เเก้ทางการโจมตี SCVVHSOT case study

เรื่องนี้เกิด จากไวรัสตัวหนึ่งที่ผู้เขียนเจอมาด้วยตัวเองชื่อ SCVVHSOT(ชื่ออย่างเป็นทางการW32/Hakag-A, SCVVHSOT.EXE, Nhatquanglan) อาการของโรค เย้ยยย ไม่ใช่อาการของไวรัสคือ folder option, task manager ในเครื่องคอมพ์หายไป MS-Word อยู่ดีๆ เครื่องก็ช่วยพิมพ์ประโยคแปลกๆ ให้เองอัตโนมัติ แถมด้วยอาการประเภทเดียวกับไวรัสที่ระบาดในช่วงที่ผ่านมาคือ Autorun แถมให้ด้วย เรามาดูวิธีแก้ไขไวรัสตัวนี้กันครับในเเฟลชไดร์เกิดการ copy folder ซ้ำๆ เเต่ ตัวโฟลเดอร์ลงท้ายด้วย .exe กันกินพื้นที่ไปเยอะมาก เเละจากการ search อย่างหนัก ทำให้้้รู้วิธีเเก้ไขอย่างคร่าวๆโดยดาวน์
โหลด ไฟล์ 3 ไฟล์ได้ที่นี่ครับทั้งเเบบ ออโตเเละเเบบเเมนวลส่วนตัวผู้เขียนใช้การเเก้ไขเเบบ manual ไม่ต้องformat โชคดีม้ากมาก ใครลองเเบบ auto เเล้วเป็นยังไงบอกผู้เขียนคนนี้ด้วยนาครับ

อาการ

1. คำสั่ง Folder Options ในคำสั่ง Tools หายไป

2. คำสั่ง Task Manager หายไป

3. ไม่สามารถใช้งานคำสั่ง regedit เพื่อแก้ไขค่า registry ได้

4. Virus จะสร้าง New Folder.exe และ ชื่อโฟลเดอร์.exe ให้เองอัตโนมัติ

ถ้าท่านเจอแบบนี้ละก็ติดไวรัส SCVVHSOT.EXE หรือชื่ออย่างเป็นทางการคือ W32/Hakag-A เข้าไปแล้วครับ

วิธีกำจัดไวรัสแบบ Manual

1. Download Tools โดย คลิกที่นี่ครับ

2. Attract Files โดยโปรแกรม Winzip หรือ Winrar จะได้ Files มา 3 Files

3. Double Click ไฟล์ procexp.exe เพื่อทำการหยุด Process ของไวรัส ถ้าเจอ SCVVHSOT.EXE ฝห้คลิกขวาแล้วเลือก Kill Process

4. Double Click ไฟล์ TaskManagerFix.exe Click Fix Now Click x เพื่อออกจากโปรแกรม

5. คลิก Mouse ปุ่มขวาที่ไฟล์ UnHookExec.inf เลือก Install

Note: ทดสอบว่า KillProcess ของไวรัสยังโดย Right Click ที่ Task Bar TaskManager จะกลับมาใช้งานได้ดังเดิม

6. คลิกปุ่ม Start เลือก run พิมพ์ regedit

- Click Edit Find พิมพ์ scvhsot ถ้าเจอให้กดปุ่ม Delete ลบได้เลย กดปุ่ม F3 ค้นจนจบ

- เลื่อน Cursor กลับไปที่จุดเริ่มต้น My Computer Click Edit Find พิมพ์ ms32dll ถ้าเจอให้กดปุ่ม Delete ลบได้เลย กดปุ่ม F3 ค้นจนจบ

- แก้ไขค่า HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer กรอบด้านขวาหากพบว่าคีย์ NoFolderOptions ถูกกำหนดค่าเป็น 1 ให้ดับเบิ้ลคลิกบนคีย์ดังกล่าว แล้วแก้กลับเป็น 0

ออกจากโปรแกรม Regedit

7. เปิด Windows Explorer Click Tools, Folder Options...และเปลี่ยนค่าตามรูป
hiden file and folder ติ้กshow

8. เปิด Folder Windows หรือ Winnt โดยคลิกขวาเลือก Explore (ห้ามใช้ Open หรือ Double Click) ให้ลบไฟล์ scvhsot.exe และ hinnem.scr โดยการคลิกขวาเลือก Delete

9. เปิด Folder Windows\System32 หรือ Winnt\System32 โดยคลิกขวาเลือก Explore (ห้ามใช้ Open หรือ Double Click) ให้ลบไฟล์ scvvhsot.exe และ autorun.inf และ blastclnnn.exe โดยการคลิกขวาเลือก Delete

10. Click Start run พิมพ์ gpedit.msc กด Enter เลือก Admintrative Templates, System, Turn of AutoPlay แก้ไขค่าดังรูป เพื่อยกเลิกคำสั่ง AutoRun

Note: บางครั้งคุณจะไม่สามารถยกเลิกการซ่อนไฟล์ได้ให้ทำการลบโดย Click Start เลือกคำสั่ง Run พิมพ์ cmd

1. ย้าย Directory ใช้งานไปที่ Folder Windows พิมพ์ c:\windows

2. ค้นหาไฟล์ scvhsot.exe และ hinhem.scr พิมพ์ dir /ah

2.1 พิมพ์ attrib scvhsot.exe -h -s -r กด Enter

2.2 พิมพ์ del scvhsot.exe กด Enter

2.3 พิมพ์ attrib hinhem.scr -h -s -r กด Enter

2.4 พิมพ์ del hinhem.scr กด Enter


2.4 พิมพ์ dir /ah จะไม่เห็นไฟล์ scvhsot.exe และ hinhem.scr อีก


3. ย้าย Directory ใช้งานไปที่ Folder Windows\system32 พิมพ์ cd\windows\system32 กด Enter

3.1 พิมพ์ dir /ah กด Enter ถ้าเจอไฟล์ scvvhsot.exe และ autorun.inf และ blastclnnn.exe ให้ทำการลบทิ้งโดย

3.1 พิมพ์ attrib scvhsot.exe -h -s -r กด Enter

3.2 พิมพ์ del scvvhsot.exe กด Enter

3.3 พิมพ์ attrib autorun.inf -h -s -r กด Enter

3.4 พิมพ์ del autorun.inf กด Enter

3.5 พิมพ์ attrib blastclnnn.exe -h -s -r กด Enter

3.6 พิมพ์ del blastclnnn.exe กด Enter


2.4 พิมพ์ dir /ah จะไม่เห็นไฟล์ scvhsot.exe และ autorun.inf และ blastclnnn.exe อีก


Note: เสร็จแล้วให้ค้นหาไฟล์นามสกุล .exe โดยกำหนดเงื่อนไขตามรูป
look in F: size:specify type of file all files ติ้ก search system search hidden

เมื่อเจอให้ทำการลบไฟล์ (จะมีชื่อตามชื่อ Folder) .exe ที่ขนาด = 246KB ทิ้งได้เลย ให้สังเกต icon folder จะไม่คมชัด เหมือน icon folder ปกติ และมี Description Nhatquanglan

*Manual*
1. Boot เครื่องเข้า Safe Mode โดยการกดปุ่ม F8 ตอน Windows กำลัง Start จะมี Menu Safe Mode มาให้เลือก
2. ออกไปที่ DOS โดย Click Start เลือก RUN พิมพ์ CMD
ทำตามขั้นตอน ย้าย Directory ใช้งานไปที่ Folder Windows พิมพ์ จนจบครับ
3. Boot เครื่องปกติ ทำตามขั้นตอนข้างบนทั้งหมดอีกครั้ง
4. Turn on System Restore


>>> ทั้ง 2 ขั้นตอนหลังจากทำการ Restart เครื่องแล้วให้เช็ค Registry ดูอีกครั้ง (ค้นหา scvvhsot และ w32dll)

>>> Start run พิพม์ msconfig เลือก Startup หาชื่อไวรัส หรือไฟล์ scvvhsot.exe และ w32dll.dll.vbs ถ้ามีให้ เอาเครื่องหมายถูกออก Restart เครื่องใหม่

>>> นอกจาก scvvhsot.exe, hinnem.scr, autorun.inf และ blastclnnn.exe แล้วผมยังเจอไวรัสที่ทำงานแบบเดียวกันแต่จะชื่อ 8401f3d2.exe และชื่ออื่น .exe อีกโดยจะฝังตัวอยู่ที่
>>> Root (c, or d)
>>> ใน documents and settings, , local settings Folder Temp และ Temporary Internet Files
>>> C:\Program Files\Common Files\Macrosoft Shared\msinfo

ผู้เขียนหาไวรัสตัวนี้ด้วยคำว่า scvvhsot.exe, autorun.inf เเละ blastclnnn ครับ