Virus Win32/FakeRean

ระวังไวรัส Win32/FakeRean
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์เตือนผู้ใช้วินโดวส์ให้ระวังไวรัส Win32/FakeRean ซึ่งปลอมตัวเป็นโปรแกรมป้องกันไวรัส โดยมีรายละเอียดดังนี้

ชื่อไวรัส: Win32/FakeRean
วันที่ออกระบาด: 11 สิงหาคม 2552
ชื่ออื่นๆ:
• XP AntiSpyware 2009 (other)
• XP Security Center (other)
• PC Antispyware 2010 (other)
• Home Antivirus 2010 (other)
• PC Security 2009 (other)

รายละเอียด:
Win32/FakeRean เป็นไวรัสที่ปลอมตัวเป็นโปรแกรมป้องกันไวรัส เพื่อหลอกผู้ใช้ให้ติดตั้งลงบนเครื่อง จากนั้นมันก็จะทำการแสดงข้อความเตือนเพื่อหลอกผู้ใช้ว่ามีการพบไวรัสอยู่บนเครื่องคอมพิวเตอร์ พร้อมกับแจ้งผู้ใช้ว่าหากจะทำการลบไวรัสที่พบออกจากเครื่อง จะต้องทำการลงทะเบียนและจ่ายค่าบริการในการกำจัดไวรัส (ซึ่งไม่มีอยู่จริงบนเครื่อง)

ไวรัส Win32/FakeRean จะแพร่ระบาดในชื่อต่างๆ หลายชื่อตามรายชื่อด้านบน และมีอินเทอร์เฟชที่แตกต่างกันหลายๆ แบบ

อาการเมื่อติดไวรัส Win32/FakeRean
เมื่อเครื่องคอมพิวเตอร์ติด Win32/FakeRean จะมีหรือแสดงอาการต่างๆ ดังนี้
1. มีไฟล์ในชื่อและตำแหนงต่างๆ ดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
Binaries1.cab
Binaries2.cab
Binaries3.cab
%Program Files%\XP_AntiSpyware\AVEngn.dll
%Program Files%\XP_AntiSpyware\htmlayout.dll
%Program Files%\XP_AntiSpyware\pthreadVC2.dll
%Program Files%\XP_AntiSpyware\Uninstall.exe
%Program Files%\XP_AntiSpyware\wscui.cpl
%Program Files%\XP_AntiSpyware\XP_Antispyware.cfg
%Program Files%\XP_AntiSpyware\XP_AntiSpyware.exe
%Program Files%\XP_AntiSpyware\data\daily.cvd
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
%Program Files%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll

2. มีการแก้ไขรีจีสทรีดังนี้ (ชื่อไฟล์อาจจะแตกต่างไปจากนี้)
• Key: HKCU\Control Panel\don't load
Value: scui.cpl
Data: "No"
Value: wscui.cpl
Data: "No"

• Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Value: ForceClassicControlPanel
Data: 0x1

• Key: HKLM\SOFTWARE\Microsoft\Security Center
Value: AntiVirusDisableNotify
Data: 0x1
Value: FirewallDisableNotify
Data: 0x1
Value: UpdatesDisableNotify
Data: 0x1

• Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP_AntiSpyware\
Value: DisplayName
Data: "XP Antispyware 2009"
Value: UninstallString
Data: "%Program Files%\XP_AntiSpyware\Uninstall.exe"

• Key: HKLM\Software\XP_Antispyware
Value: info
Data: ""

3. มีคีย์ต่างๆ ดังนี้
%Start menu%\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk
%Start menu%\Programs\XP_AntiSpyware\Uninstall.lnk
%Desktop%\XP_AntiSpyware.lnk
%APPDATA%\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk

4. มีการแสดงไอคอน (icon), ไดอะล็อก (dialog), ข้อความเตือน (warning), ป็อป-อัพ (pop-up) และ ฯลฯ









หมายเหตุ: ในที่นี้แสดงเพียงบางส่วน

วิธีการกำจัดไวรัส
เมื่อเครื่องคอมพิวเตอร์ติดไวรัส Win32/FakeRean สามารถกำจัดหรือแก้ไขได้โดยการสแกนด้วยโปรแกรม Microsoft Windows Defender หรือสแกนผ่านทางออนไลน์ที่เว็บไซต์ Windows Live safety scanner (http://onecare.live.com/site/en-us/default.htm) หรือทำการสแกนด้วยโปรแกรมป้องกันไวรัสตัวที่ติดตั้งอยู่บนเครื่อง (อย่าลืมทำการอัพเดท Virus Definition ก่อนทำการสแกนนะครับ)

แหล่งข้อมูลอ้างอิง
• Win32/FakeRean - MMPC

© 2009 TWAB. All Rights Reserved.