โปรแกรมฆ่าWorm

 Hack by 1 byte { No virus No Work No Money }

• Update  โปรแกรมใหม่ 16 เม.ย. 50 
• หากใครติด hacked by 1 byte ไม่มี {No virus No work No Money }ให้ไปที่นี่นะคร๊าบบ   http://gotoknow.org/blog/president/86034
• หากสนใจบทความอื่นๆ ของผม เยี่ยมชมได้ที่ http://president.gotoknow.org      หรือคลิกเลือกที่ สมุดได้เลยนะครับ

คำเตือน ! คอมคุณจะเป็นแบบนี้ในระยะสุดท้าย

ขอขอบคุณรูปไวรัสระยะสุดท้ายก่อนอวสานของเครื่อง
ที่โดนHacked by 1 byte{No virus  No work No money}
จากคุณmailto:paew1967@yahoo.com

ที่มา

     เดิมตอนผม อยุ่ มอ.ได้ยินเค้าติด Hack by 1 Byte เห็นเพื่อนบอกว่าร้ายมาก   มีเพื่อนมาบอกอีกว่า เค้าเผลอเปิดมันขึ้นมา ติดเครื่อง เค้าฟอร์แมท เลย เพราะแก้ไม่ออก  ทำแบบเดียวกับ Godzilla ไม่ได้  แต่ผมก้อยังไม่รู้ร้อนอะไร  ก็ทำไมตูไม่โดนอ่ะ    แต่พอผมกลับบ้านไปที่นครศรีธรรมราช  ลุงมารับไปที่สถานี ผมเห็นเลยครับ hack by 1 byte  บน ie  แต่ ไม่ใช่ 1 byte ธรรมดา  มันมีพ่วง { No virus No work  No Money } ไม่มีไวรัส ไม่มีงาน ไม่มีเงิน   ฟังๆแล้ว เหมือนกับว่า  คนเขียนWorm ได้เขียนWormตัวนี้เพื่อ เงิน     งานของเค้าคงเขียนไวรัสประมาณนั้น

       พอผมกลับถึงบ้าน  ร้านเครื่องเขียนก้อโดน  เค้าล้างเครื่องไปเลยครับ  เห็นเค้าบอกว่า  ตอนสุดท้ายที่เห็น เป็นรูปหัวกะโหลก  แล้วเครื่องดับไปเลย   ข้อมูลหายหมด หลังจากนั้นก็ทำใจ
       เมื่อมันบุกถึงบ้านเกิดผม  ผมกลับบ้านคราวนั้นเลยหมกมุ่น ที่จะฆ่าตัวนี้ให้ได้  คิดกันคืนนั้นเลยครับ   ผมเริ่มค้นหาคำสั่ง dos  เพราะใช้ไม่ค่อยเป็นเท่าไหร่  โดยศึกษาจาก Help  ใน windows นี่แหละครับ ก็ทำด้วยความเจ็บใจครับ เริ่มจากไปเสียบ เครื่องที่มีWorm แล้วเก็บมาดู  ทดสอบเครื่องเอง  แล้วดูว่ามันทำอะไรบ้าง แล้วแก้ มันทีละอย่างครับ 

       สำหรับตัวแก้ตัวนี้ ทดสอบมาแล้วนะครับ จากเครื่องที่บ้าน รวมทั้งหมด  ประมาณ 4 เครื่อง  hack by 1 byrte { No Virus No work No money }   ย้ำนะครับว่า  4 เครื่อง   จริงๆ    และก็แก้ได้เฉพาะตัวนี้เท่านั้น   นานๆคงจะเจอที

ทำไมถึงเรียกว่า worm  ไม่เรียกว่า virus

เพราะไวรัส เป็นการแพร่กระจายแบบ ติดเชื้อไปยังไฟล์ต่างๆ  แต่ไฟล์นั้นก็ยังใช้งานได้  เพียงแต่มีไวรัสแฝง ไปด้วย แต่ worm เป็นไฟล์wormเพียวๆ    ไม่ได้แฝง หรือ เกาะไปกับไฟล์ใด ๆ   มันเป็นตัวของมันเอง   ไม่ได้เกาะแกะกับใคร

Worm ตัวนี้ทำงานยังไงบ้าง ?

อาการที่เห็นชัดๆ เมื่อไฟล์โดนทำลายแล้ว

เนื่องจากไฟล์ระบบเสียหาย ดังนั้น Windows  ร้องขอแผ่น CD WINDOWS XP  เพื่อติดตั้ง ใหม่  ขึ้นมาเรื่อยๆจนไม่ต้องทำอะไรเลยครับ 

• คลิกขวาที่ไดรฟ์ แล้วมีตัวหนาเป็นคำว่า Auto 
• เนื่องจากคล้ายๆกับ Godzilla และ Hacked by 1 byte เปลี่ยน IE Title เป็น Hacked by 1 byte { No Virus No work No money }
• มีการลบไฟล์ระบบ เหล่านี้ทิ้ง แล้วแทนที่ด้วยตัวWormทั้งหมด winlogon.exe  csrss.exe cmd.exe smss.exe regedit.exe msconfig.exe taskmgr.exe rstui.exe lsass.exe 
• เนื่องจากWormไปแทนที่ไฟล์ระบบแล้วดังนั้น จึงใช้ Task Manager ไม่ได้    Registry Editer ไม่ได้  Msconfig  ไม่ได้ เปิด command prompt  SystemRestore ไม่ได้
• winlogon  csrss srmss.exe เป็นไฟล์ที่ระบบต้องใช้ทุกครั้ง ตอนเริ่มต้น windows ดังนั้นไวรัส ไม่จำเป็นต้องไปสร้าง register เพื่อ run ตัวเองตอนเปิดเครื่อง
• ขั้นสุดท้ายจะเป็น หัวกะโหลก ให้ดูเพื่อความสะใจ และแล้วข้อมูลที่เคยมีก็อันตระทาน(เขียนถูกป่าว ..?)หายไป

อาการจากคุณ  ไม่แสดงตน เมื่อ 19 เม.ย.50

       อย่างที่ได้เล่าเหตุการณ์ข้างต้น เห้นได้ว่า ผมไม่ได้เจอด้วยตัวเอง และ หัวกะโหลกนั่น ผมก็ไม่เคยเห้น   ฟังเค้าบอกเล่ามา  สำหรับคนที่โดนจริงๆ หรือว่าโดนหัวกะโหลกแล้ว เอาไปใช้ดู ว่าได้ผลอย่างไรบ้าง  แต่โดยสมมติฐานตามคำบอกเล่า  ถ้าขึ้นหัวกะโหลกแล้วน่าจะไม่ได้ผล  เพราะเค้าบอกว่า ไฟล์หายหมด 

ไฟล์ที่จะติดไปกับ Flash Drive มีอะไรบ้าง ?

•  แน่นอน autorun.inf  แต่จะงงนิดๆ  พอเปิดดูเข้าไป  กลับไม่มีข้อความใดๆ ในไฟล์เลย   เพราะเจ้าไฟล์นี่แหละครับ ที่จะทำให้มี คำว่า auto  ตอนคลิกขวาที่ไดรฟ์  และWorm ได้ใช้ ไฟล์ระบบ ในการ รันตัวเองบน Registry แล้ว  จึงไม่ต้องใช้  โปรเซส wscript.exe แต่อย่างใด
• winlogon.exe  นี่เป็นWormครับ

การลบ Worm ที่ติดไปกับ Flash Drive

• ต้องใช้กับเครื่องปกติ เพียวๆ ที่ไม่โดน Virus หรือ Worm
• แสดงไฟล์ System ไปที่ Tools->  Folder Options ->Tab View ->เลือก  Show Hidden File and Folder และเอากาถูก หน้า Hide Protected Operating System..... ออก  แต่ถ้าขี้เกียจทำหรือ ทำไม่ถูก ผมได้ทำเครื่องมือแสดงไฟล์ไว้แล้วครับ ดูที่นี่ครับ  http://gotoknow.org/blog/president/87671
• ไฟล์ Worm ก็จะแสดงออกมา  ให้ลบไฟล์  autorun.inf   และ  winlogon.exe  หรือ handydriver.exe  ออก โดย Shift+Del ไปเลยก็ได้

เมื่อโดนหัวกะโหลกแล้วชะตากรรมคอมพิวเตอร์ของคุณจะเป็นอย่างไร

 จากที่ผมได้ศึกษาจาก HDD ที่เสียท่าให้กับเจ้า Worm ตัวนี้โดยสุดท้ายเป็นรูปหัวกะโหลกนั้น ตอนนี้ก็ได้รวบรวมข้อมูลจากผู้เสียหายหลายท่าน
ผลปรากฎออกมาแบบน่าเสียใจดังนี้
1.เครื่องคอมพิวเตอร์ไม่สามารถ Boot เข้าสู่ Windows ได้ จะปรากฎเป็นหน้าจอมืดๆ หรือเครื่อง Restart ไม่ยอมหยุด
2.เข้า SafeMode ไม่ได้  จะแก้ไขอะไรก็ไม่ได้
3.ข้อมูลทุกไดรฟ์ที่ไม่ใช่ไดรฟ์  C :  จะโดนลบหายเกลี้ยง แม้กระทั่ง Map Network Drive (อ้างอิงจากคุณ com07) หากมี Map Drive เจ้า Worm ตัวนี้ก็จะเข้าไปในเครื่องอื่นๆ ในระบบLan ด้วย  หลังโดนหัวกะโหลกข้อมูลจะหายคงเหลือไว้เพียงเจ้า Worm ตัวแสบไว้ให้เห็นต่างหน้า

  วิธีการแก้ไขหลังโดนหัวกะโหลกที่น่าจะทำได้คือ

ทำใจก่อนแล้วลองทำครับ
1.ใช้โปรแกรม Rocovery  HDD ดูครับเผื่อช่วยได้บ้างซึ่งมีหลายโปรแกรมเลยทีเดียว หากได้ข้อมูลแล้วก็ Backup ไว้ทันที
2.ลง Windows ใหม่ใน Drive C: ง่ายสุด  เพราะผมดูไฟล์ที่เสียหายแล้ว  ลงใหม่ง่ายกว่าครับ

3.แนะนำโปรแกรม Rocovery ครับ ตอนนี้กำลังศึกษามาแล้วครับ

 คลิกที่นี่เพื่อไปยังบทความ การกู้คืนข้อมูล จาก HDD และ Flashdrive

• GetDataBack 3.04 http://gotoknow.org/blog/SoftwareTechnics/91911

หรือโปรแกรมอื่นๆ  ลองหาดูนะครับ

• VirtualLab Data Recovery 4.7.3 

• Easy Recovery

 มาดู SourceCode แบบพื้นๆของมันก่อนว่ามันทำอะไรบ้าง

Method ที่ผมศึกษาจากไฟล์ Worm ที่พอเห็นได้พอจะมีคร่าวๆดังนี้ครับ
1.DeleteAnyFile ( แค่ชื่อก็หนาวแล้ว   เพราะ สั่งให้ลบทุกไฟล์เลยครับ )
2.DestroyFile ( ทำลาย ไฟล์ )
3.miniCommand
4.Controlmornitor
5.frmBlack frmRed frmBlue  frmGrey น่าจะเป็นตัวแสดงการกระพริบ  หรือ พื้นหลังของหัวกะโหลก
6.frmSkull  ( น่าจะใช้สำหรับแสดง หัวกะโหลกให้ดูครับ )
7.frmFreeze  แช่แข็งเอาไว้
8.Regedit ( ตัวจัดการ Registry )
9.SpreadToRemove Drive  ลบไดรฟ์
10.mainProcess
11.Joker
12.Project 1

 สาเหตุที่ Boot Windows ไม่ได้

1.ไฟล์สำคัญในการเริ่มต้นของระบบโดนลบ เช่น  
  1.NTDETECT.COM 
  2.COMMAND.COM
  3.IO.SYS
  4.BOOT.INI
และน่าจะมีไฟล์อื่นอีกในตระกูล INF  เช่น biosinfo.inf

 ใครเป็นคนสร้าง Worm ตัวนี้

สำหรับคนที่สนใจว่าใครสร้างเจ้า Worm  Hackby 1 Byte ทั้ง 2 ตัวนี้
ให้ copy    "    BR1GH7N4RY     " แล้วไปวางใน Google ดูครับจะรู้ว่าใคร
ชายหรือหญิงตอนนี้อยู่ไหน    บอกใบ้ว่าใกล้ๆตัวเรานี่เอง
( คำนี้ได้มาจากเบาะแสที่ทิ้งไว้กับเจ้าตัว  Worm นี้เลยครับ )

ในความคิดผมเองผมว่า เก่งแล้วควรจะเก่งในทางที่ดี ทางสร้างสรรค์ดีกว่านะครับ
ตอนนี้ข้อมูลในเครื่องของใครหลายๆคน หายเกลี้ยง กันไปแล้ว ยิ่งงานที่ทำมานานเป็นปีๆงานวิทยานิพนธ์   หายหมดครับ  กฎหมายน่าจะดูแลตรงนี้หน่อยก็ดีนะครับ  เมื่อก่อนผมก็เป็นคนนึงที่อยากจะสร้างไวรัส มันเท่  มันแน่  อีกอย่างคือมันส์ดี  แต่พอโตขึ้น  ผมเริ่มพอจะคิดได้ว่า ถ้าเราโดนไวรัสจากคนอื่นบ้างหล่ะ  แล้วข้อมูลที่เรารักนักหนา หายหมด  เครื่องเจ๊งบ๊ง  ถ้าเราทำในสิ่งที่ช่วยเหลือคนอื่นไม่ดีกว่าหรือ ?  ยิ่งพอเห็นคนเดือดร้อนเยอะ ยิ่งน่าเห็นใจครับ

วิธีที่ผมใช้ป้องกัน

ใครจะนำไปใช้ก็ไม่สงวนอะไรเลยครับ
ผมมักจะแบ่งพาร์ติชั่น แยก ระหว่าง Windows กับข้อมูลไว้คนละที่กัน
c:  10 - 20 GB  system เพียวๆ
d:  ที่เหลือ GB    Program Files, ข้อมูล ต่างๆ

แล้วก็เซ็ต Mydocument ให้อ้างอิงไปเก็บยัง Drive D:

แล้ว
1. Ghost Image ไดรฟ์  C เก็บไว้ ใน  D:  จะได้พื้นที่เล็กๆ  เราสามารถสำรองได้หลายๆครั้ง หลายๆครา
2. ใช้ โปรแกรม DeepFreeze  หรือ Recovery Genius   ป้องกันไดรฟ์ C :  ไว้  

ข้อเสียวิธีนี้คือ   เมื่อรีเซตเครื่อง   ข้อมูลใน Drive C  จะกลับมาเหมือนเดิมทุกครั้ง  จึงไม่สามารถ Save ไฟล์ได้เลย เพราะจะหายทุกครั้งที่ Boot เครื่องใหม่
ข้อดีคือ     กันไวรัส  ได้ดี   เพราะไวรัสส่วนใหญ่จะจู่โจมและฝังตัวใน ระบบ ซึ่งอยู่ใน Drive C เสมอ พอรีเซตปั๊บไวรัสก็หายแล้ว

แล้วก็จะมีคำถามว่า  แล้วไวรัสที่ติดไปกับ FlashDrive หละ  ไดรฟ์ D หละ   มันยังอยู่ครับ  แต่จัดการง่ายมาก
แค่แสดงตัวมันออกมาแล้วลบทิ้ง ก็เกลี้ยงกรึบ (ภาษาใต้) แล้วครับ ที่หนักๆจะอยู่ที่ ไดรฟ์ C : ครับ

วิธีนี้เป็นวิธีที่ผมว่า  OK  สุดๆ แล้วสำหรับผม   และอย่าลืม สำรองข้อมูลสำคัญของคุณไว้ใน CD  หรือ DVD เสมอนะครับ
หากใครจะสอบถามแบบละเอียด  ลองเมลล์มาถามดูครับ  หรือ ฝากคำถามไว้ที่เวบเลยก็ได้ครับ  ผมยินดีมาก

ยังไงหากใครโดน กรุณาแจ้งข้อมูล หรือ bug โปรแกรม ข้อผิดพลาดต่างๆ  จะเป้นพระคุณอย่างสูง อย่างยิ่ง เพื่อเป้นแนวทางในการพัฒนาในอนาคตครับ

ดาวโหลด

• App.Name : 1Byte{NoVWM}SKULLFixTools

• Version    : 3.00 Final Fixed

• Size          : 751 KB

• Type         : Self Executable

• Released : 16 April 2007

โปรแกรมนี้ใช้งานยังไง ?

• ต้อง Run บน SafeMode ครับ เพราะ ผมยังไม่ได้ฝังไว้ใน Registry เลยก่อนเริ่มระบบครับ   การเข้า SafeMode  ให้ Restart เครื่อง  แล้วกด F8 ย้ำๆ   จนคีย์บอร์ดพัง จึงจะเข้าได้  (ล้อเล่ง)  บางเครื่อง กด F8 แล้ว เป็นการเข้า Boot Menu ก็ให้เลือก Boot จาก harddisk ก่อนแล้ว แล้วกด F8 ย้ำๆอีกครั้ง จากนั้นจะขึ้นหน้าต่าง ดำๆขาวๆ ให้เลือก safemode ครับ อยุ่บนสุดเลย จากนั้นมันก็จะขึ้น ข้อความที่เราอ่านไม่รู้เรื่อง.ยาวๆ  ให้รอครับ รอสักพัก ก็จะมีลูกศร cursor ขึ้นมา มี Pop up เกี่ยวกับ System Restore  ให้ตอบ yes ครับ
• จากนั้นก้อให้เปิดไฟล์ที่ดาวโหลดมา  แล้วโปรแกรมจะทำงานเอง เสร็จแล้วโปรแกรมจะสั่งให้ Reset เครื่องเองครับ  แล้วก้อจะใช้งานได้ปกติครับ ไม่ต้อง เข้า SafeMode แล้ว

• หากใครที่ใช้ FixTools เดิมไปแล้วให้ดาวโหลดตัวนี้ไปจัดการอีกทีครับ

• โปรแกรมนี้ ไม่ต้อง extract หรือ แตกซิบครับ  ดับเบิลคลิกเลย  โปรแกรมจะทำงานเอง เพราะเป็น EXE อยู่แล้วครับ
   

• 
   

ได้ผลยังไงบ้าง โปรดแสดงความคิดเห็นด้วยนะครับ ขอบคุณคร๊าบ