-- วิธีกำจัดไวรัส Win32.Warezov.nf--

ไวรัสหนอนชนิดนี้แพร่ขยายผ่านทางอินเทอร์เน็ต โดยการแนบไปกับจดหมายที่ติดเชื้อซึ่งส่วนที่แนบไปด้วยจะไม่ได้มีสำเนาของหนอนชนิดนี้ แต่จะมีไฟล์อื่นๆซึ่งจะคอยดาว์นโหลดโปรแกรมที่มีเจตนาร้ายต่อผู้ใช้งาน โดยผ่านทางอินเตอร์เนท จดหมายที่ติดเชื้อ จะถูกส่งไปยังที่อยู่ของจดหมายอื่นๆที่มันสามารถค้นหาเจอในเครื่องของผู้ที่ได้รับไวรัส ตัวหนอนชนิดนี้จะทำงานด้วยตัวมันเองบนระบบ Windows PE EXE file มันจะแฝงอยู่ใน UPX และอาจจะทำการเปลี่ยนแปลงขนาดของไฟล์ จาก 20 kb เป็น 135 kb เป็นต้น

อาการเมื่อติดไวรัส

เมื่อเริ่มทำงานจะโชว์ข้อความดังรูปข้างล่างนี้



ผลกระทบกับระบบ

ตัวหนอนจะสำเนาไฟล์ปฏิบัติการของมันเองไปในไดเรกเตอรี่ของวินโดว์เช่น "hotpmsta.exe” %System%\hotpmsta.exe

It creates the following files:

%System%\hotpmsta.dll
%System%\hotpmsta.dat

และจะสร้าง system registry keyดังต่อไปนี้

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]
"DllName" = "%System%\hotpmsta.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

ตัวหนอนจะค้นหาที่อยู่จดหมายอิเล็กทรอนิกส์ทั้งหมดที่อยู่ในระบบปฏิบัติการวินโดว์ และจะใช้ระบบปฏิบัติการ SMTP ของมันเองทำการ ส่งจดหมายที่ติดเชื้อออกไป

ตัวอย่างของจดหมายที่ติดเชื้อ


คลิกที่รูปเพื่อดูภาพขยาย

ซึ่งการส่งจดหมายจะมีไฟล์ของไวรัสตัวหนอนไปด้วย ซึ่งไฟล์นี้จะคอยดาว์นโหลดโปรแกรมที่มีจุดประสงค์ร้ายต่อผู้ใช้งานโดยผ่านทางการเชื่อมต่อกับอินเตอร์เนท ตัวหนอนสามารถที่จะติดต่อกับโปรเซสเซอร์ และทำการลบระบบป้องกันไวรัสที่เกี่ยวข้อง รวมทั้งระบบไฟล์วอล์ด้วย และไฟล์ปฏิบัติการหลัก ของตัวหนอนนี้จะทำการดาว์โหลดโปรแกรมที่เป็นอันตรายจากไซท์ของมันเองสู่เครื่องของผู้ใช้งานอย่างอัตโนมัติ โดยที่ผู้ใช้งานไม่สามารถ ที่จะรู้ได้เลย โดยจะทำการดาว์โหลดไฟล์จากลิงก์ดังเช่นข้างล่างนี้ http://linktunhdesa.com/***32.exe และในขณะนั้นเองเมื่อมีการเขียนเกิดขึ้น ไฟล์ปฏิบัติการเวอร์ชั่นใหม่ๆของตัวหนอนชนิดนี้จะถูกแฝงตัวไปกับลิงก์นี้ด้วย ไฟล์ที่ดาว์โหลด จะถูกเซฟไว้ที่ไดเรคเตอรี่ชั่วคราวของระบบวินโดว์ภายใต้ชื่อที่ทำการสุ่มเอา หลังจากนั้นไฟล์ก็เริ่มทำงาน

วิธีกำจัด

วิธีที่1

- ดาวโหลดโปรแกรมสำหรับกำจัด( Kaspersky Anti-Virus 6.0.2.621) คลิกดาวโหลด

วิธีที่2

ถ้าเครื่องคอมพิวเตอร์ของท่านไม่มีโปรแกรมกำจัดไวรัส ให้ปฏิบัติตามวิธีการดังต่อไปนี้
ใช้ Task Manager เพื่อหยุดการทำงานของไฟล์ปฏิบัติการของหนอนชนิดนี้ โดยทำตามขั้นตอนดังต่อไปนี้

  1. ลบไฟล์ต้นฉบับของตัวหนอน (ซึ่งตำแหน่งของไฟล์จะทำให้ทราบว่าไวรัสสามารถเข้าไปทำอันตรายกับเครื่องได้อย่างไร).
  2. ทำการลบไฟล์จาก list ข้างล่างนี้ในโฟลเดอร์ Windows system : %System%\hotpmsta.exe
    %System%\hotpmsta.dll
    %System%\hotpmsta.dat
  3. ทำการลบ registry key ต่อไปนี้: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]
  4. ทำการลบจดหมายที่ติดเชื้อทั้งหมดออกจาก mail folders.
  5. ทำการอัพเดทโปรแกรม antivirus databases ของท่าน และทำการ scan คอมพิวเตอร์ทั้งหมด


    โดย:katatummo



ย้อนกลับ หน้าแรก