snook QQ

เมื่อเดือนก่อนเจอตัวไอคอน QQ แล้วรู้สึกเกะกะลูกตามาก ตอนนั้นยังไม่รู้ว่ามันเป็นไวรัสเพราะแฮนดี้ไดรฟ์เหมือนของสาธารณะงานใครก็ไม่รู้มั่วไปหมด แต่คิดว่างานของใครคนนั้นก็คงรู้เอง ช่วงหลังๆเริ่มจัดระเบียบงาน จึงพยายามหาทางจัดการกับมัน แต่ยังจัดการไม่ได้สักที แสกนด้วย NOD32 แล้วมันผ่านไปอย่างฉลุย วันนั้นเปิดโน๊ตบุ๊คจัดมันด้วยการลบไฟล์ ปรากฏว่าอีกวัน มันก็เกิด Beenladen..God...QQ ต่อท้าย IE เรียบร้อยแล้ว อาการที่พบเห็นคือ จะมีไอคอนรูปนกเพนกวินน่ารักๆ ออกมาเสนอหน้าอยู่ในทุก drive แม้แต่ removable drive และบน desktop ถ้าเอา thumb drive ที่ติดตัวนี้ไปจิ้มเครื่องอื่นมันจะเป็น worm virus หรือหนอน ซึ่งเป็นรูปแบบหนึ่งของไวรัส มีความสามารถในการทำลายระบบในเครื่องคอมพิวเตอร์สูงที่สุดในบรรดาไวรัสทั้งหมด ( ถามจากเพื่อนที่เรียนทางด้านคอมฯ แต่อาจจะมีการเปลี่ยนแปลงได้) สามารถกระจายตัวได้รวดเร็ว ผ่านทางระบบอินเทอร์เน็ต ซึ่งสาเหตุที่เรียกว่าหนอนนั้น คงจะเป็นลักษณะของการกระจายและทำลาย ที่คล้ายกับหนอนกินผลไม้ ที่สามารถกระจายตัวได้มากมาย รวดเร็ว และเมื่อยิ่งเพิ่มจำนวนมากขึ้น ระดับการทำลายล้างยิ่งสูงขึ้น

ลักษณะที่ปรากฎใน drive

การเปลี่ยนไตเติลบาร์ของ IEเป็นมีBeenladen..God...QQต่อท้าย

virus / worm "Beenladen..God...QQ"

QQ_sanook.exe (44kb) มีไอคอนเป็นแบบของ QQ (สร้างเลียนแบบ Sanook QQ) มันจะฝังตัวอยู่ได้ที่C:\WINDOWS\QQ_sanook.exe และที่โฟลเดอร์รากทั้งหมดที่มันทำได้ เช่น C:QQ_sanook.exe D:QQ_sanook.exe และแฮนดี้ไดรฟ์/อุปกรณ์เก็บข้อมูลที่เราใช้เชื่อมต่อกับคอมพ์ เป็นที่สังเกตว่า คอมสาธารณะ (นักศึกษาชอบใช้กัน) ในมหาลัยเชียงใหม่ แต่ละเครื่อง มี CPE17 Autorun Killer อยู่กันทุกเครื่องแล้ว (เขาเซ็ตไว้เหมือนๆกันทุกเครื่อง) ทำไม "ที่เครื่อง" (ที่เซตเป็นวินโดวส์วิสต้า) ยังติดไวรัสนี้ได้ และหลายคนสงสัยว่าไวรัสตัวนี้อาจถูกปล่อยจากในมหาวิทยาลัย เนื่องมีผู้ตั้งข้อสังเกตว่ามีการใช้ไอพีของมหาวิทยาลัยเชียงใหม่!!! ดังนั้นอาจกล่าวได้ว่าไวรัสนี้เริ่มถูกนำไปปล่อยที่เชียงใหม่

การลบหนอนคอมพิวเตอร์หรือไวรัสนี้ออกไปเพื่อไม่ให้แพร่เชื้อต่ออีก

ทำได้ดังนี้

open ExplorerXP (http://www.explorerxp.com/)

open nirsoft CurrProcess -- kill process QQ_sanook.exe

use ExplorerXP ลบทั้งหมดที่เป็นชื่อ "QQ_sanook.exe", "autorun.inf", และคุณอาจพบ "qq.docx" หรืออาจจะค้นหาใน Windows Explorer โดยกด F3 หรือปุ่มค้นหาไฟล์ก็ได้ แต่ระวังอย่าดับเบิลคลิกไดรว์ใดๆ ให้ autorun.inf และ qq_sanook.exe ทำงาน ( ควรใช้จากหน้าต่างมายคอมพิวเตอร์โดยตรง

ลบ

C:\QQ_sanook.exe (and all root path - examples:
D:\QQ_sanook.exe
E:\QQ_sanook.exe
F:\QQ_sanook.exe
G:\QQ_sanook.exe
H:\QQ_sanook.exe
ฯลฯ
และ ลบ C:\WINDOWS\QQ_sanook.exe -- อันนี้สำคัญที่สุด มันแพร่เชื่อไปที่นี่ แล้วก็มันเป็น STARTUP ด้วย คือทุกครั้งที่เปิดเครื่อง มันก็จะทำงาน ทุกไฟล์จะถูกลบได้เมื่อ โพรเซส QQ_sanook.exe หยุดทำงานแล้ว บางเครื่องเมื่อลบไวรัสออกไปหมดแล้ว แต่ยังมี Beenladen..God...QQ อยู่ แต่งานต่างๆก็ยังอยู่ครบนะคะ

* หมายเหตุ ถ้าใครที่ใช้คอมใน มช. HP Compaq dc5800 Microtower PC ตัวเครื่องด้านหน้าสีดำด้านข้างสีเทา พร้อมจอแอลซีดี มีคุณสมบัติเหมือนกันยกเข่ง คือ แบ่งพาร์ทิชันเป็นสามไดรว์ มีไดรว์ C:\ และไดรว์ F:\ ( ไดรว์ F เขาเอาไว้แบ็คอัพ ) สองไดรว์นี้มันถูกซ่อนไว้ กับไดรว์ D ที่เขายอมให้ทุกคนใช้งานมันได้ แล้วพิมพ์เข้าไปดูไดรว์ต่างๆ ทั้งสาม รวมทั้ง C:\WINDOWS ด้วย เพื่อที่จะลบออก

วิธีกำจัดมัน

ก็คือ เปิด windows task manager แล้ว end task ที่เป็นรูปเพนกวินทิ้งไป จากนั้นตามไปลบมันใน c:\windows\QQ_sanook.exe และในทุกๆที่ๆเจอมัน แล้วก็ restart ถ้าไม่พลาดตรงไหนมันจะไม่โผล่หัวมันออกมากวนใจอีก

นางสาววาสนา คำแดง รหัส 4818349