เมี่อ 2 วันก่อน เกิดความวุ่นวายกับระบบงานที่ดูแลอยู่บังเอิญไปเจอไอ้เจ้า RTKT_FARFLI.UW เข้า โอ้โฮ งานเข้าครับเดี้ยงกันทั้งระบบเลย ใช้งาน Internet กันไม่ได้เลย เราก็นึกว่า router
เสียเปลี่ยนตัวใหม่ก็ไม่หาย จึงทดลองทำระบบ network ย่อยแแยกออกมา แล้วเข้า Internet ดูเอ๊ะมันก็เข้าได้ พอเชื่อมเข้าไปในระบบใหญ่เดี้ยง
เลยใช้ tool Wireshark จับ packet ดูก็ถึงบางอ้อจะไม่เดี้ยงได้ยังไง ก็ client แทบทุกตัวส่ง packet มาที่ router หนาแน่นมาก แน่นอน Virus!!!!!!
ขั้นต่อไปก็ต้องหาตัวการและกำจัดมันออกไป ขั้นแรก ตรวจสอบ log จาก Officescan ที่client มันแจ้งว่า
Virus Detected!!!
Virus Alert!!
RTKT_FARFLI.UW is detected on XXXXX in ZZZZZZ domain.
Infected file: C:\WINDOWS\system32\drivers\sysdrv32.sys
Detection date: 2009.02.11 17:49:41
Action: Virus successfully detected, cannot perform the Clean action (Quarantine)
ไปดูที่ http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=RTKT_FARFLI.UW
แล้วทำตาม solution http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=RTKT%5FFARFLI%2EUW&VSect=Sn
ที่ trendmicro แจ้งมา แต่ชีวิตมันไม่ง่ายอย่างนั้นเพราะมันไม่เห็นเป็นอย่างที่แสดงเลย ฟระ!!!!! registry ที่ต้องลบก็ไม่ยักกะมี อ้าวแลัวจะไปต่อยังไง??????
tik-tok tik-tok tik-tok .... virus มันก็เป็นโปรแกรมคอมพิวเตอร์ประเภทนึงจะฆ่ามันก็ต้องไม่ให้มันโหลดเข้าไปใน memmory ของคอมพิวเตอร์
ฉะนั้นตอนนี้มันต้องเป็น process ใด process นึงที่กำลัง run แน่นอน
และไอ้เจ้าตัวปัญหามันส่ง packet ไปที่ router ดังนั้นมันต้องใช้ TCP/IP แน่นอนคงต้องจัดการแบบลูกทุ่งคือลุยเอง
ลุย!!!!!
เปิด command prompt โดย Start-->run แล้วพิมพ์ cmd จะมี command prompt แสดงขึ้นมา
ที่ prompt
C:\>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:110 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:143 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:366 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:389 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1000 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1047 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1048 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1053 0.0.0.0:0 LISTENING 1408
TCP 0.0.0.0:1062 0.0.0.0:0 LISTENING 1408
ซึ่งจะแสดง TCP connection ออกมาให้สังเกต column สุดท้าย PID ซึ่งหมายถึง process id ของโปรแกรมที่ทำงาน
อยู่ถ้ามี PID เดียวกันติดต่อกันมากๆให้คาดว่าน่าจะเป็นไวรัส ตัวอย่าง 1408 น่าจะใช่จากนั้นใช้ taskmanager เพื่อดูว่าเป็นโปรแกรมอะไร
C:\>taskmgr -----> taskmanager จะแสดงขึ้นมาให้หา PID ที่ 1408 ใน tab process แต่บางครั้งจะหาไม่เจอเพราะมันซ่อนตัวได้ต้องใช้เครื่องมือเพิ่มเติมคือ ProcL http://www.scanit.net/rd/tools/03 เอาไว้ดู hidden process
download http://www.scanit.net/files/tools/ProcL.zip
unzip ตามถนัด winzip/7zip อื่นๆ
run C:\ProcL>ProcL ---> จะแสดง hidden process ออกมาในกรณีของผมพบ wmisync.exe run เป็น hidden process มี PID 1408
boot เข้า safe mode
Search ไฟล์ wmisync.exe ว่ามันอยู่ที่ไหน โดยปรับ folder option ให้แสดงไฟล์ที่ซ่อนทั้งหมดรวมถึงพวก system file ด้วย
Tools-->Folder options
ที่ tab View check ที่ตัวเลือก Show hidden files and folders และ un-check Hide protected operating system files (Recommended)
ก็จะได้ที่อยู่ของมัน C:\WINDOWS\system\wmisync.exe
Search registry เพื่อหาว่ามี wmisync.exe อยู่ที่ใดบ้างเพราะ การ load program/service ของ windows ใช้ registry เป็น configuration ในกรณีนี้จะได้
HKEY_LOCAL_MACHINE
SYSTEM
ControlSet001
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ <-------- จะมี value wmisync.exe
ControlSet002
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ <-------- จะมี value wmisync.exe
ControlSet003
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ <-------- จะมี value wmisync.exe
CurrentControlSet
Services
WMISYNC หรือ WMIAPPSRV หรือมีทั้งคู่ หรืออาจไม่มีเลย <-------- จะมี value wmisync.exe
ลบ hive เหล่านี้ออกให้หมด
แล้วลบไฟล์ต่อไปนี้ถ้ามีโดยให้ shift+delete เพื่อให้ลบอย่างถาวร
- C:\WINDOWS\system\wmisync.exe <-- มีแน่นอน
- C:\WINDOWS\system\wmiappsrv.exe <-- อาจไม่มีก็ได้
- C:\WINDOWS\system32\**.exe ขื่อมี 2 ตัวอักษร หรือ exe อื่นๆที่สร้างเมื่อไม่เกิน 1-2 วันเพราะพวกนี้อาจเป็นเชื้อให้ติดใหม่ได้ มีหลายไฟลล์มากมันจะสุ่มชื่อ
- C:\Documents and Settings\ชื่อuser\Local Settings\Temporary Internet Files\*.* มันเก็บ temp file ที่ loadจาก internet
*** ถ้าเข้า safe mode ไม่ได้ ให้ ลบ registry ก่อน แล้วใช้ hijackthis http://www.hijackthis.de/ ทำการ Delete file on reboot
0 ความคิดเห็น:
แสดงความคิดเห็น