ch_a_m_p: ชื่อนี้ต้องมีขีด

ประสบการณ์ร้อนแรงกับ flashy

จันทร์ 4 กันยายน
champ : เฮ้ยๆ กูรู้สึกว่าแฟลชไดร์ฟอันนี้จะติดไวรัสแล้วว่ะ เพิ่งไปใช้ที่ศูนย์คอม ม. มาเมื่อวันศุกร์ เอาไปสแกนไวรัสให้ทีดิ เป็นการทดสอบ pccillin แผ่นแท้ของแกไปด้วย ฮ่าๆ (pccillin : โปรแกรมสแกนไวรัสยี่ห้อหนึ่ง)
don : เออๆ เดี๋ยวมีของแถมให้ด้วย

อังคาร 5 กันยายน
champ : flashdrive เป็นไงมั่ง ตกลงเจออะไรมั๊ย
don : ไม่เห็นมีอะไรเลย สแกนไม่เจอ นี่เราแถม anime มาให้เรื่องนึงด้วยนะ
ระหว่างนั้นพ่อของ don ก็โทรศัพท์เข้ามาถามว่า ทำไมต้องใส่รหัสผ่านเข้า windows แต่นาย don ยืนยันว่าไม่เคยใส่รหัสผ่านเปิดใช้คอมเลย

พุธ 6 กันยายน
don : เฮ้ย แฟลชไดร์ฟนายติดไวรัสแน่แล้วว่ะ หลังจากเอาแฟลชไดร์ฟไปสแกนแล้ว windows มันก็ถามรหัสผ่าน แล้วก็เข้าไม่ได้อีกเลย
champ : (ซวยแล้วสิตู เอาไวรัสไปแถมให้เพื่อนเนี่ย) อืม เอาไงดีวะ เออๆ เดี๋ยวตอนเย็นจะลอง check หาข้อมูลให้ละกัน ไม่งั้นกูก็คงต้อง format แฟลชไดร์ฟไปเลย
don : เออ ช่างเหอะๆ เย็นนี้จะเอาเครื่องไปล้างแล้ว (เสียดาย anime ชะมัด)

เย็นวันนั้นผมก็เจอวิธีกำจัด flashy จนได้ แล้วโทรไปบอกเพื่อน

ซึ่งร้านก็สุดแสนจะดีมากๆ พยายามหาวิธีที่จะลบไวรัสโดยไม่ format เครื่อง (ไม่เหมือนบางร้าน เอะอะ format อย่างเดียว) โดยการเอาฮาร์ดดิสก์ของร้านมาต่อเพิ่ม เพื่อรัน windows จากฮาร์ดดิสก์ของร้าน แต่ก็สแกนไม่พบ ทางร้านจนปัญญา และลองให้นาย don ลองแก้ปัญหาดู จนกระทั่ง...

ฮาร์ดดิสก์ของร้านโดนไวรัส แล้วร่วมหัวจมท้ายกันเน่าไปด้วยอีก 1 ตัว

พนักงานร้านตัดสินใจเอาฮาร์ดดิสก์ตัวที่ 2 มาต่อใหม่ (ร้านใจถึงจริงๆ) และโชคดีที่โปรแกรมสแกนไวรัส AVG ไปเจอมันเข้า รวมกับวิธีแก้ที่ผมโทรไปบอกด้วย เป็นอันว่าจบ

ข้อมูลและอาการถ้า flashy เข้าไปสิงสถิต

ไวรัส ชนิดนี้ ชื่อ Flashy.exe หรือ Backdoor.Glupzy โดยมันเป็นโทรจันที่เข้าไปเปลี่ยนแปลงรหัสผ่านระดับ Administrator ของ Windows

พบเมื่อ July 21, 2006
ประเภท Trojan Horse
ขนาดไฟล์ 21.18 Kbytes
ระบบที่ได้รับผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP (ว่าง่ายๆ ทุกตระกูลเลย...)
อาการที่เกิดขึ้น (อาจเกิดแค่บางข้อถ้าโชคยังดี):
- เครื่องจะถูกเปลี่ยนรหัสผ่านของ Administrator ใหม่เป็น hacked ซึ่งถ้าใครไม่รู้ และยิ่งมีแค่ user เดียว (ซึ่งคอมพิวเตอร์ตามบ้านในบ้านเราก็ทั้งนั้น) ก็เข้า windows ไม่ได้ format อย่างเดียว...
- ไม่สามารถเรียกใช้ Task Manager (ตัวที่โผล่ขึ้นมาตอนกดปุ่มพิฆาต Ctrl+Alt+Del), Registry Editor และ Folder Option ได้
- เมื่อเอาแฟลชไดร์ฟ หรือ memory card ไปเสียบเครื่องที่มี flashy สิงสถิตอยู่ มันจะไปแปรรูป folder(แฟ้ม) ของเราทั้งหมดโดยเอาไปซ่อน (hidden) แฟ้มของเราไว้ไม่ให้เรามองเห็น จากนั้นจะสร้างตัวไวรัสขึ้นมา ชื่อเดียวกับชื่อแฟ้มที่โดนเอาไปซ่อน แถมมีไอคอนเป็นรูปแฟ้มเหมือนกันอีกตะหาก มองผ่านแว๊บเดียว นึกว่า folder งานเรา ดับเบิ้ลคลิกลงไปก็จบเห่

[ ^^ ข้างบนนี่เป็นหน้าตาของ flashy ที่ไปนอนสบายอยู่ใน windows/system32 หน้าตาเป็นรูปโฟลเดอร์อย่างที่เห็น ]

- ไวรัสตัวนี้จะทำงานทันที ไม่รอช้าเหมือน Brontox ไวรัสตัวก่อนหน้าที่ทำตัวคล้ายๆ กัน (เหมือนตัวอย่างของเพื่อนผมข้างบน ทันทีที่ปิดเครื่องแล้วเปิดใหม่ ก็โดนถามรหัสเลย)
- ถ้าแฟลชไดร์ฟเรามีโปรแกรมอยู่ด้วย flashy จะปลอมตัวเองไปเป็นชื่อเดียวกับโปรแกรมนั้น ทำให้เราเข้าใจผิดว่าเราเปิดโปรแกรมทำงานตามปกติ (แต่จริงๆ เป็นอะไรคงรู้ดี)
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสไว้ flashy จะแก้รหัสของเราใหม่ ทำให้ไม่สามารถ login เข้าเครื่องของเราได้อีกเลย หึหึ
- Virus ตัวนี้จะไม่แพร่กระจายเป็นเครือข่าย อยู่เฉพาะในเครื่อง แล้วติดต่อกันทาง แฟลชไดร์ฟแทน

วิธีแก้ถ้าเกิดโดนไปแล้ว

ลอง search โดยใส่คำว่า flashy ใน google ดูแล้วกันครับ หาเฉพาะเว็บไทยก็ได้ ตอนนี้มีคนเขียนเยอะมากๆ แล้ว หลายวิธีด้วย แต่ผมขอเสนอวิธีที่ใช้สมองน้อยที่สุดก็แล้วกัน ก็คือดาวน์โหลดโปรแกรมกำจัด flashy อ่อน จากหน้านี้ [click]

วิธีป้องกันภัย

ช่วงนี้มีติดกันเยอะ โดยเฉพาะตามมหาลัย ตอนนี้ก็ยังระบาดกันทั่วอยู่เลย มาดูวิธีป้องกันหน่อยดีกว่า

1. ตรวจเครื่องว่าปลอดภัย เสียบแฟลชไดร์ฟแล้วไม่ติด
เช็คก่อนเสียบแฟลชไดร์ฟใส่เครื่องคนอื่น ว่าเครื่องนั้นโดน flashy ครอบงำอยู่รึเปล่า โดยเข้าไปดูที่ C:/Windows/system32 ถ้าดูเฉยๆ ไม่เจอหรอก มันซ่อนอยู่ ต้องคลิกTool > Folder Option... เลือกแท็บ View แล้วตรง Hidden file and folder ให้เลือกเป็น show hidden file and folder เพื่อให้ไฟล์ทุกตัวเสนอหน้ามาให้หมด
แต่ถ้ากดTool แล้วดันหา Folder Option... ไม่เจอเนี่ย ไม่ต้องสงสัยเลยคงโดนแน่ๆอย่าเอาแฟลชไดร์ฟเราไปวัดดวงดีกว่า

2. ตรวจแฟลชไดร์ฟว่าปลอดภัย เสียบเครื่องแล้วเครื่องไม่ติด
พอเสียบปุ๊บ อย่าๆ... อย่าเพิ่งเปิดโฟลเดอร์ใดๆ ทั้งสิ้น ลองคลิกเบาๆ 1 ครั้ง (ขอย้ำว่า 1 ครั้ง) แล้วแอบดูตรง Detail ด้านซ้ายมือ ถ้ามันขึ้นสถานะว่าเป็น File Folder เหมือนแฟ้มปกติก็พอเดาได้ว่าปลอดภัย แต่ถ้ามันขึ้นว่าเป็น Application ละก็ แสดงว่านั่นเป็น Flashy ปลอมตัวมา รีบดึงแฟลชไดร์ฟเราออกโดยไว (บางทีก็มีแฟ้มชื่อ flashy แถมมาด้วยล่ะ)

[^^ เอารูปเดิมมาหากินอีกรอบ สังเกตว่า Flashy หน้าตาเหมือน folder แต่ตัวจริงเป็น Application ดูจาก Detail ด้านล่างซ้าย ]

(หรือจะคลิกขวา กด Properties แล้วดูตรง Type of file: ว่าเป็นอะไรก็ได้นะ)

สุดท้ายนี้ขอให้ทุกท่านปลอดภัยจาก Flashy โดยทั่วกันครับ เหอะๆๆๆๆ

credits :
www.kku.ac.th/spyware/virus02.html
www.thaicyberpoint.com/ford/blog/id/204
www.nod32th.com/component/option,com_docman/task,cat_view/gid,67/Itemid,290/lang,th/
http://library.md.chula.ac.th/service/kill-flashy.htm
http://gotoknow.org/blog/phand/47883