ลักษณะการทำงาน
* Win32/Sality.NAR มันจะจำลองตัวเองเป็นไฟล์ที่ติดเชื้อ
*มันจะเข้าไปทำให้ Firewall เราไม่ทำงาน
*ไวรัสตัวนี้จะจำลองตัวเอง โดยการค้นหา drives ทุกๆ drive ไม่ว่าจะเครื่องคุณเอง หรือใน เน็ตเวิร์ค!! มันจะเข้าไปแตกไฟล์ .exe และแฝงตัวโดยเพิ่มบางส่วนเข้าไปในไฟล์ .exe นั้น เมื่อเรามีการ run ไฟล์ .exe ขึ้นมาตามปกติ เจ้าไวรัสตัวนี้มันก็จะถูกเปิดขึ้นมาด้วย เพราะระบบจะบอกเป็นโปรแกรมพื้นฐานที่เราต้องเปิด
* ไวรัสมันจะมาแก้ไข registry ลองสำรวจดูครับ ว่าใน run มีอะไรแปลกปลอมหรือเปล่า
*ฉะนั้น!! จากข้างต้น ไวรัสจะถูกเข้าถึงทุึกครั้งที่เครื่องเรา start ขึ้นมา
* และมันจะแพร่กระจายไปตาม Flash Drive, Thumb Drive แล้วแต่จะเรียกนะ มันจะเข้าไปแล้ว copy ตัวเองแฝงไว้ที่ directory แรก นั่นคือเปิดไปก็เจอเลย โดยมันจะ "สุ่ม ชื่อ" (หาใน google ยังไงก็ไม่เจอ) ที่มีนามสกุล ดังนี้ .exe .pif .cmd
* จากนั้นก็ทำการฝัง autorun.inf เข้าไปด้วย
* เมื่อเอา flash drive ไปเสียบ ที่ไหน ไวรัสมันก็จะ run ทันทีครับ
* มันจะลบไฟล์พวก *.vdb *.avc *drw*.key
* และซ้ำร้าย มันยังไปสั่งไม่ให้โปรแกรมพวกนี้ทำงานด้วยครับ !! ทำนองเดียวกับ anti_antivirus ที่ผมเคยเจอเลย มันจะ block ไม่ให้พวกโปรแกรม anti-virus ทำงานครับ
* และอื่น ๆ อีกมากมาย
* Win32/Sality.NAR มันจะจำลองตัวเองเป็นไฟล์ที่ติดเชื้อ
*มันจะเข้าไปทำให้ Firewall เราไม่ทำงาน
*ไวรัสตัวนี้จะจำลองตัวเอง โดยการค้นหา drives ทุกๆ drive ไม่ว่าจะเครื่องคุณเอง หรือใน เน็ตเวิร์ค!! มันจะเข้าไปแตกไฟล์ .exe และแฝงตัวโดยเพิ่มบางส่วนเข้าไปในไฟล์ .exe นั้น เมื่อเรามีการ run ไฟล์ .exe ขึ้นมาตามปกติ เจ้าไวรัสตัวนี้มันก็จะถูกเปิดขึ้นมาด้วย เพราะระบบจะบอกเป็นโปรแกรมพื้นฐานที่เราต้องเปิด
* ไวรัสมันจะมาแก้ไข registry ลองสำรวจดูครับ ว่าใน run มีอะไรแปลกปลอมหรือเปล่า
*ฉะนั้น!! จากข้างต้น ไวรัสจะถูกเข้าถึงทุึกครั้งที่เครื่องเรา start ขึ้นมา
* และมันจะแพร่กระจายไปตาม Flash Drive, Thumb Drive แล้วแต่จะเรียกนะ มันจะเข้าไปแล้ว copy ตัวเองแฝงไว้ที่ directory แรก นั่นคือเปิดไปก็เจอเลย โดยมันจะ "สุ่ม ชื่อ" (หาใน google ยังไงก็ไม่เจอ) ที่มีนามสกุล ดังนี้ .exe .pif .cmd
* จากนั้นก็ทำการฝัง autorun.inf เข้าไปด้วย
* เมื่อเอา flash drive ไปเสียบ ที่ไหน ไวรัสมันก็จะ run ทันทีครับ
* มันจะลบไฟล์พวก *.vdb *.avc *drw*.key
* และซ้ำร้าย มันยังไปสั่งไม่ให้โปรแกรมพวกนี้ทำงานด้วยครับ !! ทำนองเดียวกับ anti_antivirus ที่ผมเคยเจอเลย มันจะ block ไม่ให้พวกโปรแกรม anti-virus ทำงานครับ
* และอื่น ๆ อีกมากมาย
ไวรัสตัวนี้ติดกันเยอะติดกันมานาน หลักการทำงานของไวรัส ตัวนี้คือ เมื่อติดแล้วจะเข้าไปฝังอยู่ในไฟล์นามสกุล .exe ในเครื่องของเรา
ยิ่งติดนานยิ่งฝังไปทุกโปรแกรมเลย ไม่เว้นแม้แต่โปรแกรมแอนตี้ไวรัสก็โดนไวรัสตัวนี้เกาะแล้วทำให้แอนตี้ไวรัสทำงานไม่ได้เลย
แนวทางการแก้ไขและเครื่องมือช่วยแก้ไวรัสตัวนี้ผมนำมาจากเว็บ KASPERSKY ครับ
เริ่มแก้กันเลยครับ
เตรียมไฟล์มาก่อนครับ
1.โหลดไฟล์ช่วยหยุดไวรัสมาก่อนครับ SALITY_OFF.ZIP
http://www.webphand.com/sality/Sality_off.zip
2.ไฟล์โปรแกรมแอนตี้ไวรัสKaspersky Internet Security 7.0 (หากเครื่องคุณมีแอนตี้ไวรัสอยู่ให้ลบทิ้งไปเลยครับ)
http://www.webphand.com/sality/kis7.0.1.325en.zip
3.ไฟล์ซ่อมอาการเข้า safmode ไม่ได้สำหรับ
- win xp >> http://www.webphand.com/sality/SafeBootWinXP.zip
- win vista >> http://www.webphand.com/sality/SafebootVista.zip
- win 2000 >> http://www.webphand.com/sality/SafeBootWin200.zip
- win server 2003 >> http://www.webphand.com/sality/SafeBootWinServer2003.zip
- ปิด Autorun >> http://www.webphand.com/sality/Disable%20autorun.zip[/b]
ขั้นตอนการแก้ไข
ข้อควรจำนะครับหลังจากโหลดไฟล์เสร็จแล้วไม่ต้องคลายออกมาจาก Zip นะครับ คลายออกปุ๊บโดนมันเกาะปั๊บแน่ๆครับ
ให้เปิดไฟล์ Sality_off ในไฟล์ zipเลยครับ
ไม่ต้องคลายออกมาครับ เปิดแล้วโปรแกรม Sality_offจะทำการสแกนและหยุดไวรัส Salityครับ รอจนเสร็จครับ
อาจจะนานหน่อยก็ต้องรอครับ โดยโปรแกรมนี้จะสแกนทุกๆไดว์ฟทุกๆไฟล์ที่น่าสงสัยว่า Salityเกาะอยู่ครับ
เมื่อเสร็จแล้วจะขึ้นให้คุณกดปุ่มใดก็ได้ครับ แล้วก็ติดตั้งแอนตี้ไวรัสเลยครับ หรือหากมี kaspersky อยู่แล้วก็ให้รีสตาร์ทเครื่องเลยครับ
หรือหากไม่มีต้องติดตั้งก่อนครับ เมื่อติดตั้งเสร็จแล้วก็สแกนเลยครับ
ระหว่างที่สแกนก็จะพบว่าไฟล์โปรแกรมของเราโดนไวรัสเกาะอยู่ kaspersky จะถามเราว่าจะทำอย่างไร ให้เรากด Disinfect ครับเพื่อที่จะลบไวรัสออกจากไฟล์โปรแกรมของเรา
แต่บางไฟล์โดนไวรัสเกาะลึกเกินไปก็ไม่สามารถลบไวรัสออกจากไฟล์ได้ kaspersky จะขึ้นมาถามอีกครั้งโดยที่จะมีให้กด แค่ deleted กับ Skip
ให้กด deleted เลยครับหากเป้นโปรแกรมสำคัญหรือไฟล์สำคัญให้เราจำไว้ครับ แล้วไปก๊อปไฟล์นี้จากเครื่องอื่นที่ไม่โดนไวรัสเกาะมาใส่แทนครับ
ระหว่างสแกนไวรัสนั้นหาก kaspersky ขึ้นมาถามให้คุณกดปุ่มลบไวรัสบ่อยๆ หากเราไม่อยากต้องคอยกดปุ่ม deleted ก็ให้คลิกถูกหน้าบรรทัด
Apply to all kaspersky ก็จะไม่ถามอีกครับ
หลังจากสแกนเสร็จแล้วเราอยากทราบว่า kaspersky ได้กักหรือลบไฟล์ของเรามีไฟล์อะไรบ้างนั้นให้ดับเบิ้ลคลิกไอคอน kaspersky มุมขวาล่างแล้ว
คลิกดังรูปก็จะเห็นไฟล์ที่โดนกักไว้ครับ ให้ลากคลุมแล้วกดปุ่ม deleted เลยครับ
ต่อไปก็เปิดไฟล์ซ่อมอาการเข้า safmode ไม่ได้ครับ เลือกเอาครับว่ากำลังใช้วินโดว์อะไรอยู่
แล้วก็เปิดไฟล์ ปิดออโต้รันด้วยครับ ช่วยป้องกันไวรัสจากแฟลชไดว์ฟได้อีกระดับหนึ่งครับ
ไฟล์ซ่อมอาการเข้า safmode ไม่ได้สำหรับ - win xp >> http://www.webphand.com/sality/SafeBootWinXP.zip
- win vista >> http://www.webphand.com/sality/SafebootVista.zip
- win 2000 >> http://www.webphand.com/sality/SafeBootWin200.zip
- win server 2003 >> http://www.webphand.com/sality/SafeBootWinServer2003.zip
- ปิด Autorun >> http://www.webphand.com/sality/Disable%20autorun.zip
ไม่มีความคิดเห็น:
แสดงความคิดเห็น