เพราะไวรัส เป็นการแพร่กระจายแบบ ติดเชื้อไปยังไฟล์ต่างๆ  แต่ไฟล์นั้นก็ยังใช้งานได้  เพียงแต่มีไวรัสแฝง ไปด้วย แต่ worm เป็นไฟล์wormเพียวๆ    ไม่ได้แฝง หรือ เกาะไปกับไฟล์ใด ๆ   มันเป็นตัวของมันเอง   ไม่ได้เกาะแกะกับใคร

Worm ตัวนี้ทำงานยังไงบ้าง ?

อาการที่เห็นชัดๆ เมื่อไฟล์โดนทำลายแล้ว

เนื่องจากไฟล์ระบบเสียหาย ดังนั้น Windows  ร้องขอแผ่น CD WINDOWS XP  เพื่อติดตั้ง ใหม่  ขึ้นมาเรื่อยๆจนไม่ต้องทำอะไรเลยครับ 

• คลิกขวาที่ไดรฟ์ แล้วมีตัวหนาเป็นคำว่า Auto 
• เนื่องจากคล้ายๆกับ Godzilla และ Hacked by 1 byte เปลี่ยน IE Title เป็น Hacked by 1 byte { No Virus No work No money }
• มีการลบไฟล์ระบบ เหล่านี้ทิ้ง แล้วแทนที่ด้วยตัวWormทั้งหมด winlogon.exe  csrss.exe cmd.exe smss.exe regedit.exe msconfig.exe taskmgr.exe rstui.exe lsass.exe 
• เนื่องจากWormไปแทนที่ไฟล์ระบบแล้วดังนั้น จึงใช้ Task Manager ไม่ได้    Registry Editer ไม่ได้  Msconfig  ไม่ได้ เปิด command prompt  SystemRestore ไม่ได้
• winlogon  csrss srmss.exe เป็นไฟล์ที่ระบบต้องใช้ทุกครั้ง ตอนเริ่มต้น windows ดังนั้นไวรัส ไม่จำเป็นต้องไปสร้าง register เพื่อ run ตัวเองตอนเปิดเครื่อง
• ขั้นสุดท้ายจะเป็น หัวกะโหลก ให้ดูเพื่อความสะใจ และแล้วข้อมูลที่เคยมีก็อันตระทาน(เขียนถูกป่าว ..?)หายไป

       ไฟล์ที่จะติดไปกับ Flash Drive มีอะไรบ้าง ?

•  แน่นอน autorun.inf  แต่จะงงนิดๆ  พอเปิดดูเข้าไป  กลับไม่มีข้อความใดๆ ในไฟล์เลย   เพราะเจ้าไฟล์นี่แหละครับ ที่จะทำให้มี คำว่า auto  ตอนคลิกขวาที่ไดรฟ์  และWorm ได้ใช้ ไฟล์ระบบ ในการ รันตัวเองบน Registry แล้ว  จึงไม่ต้องใช้  โปรเซส wscript.exe แต่อย่างใด
• winlogon.exe  นี่เป็นWormครับ

การลบ Worm ที่ติดไปกับ Flash Drive

• ต้องใช้กับเครื่องปกติ เพียวๆ ที่ไม่โดน Virus หรือ Worm
• แสดงไฟล์ System ไปที่ Tools->  Folder Options ->Tab View ->เลือก  Show Hidden File and Folder และเอากาถูก หน้า Hide Protected Operating System..... ออก  แต่ถ้าขี้เกียจทำหรือ ทำไม่ถูก ผมได้ทำเครื่องมือแสดงไฟล์ไว้แล้วครับ ดูที่นี่ครับ  http://gotoknow.org/blog/president/87671
• ไฟล์ Worm ก็จะแสดงออกมา  ให้ลบไฟล์  autorun.inf   และ  winlogon.exe  หรือ handydriver.exe  ออก โดย Shift+Del ไปเลยก็ได้

เมื่อโดนหัวกะโหลกแล้วชะตากรรมคอมพิวเตอร์ของคุณจะเป็นอย่างไร

 จากที่ผมได้ศึกษาจาก HDD ที่เสียท่าให้กับเจ้า Worm ตัวนี้โดยสุดท้ายเป็นรูปหัวกะโหลกนั้น ตอนนี้ก็ได้รวบรวมข้อมูลจากผู้เสียหายหลายท่าน
ผลปรากฎออกมาแบบน่าเสียใจดังนี้
1.เครื่องคอมพิวเตอร์ไม่สามารถ Boot เข้าสู่ Windows ได้ จะปรากฎเป็นหน้าจอมืดๆ หรือเครื่อง Restart ไม่ยอมหยุด
2.เข้า SafeMode ไม่ได้  จะแก้ไขอะไรก็ไม่ได้
3.ข้อมูลทุกไดรฟ์ที่ไม่ใช่ไดรฟ์  C :  จะโดนลบหายเกลี้ยง แม้กระทั่ง Map Network Drive (อ้างอิงจากคุณ com07) หากมี Map Drive เจ้า Worm ตัวนี้ก็จะเข้าไปในเครื่องอื่นๆ ในระบบLan ด้วย  หลังโดนหัวกะโหลกข้อมูลจะหายคงเหลือไว้เพียงเจ้า Worm ตัวแสบไว้ให้เห็นต่างหน้า

  วิธีการแก้ไขหลังโดนหัวกะโหลกที่น่าจะทำได้คือ

ทำใจก่อนแล้วลองทำครับ
1.ใช้โปรแกรม Rocovery  HDD ดูครับเผื่อช่วยได้บ้างซึ่งมีหลายโปรแกรมเลยทีเดียว หากได้ข้อมูลแล้วก็ Backup ไว้ทันที
2.ลง Windows ใหม่ใน Drive C: ง่ายสุด  เพราะผมดูไฟล์ที่เสียหายแล้ว  ลงใหม่ง่ายกว่าครับ

3.แนะนำโปรแกรม Rocovery ครับ ตอนนี้กำลังศึกษามาแล้วครับ

 คลิกที่นี่เพื่อไปยังบทความ การกู้คืนข้อมูล จาก HDD และ Flashdrive

• GetDataBack 3.04 http://gotoknow.org/blog/SoftwareTechnics/91911

หรือโปรแกรมอื่นๆ  ลองหาดูนะครับ

• VirtualLab Data Recovery 4.7.3 

• Easy Recovery