แจ้งเตือนไวรัส Sality ครับ
เนื่องจากช่วงนี้ ในที่ทำงาน ไอ้ไวรัสตัวนี้ (win32.Sality.aa) ระบาดหนักครับ
ด้วยความสงสัย ว่า ไอ้ไวรัสตัวนี้มันติดได้ยังงัย แล้วติดแล้วจะเป็นยังงัย
เอาชื่อ นะคัรบ สำหรับคนที่ Update Antivirus แล้วนะครับจะรู้จักกันในนามต่อไปนี้นะครับ
Virus.Win32.Sality.a (Kaspersky Lab) is also known as: Win32.Sality.a (Kaspersky Lab), W32/Sality.a (McAfee), W32.HLLP.Sality (Symantec), Win32.HLLP.Sector.29032 (Doctor Web), W32/Sality-A (Sophos), PE_ROSEC.A (Trend Micro), W32/Sality.A (FRISK), Win32:V-29032 (ALWIL), Win32/Sality.A (Grisoft), Win32.Sality.A (SOFTWIN), W32/Sality.A (Panda), Win32/Sality.A (Eset)
ท่านใดที่ใช้antivirus ที่รู้จักไวรัสตัวนี้แล้วก็ไม่น่าห่วงครับ แต่เน้นไว้ก่อนนะครับ ว่า antiviirus ต้อง update ไม่งันก็เสร็จโจน เหมือนกันครับ เหมือนมี มีด แต่ไม่ลับอ่ะครับ
การแพร่พันธ์
Sality is a portable executable (ติดทาง flash dirve, handy drive หรือ trumb drive แล้วแต่จะเรียกครับ )(PE is the standard executable format for 32-bit Windows files) virus. PE viruses infect executable Windows files by incorporating their code into these files such that they are executed when the infected files are opened.
PE viruses may have other capabilities. Many PE viruses keylogging and open backdoor access ports that allow remote users to manipulate affected systems(เหมือนโจรมันมาแอบเปิดประตูบ้านเราไว้อ่ะครับ 6 - - เพื่อเพือนโจรคนอื่นจะแวะมาทักทายเพิมเติม); some can spread into other computers. (ทำเครื่องตัวเองติดไม่พอ ยังจะพยายามจะขยายพันธ์ข้ามเครื่องอีก เฮอะๆ)
Files infected by PE viruses are typically cleanable - they can be reverted back to their clean states. However, restoring affected systems may require procedures other than scanning with an antivirus program.
OS ที่เป็นแหล่งเพราะพันธ์ทีดีครับ
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
สนใจข้อมูลเพิ่มเติม ไปต่อได้ที่
1. http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=1/
2. http://www.trendmicro.com/vinfo/apac/virusencyclo/default5.asp?VName=PE_ROSEC.A
3. http://www.viruslist.com/en/viruses/encyclopedia?virusid=21026
4. http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.html
ด้วยความปรถนาดี ^^ ครับ
ลักษณะของไฟล์ Autorun ครับ
อาการที่สังเกตุได้นะคัรบ
1. ชื่อไฟล์เราแปลก ๆ ไปครับ มักจะมี exe ต่อท้าย
2. folder บ้างFolder ถูกเปลี่ยนแปลงไปให้กลายเป็น hidden หรือ ถูกซ่อนไปซะอย่างนั้นครับ
(อันนี้ไม่แน่ใจ ว่าเป็นจากSality หรือเปล่านะครับ แบบว่ามีระบาดหลายตัว)
3. แน่นอนทีเดียวครับเป็นไวรัสที่จิ๊มปุ๊บ ติด ปั๊บครับ
4. ระวังมันแพร่พันธ์ทาง network ด้วยนะครับ
แนวทางแก้ไขครับ FIX sality
1. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FSALITY%2EEK&VSect=Sn
2. ดวานโหลดตัว FIX http://u3.upload.sanook.com/A0/15bde4af8cd0e8b618fcf50de3412777
3. หรือ ดวาน์ของ AVG ได้ที่ http://www.softpedia.com/get/Antivirus/Win32-Sality-Remover.shtml
ใครเจออาการ แบบอื่นๆ นอกจากนี้ เล่าสู่กันฟังบ้างนะครับ
ความเห็น (34)
ขอบคุณค่ะ สำหรับข้อมูลดีๆ
เห็นทีจะต้องรีบไปลับคมมีด ..อัพเดท antivirus แล้วล่ะค่ะ
เข้ามาเม้นต์หัยผู้ชายสีส้ม
อยากกเจอ ๆๆๆๆๆ
ntpviruscom
ดีเลยดีมากๆ กำลังติดหวัดตัวนี้งอมเงมเลยครับ
ทดลองใช้ตัว Fix ที่แนะนำของ AVG ใช้ได้ดีทีเดียวค่ะ
ขอบคุณ ^^
ผมเจอ sality.nar ใช้ทุกอย่างที่แนะนำมา ไม่หายครับเพราะ คลีนไปแล้วก็กลับมาอีก อาการหนัก คือ มันไม่ยอมให้ Antivirus ทำงาน ปิด task manager และ regedit เวลาเราจะเอาโปรแกรมพวก Clean Registry มันก็จะปิดเองเลย ไม่ยอมให้เราเปิด ผมใช้ ScanSpyware ก็แสกนเจอแต่ลบไปแล้วก็กลับมาอีก ลอง SuperAntispyware ลอง Spyware Doctor ก็ไม่รอด กลับมาอีกตลอด ทั้งๆที่ ไม่ได้ต่อ เน็ตเวิร์คไว้ เลย ใช้ Eset Security 3.0.669 ล่าสุด มันไม่ยอมให้รันเลย แล้วระบบค้างไปเลย เข้า Safe mode ก็ Blue Screen ตลอด เป็นหลายเครื่องเลย ตัวนี้ร้ายๆจริงๆ หากเจอวิธีแก้ไข รบกวนด้วยนะครับ ถ้าผมเจอแล้วจะมาบอกให้ทราบเหมือนกัน มันร้ายมาก ขอบอก
ไวลงไวรัส อะไรไม่รู้จักเลยอ่ะ ไม่เคยติดเลย ฮาๆๆ
พี่โอมของแท้ ต้องพิมพิ์ผิด ฮาา ตรงคำว่า
การแพร่พันธ์ และุพันะ์ อื่นๆอีกอ่ะ คำถูกต้องมีสระอุด้วยน่ะใต้ ธ (พันธุ์)
ปรถนา เขียนตกอีกแ้ล้ว สระอา ล่ะ (ปราถนา)
แล้วก็ ดาวน์โหลด ไม่ได้เขียนอย่างนี้หรือครับ เขียนอย่างนั้นก็อ่าว่า ดาน ซิ
555 จะมา comment หรือแอบไปสอนเป็นครูภาษาไทยเนี้ย น้อง mokin อิอิ
จัดไปครับ อิอิ เป็นปกติครับพิมพ์ผิด ชอบคิดเร็วกว่าพิมพ์ สละมันเลยหายๆ ไปบางช่วง
ขอบคุณค่ะ จะได้ป้องกันไว้ก่อน
ไม่เคยติดไวรัส เพราะใช้แม็คครับ ไม่ต้องลง ไวรัส ซอฟท์แวร์ด้วย
แต่ข้อมูลดีมากครับ
อำนวย สุดสวาสดิ์
ขอบคุณครับ
เจอเข้าไปแล้วค่ะ
ตอนนี้ยังแก้ไม่หายเลย
อาการที่เจอนี่ ไม่รู้เป็นของโจรตัวแรกหรือไอ้ตัวอื่น
แต่ว่าใช้งานtask managerไม่ได้ค่ะ
ลงโปรแกรมแล้วไม่ติด ไปๆมาๆการทำงานของเครื่องจะเพี้ยนๆไปหมดเลย
ชื่อไวรัสเหมือนกัน...
แต่รู้สึกว่าวิธีเล่นงานไม่เหมือนที่บอกน่ะครับ
มี Autorun แต่ข้างใน Autorun ไม่ได้เขียนแบบนี้
ฝังตัวในไฟล์ exe ของเราเลย เมื่อเราติดตั้งโปรแกรมนั้น ก็จะติดไวรสด้วย
เช่น Office ก็จะมีไฟล์ Setup.exe พอแสกนไวรัสที่เครื่องอื่น ก็จะเจอว่าตัวนี้เป็นไวรัส ทีแรกก็ไม่แน่ใจว่าจะใช่.. แต่พอลองเอาไปลง กลับติดไวรัสเฉยเลย
ทั้งๆที่ ลบตัว Autorun และตัวอื่นๆที่เป็นไวรัสโผล่ในในแฮนดี้ไดร์ฟไปหมดแล้ว
ก็ยังไม่แน่ใจอีก.. เลยเอา office อีกตัวมาลง (Office อยู่ในแฮนดี้เหมือนกัน)ซึ่งมาก๊อปจาก CD ต้นฉบับเดียวกัน มาแสกนที่เครื่องอื่นดู setup.exe ก็ไม่ใช่ไวรัสเหมือนตัวแรก แลยคิดว่ามันน่าจะฝังตัวในไฟล์ exe ได้แน่ๆ เพราะตัวอื่นๆก็เป็นหมดเลย
ตอนนี้ก็เลยเซ็งเลยครับ เพราะโปรแกรมติดไวรัสทั้งเครื่องเลย(ติดไฟล์ทุกไฟล์ที่เป็น exe) ช่วยหาทางแก้ให้หน่อย
เวลาแสกนเจอ ไวรัสมันก็ชื่อเดียวกัน คือ sality.nar
ขอบคุณค่ะ สงสัยที่เป็นปัญหาคงเจ้าตัวนี้ค่ะ
เพราะ เจอ สกุล exe แล้วข้อมูลหาย อิอิ
มีหลายสายพันธ์ดีจังครับ แต่ ที่คณะตอนนี้ก็ระบายอยู่ตามห้อง lab แม้จะ มี protect drive C แต่ไอ้เจ้า sality ก็ยังแอบแฝงไปอยู่ในไดร์วอื่น ๆ
อุ่นใจ นิดหนึ่งที่ antivirus ที่ใช้ปัจจุบัน จับไอ้ sality พอได้อยู่ (ผมใช้ kasperskyน่ะคัรบ)
แต่ sality.nar คิดว่า antivirus หลายตัว น่าจะจับได้แล้ว (ที่ update ด้วยนะครับ) Nod อธิบายไว้ชัดดีครับ เผื่อใครสนใจไปอ่านต่อ http://www.eset.cz/buxus/generate_page.php?page_id=20616
Mr. Irocker
เครื่องผม ก็ โดนเจ้าตัวนี้เล่นงานอยู่เหมือนกัน ผมใช้ NOD2.7 อัปเดท ตลอด แต่ก็เอาไม่อยู่ เจ้าตัว nod มันมาแจ้งเตื่อนว่า ตรวจจับได้ ทุก10-20 วินาที แล้วก็ Clean หรือว่า Delete ไม่หาย ..ตอนนี้เครื่องนี้ต้องตัดออกจาก ระบบ LAN แล้วคับ...กลัวว่าจะลามไปเครื่องอื่น ๆ ด้วยครับ ...เวลาย้ายงาน ก็ใช้ flash dirve, handy drive หรือ trumb drive ย้ายเอา ...และเครื่องอื่น ก็ลง เจ้าตัว ARDV 1.2 เป็นตัวป้องกันการ Auto RUN ไม่ทราบว่าจะเอา อยู่ไหม ครับ...ไม่ใช้flash dirve, handy drive หรือ trumb drive ไม่ได้ เพราะธรรมดาเครื่องต้องใช้ Lan ครับ....
ผู้ใดพบการแก้ เจ้าไวรัสตัวนี้ ช่วยกรุณาแจ้งให้ทราบด้วย จักเป็นพระคุณยิ่ง
ล้างเครื่องไม่ได้ ครับมีโปรแกรมเฉพาะทางลงไว้ครับ
คนเชียงราย
ผมพึ่งเจอ win32.Sality.z เนื่องจากว่าไม่ได้ลงโปรแกรม AntiVirus แต่ลงRollback program เพราะคิดว่าถ้ามีปัญหาก็จะ Back กลับไปไปจุดที่เซ็ตไว้ครับ แต่ผมคาดการณ์ผิดครับ เมื่อผม Back กลับมันก็ทำได้แค่ Drive C เท่านั้น แต่ Sality.z มันแอบไปสร้างฐานไว้ที่ Drive อื่น ๆ ด้วย ผมก็จัดการเอา โปรแกรม AntiVirus ลง ในขณะที่กำลังสั่งรันเพื่อลงโปรแกรม มันจะหายแวบไปเลย ลงอะไรก็ไม่ได้ ไม่ว่าจะเป็น Kaspersky หรือ NOD32 หรือ Norton ทุกโปรแกรมจะแว๊บหายไปเลย สรุปก็คือลงไม่ได้ ผมเลยเอาฮาร์ดดิสค์ออกไปพ่วงกับเครื่องอื่น ๆ ที่มีป้องกันไวรัสคือ Norton2007 ครับ มันค้นเจอครับและมันก็จัดการ Clean และ ลบออก ได้ประมาณ 700 file ครับ หลังจากนั้นก็เอาไปติดตั้งกลับคืน และ จะเห็นว่า Kaspersky ที่เลยลงไว้โผล่ออกมา เลยทำการอับเดท และสั่งให้มันรัน Full scan อีกครั้งก็ยังเจออีก ในที่สุดคอมผมก็ใช้งานได้ตามปกติครับ
คนเจียงใหม่
ผมก็เจอแต่ เป็นsality.j กับ sality.y มันให้ใช้การรีจีส อะไรไม่ได้เลยสักอย่าง สแกนแล้วบูธใหม่เข้าวินโดว์ หน้าจอค้างเป็นสีฟ้าอ่อนทั้งจอเลย ลงใหม่อย่างเดียว เซ็ง
คนเจียงใหม่
อยากรบกวนถามเพื่อนๆหน่อยครับว่า ตอนนี้แอนติ โปรแกรมตัวไหนดีที่สุดครับ เพราะรู้สึกว่า NOD32 ที่ใช้ประจำเริ่มมองไม่ค่อยเห็นไวรัสแล้ว ถึงเห็นก็ไม่ยอมฆ่าให้เรา
โดยส่วนตัวผมชอบ Kaspersky นะครับ แม้เวอร์ชั่นใหม่จะไม่ร้องกร๊๊ด เมื่อเดิมเวลาเจอไวรัส แต่ยังจับได้ ดีอยู่เหมือนเดิมติ นิดหน่อย มันกินทรัพยากรเครื่องหนักเอาเหมือนกันครับ แต่ผมเห็น review antivirus ที่ http://anti-virus-software-review.toptenreviews.com/ ครับ
ไอทีนางรอง
พบวิธีการฆ่าเจอแล้วครับ!!!! พี่น้อง..... ตามลิ้งค์นี้ไปครับผมขี้เกียจอธิบายโดยละเอียดซ้ำซาก(มันยาววววววววววว.......)
เครื่องผมโดนไปหลายเครื่องเนื่องจาก LAN กันไว้แล้วเจ้าลูกชายตัวดี นำแฟลชไดรฟ์ ไปขอจิ้มดูดเอาโปรแกรมเกมส์จากเพื่อน มาลงเล่นเกมส์ ตอนแรกผมเจอเป็นไวรัส Bad1 Bad2 bad3 system.exe และ msmsgs.exe จึงทำการฆ่าทิ้งซะ...หลังจากนั้นก็ไม่ได้สนใจอะไรอีก....
มาพบทีหลังว่า เครื่องทุกเครื่องถูกปิดการใช้งาน Task Manager เลยลองอัพเดท NOD32 จากเครื่องที่ลงวินโดว์จากแผ่นCD และรีบลงNOD32ต่อจากที่เพิ่งลงวินโดว์ใหม่เลย แล้วอัพเดทก่อน....จากนั้นสแกนดู ปรากฎว่าเจ้า NOD32แ้จ้งเตือน
ว่าพบ ไวรัส Win32/Sality.NAT เจอเป็นฟาร์ม!!!!!!!!!!! เกาะกินเฉพาะไฟล์ที่มีนามสกุล .exe .....โอ้ว....กรรม....ปวดประสาทจะกินเลยครับพี่น้องเอ้ยยยยยยยยยย...........!!!!!!!!!
เอาล่ะ ตามไปดูการฆ่ามัน จากที่นี่ครับ
-------> http://www.itnangrong.site88.net/modules.php?name=Forums&file=viewtopic&t=155#266
คุณไอทีนางรอง ค่ะ ลิงค์ที่คุณให้ไปมันหลุดและเป็นเว็บที่แอบแฝงเรียกได้ว่าพอเปิดไปตามลิงค์แล้วไม่มีอะไรเกิดขึ้นเลบมีแต่หน้าจอดำๆ
ใช่ ๆ ไปตามที่บอกก็ไปไหนก็ไม่รู้ web แปลกๆด้วย รวบกวนช่วยเช็ตให้ด้วยนะครับ แบบว่าไม่อยากทำโปรแกรมเครื่องใหม่หนะ ขอบคุณล่วงหน้า...
คุณ ning กับคุณ Mando ลอง ดวาน์โหลดตัวนี้มาดูนะครับ Win32/Sality Remover 1.1.0.153: จากที่เนี้ยครับ http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html
ใช้ได้ไม่ได้อย่างไร แจ้งข่าวให้ทราบด้วยนะครับ ^^
ผมก็เจอแต่ไม่เป็นห่วง เพราะจัดการเรียบร้อบแล้ว ตัว sality.aa ผมใช้ Antivir ลองเหอะ 5555
มันฆ่า ไม่ตายครับ
ติดไวรัสตัวนี้เข้าไปแล้วค่ะตอนนี้ :D
ยังสนุกสนานกันอยู่ในเครื่องอยู่เลย
พรุ่งนี้จะยกไปให้ช่างขนมันออก T^T
ไม่รู้ไปโดนไวรัสอะไรมาค่ะ ไป copy file จากเครื่องที่มหาวิทยาลัยมา
แล้วตอนลงเครื่อง รู้สึกว่าเครื่องมันรวนๆ (ไม่ได้ใช้ antivirus ค่ะ)
บวกกับ คอมไม่สามารถ double click เปิดที่ handy drive ได้
ต้อง คลิกขวาแล้วเลือก explore ค่ะ (แปลว่ามันเป็นไวรัสแน่นอน..ใช่ไหมคะ)
อาการเริ่มแรกคือปริ้นไม่ได้ค่ะ
ลง driver ใหม่ก็ไม่หาย
ต้องเข้าไป active print spooler เอง ถึงจะใช้ได้
อีกสองวันต่อมา คอมไม่มีเสียงค่ะ
เข้าไปเช็คใน manager device ไม่มีเครื่องหมายอะไรขึ้น
แต่พอเช็คจริงๆแล้ว รู้สึกว่ามันไม่ได้ show function บางตัว ของ sound card ค่ะ
ก็เลยตัดสินใจ format HDD ใหม่ หลังจาก install windows เสร็จแล้ว
ก็ลงโปรแกรม และ driver ตามปกติค่ะ
สรุปว่าทุกอย่างยังเหมือนเดิม คือ ต้อง active print spooler เอง ทุกครั้งก่อน print
และ คอมก็ยังไม่มีเสียงเหมือนเดิมค่ะ
ตอนนี้สงสัยว่า sound card เสีย ลำบากมากๆ
ท่านใดมีคำแนะนำ โปรดชี้แนะด้วยค่ะ
ปล. ก่อนลง windows เข้าไป set bios ให้เป็น default แล้าค่ะ
มันเป็นไวรัสที่เกาะท้ายไฟล์ บางครั้งขนาดไฟล์จะดูหลอกๆ
เท่าที่สังเกตุ มันจะเกาะ exe ซะส่วนใหญ่
บ้างก็ทำให้ไฟล์นั้นใช้ไม่ได้ ถอด flash driver ไม่ได้ จนบางที FAT เสีย
ความสามารถของมันคือปิด service โดยเฉพาะพวก AntiVirus (แม่งเก่ง)
แถมพ่วงคำสั่งน่ารักๆ ไว้ดูต่างหน้า autorun cmd exe pif
หลักการก็คือไปแก้พวก reg นั่นแหละ ซึ่งป็นจุดอ่อนของ windows มากๆๆๆๆๆ
เพราะเวลาจะทำอะไร windows จะอ่าน reg ขึ้นมาก่อน
อืม....เตือนนิดนึง ใครที่คิดจะ clean บางครั้งไฟล์นั้นจะใช้ไม่ได้นะครับ
ส่วนมากถ้าติดหนักๆ ผมจะ format ใหม่ ประมาณปีละครั้งได้มั้ง
แต่ข้อมูลสำคัญส่วนมากจะ backup ไว้อีกที่ เพลง กับรูปภาพ(?) จะเก็บไว้อีกลูก
มีราวๆหกลูกได้มั้ง ถอดเปลี่ยนเอา ไวรัสตัวนี้...อืม..ไม่ค่อยเท่าไหร่ น่ารักดี
-
นึกถึงสมัยเขียนโปรแกรมฆ่าไวรัสสโตนเลย หนุกดี อิอิ
โดนเต็มๆ เลยครับ 555+ เวงกำ
win32/Sality เฉยๆ
เล่นซะ Driver พังหมดเลย เสียงหาย เกมส์ค้าง คอมค้าง
อนาดชีวิต....
cleanvirus
ลองไป Online scan นะ ดีมากที่ http://www.cleanvirus.co.nr
cleanvirus
โทษที ลืมให้ใส่ Link เอาไปเลย http://www.cleanvirus.co.nr
ไม่ห่วงเรื่องฆ่าครับ แต่ที่ห่วงเรื่องมันติดไฟล์.exeทุกไดร์ฟ ยังหาอะไรมาแก้ไฟล์ที่ติดไม่ได้เลยเพราะบางไฟล์มันสำคัญนะ ลืมzipไว้
ใครหาตัวซ่อมไฟล์ที่ติดมันได้ บอกต่อกันด้วยนะคับ โดนมาสองสามครั้งแล้วไอ้ตัวนี้