เมี่อ 2 วันก่อน เกิดความวุ่นวายกับระบบงานที่ดูแลอยู่บังเอิญไปเจอไอ้เจ้า RTKT_FARFLI.UW เข้า โอ้โฮ งานเข้าครับเดี้ยงกันทั้งระบบเลย ใช้งาน Internet กันไม่ได้เลย เราก็นึกว่า router
เสียเปลี่ยนตัวใหม่ก็ไม่หาย จึงทดลองทำระบบ network ย่อยแแยกออกมา แล้วเข้า Internet ดูเอ๊ะมันก็เข้าได้ พอเชื่อมเข้าไปในระบบใหญ่เดี้ยง
เลยใช้ tool Wireshark จับ packet ดูก็ถึงบางอ้อจะไม่เดี้ยงได้ยังไง ก็ client แทบทุกตัวส่ง packet มาที่ router หนาแน่นมาก แน่นอน Virus!!!!!!
ขั้นต่อไปก็ต้องหาตัวการและกำจัดมันออกไป ขั้นแรก ตรวจสอบ log จาก Officescan ที่client มันแจ้งว่า
Virus Detected!!!
Virus Alert!!
RTKT_FARFLI.UW is detected on XXXXX in ZZZZZZ domain.
Infected file: C:\WINDOWS\system32\drivers\sysdrv32.sys