ประสบการณ์ล่าล้างไวรัสนอกสถานที่

posted on 19 Mar 2008 23:24 by ninkungz in News-Talk, Technic

ต้องทำความเข้าใจก่อนว่า บทความนี้ ไม่ใช่ How-to และ ไม่ได้เขียนโดยเซียน ผู้เขียนเป็นแค่คนรู้มากที่เพิ่งได้ปฏิบัติการจริงเท่านั้น โปรดใช้วิจารณญาณในการชม

*จริง ๆ ไอ้ตัวร้ายในบทความนี้มีทั้ง หนอน โทรจัน สปายแวร์ ซึ่งจริง ๆ ต้องเรียกรวมว่า มัลแวร์ (Malware) แต่ผมขอเรียกมันโดยรวมว่า ไวรัส ตามภาษาชาวบ้าน โปรดเข้าใจตรงกันตามนี้ครับ

เรื่องมันเริ่มจาก...

ผมได้มีโอกาสไปที่โรงเรียนมัธยมแห่งหนึ่ง (แน่นอนว่าเพื่อโปรแกรมบ้านั่น) อืมม์... โรงเรียน สถานที่ที่ขึ้นชื่อว่าฟาร์มเพาะไวรัสชั้นดี ตั้งแต่สมัยดอส ทุกเครื่องต้องขึ้นโลโก้ SW สีชมพูทุกครั้งที่เข้าโหมดกราฟิกส์ พอยุควินโดวส์ ก็มีมาโครไวรัสติดมากับไฟล์งานเป็นปกติ ส่วนยุคนี้ไม่มีอะไรฮอตเท่าไวรัสจาก Flash Drive อีกแล้ว แถมมักจะมาทีกันทีละ 2 - 3 ตัว อืมม์...

กลับมาที่ปัจจุบัน สาเหตุที่ได้ไปล่าไวรัสน่ะหรือ ก็เพราะผมลบไวรัสใน Flash Drive ให้แม่ดูน่ะสิ แม่เลยวานให้ไปช่วยจัดการที่โรงเรียนให้หน่อย

ผู้ติดเชื้อ

เครื่องที่ติดเชื้อเป็นคอมพ์กลางเก่ากลางใหม่ (ระดับ Pentium 4) ที่ตั้งไว้ในห้องสมุด เครื่องนี้เอาไว้เล่นเต็มที่ ไม่ได้เอาไว้ใช้ในงานสืบค้น มันต่อเน็ทได้ด้วย อาการภายนอกก็คือ เปิดมาได้สักพักมันก็ Shutdown ไปเอง อาการเหมือนหนอน Blaster ครับ แต่ไม่ใช่ มันมากกว่านั้นเยอะ! ในเครื่องนี้มี Antivirus อย่างหรูถึง 2 ตัวคือ Kaspersky กับ NOD32 แต่ไม่ทำงานแล้วทั้งคู่ (โดนเล่นไปแล้ว)

ปฏิบัติการวันที่ 1

วันนั้นผมเตรียมไปแค่แผ่น Xubuntu 7.10 กับ MicroSD (พร้อม Reader เฉพาะของมัน) ที่มีโปรแกรม CPE17 ไปเท่านั้น เพราะไม่คิดว่า... มันจะชุมขนาดนั้น

ผมเริ่มการบูตเครื่องนั้นด้วย Xubuntu LiveCD ที่เลือก Xubuntu นี่ ก็เพราะมันเร็วกว่า Ubuntu แค่นั้น เราไม่ได้มาใช้อะไรมากมาย (แถม Xfce มันสวยโคตร) ปกติผมเอามันมาเพื่อลบไวรัสจาก Flash Drive ครับ เพราะสมัยนี้ Linux มันฉลาด เสียบแล้วก็เห็นเลย (ถ้าเป็นสมัยก่อนคงลำบากน่าดู) เสียบ Flash Drive แล้วก็ลบไฟล์ Autorun.inf ก่อนเลย แล้วไฟล์ EXE ที่ไม่ใช่ของเราก็จัดการต่อซะ เรียบร้อย (อย่าลืม View Hidden Files ด้วย) แต่..ที่มาวันนี้ผมไม่ได้เอามันมาลบไวรัสใน Flash Drive หรอก แต่เอามากันไม่ให้มันมาติด Flash Drive (จริง ๆ เป็น MicroSD) ของผมต่างหาก

หลังจากบูต Xubuntu แล้ว ก็จัดแจงสำรวจในเครื่องก่อนเลยครับ อ้อ Linux สมัยนี้ (หรือเฉพาะบางตระกูลหว่า) มองเห็น NTFS โดยอัตโนมัติแล้วครับ แถมยังจัดการไฟล์ในนั้นได้อีกต่างหาก กลับมาต่อ ผมจัดแจงลบ Autorun.inf ในเครื่องนั้นก่อนเลย (มันนี่แหล่ะทำให้ดับเบิ้ลคลิกเปิดไดร์ฟไม่ได้) แล้วก็ไปเจอ Music.exe จะ ๆ อีกตัว ลบซะ หลังจากนั้นก็หยอด CPE17 ลงไป เพื่อจะเอาไว้รันตอนกลับเข้า Windows เท่านี้ เจ้า Flash Drive ก็หมดหน้าที่

กลับมาเข้า Windows ใน Safe Mode ติดตั้ง CPE17 เรียบร้อย โปรแกรมนี้เป็นฝีมือคนไทยครับ ประโยชน์ของมันนอกจากช่วยป้องกันไวรัสจาก Flash Drive แล้ว ยังช่วยให้เรียกเครื่องมือหลัก ๆ ของ Windows ที่ไวรัสมันชอบปิดเอาไว้ได้ด้วย เช่น Regedit, Task Manager ผมต้องการอย่างหลังนี่ล่ะ (ส่วนตัวผมใช้ ARDV ป้องกันอย่างเดียว)

ลองสำรวจความเสียหายเพิ่มเติมก็พบโปรแกรมที่ใช้ไอค่อนเป็นรูปโฟลเดอร์... ที่งี่เง่าไปนิดดันเอาโฟลเดอร์แบบของ Vista มาเป็นไอค่อน ไอ้พวกนี้ไวรัสแน่นอนลบซะ... สำรวจไปอีก.. เจอโฟลเดอร์เก็บ MP3 ที่มีแต่โฟลเดอร์เปล่า ๆ เนื้อในโดนกินไปหมดแล้ว (ฝีมือ Music.exe น่ะ) น่าสลดยิ่งนัก

ผมเปิด Msconfig ขึ้นมา ไปที่ Startup พบว่ามีรายการชื่อแปลก ๆ สถิตย์อยู่ เช่น Bad1, Bad2, Bad3, Winform, PTSShell ไอ้พวกนี้ ลองเอาชื่อไปหาใน google แล้วจะได้คำตอบครับ (อย่าลืมเติมนามสกุล exe หรือ dll ตามที่ค้นพบ) ว่ามันใช่ไวรัสรึเปล่า ผมจัดการเอาออกซะ

ต่อไปก็เปิด IE ขึ้นมา เข้าไปที่ Tools > Manage Add-ons... ก็เจอมาแอบอยู่ที่นี่กันเพียบอีก ก็ Disable ไปซะ!!

ผมรู้สึกมันชักจะเยอะ เลยโหลด Antivir มาสแกนซะ เจอเป็นร้อย (ไวรัสไม่กี่ตัว แต่มันทิ้งไข่ไว้เพียบ) ผมพยายามตอบมันทีละตัว ๆ ให้แน่ใจว่าไม่ลบผิดตัว บางตัวชื่อมันแปลกสิ้นดีก็ลบไปไม่ลังเล แต่บางตัวก็เนียนครับต้องดูดี ๆ และจุดนี้แหล่ะที่ผม... พลาดซะแล้ว เพราะดันไปลบไฟล์สำคัญเข้า

มันคือไฟล์ userinit.exe ครับ (เอาชื่อนี้ไปหาใน Google ดูสิ) ผลจากการลบมันไปก็คือ... วินโดวส์จะไม่สามารถ Log on ได้เลย มันจะ Log off ทันทีแล้วพยายาม Log on เข้าไปใหม่ วนอยู่อย่างนั้น... ไม่สามารถทำอะไรได้ แม้ใน Safe Mode

- จบวันที่ 1 -

ปฏิบัติการวันที่ 2

จบวันแรกไปร่วม 2 สัปดาห์ ผมถึงได้กลับไปใหม่ คราวนี้เอา userinit.exe จากบ้านไปด้วย...

บูตด้วย Xubuntu ตามเคย แล้วเข้าไปไดร์ฟ C: เพื่อจะหยอดไฟล์นี้ลงไป แต่พบว่าเข้าไม่ได้ซะงั้น เพราะ NTFS ยังไม่ได้ Clean ครับ (จะหมายความว่ายังไงก็เหอะ เอาแค่ว่า NTFS มันเป็นระบบไฟล์ที่มีอะไรมากกว่าการเข้ารหัสและการบีบอัดไฟล์ละกัน) คงเพราะเครื่องไม่ได้ Shutdown แต่ Xubuntu ก็เสนอวิธี "บังคับ" ให้ โดยต้องไป Mount เอาเองใน terminal โดยเพิ่ม -o force เข้าไป (จริง ๆ คำสั่งมันยาว แต่จำได้อันเดียว) ในที่สุดก็เข้าไดร์ฟ C: ได้

เข้าไปหยอด userinit.exe ลงใน System32 แล้ว ก็กลับเข้าวินโดวส์ ก็ผ่านฉลุย คราวนี้ก็เลยอัพเดต Antivir ได้ซะที (Safe Mode มันไม่ยอมให้อัพเดต) ซึ่งพออัพเดตแล้วก็เจอใหม่ ๆ อีกเพียบ แต่รีสตาร์ทแล้ว Antivir ดันขึ้นเตือนอีกอย่างต่อเนื่องจนทำอะไรไม่ได้เลย ซ้ำยังเข้า Safe Mode แล้วจอฟ้าอีกต่างหาก ผมเลยปิด Antivir Guard ตอนบูตเครื่องซะ แล้วตรงเข้า www.sysinternals.com เพื่อไปโหลด "ของดี" มา 2 ตัว ได้แก่ Process Explorer และ Autoruns ศัตรูตัวฉกาจของเหล่าไวรัส

Process Explorer

โปรแกรมนี้ จริง ๆ มันก็คือ Task Manager เวอร์ชั่นเซียนนั่นแล เจ้านี่จะช่วยให้เราสามารถดูได้ว่า Process แต่ละตัวรันมาจากไหน ด้วยคำสั่งอะไร ซึ่งบางทีไวรัสอาจจะแอบอยู่ก็ได้

Autoruns

สุดยอดโปรแกรมตีแผ่ทุกจุดที่โปรแกรมต่าง ๆ ใช้โหลดตัวเองตอนบูตเครื่องได้ งานนี้ไวรัสหน้าไหนไม่มีรอดพ้นสายตาไปได้แน่ (อย่าลืมไปกา Hide Signed Microsoft Entries กับ Verify Code Signatures ใน Options ล่ะ กันลบผิด)

---

โปรแกรมทั้งสองนี้แค่ Unzip ก็ใช้ได้เลย แต่... รันไม่ขึ้นซะงั้น อะไรเนี่ย ผมลองเปลี่ยนชื่อไฟล์ของทั้งสองโปรแกรมดู ก็ถึงจะรันได้.. เออ ไวรัสมันคงดักไว้

ด้วยฝีมือของ Autoruns ทำให้ผมได้เห็นคราบที่ไวรัสทิ้งไว้ รายชื่อไฟล์ที่ลบไปด้วย Antivir ขึ้นอยู่ตามที่ต่าง ๆ เต็มไปหมด (แต่มันขึ้น not found ไปซะส่วนมากแล้ว) โดยเฉพาะส่วน AppInit และ Image Hijacks นี่..อย่างเพียบ!! (กลับมาดูที่บ้าน สองจุดนี้ว่างเปล่าเลย) ผมก็เอาติ๊กออกไปหมดล่ะ คราวนี้มันจะกลับมามั้ยล่ะ?

ก็ยังกลับมาบางตัวครับ พอไล่ ๆ ดูก็พบว่ามีสองสามตัวไปแอบอยู่ตรง Drivers อีกแน่ะ แถมเอาไม่ออกด้วย สุดท้ายก็ปล่อยไว้อย่างงั้น

เอา Spybot Search & Destroy มาสแกนอีกรอบ โปรแกรมนี้บางทีก็ฉลาดนะ มันพบว่า Folder Options.. ถูกปิด เลยเปิดให้ด้วย

สิ้นสุดปฏิบัติการ

ตอนนี้เครื่องใช้งานได้ปกติแล้ว แม้จะมีไวรัสอยู่นิดหน่อย แต่มันคงแพร่เชื้อไม่ได้ล่ะ ผลข้างเคียงที่ได้รับจากปฏิบัติการนี้คือ ไม่สามารถเข้า Safe Mode ได้อีกต่อไป

งานนี้จำไว้เลยครับว่า "กันไว้ดีกว่าแก้" เครื่องอื่น ๆ ในห้องนั้นติด CPE17 และ Antivirus ไว้ล่วงหน้า เครื่องสะอาดไม่ติดอะไรเลยครับ

หลายคนที่เอะอะก็ Format ใหม่ ลองเล่นสนุกกับไอ้พวกนี้ดูก่อนสิครับ ...ถ้าว่างมากนะ

เก็บตก - โปรแกรมที่กล่าวถึง

Xubuntu Linux - มันไม่ใช่แค่ของเล่นหน้าตาสวยโคตรอีกต่อไป สามารถใช้สำรวจและหยอดได้โดยที่เราไม่ได้รับผลกระทบ
Antivir Personal Edition Classic - โปรแกรม Antivirus ที่อัตราตรวจพบสูง แต่อัตราก่อปัญหาก็สูงด้วย เหมาะเอาไว้ใช้ป้องกัน มากกว่าแก้ไข
CPE17 - ฝีมือคนไทย ใช้กันไวรัสจาก Flash Drive ที่ Antivirus ทั่วไปชอบปล่อยผ่าน
Process Explorer - อธิบายไปแล้ว
Autoruns - อธิบายไปแล้ว
Spybot Search & Destroy - ล่าล้าง Spyware แก้ไข Registry แต่บางทีมันก็ไม่ฉลาด
ARDV - โปรแกรมป้องกันไวรัสจาก Flash Drive สำหรับผู้ที่พอรู้อะไรแล้ว (ไม่มีลิ้งค์เพราะเว็บปิด เอาชื่อไปหาใน Google ดูครับ)

Tags: antivirus, malware, virus26 Comments

ไม่ว่างมาก แต่ไม่ค่อยรู้เรื่องเลย format ทุกที sad smile

#1 By (^_^)/nana on 2008-03-20 01:22

ไอ้ CPE17 นี่ใช่ไอ้จอเขียว ๆ สด ๆ ที่เด้งขึ้นมาตอนเสียบ Flash Drive ใช่ไหมครับ? embarrassed

#2 By พญาภูภู่ฯ นพบุรีศรีนครพิงค์ on 2008-03-20 01:32

^== อ่า คงใช่

#3 By NinkungZ on 2008-03-20 01:33

มันจะบล็อกและลบ Autorun ในไดรฟ์ทุกชนิดที่ใส่ๆถอดๆนะครับ
เพื่อนผมมันเขียน Autorun เอง(ไม่รู้มันจะเขียนทำไมแต่มันก็เขียน)

แล้วมันก็บ่นประจำว่ามันอุตส่าห์เขียน Autorun ไว้ เอามาเสียบเครื่องผมทีไรโดน CPE ลบทุกที

#4 By ไทน่า หมาป่าตัวเขียว on 2008-03-20 01:35

ท่านนิเกะ นี่เซียนจริง ๆ บางทีเจอกรณีโรคจิต ๆ แบบเข้าไปแก้รีจิส ผมก็ต้องถอยทัพหาทูลซะแล้ว ถ้าเกิดพวกเครื่องมือช่วยไม่ได้ คงจะฟอแมทสถานเดียว

#5 By renkung on 2008-03-20 01:37

ูไทน่า
^=== เห็นว่าปิด Autoruns ทุกไดร์ฟให้เฉย แล้วใครอยากเปิดก็ไล่ไปหาโปรแกรมมาเปิดเองอีกนะ (เห็นบอก อยากกลับไปเสี่ยงก็เชิญ อะไรทำนองนี้ sad smile

) แต่สำหรับผู้ใช้ไม่รู้อิโหน่อิเหน่แล้ว ผมว่าต้องเล่นแบบนี้แหล่ะ (บางคนโปรแกรมอะไรขึ้นเตือน...ไม่อ่านเลย)

ส่วนตัวผมเลยใช้ ARDV แทนน่ะ เพราะมันถามก่อนลบ question

#6 By NinkungZ on 2008-03-20 01:40

สุดยอดเลยค่ะ

เป็นแฟนประจำบล็อกนี้ตั้งแต่ยังไม่มีบล็อกเป็นของตัวเอง

จนกระทั่งวันนี้มีบล็อกเป็นของตัวเองแล้ว

ก็ยังจะติดตามต่อไปค่ะ

อยากเก่งแบบนี้บ้างจังค่ะ cry

#7 By ViLitt on 2008-03-20 01:40

ละเอียดสุดยอดมากครับ ผมเองอาศัยจำ Process เอาซะมาก ตอนนี้รู้จักโปรแกรมแล้วจะได้ไม่รกสมองต่อ Hot!

#8 By Penz on 2008-03-20 01:48

อ่านแล้วสะใจ.... พวกมันตายอย่างทรมาน ร้องโอดครวญ 55555.....

ฆ่า ๆ .... ตาย ๆ

ว่าแต่ช่วยมาล้างให้ผมบ้างสิครับ .... เต็มไปหมด ลบก็ไม่ออก

#9 By หุ่นดีกันเถอะ on 2008-03-20 07:06

ปกติผมปิด Autorun ไว้นะครับ

รำคาญเวลาเสียบทีเด้งขึ้นมาที

#10 By UnknowPerson on 2008-03-20 07:47

โห โปรแกรมProcess Explorer กะ Autoruns นี่ เจ๋งจริงๆ

ปล. ถ้าเครื่องมันติดขนาดนั้นนี่ เป็นผมคงไม่นั่งรบกะมันขนาดนี้นะเนี่ย เหอะ สุดยอดจริงๆ

#11 By หมูทอดซามะ on 2008-03-20 08:25

ดูเหมือนเป็นเรื่องเล่า แต่มันสามารถนำไปใช้จริงได้
สำหรับคนที่เจอไวรัส มัลแวร์ลงเครื่องแล้วไม่รู้จะทำไงนะนี่

ว่าแต่... มันเยอะขนาดนั้น.. เป็นนิเกะ.. ล้างแม่ม..โล่ด...

#12 By นิเกะ on 2008-03-20 10:30

อืมม เป็นเราคงยอม formatไปแล้วมั้ง sad smile

โปรแกรมน่าใช้ ไว้มีโอกาสต้องลองสักหน่อย

#13 By Ellebazi on 2008-03-20 11:04

นินคุงสุดยอด!! Hot!

แต่มีนินคุงอยู่ ก็ไม่ต้องกลัวไวรัสแล้ว ตามให้นินคุงมาล้างเลย

#14 By Prite -The Hell Beat- on 2008-03-20 11:45

หยั่งกะมือโปร ขอคารวะจริงๆ
ปล.ผมก็เคยเจอแบบนี้บ่อยๆ ให้ไปช่วยแก้ไวรัส แต่ผมเอาเครื่องมือยัดไว้ใน Flash Drive หมด

แล้วก็เอามาเสียบที่บ้าน เพื่อเอามา "เลี้ยง" อีกที

ปล2.ลงวินโดวส์ไม่เป็น ใครสอนให้ผมได้บ้างอ่ะ เผื่อมีประโยชน์

#15 By Ratcicle on 2008-03-20 12:38

ว่าแต่เจ้า เมลแวร์จริงๆมันส่งผลอะไรบ้างน่ะงิ

#16 By Villetta on 2008-03-20 19:58

โปรแกรมพวกนี้ช่วยหาแต่ไม่ช่วยลบใช่หรือเปล่าค่ะ embarrassed

เราต้องลบเองเหรอค่ะ embarrassed

#17 By ตุ้มเป๊ะ on 2008-03-20 20:01

^== ใช่แล้ว ต้องรู้ว่าลบตัวไหนและตัดสินใจลบเอง

บางที Antivirus ที่มันลบให้อัตโนมัติก็ลบผิดเองก็มีนะ (ดังนั้นควรตั้งให้มันถามก่อนเสมอ)

#18 By NinkungZ on 2008-03-20 20:04

คือว่าลองโหลดแล้ว แต่ลบไม่เป็นค่ะ sad smile

อย่างออโตรันนะค่ะ ตัวที่ขึ้นว่าไม่พบนี่ลบได้เลยใช่ไม๊คะ
แล้วลบยังไงอ่ะ ช่วยอธิบายเพิ่มในเนื้อหาได้ไม๊คะ cry

ขอบคุณค่ะ

#19 By ตุ้มเป๊ะ on 2008-03-20 20:23

^=== สิ่งที่ Autoruns แสดงคือ... เอ่อ จุดเริ่มทำงานของโปรแกรมทั้งหมดน่ะครับ มีทั้งที่เป็นไวรัสและไม่ใช่ (อาจจะไม่มีไวรัสเลยก็ได้)

- ถ้ามันบอกว่า not found ก็แสดงว่าไม่มีไฟล์นั้นแล้ว จะเอาออกหรือไม่ค่าก็เท่ากันครับ

- การลบออกก็คือเอาเครื่องหมายถูกข้างหน้าออก เท่านั้น

- ถ้าไม่แน่ใจจริง ๆ ว่าควรลบอันไหน ไม่แนะนำให้ใช้ครับ

#20 By NinkungZ on 2008-03-20 20:39

ค่ะ ไม่ลบตัวไม่แน่ใจ
แล้วสีๆ ในProcess Explorer ละคะ สีชมพูกะสีม่วงแบบรูปของคุณนินคุง ลบได้ใช่ไม๊คะ embarrassed

#21 By ตุ้มเป๊ะ on 2008-03-20 20:50

^== Process Explorer มันไม่รู้ครับว่าอันไหนคือไวรัส สีชมพูคือ Process ที่เป็น Service ส่วนสีม่วงในภาพเป็น Process ที่มีการเข้ารหัสข้อมูลไว้เพื่อซ่อนโค้ด อาจจะเป็นไวรัสก็ได้ แต่ก็ไม่เสมอไป บางทีเขาอาจกลัวโดนแกะโค้ดก็ได้ (ในภาพสีม่วงเป็น Service ของ HDD Life)

การกำจัดไวรัสด้วยโปรแกรม 2 ตัวนี้ จำเป็นต้องอาศัย 2 สิ่งคือ ประสบการณ์ และ Google ครับ

- ประสบการณ์ ก็เช่น เห็นชื่อนี้รู้แน่ ๆ ล่ะว่าไม่ใช่โปรแกรมประสงค์ดีแน่ (เช่น NNNNNN เนี่ย คงไม่ใช่โปรแกรมหวังดีแน่ ๆ)

- ส่วน Google ก็คือในกรณีที่เราไม่รู้จักหรือไม่แน่ใจ ก็เอาเอาชื่อที่เราพบไปหาใน Google เพื่อดูว่าใช่ไวรัสมั้ย (ถ้าชื่อค่อนข้างเฉพาะและดังพอควรจะเจอทันที)

คิดว่าว่าง ๆ จะเขียน How-to แล้วครับ แต่ต้องขอรวบรวมรายละเอียดสักหน่อยนะ sad smile

#22 By NinkungZ on 2008-03-20 21:11

แหะๆ

รออ่านค่ะ ขอบคุณคร้าบ... cry