ยอมเป็นคนเลวที่ชัดเจน ดีกว่าเป็นคนดีที่คลุมเคลือ
Group Blog
 
All Blogs
 

มากำจัด scvhost.exe กันเถอะ

วิเคราะห์หนอนตัวนี้


พอดีผมได้หนอน (Worm) ตัวนี้มาจากคอมพ์ที่ร้านของเพื่อนหน่ะครับ เลยเอามาวิเคราะห์แล้วก็
บอกวิธีแก้สำหรับคนที่เจอปัญหาเหมือนกันครับ จากการวิเคราะห์เจ้าหนอนตัวนี้พบว่าจะมีการสร้าง
โปรเซสหลอก ๆ ขึ้นมา 3 ตัวครับ ได้แก่ calc.exe, notepad.exe และ cmd.exe ครับ

Photobucket

รูปที่ 1 เปรียบเทียบให้เห็นโปรเซสที่แท้จริง ซึ่งกำลังรันทำงานอยู่จริงคือ ซึ่งแสดงอยู่ด้านบน (สีเขียว) และโปรเซสปลอมที่หนอนตัวนี้ทำขึ้นอยู่ข้างล่างครับ (สีส้ม)

สังเกตนะครับว่า โปรเซสของหนอนตัวนี้จะมีรายละเอียด (ซึ่งก็มีตำแหน่งไฟล์ คำอธิบาย ฯลฯ ) ได้เหมือนกับไฟล์ของจริงทุกประการ แต่เราแยกแยะโปรเซสหลอกนี้ได้ง่าย ๆ ตรงที่มันเกิดขึ้นในขณะที่เรายังไม่ได้รันโปรแกรมพวกนี้เลย
โดยโปรเซสเหล่านี้เมื่อเราทำการ Kill Process Tree (โดยการคลิ๊กขวาที่โปรเซสนะครับ) ไปแล้วมันจะ regenerate ตัวเองขึ้นมาใหม่ได้นะครับ ต้องฆ่าโปรเซสทั้งสามตัวให้ได้นะครับ ถ้าหยุดแค่ตัวเดียวจะฆ่าที่เหลือไม่ได้ครับ
ต่อไปมันจะเริ่มทำสำเนาตนเองไปไว้ยัง Drive ต่าง ๆ ในเครื่อง ซึ่งเราจะเห็นได้ดังรูปครับ โดยเจ้า scvhost.exe นี้จะมีสถานะเป็น Hidden (คือเราต้องแก้ ใน Folder Option ของเราก่อนจึงสามารถมองเห็นพวกไฟล์เหล่านี้ได้นะครับ) โดยขนาดไฟล์นี้ อยู่ที่ 325 KB ครับ

Photobucket

รูปที่ 2 หนอนแพร่กระจายไปยัง Drive ต่าง ๆ โดยใช้ชื่อ AutoRun.inf และ scvhost.exe ซึ่ง สองไฟล์นี้จะถูกซ่อนไว้นะครับ (สีส้ม)

นอกจากนั้นมันยังสร้างไฟล์ไว้ใน C:\Program Files อีกครับ คราวนี้สร้างไฟล์ชื่อว่า _scvhost.exe

Photobucket

รูปที่ 3 หนอนสร้างไฟล์ไว้ใน C:\Program Files ชื่อว่า _scvhost.exe (ซ่อนไว้เหมือนกัน)

หนอนตัวนี้ยังสร้างไฟล์เอาไว้ใน C:\Program Files\Common Files\Microsoft Shared\MSInfo อีกตัวหนึ่ง คราวนี้มีสองไฟล์ คือ scvhost.exe และ SxDel.bat

Photobucket

รูปที่ 4 หนอนตัวนี้ได้สร้างไฟล์ไว้ที่ โฟลเดอร์ C:\Program Files\Common Files\Microsoft Shared\MSInfo

โดยในไฟล์ SxDel.bat นั้นมี Script ที่แสดงดังนี้

Photobucket

รูปที่ 5 Script ภายในไฟล์ SxDel.bat

นอกเหนือจากการสร้างไฟล์ในเครื่องของเหยื่อแล้ว หนอนตัวนี้ยังมีการแก้ไข Registry ของระบบอีกด้วยครับ วิธีการเข้ามาดูรีจิสทรี ก็คือ Run> regedit ครับ เราอย่าได้ลบข้อมูลในนี้ส่งเดช นะครับ!! อาจทำให้เข้า Windows ไม่ได้นะครับ ผมโดนมาแล้ว ท่านต้องใช้ความชำนาญ หรือศึกษาให้ถี่ถ้วนก่อนลบนะครับ

ประเมินความเสียหายที่เกิดขึ้นจากมัลแวร์ตัวนี้




ความเสียหายที่เกิดขึ้นแม้นจะไม่ใช้ความเสียหายที่เกิดขึ้นโดยตรงเช่น การลบไฟล์ในเครื่องเหยื่อ, Format เครื่อง หรือการโจรกรรมข้อมูลที่สำคัญ แต่หนอนตัวนี้ทำให้เราไม่สามารถดับเบิ้ลคลิ๊กเข้า Drive ต่าง ๆ ในเครื่องได้ครับ (ต้องคลิ๊กขวาและกด open แทน) นอกจากนั้นยังพบว่ามี โปรเซสปลอมที่สร้างขึ้นมาเพื่อหน่วงการทำงานของเครื่องเยอะเหมือนกัน ดังแสดงในรูปที่ 6 ครับ กิน CPU ไป 72 % กว่า โดยมันจะเป็นอย่างนี้ไปตลอดครับ ถ้าเราไม่หยุดการทำงานของมัน

Photobucket

รูปที่ 6 โปรเซสของหนอนที่รันในเครื่องมีการใช้งาน CPU ไป กว่า 72 % ตลอดเวลาที่หนอนทำงาน

วิธีแก้ไข



วิธีแก้ก็มีด้วยกันสองวิธีนะครับ
- อย่างง่ายสุดเลยก็คือลงโปรแกรม Antivirus ในเครื่องครับ เช่น NOD32 ครับ หรือไม่ก็ Avira ครับ (ร่มแดง) ก็สามารถฆ่าได้ครับ ไม่มีปัญหาครับ ส่วนท่านที่ต้องการ ฆ่าแบบ Manual ก็ทำตามนี้นะครับ
ป.ล. โปรแกรม Kaspersky ฆ่าไวรัสตัวนี้ไม่ได้นะครับ อันนี้ผมเห็นมากับตาครับ เครื่องเพื่อนผมที่ติดหนอนตัวนี้ เค้าได้ลง Kaspersky ของแท้ด้วยนะครับ license ด้วย แต่ยังเห็นมันนอนกองใน C:\Scvhost.exe เต็ม ๆ
ผมแนะนำ NOD32 ดีกว่าครับ ได้ผลฉงัดเลย

- สำหรับท่านที่ไม่มี antivirus หรือต้องการฆ่ามันอย่าง manual หรือแม้แต่มี antivirus แล้วไม่สามารถฆ่าได้ก็ทำตามนี้นะครับ

1. หยุดโปรเซสหนอนตัวนี้ก่อนนะครับ โดยใช้โปรแกรม Process Explore (procexp.exe) ซึ่งสามารถโหลดได้จาก
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx นะครับ
โดยหยุดโปรเซสทั้งสามตัวนะครับ calc.exe, notepad.exe และ cmd.exe ครับ (คลิ๊กขวาจากนั้นเลือก Kill Process Tree ครับ)

Photobucket

รูปที่ 7 วิธีการฆ่าโปรเซสของที่ถูกหนอนสร้างขึ้นมา

2. จากนั้นเราเริ่มเอาไฟล์ที่หนอนสร้างขึ้นออกจากเครื่องเราได้แล้ว (เพราะไม่ถูกขัดขวางจะโปรเซสของหนอนที่ทำงานอยู่ตลอดเวลาแล้วครับ)
2.1 ลบไฟล์ scvhost.exe และ AutoRun.inf ในทุก ๆ Drive ที่มีมันอยู่นะครับ (ต้องแก้ Folder Option ให้เห็น Hidden ไฟล์ก่อนนะครับ)
2.2 ลบไฟล์ _scvhost.exe ในโฟลเดอร์ C:\Program Files นะครับ
2.3 ลบไฟล์ scvhost.exe และ SxDel.bat ใน C:\Program Files\Common Files\Microsoft Shared\MSInfo ครับ
3. จากนั้นเราก็เริ่มลบใน รีจิสทรีได้เลยนะครับ (ลบเฉพาะที่ผมเขียนไว้เท่านั้นนะครับ)
3.1 ค้นหาคำว่า scvhost.exe ใน run>regedit นะครับ
3.2 ท่านจะพบว่ามันเจอหลายตำแหน่ง ให้สนใจเฉพาะตำแหน่งข้างล่างนี้นะครับ ดูแค่ถึง \MountPoint2 ก็พอครับ ข้างหลังจะเป็นตน. อะไรก็ตามไม่ต้องสนใจครับ (เพราะ HDD ของท่านจะมีหมายเลขไม่เหมือนกันครับ) ดูในรูปที่ผมชี้ให้เห็นนะครับ ตรงสีน้ำเงินครับ ดังรูปที่ 8
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 จะมี
ส่วนตรงสีส้มจะเป็นไดร์ฟของเราที่เจ้าหนอนนี้ไปวางคำสั่งซึ่งทำให้ดับเบิ้ลคลิ๊กไม่ได้ครับ สังเกตว่าจะมี + ขึ้นข้างหน้า นั่นหมายความว่าเราสามารถ Browse เข้าไปข้างในเพื่อแก้ไขค่าอีกได้ ในตย.นี้ เครื่องผมมีจำนวน ไดร์ฟ 4 อันคือ C:, D:, E: และ F: ครับ มันเลยโชว์ 4 ตัวแหน่งที่มีเครื่องหมาย + ขึ้นครับ มันจะมี + เฉพาะไดร์ฟที่ติดหนอนตัวนี้นะครับ

Photobucket

รูปที่ 8 แสดงรีจิสทรีที่หนอนสร้างเอาไว้ใน drive แต่ละเครื่อง

Photobucket

รูปที่ 9 ตำแหน่งที่หนอนสร้างแก้ไขในรีจิสทรี

จากรูปนี้ ให้สังเกตวงกลมสีส้มนะครับ จะมีคำว่า Shell ขึ้นอยู่ ซึ่งเป็นตำแหน่งที่หนอนตัวนี้ใส่ค่าของมันลงไปนะครับ เพื่อความชัวร์ก่อนจะลบให้ท่านกด Browse เข้าไปใน shell ครับ จะพบว่ามี Auto กับ Autorun ให้กดเข้าไปใน Auto จะมี Command ให้ดูค่าทางขวามือ จะมี คำว่า Default ขึ้นอยู่และในค่าของมันจะเป็น C:\scvhost.exe เป็นต้น (โดยไดร์ฟนี้จะเปลี่ยนตามชื่อไดร์ฟในเครื่องของท่าน) ถ้าพบเช่นนั้นให้ท่าน delete Shell ได้เลยครับ โดยการคลิ๊กขวาแล้วกด Delete ครับ
3.3 จากนั้นให้เข้าไปลบ WindowsUpdate (ฝั่งซ้ายมือ สีส้ม) ดังรูปที่ 10 เหมือนเดิม คลิ๊กขวาแล้ว Delete ครับ โดยลบตามตำแหน่งดังต่อไปนี้นะครับ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsUpdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WindowsUpdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsUpdate

Photobucket

รูปที่ 10 ตำแหน่ง WindowsUpdate ที่เราต้องลบออกจากเครื่อง

จากนั้นท่านก็ รีสตารท์เครื่องใหม่ครับ แล้วก็สามารถใช้คอมพ์ได้ตามปรกติแล้วครับ




 

Create Date : 14 กรกฎาคม 2551    
Last Update : 14 กรกฎาคม 2551 3:43:40 น.
Counter : 403 Pageviews.  

ไวรัส , หนอน , โทรจัน 3 ตัวแสบแห่งยุคไซเบอร์

พอดีว่าทำงานวิจัยด้านนี้อยู่ก็เลยอยากจะขอพูดถึงความหมายของมัลแวร์ทั้งสามตัวนี้เสียหน่อยคับ


มัลแวร์คืออะไร


- คำว่า มัลแวร์ (Malware) นั้นย่อมาจาก Malicious Software ครับ หมายถึงซอฟต์แวร์ที่มีเจตนาร้าย
ซึ่งเราจะรู้จักกันดีในนามของ ไวรัส (Viruses), หนอน (Worms), ม้าโทรจัน (Trojan horses)
โดยซอฟต์แวร์เหล่านี้ล้วนแล้วแต่มีเจตนาร้ายต่อผู้ใช้ทั้งสิ้นครับ ไม่ว่าจะเป็นการปรับแก้ไฟล์ระบบในเครื่องของเรา เช่น Windows registry เป็นต้น หรือหนอนบางตัวจะทำการเพิ่มจำนวนประชากรเป็นจำนวนมากในเครื่องของเรา (เราจะเป็นไฟล์ ต่าง ๆ ใน โฟลด์เดอร์เป็น .exe) หรือโทรจันบางตัว (Key logger Trojan) จะทำการ จดจำแป้นพิมพ์ที่เราได้พิมพ์เอาไว้ (พวก password & username เป็นต้น) แล้วส่งไปให้ทางต้นทางหรือผู้เขียนโปรแกรมเป็นต้น ต่อไปจะขอกล่าวถึงประเภทของมัลแวร์ตามลำดับนะครับ


ไวรัสคืออะไร


 - เนื่องจากว่าอันที่จริงแล้วไวรัสนั้นเป็นเพียงแค่ “โค้ดของภาษาคอมพิวเตอร์ภาษาหนึ่งเท่านั้น” จึงจำเป็นที่จะต้องอาศัยอยู่บนไฟล์ (ในที่นี้เราขอเรียกว่า Host file นะครับ) ยกตัวอย่างเช่น ผมมีไฟล์ Frozen Throne.exe นะครับ ไฟล์นี้เป็นไฟล์เกมส์ของผม เวลาไวรัสมันติด มันจะทำการวิเคราะห์ดูว่าไฟล์ มีที่ว่างตรงไหนบ้างที่มันจะสามารถใส่ Code ของมันลงไปได้ เพื่อที่ว่า ครั้งต่อไปที่ผมเรียกเกมส์ผมขึ้นมาทำงาน ไวรัสจะถูกเรียกขึ้นมาทำงานไปด้วย หรือจะเรียกได้ว่า มันหาที่ว่างแล้วฝากโค้ดมันเอาไว้ให้คอมพิวเตอร์รันให้ด้วยนะ อะไรแบบนี้หน่ะครับ
ทีนี้ไวรัสเนี่ยมีวิธีการที่จะนำ โค้ดของมันไปใส่ไว้ในไฟล์ต่าง ๆ ได้หลายวิธีด้วยกันนะครับ เช่น


- วิธีการ Appending Method เป็นการที่ไวรัสนำโค้ดมันไปใส่ไว้ในส่วนท้ายของไฟล์ที่มันจะทำการติด

- วิธีการ Prepending Method จะคล้ายกับวิธีแรกแต่มันจะนำโค้ดมันไปไว้ในส่วนหัวของไฟล์ เป็นต้น

นอกจากนั้นแล้วโอสต์ไฟล์ที่ไวรัสจะอาศัยอยู่นั้นจะมีด้วยกัน 4 ประเภท ได้แก่

- File Type ได้แก่พวก Execute file เช่น .EXE, .COM เป็นต้น และ Script file เช่นพวกไฟล์ที่มีนามสกุล .VBS, .PHP เป็นต้น
- Disk type ได้แก่พวก Boot sector (ตัวนี้ถือเป็นไวรัสแบบโบราณมากครับ เพราะว่าเราเลิกใช้แผ่นบู๊ตมานานมากแล้ว แทบจะสูญพันธุ์ไปหมดแล้ว)
- Multipartite เป็นไวรัสที่สามารถติดได้ทั้ง บู๊ตเซ็กเตอร์และไฟล์ (ทำให้กำจัดได้ยากเพราะว่าแม้เราจะฆ่าไวรัสในแผ่นบู๊ตเซ็กเตอร์ไปแล้ว แต่ไวรัสยังคงอยู่ในไฟล์ต่าง ๆ ในเครื่อง ซึ่งไวรัสแบบนี้โบราณมากครับ เรียกว่าหายสาปสูญไปหมดแล้ว)

 - นอกจากนั้นไวรัสยังสามารถแพร่จำนวนตัวมันเองได้อีก กล่าวคือ มันจะพยายามเขียนโค้ดของมันไปบนตัวของไฟล์เป้าหมาย ให้ได้มากที่สุด แต่มันจะไม่สามารถติดไปยังไฟล์อื่น ๆ ที่ไม่ได้ถูกโปรแกรมเอาไว้ตั้งแต่ต้น
ยกตัวอย่าง เช่น สมมติว่าไวรัสตัวหนึ่งถูกเขียนมาให้แพร่กระจายไปยังไฟล์ .exe มันก็จะไม่สามารถแพร่กระจายไปยังไฟล์ประเภทอื่น เช่น .com, .bat, .vbs ได้เลย

 สรุปแล้ว ถ้าเครื่องผมก่อนติดไวรัสมีไฟล์อยู่ 1000 ไฟล์ หลังจากติดไวรัสไปแล้วก็จะมีไฟล์อยู่ 1000 เท่าเดิม แต่ขนาดของไฟล์นั้นโตขึ้น (เนื่องจากไวรัสแอบเขียนโค้ดของมันลงในไฟล์ต่าง ๆ ในเครื่องผม) ซึ่งคุณสมบัตินี้เองจะทำให้ไวรัสนั้นแต่ต่างจาก หนอน (ซึ่งคนส่วนใหญ่ยังเข้าใจประเด็นนี้ผิดอยู่พอสมควร)


 แล้วผมจะอธิบายเรื่องหนอนต่อ ตอนหน้านะครับ




 

Create Date : 22 พฤษภาคม 2551    
Last Update : 23 พฤษภาคม 2551 8:05:12 น.
Counter : 126 Pageviews.  


หนึ่งจุดแดงแห่งตงง้วน
Location :
กรุงเทพ Thailand

[Profile ทั้งหมด]

ให้ทิปเจ้าของ Blog [?]
ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 1 คน [?]




Penetration Testing
Penetration Testing
Friends' blogs
[Add หนึ่งจุดแดงแห่งตงง้วน's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.