ติดไวรัสอีกแล้ว

เรื่องของเรื่องเกิดขึ้นเมื่อสัปดาห์ที่แล้ว ประมาณเครื่องของผู้ใช้ท่านหนึ่งได้เกิดติดหวัดขึ้นมา โดยที่หมอประจำเครื่องไม่สามารถแก้ไขได้ ประมาณว่าตรวจพบแต่ไม่สามารถ remove ออกได้ ค้นในเวบเบื้องต้น มันชื่อว่า "VIRTUMONDE" อ้อ พูดชื่อผิดไป จริงๆ แล้วมันเป็น Adware อย่างไรก็ดีจัดว่าเป็นซอฟต์แวร์ไม่พึงประสงค์จะให้มีในระบบ เช่นกัน
เรื่องของเรื่อง:
ผู้ใช้ติดไวรัสทาง MSN แล้วเกิด Warnning ที่แจ้ง ผ่าน Antivirus เอง ว่าพบไวรัส แต่หลังจากได้ทำการ removeผ่านทาง Antivirus Quarantine ปรากฏว่าไวรัสยงแจ้งปรากฏอยู่เรื่อยๆ ทำให้ต้องเข้ามาดูว่าเจ้าตัวการจริงๆ มันแอบอยู่ตรงไหนกัน หลังจากได้พยายามใช้ tool ของ sysinternal ในการแก้ไข ซึ่งมี autorun , filemon ,process explorer ประกบแก้ไข ปรากฏว่าไม่สามารถลบมันออกได้ แม้ลบไปแล้วมันก็กลับมาอีก หรือแม้แต่ปิดการทำงานของ โปรเซส explorer.exe ก็ไม่สามารถลบมันออกไปได้ และใช้เวลาในการแทรคการทำงานของมัน ชักจะมากเกินไปแล้ว"สี่ชั่วโมงกว่าๆ ตั้งแต่เริ่มสังเกตุอาการ" ก็เลยต้องหา เครื่องมือมาช่วยในการจัดการแบบเบ็ดเสร็จไปเลยดีกว่า ซึ่ง จะถือเป็นทางสุดท้ายเพราะว่า เป็นเครื่องมือของ ผู้ให้บริการอื่น ที่ไม่ใช่ เจ้าของ Antivirus เลยไม่ค่อยอยากจะลองใช้เพราะกลัวแทนที่จะเป็นการแก้ไวรัสแต่จะกลายกลับเป็น เชื้อเชิญไวรัสให้มาอยู่ในระบบเพิ่มโดยไม่ตังใจอีก แต่สุดท้ายหลังจากลองเรียบๆ เคียงๆ ดูแล้วจำเป็นต้องใช้ทางนี้ ไม่อย่างนั้นต้องทำการ Ghost กลับมาใหม่ ( system restore ) ซึ่งจะใช้เวลามากเข้าไปอีกซึ่งต้องมานั่งติดต้ง จูนซอฟต์แวร์ให้เครื่องใหม่อีก กะคร่าวๆ ประมาณ สองถึงสามชั่วโมง ทางเลือกสุดท้ายเลยต้องเอา "Third party tool"
ไฟล์ไวรัส (ส่วนหนึ่ง) โดยหลัก:
c:\Windows\system32\navlogon.dllc:\Windows\System32\efccddb.dll
ชื่อไวรัสที่ตรวจพบ "VIRTUMODE"
สรุปการแก้ไข
ไปโหลดตัวโปรแกรม fix มาชื่อว่า combofix ตัวนี้น่าทึ่งกับ คนเขียนมากรวมเอายาแก้อื่นๆ ที่น่าสนใจเอามาไว้ให้ด้วยอาทิ rootkit remove ( 3M ) , spyware etc.. เสียดายที่คนเขียนไม่ได้ทำการ update แต่ก็น่าดีใจที่มีไว้ให้โหลด
ขั้นตอน:

Set restore point ( backup ) เพราะไม่รู้ว่าอะไรจะพังบ้างงานนี้
ปิดโปรแกรมอื่น ที่ไม่ใช้งานให้เหลือแต่ explorer ทำงานอย่างเดียวก็พอ อย่างอื่นอาจทำให้โปรแกรม hang
รันทูลนั้น ( combofix.exe ) เครื่องจะแสดงอาการประหลาดๆ หน่อยไม่เป็นไร เพราะเป็นขั้นตอนการ disableprocess ของพี่เขา ไม่ต้องไปรบกวน
เครื่องจะ restart รอบหนึ่งแล้ว พี่เขาจะ gen report ออกมาให้ว่ามีอะไรถูกลบแล้วไปอยูที่ไหนบ้าง เจ๋งป่ะ.. ;)
ตรวจสอบการทำงาน โปรแกรมโดยทั่วไป ว่ามีอะไรผิดปกติหรือทำงานไม่ได้บ้าง
แก้ไขแล้ว set restore point ใหม่ กันเหนียวก็ใช้ backup tool แบ็คอัพ System state ไว้ด้วยกันเหนียวเผื่อ restore point พัง system state ยังพอช่วยได้บ้าง
ปิดเครื่องกับบ้าน
ระยะเวลาทั้งหมดที่ใช้ในการแก้ไข + มอนิเตอร์ + รอการทำงานของโปรแกรม +- 6 ชั่วโมง
โปรแกรมที่คิดว่าสมควรจะมีและน่าเอามาติดตั้งไว้ในเครื่อง ( ฟรี! )
HijackthisSpybot Search and Destroy ( S&D ) AntirootkitSysinternal suite
วันหลังถ้าไม่ขี้คร้านจะมาเขียนเรื่อง rootkit อีกที ว่ากันว่า trend ต่อไปของ rootkit ก็คือ Browser rootkitและ ที่น่าระวังก็คือ boot record rootkit เดี๋ยวขอศึกษามันให้มากกว่านี้หน่อยจะนำมาแถลงไข ต่อไป