ผมจึงได้ทำการแก้ไขในส่วนนี้ โดยตัวล่าสุดที่สร้าง ซึ่งเปลี่ยนชื่อเป็น Ultra_Clean ได้ทำการยกเลิกในการปิด AutoRun ไปแล้วครับ และเพื่อเป็นการพบกันครึ่งทาง คือยังคง AutoRun ไว้แต่ป้องกันการติดไวรัสด้วย จึงลองหาข้อมูลดู พอดีไปได้แนวคิดมาจาก Web ของต่างประเทศ ต้องขออภัยเจ้าของ Web ด้วยครับที่ผมจำชื่อไม่ได้จริงๆ
ผม จึงแก้ปัญหานี้ด้วยการสร้าง Folder ชื่อ Autorun.inf ไว้ในทุกๆ Drive รวมถึง Thumb Drive ด้วย ทำให้ไวรัสไม่สามารถที่จะสร้างไฟล์ Autorun.inf ขึ้นมาได้ เพราะโดยธรรมชาติของ Windows แล้วจะไม่ยอมให้มีชื่อซ้ำกัน โดยไม่ได้แยกแยะว่าเป็น Folder หรือ File ส่วนสาเหตุที่ใช้การสร้าง Folder แทนที่จะสร้าง File นั้นเพราะถ้าเราสร้าง ไฟล์ที่ชื่อ Autorun.inf นั้น ตัวไวรัสสามารถที่จะทำการสร้างไฟล์ Autorun.inf ของตัวมันเองทับไฟล์ของเราได้ครับ แต่ถ้าเราสร้างเป็น Folder จากที่ลองทดสอบดูมันไม่สามารถทับได้ครับ
แต่ไม่ ได้หมายความว่าเมื่อทำแบบนี้แล้วเครื่องเราจะไม่ติดไวรัสแล้วนะครับ มันเป็นเพียงการป้องกัน การเรียกไวรัสซ้ำขึ้นมา และเป็นการป้องกันอาการ Double Click เรียก Drive ไม่ได้เท่านั้นเอง และที่สำคัญสำหรับตัว Thumb Drive เองนั้นก็จะเป็นการป้องกันการเป็นพาหะนำไวรัสไปยังเครื่องอื่นๆครับ คือเมื่อนำ Thumb Drive ที่ติดไวรัสไปเสียบเครื่องอื่นๆก็จะไม่มีการเรียกตัวไวรัสใน Thumb Drive เพื่อขยายพันธุ์ลงไปในเครื่องนั้นๆครับ แต่ตัวไวรัสยังอยู่ใน Thumb Drive นะครับ เพื่อความปลอดภัยผมแนะนำว่าควรที่จะเปิด Show All File รวมทั้ง File System ด้วยแล้วสังเกตุดูว่ามีไฟล์แปลกๆอยุ่ใน Thumb Drive เราหรือไม่ โดยเฉพาะไฟล์ .VBS และ .Exe ถ้าเจอก็ลบทิ้งไปเลยครับ ไวรัสแน่นอนครับ
เพิ่มเติม:
ตอนนี้ผมได้ทำตัวป้องกันไวรัสตระกูลที่ใช้ Autorun.inf แล้วถ้าสนใจลองดูนะครับ
หมายเหตุ:
สำหรับ Folder Autorun.inf ที่ผมพูดถึงด้านบนนั้น เพื่อเป็นการหลีกเลี่ยงความสับสนที่อาจ จะเกิดขึ้น กับไวรัสบางตัวที่ใช้ Icon เป็นรูป Folder เหมือนกัน ผมจึงได้ทำให้เป็นรูป Ultraman ไว้นะครับ ถ้าเปิดดูใน Drive แล้วเจอ Autorun.inf ที่เป็นรูป Ultraman ก็ไม่ต้องตกใจนะครับ ไม่ใช่ไวรัสครับ เป็น Folder ที่ผมกล่าวถึง ในด้านบน นั่นเอง ซึ่งภายในจะประกอบด้วยไฟล์ 2 ไฟล์ คือไฟล์ Ultra.ico ซึ่งก็คือรูปที่แสดงนั่นเอง กับอีกไฟล์ชื่อ Desktop.ini เป็นไฟล์ที่กำหนดให้ Folder แสดงรูปครับ ไม่ใช่ไวรัสแต่อย่างใดครับ ไม่ต้องลบทิ้งครับผม
วิธี แก้ปัญหากรณีนี้ก็ตรงไปตรงมาล่ะครับ ไฟล์ไหนโดนทับหรือลบไปก็เอากลับไปใส่คืนมันซะ แต่ก่อนอื่นต้องลบเจ้า Folder ที่ชื่อเดียวกับไฟล์นั้นๆทิ้งก่อนนะครับ ไม่งั้น Windows ก็ไม่ยอมให้ทับ เพราะชื่อเหมือนกัน หรือจะลองโหลดน้องนุชคนสุดท้องเจ้า Ultra_Repairไป ใช้ก็ได้ครับหรืออีกวิธีหนึ่งซึ่งใช้เวลาพอสมควร แต่ถ้าไม่แน่ใจว่ามีไฟล์อื่นๆที่โดนทับหรือแก้ไขอีกนอกเหนือจากที่ผมกล่าวมา และต้องการความมั่นใจ ก็ใช้วิธีการไปที่ Start => Run แล้วพิมพ์ SFC /ScanNow นะครับ Windows จะทำการตรวจสอบไฟล์ระบบซึ่งโดนแก้ไขหรือขาดหายไป แล้วจะให้เราใส่แผ่นติดตั้ง Windows เพื่อทำการ Copy ไฟล์ดังกล่าวกลับคืนมาให้ครับ แต่วิธีนี้อาจจะใช้เวลานานหน่อย เพราะมันจะตรวจสอบทีละไฟล์ซึ่งมีอยุ่ประมาณ 3415 ไฟล์ครับ
เจ้าตัวที่กล่าวถึงนี่คือโปรแกรม Process Viewer ครับ แนะนำนิดนึงครับว่าเมื่อโหลดมามันจะเป็น Zip ไฟล์ ให้เราเอาออกมาแค่ PrcView.exe ตัวเดียวก็พอครับส่วนตัวอื่นๆซึ่งเป็นแบบ Command Line นั้นเราไม่ได้ใช้ครับ หรือใครอยากลองเล่นดูจะเอาทั้งหมดก็ไม่มีปัญหาครับ เพียงแต่แนะนำว่าใช้ตัวเดียวก็ได้แล้ว ถ้าให้ดีก็ Copy ตัวนี้ใส่ Thumb Drive ไว้เลยครับ เผื่อไปเจอเครื่องที่มีปัญหาเรียก Task Manager ไม่ได้เราจะได้ใช้ตัวนี้ได้เลยสะดวกดีครับไม่ต้อง Install
หมายเหตุนิด นึงว่าหลังจากเรียกใช้โปรแกรมนี้แล้วถ้าเราเปิด Show All File ไว้จะเห็นไฟล์ชื่อ PRCVIEW.GID เป็น Icon ใสๆ ก็ไม่ต้องตกใจนะครับ เป็นไฟล์ที่โปรแกรมสร้างขึ้นมาเก็บค่า Config ของมันน่ะครับไม่ใช่ไวรัสแต่ประการใด ที่เห็นใสๆ เพราะเป็นไฟล์ที่ Hidden ไว้แต่เราเปิด Show All เลยมองเห็นเท่านั้นเองครับ
เอา ล่ะครับเมื่อเราเรียกมันขึ้นมาแล้วก็จะเห็น Process เหมือนๆ Task Manger นั่นล่ะครับ แถมรูปมันสวยกว่าด้วยซ้ำ การเชิญตัวไวรัสซึ่งเราไม่ได้ชวนมาให้ออกไปจากหน่วยความจำนี่ก็ใช้การ Click ที่ชื่อ Process ที่เป็นไวรัสแล้วเลือก Kill(เครื่องหมาย X) มันเลยครับ เหมือนกับการ End Process ใน Task Manager นั่นล่ะครับ แค่นี้มันก็โดนเนรเทศ ออกไปจากหน่วยความจำเครื่องเราเรียบร้อยแล้วล่ะครับ
คำ ถามคือแล้วเราจะรู้ได้ไงล่ะว่าตัวไหนเป็น Process ของไวรัส ตามรูปนี่ผมขอยกตัวอย่างเจ้าตระกูล Hack By รวมถึงพวกตระกูลที่ใช้ VB Script เหมือนกัน ซึ่งสังเกตุง่ายๆเจ้าพวกนี้ชอบเปลี่ยนหัวของ IE เพื่อประกาศศักดานะครับ เนื่องจากเจ้าพวก VB Script(.VBS ) นี่ไม่สามารถจะทำการ Execute ด้วยตัวเองได้จึงต้องอาศัยตัวโปรแกรมของ Windows มาแปลคำสั่งแล้วทำตามที่กำหนดไว้ เจ้าตัวช่วยแปลที่กล่าวถึงคือ Wscript.exe ซึ่งเป็นของ Windows เองนี่ล่ะครับ ซึ่งโดยตัวมันเองไม่ใช่ไวรัสนะครับ เพียงแค่โดนไวรัสใช้เป็นเครื่องมือในการทำงานเท่านั้นเอง อย่าไปลบมันทิ้งซะล่ะ ถ้าใครอยากรู้จักมันมากกว่านี้ว่าเอาไว้ทำอะไรได้บ้างก็ลองดูที่นี่นะครับ
เมื่อ เปิดโปรแกรมขึ้นมาแล้วให้มองหาตรงช่อง Name นะครับ หาตัวที่ชื่อว่า WScrip.exe ให้เจอแล้ว Kill มันเลยครับ ลองหาดูให้ดีนะครับมันอาจจะมีอยู่หลายตัวให้จัดการ Kill มันให้หมดทุกตัวเลยนะครับอย่าเหลือไว้ทำพันธุ์ วิธีป้องกันการตกหล่นคือให้ Click ตรงคำว่า Name นะครับมันจะได้จัดเรียงตามชื่อ คราวนี้มีกี่ตัวมันก็จะเข้าแถวมาให้เรา Kill แล้วล่ะครับ ไม่ตกหล่นแน่นอน เท่านี้เจ้าไวรัสตระกูลที่ใช้ .VBS ก็หมดฤทธิ์แล้วล่ะครับ เพราะไม่มีตัวกลางในการรันมันแล้ว เดี่ยวเราค่อยตามกวาดล้างมันในขั้นตอนต่อไป
สำหรับ ไวรัสตัวอื่นๆก็เช่นเดียวกันล่ะครับ ขอแค่เรารู้ชื่อ Process มันแล้ว Kill มันทิ้งซะ คือไล่มันออกไปจากหน่วยความจำได้ก็ถือว่าสำเร็จไปขั้นนึงแล้วล่ะครับ
บทความจาก http://www.dkdc-ultra.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น