Thursday, August 23, 2007

Virus Alert: PE_LOOKED.VH-O

แก้ไขล่าสุดเมื่อ: 30 สิงหาคม 2550

Virus: PE_LOOKED.VH-O
จากการแพร่ระบาดของไวรัส PE_LOOKED.VH-O ในระบบคอมพิวเตอร์ เนื้อหาต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัสตัวนี้ วิธีการป้องกันและการแก้ไขในกรณีที่ติดไวรัส โดยข้อมูลต่างๆ นั้นจะอ้างอิงจากเว็บไซต์ Trend Micro System

ข้อมูลทั่วไปของไวรัส PE_LOOKED.VH-O
ไวรัส PE_LOOKED.VH-O มีการค้นพบครั้งแรกเมื่อ วันที่ 2 มีนาคม 2550 เป็นไวรัสประเภท file infector ที่แพร่ระบาดโดยการสำเนาตัวเองลงในโฟลเดอร์ Windows และทำการติดเอ็กซ์ซีคิวท์ไฟล์ (Exacutable file) ทุกไฟล์ที่อยู่ในไดรฟ์ C ถึง Z นอกจากนั้นไวรัส PE_LOOKED.VH-O ยังมีเพย์โหลดเป็นไฟล์โทรจันซึ่งมันจะทำการดร็อปลงในเครื่องในชื่อ TROJ_LOOKED.VH

ลักษณะของไวรัส PE_LOOKED.VH-O
ไฟล์ ไวรัส PE_LOOKED.VH-O นั้นมีลักษณะดังต่อไปนี้
File type: PE (Portable Execute)
File size: 90,807 Bytes (compressed)
MD5: n/a
CRC32: n/a

การทำงานของไวรัส PE_LOOKED.VH-O
เมื่อมีการเอ็กซ์ซีคิวท์ไฟล์ไวรัส ไวรัส PE_LOOKED.VH-O จะทำการสร้างไฟล์ต่างๆ บนเครื่องดังนี้

ทำการสร้างไฟล์ชื่อ LOGO1_.EXE และสร้างโฟลเดอร์ชื่อ UNINSTALL ลงในโฟลเดอร์ Windows ซึ่งไฟล์ดังกล่าวนั้นจะเป็นสำเนาตัวเองของไฟล์ไวรัส จากนั้นจะทำการสำเนาตัวเองลงในโฟลเดอร์ UNINSTALL ที่สร้างขึ้นในชื่อไฟล์ RUNDL132.EXE และยังทำการสร้างไฟล์ชื่อ RICHDLL.DLL ลงในโฟลเดอร์ Windows ซึ่งไฟล์นี้จะเป็นโทรจันชื่อ TROJ_LOOKED.VH

หลังจากนั้นจะทำการการสร้าง registry key ในระบบวินโดวส์ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส RUNDL132.EXE เมื่อระบบสตาร์ทอัพดังนี้

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Load" = "%Windows%\uninstall\rundl132.exe"

หมายเหตุ: %Windows% คือโฟลเดอร์ที่วินโดวส์ติดตั้งอยู่โดยทั่วไปจเป็น C:\Windows สำหรับ Windows XP/2003 หรือ C:\WINNT สำหรับ Windows NT

เมื่อเครื่องติดไวรัส PE_LOOKED.VH-O แล้ว ไวรัสก็จะพยายามทำการติดไฟล์ exe ทุกไฟล์ที่อยู่ในไดรฟ์ C ถึง Z โดยไฟล์ที่ติดไวรัสนั้นจะตรวจพบโดยโปรแกรม Trend Antivirus ในชื่อ PE_LOOKED.VH

นอกจากนี้จะทำการสร้างไฟลืชื่อ _DESKTOP.INI ซึ่งไฟล์นี้ไม่ได้เป็นไฟล์ไวรัส เพื่อใช้เก็บข้อมูลวันที่ของระบบของเครื่องคอมพิวเตอร์ ในทุกๆโฟลเดอร์ที่ไวรัสเข้าไปติดไฟล์ และท้ายที่สุดไวรัสจะทำการเชื่อมต่อกับอินเทอร์เน็ตเพื่อทำการดาวน์โหลดมัลลิเซียสไฟล์ ดังนี้

-> http://{BLOCKED}qbbd.com/0/avg.exe - detected by Trend Micro as TSPY_ONLINEG.AJ
-> http://{BLOCKED}qbbd.com/0/cftmon.exe - detected by Trend Micro as TSPY_ONLINEG.BL
-> http://{BLOCKED}qbbd.com/0/inetinf.exe - detected by Trend Micro as TROJ_DROP.AOM
-> http://{BLOCKED}qbbd.com/0/smsss.exe - detected by Trend Micro as TSPY_ONLINEGA.ZA
-> http://{BLOCKED}qbbd.com/0/lsasss.exe - detected by Trend Micro as TROJ_AGENT.INV
-> http://{BLOCKED}qbbd.com/0/sound.exe - unavailable as of this writing

หากการดาวน์โหลดสำเร็จ มันจะทำการบันทึกไฟล์ไว้ในโฟลเดอร์ Windows ดังนี้

-> avg.exe - บันทึกเป็น SMSS.EXE
-> cftmon.exe - บันทึกเป็น SVCHOST.EXE
-> inetinf.exe - บันทึกเป็น SERVICES.EXE
-> บันทึกไฟล์ SMSSS.EXE และ LSASSS.EXE ใน Temporary โฟลเดอร์ของวินโดวส์

ระบบที่ได้รับผลกระทบ
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, NT, 2000, XP, Server 2003

การสังเกตอาการ
1. มีการรันโพรเซส "RUNDL132.EXE " ใน Windows Task Manager
2. มีไฟล์ต่างๆ และมี registry key ในระบบ ตามที่ได้กล่าวถึงด้านบน

วิธีการแก้ไข
1. ทำการสแกนด้วยโปรแกรมป้องกันไวรัสที่มีอัพเดทฐานข้อมูลไวรัสล่าสุด แล้วทำการลบไฟล์ไวรัส
2. ทำการสแกนด้วย Virus Fix tool เช่น McAfee Stinger อ่านวิธีการใช้งาน McAfee Stinger หรือ Trend Micro Sysclean
3. ทำการลบไฟล์ registry ที่กล่าวถึงด้านบน

คำแนะนำในการป้องกัน
วิธีการทั่วๆ ไปในการป้องกันไวรัสและมัลแวร์นั้น มีดังนี้
1. ติดตั้งโปรแกรมป้องกันไวรัสและทำการอัพเดทไวรัสซิกเนเจอร์อย่างสม่ำเสมอ (ควรอัพเดททุกๆ วัน)
2. ทำการสแกนไวรัสอย่างสม่ำเสมอ
3. ทำการสแกน สื่อแบบพกพา ก่อนการใช้งาน
4. หากจำเป็นต้องทำการแชร์ข้อมูลให้ทำการแชร์แบบอ่านอย่างเดียว
5. หากเป็นไปได้ให้ทำการอัพเดทวินโดสว์อย่างสม่ำเสมอ (ควรอัพเดทอย่างน้อย เดือนละ 1 ครั้ง ในทุกๆ วันพุธสัปดาห์ที่สองของแต่ละเดือน)

แหล่งอ้างอิง
Trend Micro

ลิงค์ที่เกี่ยวข้อง
วิธีการใช้งาน McAfee Stinger
W32/Generic.e หรือ WORM_MUSIC.G

Keywords: PE_LOOKED PE_LOOKED.VH-O TROJ_LOOKED Virus

© 2007 by dtplertkrai. All Rights Reserved

0 Comment: