14 กุมภาพันธ์ 2552
แจ้งเตือนไวรัส Sality ครับ
แจ้งเตือนไวรัส Sality ครับ
เนื่องจากช่วงนี้ ในที่ทำงาน ไอ้ไวรัสตัวนี้ (win32.Sality.aa) ระบาดหนักครับด้วยความสงสัย ว่า ไอ้ไวรัสตัวนี้มันติดได้ยังงัย แล้วติดแล้วจะเป็นยังงัย
เอาชื่อ นะคัรบ สำหรับคนที่ Update Antivirus แล้วนะครับจะรู้จักกันในนามต่อไปนี้นะครับVirus.Win32.Sality.a (Kaspersky Lab) is also known as: Win32.Sality.a (Kaspersky Lab), W32/Sality.a (McAfee), W32.HLLP.Sality (Symantec), Win32.HLLP.Sector.29032 (Doctor Web), W32/Sality-A (Sophos), PE_ROSEC.A (Trend Micro), W32/Sality.A (FRISK), Win32:V-29032 (ALWIL), Win32/Sality.A (Grisoft), Win32.Sality.A (SOFTWIN), W32/Sality.A (Panda), Win32/Sality.A (Eset)
ท่านใดที่ใช้antivirus ที่รู้จักไวรัสตัวนี้แล้วก็ไม่น่าห่วงครับ แต่เน้นไว้ก่อนนะครับ ว่า antiviirus ต้อง update ไม่งันก็เสร็จโจน เหมือนกันครับ เหมือนมี มีด แต่ไม่ลับอ่ะครับ
การแพร่พันธ์
Sality is a portable executable (ติดทาง flash dirve, handy drive หรือ trumb drive แล้วแต่จะเรียกครับ )(PE is the standard executable format for 32-bit Windows files) virus. PE viruses infect executable Windows files by incorporating their code into these files such that they are executed when the infected files are opened.PE viruses may have other capabilities. Many PE viruses keylogging and open backdoor access ports that allow remote users to manipulate affected systems(เหมือนโจรมันมาแอบเปิดประตูบ้านเราไว้อ่ะครับ 6 - - เพื่อเพือนโจรคนอื่นจะแวะมาทักทายเพิมเติม); some can spread into other computers. (ทำเครื่องตัวเองติดไม่พอ ยังจะพยายามจะขยายพันธ์ข้ามเครื่องอีก)
Files infected by PE viruses are typically cleanable - they can be reverted back to their clean states. However, restoring affected systems may require procedures other than scanning with an antivirus program.
OS ที่เป็นแหล่งเพราะพันธ์ทีดีครับSystems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
สนใจข้อมูลเพิ่มเติม ไปต่อได้ที่
1. http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=1/
2. http://www.trendmicro.com/vinfo/apac/virusencyclo/default5.asp?VName=PE_ROSEC.A
3. http://www.viruslist.com/en/viruses/encyclopedia?virusid=21026
4. http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.htmlด้วยความ
ปรถนาดี ^^ ครับ !!
ลักษณะของไฟล์ Autorun ครับอาการที่สังเกตุได้นะคัรบ
1. ชื่อไฟล์เราแปลก ๆ ไปครับ มักจะมี exe ต่อท้าย
2. folder บ้างFolder ถูกเปลี่ยนแปลงไปให้กลายเป็น hidden หรือ ถูกซ่อนไปซะอย่างนั้นครับ (อันนี้ไม่แน่ใจ ว่าเป็นจากSality หรือเปล่านะครับ แบบว่ามีระบาดหลายตัว)
3. แน่นอนทีเดียวครับเป็นไวรัสที่จิ๊มปุ๊บ ติด ปั๊บครับ
4. ระวังมันแพร่พันธ์ทาง network ด้วยนะครับแนว
ทางแก้ไขครับ FIX sality
1. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FSALITY%2EEK&VSect=Sn
2. ดาวน์โหลดตัว FIX http://u3.upload.sanook.com/A0/15bde4af8cd0e8b618fcf50de3412777
3. หรือ ดาวน์ของ AVG ได้ที่ http://www.softpedia.com/get/Antivirus/Win32-Sality-Remover.shtml
4. http://share.psu.ac.th/file/sukone.p/NOD32_Registry_Recovery-V1.1.exe ตัวนี้จะเป็นตัวช่วยแก้ไข Registry นะครับ
5.ดาวน์โหลด Kaspersky
เอาไปลองใช่ดูคับ มีคีย์ใช้ได้ 2 ปีด้วยคับ
http://www.tempf.com/getfile.php ... ime=application/rar
วิธีติดตั้ง
http://www.tempf.com/getfile.php ... =application/msword
**หมายเหตุที่สำคัญ**
ไวรัสตัวนี้ มักจะเขียนไฟล์ไปบน Header ของไฟล์ *.exe
ซึ่งเราไม่สามารถรู้ได้เลยว่าไฟล์ที่เราติดตั้งไปนั้นติดไวรัสหรือเปล่า เมื่อเราติดตั้งโปรแกรมนั้น ก็จะติดไวรัสนั้นด้วย ทางที่ดีนะครับให้เราทำการสแกนไวรัสก่อนแล้วค่อยติดตั้ง และที่สำคัญนะครับไวรัสตัวนี้จะติดไฟล์ *.exe ทุกตัวที่เราทำการ Run Program นั้นๆในเครื่องที่ติดไวรัส ตัวนี้อยู่ ถ้าเกิดเอาไปรันที่เครื่องอื่นเครื่องนั้นก็จะพลอยติดไปด้วย นะครับ
เนื่องจากช่วงนี้ ในที่ทำงาน ไอ้ไวรัสตัวนี้ (win32.Sality.aa) ระบาดหนักครับด้วยความสงสัย ว่า ไอ้ไวรัสตัวนี้มันติดได้ยังงัย แล้วติดแล้วจะเป็นยังงัย
เอาชื่อ นะคัรบ สำหรับคนที่ Update Antivirus แล้วนะครับจะรู้จักกันในนามต่อไปนี้นะครับVirus.Win32.Sality.a (Kaspersky Lab) is also known as: Win32.Sality.a (Kaspersky Lab), W32/Sality.a (McAfee), W32.HLLP.Sality (Symantec), Win32.HLLP.Sector.29032 (Doctor Web), W32/Sality-A (Sophos), PE_ROSEC.A (Trend Micro), W32/Sality.A (FRISK), Win32:V-29032 (ALWIL), Win32/Sality.A (Grisoft), Win32.Sality.A (SOFTWIN), W32/Sality.A (Panda), Win32/Sality.A (Eset)
ท่านใดที่ใช้antivirus ที่รู้จักไวรัสตัวนี้แล้วก็ไม่น่าห่วงครับ แต่เน้นไว้ก่อนนะครับ ว่า antiviirus ต้อง update ไม่งันก็เสร็จโจน เหมือนกันครับ เหมือนมี มีด แต่ไม่ลับอ่ะครับ
การแพร่พันธ์
Sality is a portable executable (ติดทาง flash dirve, handy drive หรือ trumb drive แล้วแต่จะเรียกครับ )(PE is the standard executable format for 32-bit Windows files) virus. PE viruses infect executable Windows files by incorporating their code into these files such that they are executed when the infected files are opened.PE viruses may have other capabilities. Many PE viruses keylogging and open backdoor access ports that allow remote users to manipulate affected systems(เหมือนโจรมันมาแอบเปิดประตูบ้านเราไว้อ่ะครับ 6 - - เพื่อเพือนโจรคนอื่นจะแวะมาทักทายเพิมเติม); some can spread into other computers. (ทำเครื่องตัวเองติดไม่พอ ยังจะพยายามจะขยายพันธ์ข้ามเครื่องอีก)
Files infected by PE viruses are typically cleanable - they can be reverted back to their clean states. However, restoring affected systems may require procedures other than scanning with an antivirus program.
OS ที่เป็นแหล่งเพราะพันธ์ทีดีครับSystems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
สนใจข้อมูลเพิ่มเติม ไปต่อได้ที่
1. http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=1/
2. http://www.trendmicro.com/vinfo/apac/virusencyclo/default5.asp?VName=PE_ROSEC.A
3. http://www.viruslist.com/en/viruses/encyclopedia?virusid=21026
4. http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.htmlด้วยความ
ปรถนาดี ^^ ครับ !!
ลักษณะของไฟล์ Autorun ครับอาการที่สังเกตุได้นะคัรบ
1. ชื่อไฟล์เราแปลก ๆ ไปครับ มักจะมี exe ต่อท้าย
2. folder บ้างFolder ถูกเปลี่ยนแปลงไปให้กลายเป็น hidden หรือ ถูกซ่อนไปซะอย่างนั้นครับ (อันนี้ไม่แน่ใจ ว่าเป็นจากSality หรือเปล่านะครับ แบบว่ามีระบาดหลายตัว)
3. แน่นอนทีเดียวครับเป็นไวรัสที่จิ๊มปุ๊บ ติด ปั๊บครับ
4. ระวังมันแพร่พันธ์ทาง network ด้วยนะครับแนว
ทางแก้ไขครับ FIX sality
1. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FSALITY%2EEK&VSect=Sn
2. ดาวน์โหลดตัว FIX http://u3.upload.sanook.com/A0/15bde4af8cd0e8b618fcf50de3412777
3. หรือ ดาวน์ของ AVG ได้ที่ http://www.softpedia.com/get/Antivirus/Win32-Sality-Remover.shtml
4. http://share.psu.ac.th/file/sukone.p/NOD32_Registry_Recovery-V1.1.exe ตัวนี้จะเป็นตัวช่วยแก้ไข Registry นะครับ
5.ดาวน์โหลด Kaspersky
เอาไปลองใช่ดูคับ มีคีย์ใช้ได้ 2 ปีด้วยคับ
http://www.tempf.com/getfile.php ... ime=application/rar
วิธีติดตั้ง
http://www.tempf.com/getfile.php ... =application/msword
**หมายเหตุที่สำคัญ**
ไวรัสตัวนี้ มักจะเขียนไฟล์ไปบน Header ของไฟล์ *.exe
ซึ่งเราไม่สามารถรู้ได้เลยว่าไฟล์ที่เราติดตั้งไปนั้นติดไวรัสหรือเปล่า เมื่อเราติดตั้งโปรแกรมนั้น ก็จะติดไวรัสนั้นด้วย ทางที่ดีนะครับให้เราทำการสแกนไวรัสก่อนแล้วค่อยติดตั้ง และที่สำคัญนะครับไวรัสตัวนี้จะติดไฟล์ *.exe ทุกตัวที่เราทำการ Run Program นั้นๆในเครื่องที่ติดไวรัส ตัวนี้อยู่ ถ้าเกิดเอาไปรันที่เครื่องอื่นเครื่องนั้นก็จะพลอยติดไปด้วย นะครับ
ป้ายกำกับ: instructions15 Jan 2007 ... Information concerning W32/Sality-AA and clones, removal tools, removal tools etc., spyware, Virus.Win32.Sality.aa, W32/Sality-AA virus
# เขียนโดย chaitay @ 09:04 
สมัครสมาชิก บทความ [Atom]
แสดงความคิดเห็น