อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conficker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conficker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้ Windows Automatic Update Service (wuauserv), Backgroun d Intellige nt Transfer Service (BITS), Windows Security Center Service (wscsvc), Windows Defender Service (WinDefend), Error Reporting Service (ERSvc) และ Windows Error Reporting Service (WerSvc)
• เกิด Account lockout
• เครื่องเซิฟร์เวอร์ Domain controlle rs ตอบสนองเครื่องลูกข่ายช้าผิดปกติ
• ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบา งเว็บไซต์ ที่มีคำต่างๆ ดังนี้
วิธีการแพร่ระบาด
ไวรัส Conficker หรือ Downadup นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพา (บนระบบที่มีการเปิดใช้งาน AutoPlay)
วิธีแก้
1. ให้ปิดการทำงาน system restore
2. ปิดการเชื่อมต่อของระบบ network เช่น สาย Lan หรือ wireless lan เป็นต้น
3. Clear temp ไฟล์ทั้งหมด โดยจะใช้ CClean หรือ ATF Cleaner ก็ได้
3. ติดตั้ง update path WindowsXP-KB958644-x86-ENU.exe (MS08-067) ปิดช่องโหว่ของ windows ที่ Conficker ใช้โจมตี โดยDownload ได้จาก link นี้ครับ
http://www.microsoft.com/downloads/d…displaylang=en
4. เข้า safemode แล้ว ใช้ Conficker Remove Tool scan เลือกเอาครับ ตาม link ด้านล่างนี้
Conficker Remove Tool
ESET(NOD32)
http://download.eset.com/special/EConfickerRemover.exe
symantec
http://www.symantec.com/content/en/u…s/FixDwndp.exe
BitDefender
http://www.bdtools.net/bd_rem_tool.zip
Norman
http://download.norman.no/public/Nor…er_Cleaner.exe
F-secure
ftp://ftp.f-secure.com/anti-virus/to…f-downadup.zip
Enigma
http://www.enigmasoftware.com/a1/download/cfremover.exe
AVG
http://www.avg.com/filedir/util/avg_…ir/rmdndup.exe
วิธีปิดการทำงาน system restore
1. คลิกขวา My Computer เลือก Proterties ดังรูป
2. ไปที่ System Restore เลือก Turn off System Restore on all drives แล้วกด ok เมื่อฆ่าไวรัสเสร็จอย่าลืม ปรับให้เหมือนเดิมด้วย
วิธีปิดการเชื่อมต่อของระบบ network เช่น สาย Lan หรือ wireless lan
1. ให้คลิกขวาที่ไอคอน Wireless หรือ Lan แล้วเลือก Disable
2. ถ้าไม่มีไอคอนให้คลิกขวาที่ My Network Place เลือก Properties
3. แล้วคลิกขวาที่ Local Area Connection เลือก Disable ดังรูป วิธีเปิดใช้งานคลิกขวาแล้วเลือก Enable
วิธีลง CCleaner
1. ดับเบิ้ลคลิกใส่ CCleaner แล้วเลือก ok ถ้ายังไม่มีโปรแกรม >>> Download <<<
7. ดับเบิ้ลคลิกเข้าโปรแกรม แล้วเลือก Run Cleaner รอโปรแกรมทำงานเสร็จแล้วปิดออกได้เลย
วิธีใช้ Conficker Remove Tool scan
1. ดับเบิ้ลคลิกใส่โปรแกรมที่โหลดมา
2. จะปรากฏหน้าตาแบบข้างล่างแล้วกด y แค่นี้ก็เสร็จและ แต่ต้องกระทำใน safe mode นะครับ
บางเครื่องที่โดน Conficker โจมตี อาจขึ้นหน้าต่าง ดังภาพ
ให้ Download path จาก microsoft ตาม link ด้านล่างนี้ครับ
http://support.microsoft.com/kb/894391
กรณีเครื่องในวงแลนติดจะฟ้องดังรูปว่ากำลังพยายามแพร ่ให้คนอื่น แต่โดน Nod32 บล๊อคไว้ก่อน
แหล่งข้อมูลอ้างอิง
• http://www.f-secure.com/weblog/archives/00001576.html
• http://support.microsoft.com/kb/962007
• http://www.microsoft.com/security/po…in32/Conficker
ที่มา : http://thaiwinadmin.blogspot.com