จริงๆนี่ไม่ใช่ไวรัสตัวใหม่อะไรหรอกครับมันมีมานานแล้ว…แต่ผมก็นานแล้วเหมือนกันที่ไม่ได้เจอไวรัสอะไรที่ทำให้ผมต้องใช้เวลา Clean แล้ว Clean อีก( Format ไม่ได้ข้อมูลเยอะมากหลายร้อยๆ GB ) ที่ลูกน้องผมนำมาฝาก..1แต่จะว่าไปจะไปว่าเขา(มานนน) ก็ไม่ถูกเพราะว่าหากว่ามันไปเจอะเข้ากับลูกค้าผม..ผมคงต้องใช้เวลาไปกับมันทั้งเดือนแน่ๆ ฮ่าๆ ( เฉพาะ windows นะ) Linux เหรอรอชาติหน้านะ.อิอิวันนี้คุณลองชิม. Sailty.as แล้วหรือยัง..ผมคนนึงละโดนหมดเฉี้ยนเลย.เพราะลูกน้องด้วยความไม่รู้เอาใส่ handy Drive มาฝาก…เครื่องของผมก่อน.ซึ่งไวรัสตัวนี้แสบมากๆถ้าเป็น .exe มันจะฝัง..แบบ..ใครไม่เจอกับตัวคงไม่รู้ต้องโดนดูเล่นเอาผม Format เครื่องผมซึ่งมันไม่สามารถลบ Partion อื่นๆได้เลย.เล่นเอางานเข้าเลยผม..ระวังนะครับต่อให้มี Undo ท่านก็อย่าชะล่าใจเพราะว่าไวรัสตัวนี้..ไม่ใช่กระจอกอย่างที่คิดเลย.จริงๆ Mcfee รุ่นเทพ Ent ที่ผมเคยแจกไว้ก็กันได้นะครับแต่แนะนำให้ตั้ง Auto Delete ทันทีที่เจอไม่ต้อง Clean ถ้าโชคดีท่านอาจจะรอดได้แต่นี่เล่นมาเป็นฝูงเห็บใน Handy Drive ของลูกน้องตัวดีผม+เครื่องผมนี่แรงมั้กๆแค่ AMD4200 เองฮ่าๆ..ไม่ได้เล่นเกมส์..งานเข้าก็ลองโหลดโปรแกรมตัวนี้ไปลอง Scan ดูเบื้องต้นก็ได้คับ 32sality

 

ไวรัสตัวใหม่(ใหม่แต่ก่อนระบาดช่วงนี้ ) w32.sality.ab
ความร้ายแรงของไวรัสสายพันธ์นี้ถือว่าร้ายแรงกว่าไวรัสที่เคยเจอมาเลยครับ..เพราะมันแสบสรรตรงฝังแน่นเข้าไปที่โปรเซส เลย..-_- งานเข้า !!! ครับ
ไวรัสจำพวก sality นี้จำไว้เลยว่าจะเป็นไวรัสที่ไม่มีตัวแม่คอยทำงานดังนั้นโปรแกรมตรวจจับโปรเซสไวรัสจึงใช้ตรวจจับไวรัสสายพันธ์นี้ไม่ได้
ที่ผมเรียกมันชื่อ sality นี้เพราะว่ามันไม่มีตัวแม่ให้เรียกจึงต้องเรียกตามที่โปรแกรมแอนตี้ไวรัสเรียกครับ
หลักการทำงานของไวรัส sality คือเมื่อไวรัสเริ่มทำงาน ไวรัสจะเข้าไปฝังตัวอยู่ในไฟล์ exe ของโปรแกรมต่างๆที่กำลังทำงานอยู่ ไม่เว้นแม้แต่โปรแกรม
แอนตี้ไวรัส จากที่ผมลองไวรัสตัวนี้ดู โดยใช้โปรแกรม kaspersky ลองดูนะครับ เมื่อเปิดไฟล์ไวรัสแล้ว โปรแกรม kaspersky จะขึ้นมาเตือน
ว่าไฟล์ที่เราเปิดนั้นเป็นไฟล์มีความเสี่ยงที่จะเป็นไวรัส แล้วหลังจากนั้นหน้าต่างนั้นก็หายไปภายใน2วินาที แล้วหากเราเอาเมาท์ไปคลิกเปิดโปรแกรม
kaspersky  ที่ทาสบาร์โปรแกรม kaspersky ก็จะหายไปเลยครับ นั่นเท่ากับว่าไวรัสได้เข้าไปเกาะไฟล์โปรแกรม kaspersky เรียบร้อยแล้วครับ
ไวรัสตัวนี้หากติดแล้วไม่รีบแก้ ไวรัสจะเข้าไปเกาะไฟล์ exe ของไฟล์โปรแกรมทุกโปรแกรมครับ และทุกไดว์ฟเลยครับ
แล้วเมื่อไวรัสได้เกาะโปรแกรมป้องกันไวรัสได้ แล้วโปรแกรมป้องกันไวรัสนั้นต้องเปิดขึ้นมาทุกครั้งตอนเปิดเครื่องอยู่แล้ว
ดังนั้นไวรัสจึงทำงานทุกครั้งเมื่อคุณเปิดเครื่องโดยไวรัสตัวนี้ไม่ต้องไปสร้างคีย์เรียกไวรัสขึ้นมาเลย
ซึ่งต่างกับไวรัสทั่วไปที่เมื่อติดแล้วจะสร้างคีย์เรียกตัวไวรัสขึ้นมาทำงานเราจึงใช้โปรแกรม Hijack this ตรวจดูได้
เมื่อไวรัสสามารถทำงานได้ทุกครั้งตอนเราเปิดเครื่องไวรัสก็จะสร้างลูกมันขึ้นมาโดยชื่อไฟล์ของลูกไวรัสนั้นจะไม่ซ้ำกันเลย จึงบอกไม่ได้ว่าชื่ออะไร
ทราบเพียงแต่ว่าชื่อมันจะอ่านไม่ได้เพราะชื่อมันเกิดจากการสุ่มอักษรในการสร้างชื่อครับ ลูกมันทั้งสองตัวนี้ โปรแกรม Security Task Manager 1.7
สามารถมองเห็นการทำงานได้ครับ

ไฟล์ของลูกมันนี้ทำหน้าที่บันทึกรหัสผ่านที่คุณกดในเวบต่างๆเช่นรหัสอีเมล์รหัสผ่านธนาคาออนไลน์เป็นต้น โดยจะแอบบันทึกรหัสแล้วส่งไปให้
เจ้าของไวรัสทางเมล์ครับ ผมทราบการทำงานนี้ เพราะตอนติดไวรัสตัวนี้ผมเปิดโปรแกรมมอนิเตอร์ดูว่าขณะติดไวรัสมีการเชื่อมต่อไปที่ใด
ผมเช็คจากไอพีแล้วเป็นไอพีของเมล์ลิส(maillist)ซึ่งผมก็ไม่รู้ว่าเป็นอีเมล์ไหนอีเมล์ใคร เพราะว่าโปรแกรมันบอกมาแค่นี้เอง
ดังนั้นไวรัส sality พวกนี้มันไม่ได้ติดเพื่อทำลายข้อมูล แต่มันติดเพื่อขโมยรหัสผ่านของเราครับ

คิดย้อนไปเมื่อผมเป็นช่างคอมได้ซักปีกว่า ตอนที่ผมเริ่มวิจัยไวรัสใหม่ๆ(ราว6ปีที่แล้ว )ตอนที่เขียนบทความในเวบ
http://gotoknow.org/blog/phand  ผมลองไวรัสโดยใช้เครื่องตัวเองลองแล้วใช้การ์ด UNDO ช่วยย้อนคืนหลังจากติดไวรัสแล้ว
ตอนนั้นยังไม่รู้จักโปรแกรม VMware Workstation(โปรแกรมจำลองเครื่อง) ก็เลยไม่ได้ใช้  แล้วเครื่องที่ลองนั้นไม่ได้ลงโปรแกรมแอนตี้ไวรัส
ไว้ด้วย พอวันหนึ่งผมส่งไฟล์แก้ไวรัสให้เขาโหลด เขาบอกว่ามีไวรัส ผมก็เลยลงโปรแกรม AVG 7.5 เพื่อสแกนดู จึงได้รู้ว่าผมติดไวรัส sality
ติดทั้งเครื่องติดทุกไฟล์ และทุกไดว์ฟเลยครับ โปรแกรมผมจึงเสียหมดเลย เครื่องคอมหนะหากไม่ลงโปรแกรมแอนตี้ไวรัสหน่ะ
จะใช้งานทำงานได้เร็วมากๆเลย แต่ผลที่ได้คือโดนไวรัส sality เกาะไฟล์ exe หมดเลย หลังจากที่ผมได้บทเรียนนี้ผมจึงลงโปรแกรมแอนตี้ไวรัส
กันไวรัสตลอดมาครับ   ท่านผู้อ่านละครับ ท่านได้ลงโปรแกรมแอนตี้ไวรัสไว้ในเครื่องกันบ้างหรือยัง
ท่านทราบไหมครับว่า 95% ที่โทรมาคุยกับป่านที่โพสในบอร์ดเกี่ยวกับปัญหาการติดไวรัสนั้น ไม่ได้ลงโปรแกรม Kaspersky Internet Security 7.0
ป้องกันไวรัสไว้ครับ หากเราลง Kaspersky Internet Security 7.0 ไว้และเซตให้โปรแกรมนี้ป้องกันการเขียนค่าใน regedit ด้วยละก็ จะมีโอกาส
ติดไวรัสน้อยมากเลยครับ  แล้วก็ลง CPE17 กันไวรัส autorun ด้วยครับ

 

ขออธิบายเวอร์ชั่นของไวรัสที่ผมได้เจอมาก่อนนะครับ
เวอร์ชั่น 1 เจอเมื่อ5-6ปีก่อนอยู่ในไฟล์แฮกเมล์
เวอร์ชั่น 2 คือตัวที่พึ่งเขียนไปครับ http://www.webphand.com/notepad/

ตัวล่าสุดคือตัวที่ได้ลองวันนี้ครับ

 

สรุปผลหลังจากที่ได้ทดลองติดไวรัส sality เวอร์ชั่นล่าสุดก็ได้รู้ว่า โปรแกรม Kaspersky Internet Security 7.0 หากอัฟเดทแล้ว
สามารถป้องกันไวรัสตัวนี้ได้ครับ ก็คือมันรู้จักไวรัสตัวนี้แล้วแจ้งเตือนขึ้นมาดังรูปครับ

หากท่านใช้ Kaspersky Internet Security 7.0 แล้วติดไวรัสตัวนี้ซึ่งแน่นอนมันเข้าไปฝังในไฟล์ของโปรแกรม Kaspersky แล้ว
ที่ติดได้เพราะว่าไม่ได้อัฟเดทโปรแกรมKaspersky ครับหลังจากอัฟเดทแล้วเรารีสตาร์ทไฟล์อัฟเดทเหล่านั้นจะซ่อมและลบไฟล์ไวรัส
ที่มาเกาะในโปรแกรม Kaspersky  ออกไปครับ
วิธีแก้ไขเมื่อติดไวรัส w32.sality.ab

ต้องติดตั้งโปรแกรม Kaspersky Internet Security 7.0 แล้วอัฟเดทแล้วสั่งสแกนทั้งเครื่องครับ
และต้องเปิดการใช้งานการเปลี่ยนแปลงค่า regedit ด้วยนะครับ                วิธีใช้งานอย่างละเอียด


การป้องกัน

ก็ติดตั้งโปรแกรมป้องกันไวรัส Kaspersky Internet Security 7.0  แล้วก็ลง CPE17 กันไวรัส autorun ด้วยครับ
อย่าลืมอัฟเดทนะครับ Kaspersky Internet Security 7.0 บ่อยๆนะครับ

โดยช่างป่าน
www.webphand.com

Win32/Sality.NAR

Aliases:   Virus.Win32.Sality.aa (Kaspersky), Virus:Win32/Sality.AM (Microsoft), W32/Sality.ah (McAfee) 
Type of infiltration:   Virus
Size:   Variable
Affected platforms:   Windows
Signature database version:   3267 (20080714)
Short description:   Win32/Sality.NAR is a polymorphic file infector.
* Win32/Sality.NAR มันจะจำลองตัวเองเป็นไฟล์ที่ติดเชื้อ

Installation
When executed the virus drops in folder %system%\drivers\ the following file:
%variable%.sys (5509 B)
%variable% stands for a random text.

The following files are dropped into the %temp% folder:
%variableA%.exe (7680 B)
%variableB%.exe (8192 B)
%variableA%, %variableB% stand for a random text. The files are then executed.

The virus registers itself as a system service using the following name:
IPFILTERDRIVER
The following Registry entries are created:
[HKEY_CURRENT_USER\Software\%username%914]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List]
“%filename%” = “%filename%:*:Enabled:ipsec”
 
The performed command creates an exception in the Windows Firewall program.
*มันจะ้เข้าไปทำให้ Firewall เราไม่ทำงาน เราจะมองไม่เห็น user แบบในภาพครับ
The following Registry entries are set:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
“GlobalUserOffline” = 0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
“EnableLUA” = 0

 
The following Registry entries are deleted:
[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]
 
Executable files infection
Win32/Sality.NAR is a polymorphic file infector. The virus searches local and network drives for files with one of the following extensions: .exe Files are infected by adding a new section that contains the virus. The host file is modified in a way that causes the virus to be executed prior to running the original code.
*ไวรัสตัวนี้จะจำลองตัวเอง โดยการค้นหา drives ทุกๆ drive ไม่ว่าจะเครื่องคุณเอง หรือใน เน็ตเวิร์ค!! มันจะเข้าไปแตกไฟล์ .exe และแฝงตัวโดยเพิ่มบางส่วนเข้าไปในไฟล์ .exe นั้น เมื่อเรามีการ run ไฟล์ .exe ขึ้นมาตามปกติ เจ้าไวรัสตัวนี้มันก็จะถูกเปิดขึ้นมาด้วย เพราะระบบจะบอกเป็นปรแกรมพื้นฐานที่เราต้องเปิด!!!!
The virus infects files referenced by the following Registry entries:
* ไวรัสมันจะมาแก้ไข registry ด้านล่าง ลองสำรวจดูครับ ว่าใน run มีอะไรแปลกปลอมหรือเปล่า
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 
This causes the virus to be executed on every system start.
*ฉะนั้น!! จากข้างต้น ไวรัสจะถูกเข้าถึงทุึกครั้งที่เครื่องเรา start ขึ้นมา
Spreading on removable media
The virus copies itself into the root folders of removable drives using a random filename. The filename has one of the following extensions:
* และมันจะแพร่กระจายไปตาม Flash Drive, Thumb Drive แล้วแต่จะเรียกนะ มันจะเข้าไปแล้ว copy ตัวเองแฝงไว้ที่ directory แรก นั่นคือเปิดไปก็เจอเลย โดยมันจะ “สุ่ม ชื่อ”  (หาใน google ยังไงก็ไม่เจอ) ที่มีนามสกุล ดังนี้
.exe

.pif

.cmd
The following file is dropped in the same folder:
* จากนั้นก็ทำการฝัง autorun.inf เข้าไปด้วย
autorun.inf
Thus, the virus ensures it is started each time infected media is inserted into the computer.
* เมื่อเอา flash drive ไปเสียบ ที่ไหน ไวรัสมันก็จะ run ทันทีครับพี่น้อง!!!
Other information
The following files are deleted:
*.vdb

*.avc

*drw*.key

The following services are disabled:
* และซ้ำร้าย มันยังไปสั่งไม่ให้โปรแกรมพวกนี้ทำงานด้วยครับ !! ทำนองเดียวกับ anti_antivirus ที่ผมเคยเจอเลย
Agnitum Client Security Service
ALG
aswUpdSv
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
BackWeb Plug-in – 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
Eset Service
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
fshttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
Symantec Core LC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

The virus terminates processes with any of the following strings in the name:
* ปิด Process
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALMON.
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
ANTS.
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AUPDATE.
AUTODOWN.
AUTOTRACE.
AUTOUPDATE.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVAST
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BACKWEB-4476822.
BDMCON.
BDNEWS.
BDOESRV.
BDSS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CLAW95CF.
CLEANER.
CLEANER3.
CLISVC.
CMGRDIAN.
CUREIT
DEFWATCH.
DOORS.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FAST.
FCH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
F-PROT95.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
EGUI.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
KWATCH.
LOCKDOWN2000.
LOGWATNT.
LUALL.
LUCOMSERVER.
LUUPDATE.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NOD32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTXCONFIG.
NUPGRADE.
NVC95.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST.
PAV.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHM32.
QHONLINE.
QHONSVC.
QHPF.
QHWSCSVC.
RAVMON.
RAVTIMER.
REALMON.
REALMON95.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCAN32.
SCANNINGPROCESS.
CUREIT.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
AVAST
TDS-3.
TEATIMER.
TFAK.
THAV.
THSM.
TMAS.
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCHK.
VCRMON.
VETTRAY.
VIRUSKEEPER.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBPROXY.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRADMIN.
WRCTRL.
XCOMMSVR.
ZATUTOR.
ZAUINST.
ZLCLIENT.
ZONEALARM.
The virus contains a list of URLs. It tries to download several files from the addresses.

These are stored in the following locations:
*สร้างไฟล์เก็บไว้ สังเกตุได้ว่ามันจะมีชื่อ win นำหน้า ลองดูใน task manager ดีๆ (ถ้าเปิดได้นะ)
%temp%\win%variable%.exe

%temp%\%variable%.exe
%variable% stands for a random text. The files are then executed.

The virus creates and runs a new thread with its own program code within the following processes:
%system%\notepad.exe
%system%\winmine.exe

The virus modifies the following file:
SYSTEM.INI
The virus writes the following entries to the file:
[MCIDRV_VER]
DEVICEMB=%number%
The %number% stands for a random number.

สรุปความเสียหาย!!
มันทำให้เครื่องเราช้า, เป็นแหล่งเพาะพันธ์อย่างดีของมัน ผมได้รู้จักกับมันเมื่อ 3-4 วันก่อน มีลูกค้าเขาเอาเครื่องมาซ่อม จอไม่ติด!! ซึ่งมันก็ไม่ได้เกี่ยวกับไวรัสเลย ทีนี้ผมสังเกตุว่า เครื่องนี้มันติดไวรัสนี่หว่า เลยจะลบไวรัสให้เขาด้วย ก็เลยเอา flash drive มาก๊อบเอา antivirus ในเครื่องตัวเอง พวก Fix ต่างๆ copy ไปให้หมด, พอเอาไปเสียบเครื่องเขา ปรากฏว่า แม่งไม่หายแฮะ มันแค่เป้นการเยียวยา พอ restart เปิดมาใหม่ ก็เน่าเหมือนเดิม

โดย : http://www.dekitclub.com