันจะปิดระบบความปลอดภัยและเปิดช่องทางที่จะสามารถให้ผู้บุกรุกเข้ามาควบคุมเครื่องได้อีก

การแพร่กระจาย

ผ่านทาง MSN โดยเกริ่นนำข้อความภาษาอังกฤษตามด้วยการส่งไฟล์ pic.zip ให้รับ หากเหยื่อเผลอรับแล้วสั่งเปิดไฟล์จะติดไวรัสทันที

เหยื่อที่ติดไวรัสจะกลายเป็นพาหะส่งต่อคนอื่นในรายชื่อ MSN

อาการ

- ระบบรักษาความปลอดภัยของวินโดวส์จะถูกปิด

- เราจะกลายเป็นพาหะส่งต่อไวรัสไปยังเพื่อนๆ

วิธีแก้ไข

- ปิดโปรแกรม MSN (ปิดไปเลยไม่ใช่แค่การย่อลง)

- จากนั้นเปิดTask Managerแล้วสั่งEnd Processที่ชื่อ IMG34814.pif

- ลบค่าในRegistryคือ [HKEY_LOCAL_MACHINE\SOLFWARE\Microsolf\Windows\CurrentVistion\Run] ในตำแหน่งที่เขียนว่า “MSN”=”msnmsgs.exe”

-จากนั้นบูตเครื่องใหม่ แล้วลบไฟล์ชื่อ Msnmsgs.exe และ pic.zip ออกจากโฟลเดอร์ C: \Windows

- ต้องถอนการติดตั้ง MSN ทิ้งด้วยแล้วจึงลง MSN ใหม่

แก้แบบอัตโนมัติ

1. ค่าปกติในการติดตั้งวินโดวส์ครั้งแรกคือ จะไม่แสดงนามสกุลของไฟล์ที่วินโดวส์รู้จัก ซึ่งเป็นการง่ายที่ไวรัสจะปลอมตัวเป็นไฟล์ใดๆได้ ดังนั้นเพื่อความไม่ประมาท ควรสั่งให้โชว์ ใน ไว้ดีกว่า

2. ไวรัสปัจจุบันใช้การแพร่กระจายผ่านทางแฟลชไดร์ฟและยูเอสบีสตอเรจเป็นหลักดังนั้นควรแน่ใจว่าแฟลชไดร์ฟ และสตอเรจไม่ติดไวรัส

3. อย่าหวังพึ่งโปรแกรมแอนตี้ไวรัสต่างๆมากเกินไป

4. สร้างนิสัยการระมัดระวังในการใช้เครื่องคอมพิวเตอร์ให้มากขึ้น

5. จำไว้ว่าไฟล์แครกโปรแกรมต่างๆมักมีไวรัสติดตามมาด้วยเสมอ

ที่มา : PCToday