Virus W32/Brontok-W

posted on 24 Mar 2006 20:15 by keztudio in Virus

Virus W32/Brontok-W

ติดกันงอมแงมกับเจ้า Brontok นี้ ดร. ก็ไม่พลาดเหมือนกัน. มันติดเจ้า มาคุ มาคุ (ชื่อคอม ดร. แหละ ^^) ติดจากเครื่องที่ทำงานให้อาจารย์ที่มหาลัย ฮื่ย...

มาดูกันชิว่ามันเป็นแบบไหน

ชนิดไวรัส: หนอน ยุ้ยๆย๊วะเย้ย ยี้~~

ระบบที่ติด: วินโดว์เท่านั้น (นี้ละหนาจึงอยากเปลี่ยนไปใช้ Linux 9 เร็วๆ)

การทำงาน: ส่งตัวเองผ่านอิเมลที่มีใน outlook จากเครื่องที่ติดไวรัส ปลอมแปลงอีเมลเพื่อกระจายตนเอง ใช้ตัวเองเป็นตัวส่งอีเมล ติดตั้งตัวเองใน Rigistry

ชื่อต่างๆที่เรียก:

E-mail Worm.Win32.Brontok.c

Win32/Rontokbro.gen@MM

W32/Brontok-Fam

W32.Rontokbro@mm

WORM_RONTKBR.GEN

โดยรวมแล้ว เจ้านี่มันมาจากอีเมลครับ ถ้าเครื่องเราติดเจ้าเวรนี้แล้วเมื่อเราจะ Run cmd, msconfig, regedit แล้วมันจะฟ้องขื้นมาว่า Registry has been disable by your administrator แล้วมันก็ Restart เครื่องเฉยเลย กรรมไหมครับ...

มาดูกันชิว่ามันทำอะไรกับเครื่องเราบ้าง

มันจะสร้างโฟล์เดอร์หลอกเรา เรามีโฟล์เดอร์ที่เครื่องเท่าไร่ มันก็มีเท่านั้น โดยแต่ละโฟล์เดอร์ที่ติดเชื้อมีขนาดไฟล์เท่า 80.0 KB และ Folder Option ทั้งหลายแหล่ของพวกเราก็หายไปหมด

มันจะ Copy ตัวเองที่

\Local Setting\Application Data\csrss.exe

\Local Setting\Application Data\inetinfo.exe

\Local Setting\Application Data\lsass.exe

\Local Setting\Application Data\services.exe

\Local Setting\Application Data\smss.exe

\Start Menu\Programs\Startup\Empty.gif

\ShellNew\sempalong.exe \eksplorasi.exe

และที่ \Local Setting\Application Data

ยังมี Folders Bronktok-3-2 0 KB ที่ฆ่ายังไงก็ไม่ได้

Ok-SentMail-Bron.tok 0 KB

Bron-Tok-3-24 0 KB

Kosong.Bron.Tok 4 KB

Loc.Mail.Bron.Tok 20 KB

และจากที่ประสบมาจริงๆ ดร. ขอพูดว่า เจ้า Brontok นี่ฆ่าไม่ได้ครับ มีแต่สำรองข้อมูลที่สำคัญแล้ว Format เครื่องใหม่ชะ ดร. Format ตั้ง 3 ครั้งกว่าจะหาย สงสัยมันหยั่งรากฝังลึกมั้ง เพราะไม่ได้ติดตั้ง Anti Virus (เข็ดแล้วครับ จะลง Anti Virus จริงๆจังๆชะที เฮ่อ...)

เอาละครับ ถ้าสมมุติว่าเครื่องคุณติดเจ้าเวรนี้แล้วให้คุณไป Download Unlock registry ที่ http://securityresponse.symatec.com/avcenter/UnHookExec.inf หลังจากที่โหลดมาแล้วให้ Install นะครับ

และ Anti Virus Application ที่สามารถต่อกรกับเจ้า Brontok ได้นี้ก็มี

Avast ชึ่งตอนนี้ ดร. ก็ใช้ตัวนี้อยู่ครับ

Kaspersky

McAfee.VirusScan.Enterprise.V.8.0i

มาเท่านี้แหละครับ ดร. เขียนจากประสบการณ์จริงไม่ได้ยึดเอาข้อมูลจากอินเตอร์เน็ต (เพราะขี้เกียจ) มีอะไรข้องใจเกี่ยวกับเจ้า Brontok นี่ถามได้ครับ สู้กับมันมาหลายวันกว่าจะออกจากเครื่องได้ ป.ล เขียน และ อัปผ่านมือถือ เพราะฉะนั้นถ้าผิดพลาดก็ขออภัย ได้จับคอมเมื่อไร่จะรีบมาแก้ทันทีครับ

มาแก้ให้แล้วครับ เขียนผ่านมือถือนี่เละจริงๆ

Comment

Comment:

Tweet

#20 By (61.7.229.10 /192.168.101.223) on 2007-08-14 13:35

ดี

#19 By มาย (222.123.172.10) on 2007-07-03 17:58

ตอนนี้เจอ brontok.q อ่าคะ มีวิธีแก้มั้ยคะ
ช่วยหน่อยน้าคะ

#18 By ตต (210.86.142.15) on 2007-05-30 20:28


ขอบคุณคุณเป็กมากครับ



#17 By [[ Dr Devil ]] on 2007-04-28 19:39

#16 By (202.183.141.221 /192.168.119.182) on 2007-04-26 14:19

avg ok than avast....specially for brontok

#15 By nit (218.111.69.159) on 2007-04-11 14:47

ผมใช้ brontok washer ฆ่าเรียบร้อยแล้วครับ เครื่องผมมันติดไวรัสเจ้าตัวนี้แหละ ลองไปดาวน์โหลดมาใช้นะครับ ที่เวป http://www.softpedia.com/progDownload/Brontok-Washer-Download-36921.html#download_locations

สำเร็จแย้ว

#14 By เป็ก (58.10.204.145) on 2006-08-09 10:49

ดีคับ...เป็นประโยชน์ ช่วงนี้ที่ทำงานผมก็เจออยู่เหมือนกัน...แต่ Nod32 นี่ถ้าอัพเดทเป็นประจำ ก็จะป้องกันได้คับ...ลองดู

#13 By ตาโป on 2006-07-24 13:47

ไม่รู้นะ แต่ ถ้าคุณทำให้มันไม่รันตอนเปิดเครื่องได้ก้อฆ่ามันได้แล้วแหละ

ยหุดหน่ะง่าย แต่การจะเอามันออกไปหใหมดอ่ะยาก
เพราะ ถ้าคุณเผลอไปปลุกมันขึ้นมาอีก มันก้อติดเชื่ออีก นั่นเอง
อืม ไอโฟลเดอร์ที่คุณว่ามันก็อบมาก้อ ไม่ใช้ โฟลเดอร์นะ แต่เปงตัวไวรัสนั่นเอง
สร้างตัวเองเปงรูปโฟลเดอร์ ก้อเพื่อให้คุณคลิกให้เครื่องติดเชื่อ ต่อไป เรื่อยๆ นั่นเอง
ร้ายกาจ แต่มันดี เวลา ไปตามล่ามันด้วยเครื่องมือที่ไม่ใช่ anti virus ...

#12 By navico (58.9.76.132) on 2006-07-06 13:43

ผมมีวิธีแก้น๋า ก้อเขา Safe Mode ไง แล้วก้อไปที่ Msconfig แล้วเอาไอ้พวกไวรัสจัญไรที่มันจะ Start up ออกซะ แล้วก้อเข้าโหมดทำมะดา แล้วก้อสั่งค้นหาไฟล์ที่มีขนาดต่ำกว่า 81 KB แล้วลบไอ้พวกที่มันมีไอค่อนเป็นรูปโฟลเดอร์ (แต่เจือกมีนามสกุลเป็น EXE -*-)แค่นี้เองอ้อ แต่ว่าต้อง ปิด Restore Point ก่องเน้อ

#11 By NP (58.136.204.52) on 2006-07-05 14:33

Hai teman2 aku ada infonih bagi yang komputernya kena virus brontok ,kamu bisa nemuin anti virusnya di www.bloxster.net/oho aku dah download dari sana dan dah instal di kompi aku ....alhamd kompiku bersih dari virus brontok edan tersebut...
mudah2 an info ini berguna selamat mencoba dan semoga sukses

disya

#10 By disya (202.51.230.181 /192.168.10.7, 202.51.227.82) on 2006-06-25 02:22

เครื่องผมส่งเมล์ ภาษาไทยไม่ได้ ใครมีทางแก้บอกหน่อยเถอะครับ

#9 By บอย (203.113.76.7) on 2006-06-25 00:45

#8 By (84.11.108.3 /203.130.2.94) on 2006-05-06 14:00

มันต้องกำจัด process ก่อนครับ ถึงจะลบไฟล์ได้

โปรแกรม scan virus ที่ใช้อย่าง NOD32 , Macfee พอตรวจจับพบไวรัสแล้ว ก็ลบเลย แต่ถึงยังไงก็ลบไม่ได้เพราะ process มันยังทำงานอยู่

วิธีแก้ ไม่ยากครับ เขียนโปรแกรมกำจัด process ที่แปลก แล้วก็ไล่ล่ามันเลย

5555

ผมฆ่ามันได้แล้ว

#7 By CS_DevEvil (202.90.112.13) on 2006-04-21 17:39

ใช้ NOD 32 นะงับ ฟอร์แมตเครื่องละตกกะจายโอไมเยอะอย่างนี้ฟะ พอดีเป็นคนทำคอมที่มหาลัยนะครับ มันฟ้องว่า ไม่สามารถเปิด eksplorasi.exe ได้ ผมละงงเลย ไม่ทราบว่าต้องทำไง ครับเนี่ย

#6 By tOrilaz (203.155.14.4) on 2006-04-20 15:53

ไม่ลองใช้ sophos ดูละครับลองทำแผ่น
บูตด้วย bartpe แล้วค้นหา plugin
sophos ในเว็ปต่างๆรับรองว่า repair
brontok ได้แน่นอน

#5 By (61.19.228.46) on 2006-04-09 10:34

สวัสดีคับผมเป็นช่างนะครับผมเล่นกับไวรัสตัวนี้ทุกวันครับผมจะมายืนยันว่าแอนตี้ไวรัสที่คุณใช้อยู่ทั้งสองตัวนั้นฆ่าไม่หายขาดครับต้องใช้AVGฆ่าครับลองเข้าไปอ่านวิธีฆ่าในเวบผมครับ
http://gotoknow.org/phand

#4 By ช่างป่าน (203.146.128.138 /10.8.6.99) on 2006-04-07 12:03

สู้เค๊าด็อกเตอร์

ใช้เมลล์จากเน็ตเบสจะดีกว่า ใช้ Outlook ทำ POP3

ทุบ Harddisk ทิ้งง่ายกว่าไหม

ติดตั้ง McAfee ป้องกันไว้
หรืออย่าใช้ XP
ลงไปใช้ 98SE แทน

#3 By thE pAt on 2006-03-27 22:29

ทีนี้ติด anti virus ให้หมดทุกยี่ห้อเลยอ่ะ แต่ registry ก้อยังเปิดไม่ได้เหมือนเดิม หน่วยความจำไม่พอ

#2 By Talk2me (58.8.102.236) on 2006-03-25 21:53

น่ากลัวแฮะ ตอนนี้เครื่องผมมีแค่เจ้า NOD32 ตัวเดียวซะด้วย เห็นเพื่อนแนะนำให้ติดโปรแกรมป้องกันหลายๆ ตัว เพื่อความชัว สงสัยต้องไปหาลงซะแล้วววว ก่อนที่จะสายเกินนน