WORM_RONTKBR.GEN
ประเภทของไวรัส : Worm
ชื่อที่ใช้เรียก: W32/Brontok-Gen, Win32/Robzips!
ระบบปฏิบัติการ: Windows 95, 98, ME, NT, 2000, XP, Server 2003
ระดับความเสี่ยงโดยรวม: High
คำอธิบาย:
เป็น malware ในตระกูลเดียวกับ WORM_RONTOKBRO และ WORM_BRONTOK
มันสามารถแพร่กระจายไปยังเครื่องอื่นๆ ได้โดยทำการส่ง e-mail ผ่านโปรโตคอล SMTP ได้ด้วยตัวเองโดยไม่ต้องพึ่งโปรแกรมส่ง e-mail (เช่น Outlook Express)
นอกจากนี้ไวรัส WORM_RONTKBR.GEN ยังทำการสร้างโฟลเดอร์ขึ้นมาเอง และยังทำให้โปรแกรม Registry Editor, และ Task Manager ไม่สามารถทำงานได้
ค้นพบครั้งแรกเมื่อ : Sep 28, 2005
ลักษณะอาการ
- ไวรัสจะสร้างไฟล์ .exe และโฟลเดอร์ขี้นมาเองเป็นจำนวนมาก โดยนำชื่อไฟล์ที่มีในเครื่องมาสร้างเป็นชื่อไฟล์
- บางครั้งอาจ restart เครื่องเอง
- ไม่สามารถเข้าโปรแกรม Registry Editor และ Task Manager ได้
เครื่องมือกำจัดไวรัส (fixtool)
การกำจัดไวรัสแบบ manual
บางครั้งการกำจัดไวรัสด้วย fixtool ดังที่กล่าวมาอาจไม่สามารถล้างไวรัสออกได้ทั้งหมด เนื่องจากไวรัสฝังการทำงานใน registry ของ Windows ท่านสามารถดำเนินการต่อไปนี้เพื่อหยุดการทำงานของไวรัสและกำจัดมันออกไป
ปิดโปรเซสของไวรัส
ปกติการการปิดโปรเซสของไวรัส จะทำได้โดยผ่านโปรแกรม Task Manager แต่เนื่องจากมันได้ถูกไวรัสทำลายไปแล้ว ดังนั้นท่านต้องหาโปรแกรมอื่นเพื่อนำมาเปิดดูโปรเซสที่รันอยู่ และทำการปิดโปรเซสที่เป็นโปรเซสของไวรัส โดยทำตามขั้นตอนดังนี้
- ดาวน์โหลดโปรแกรม Process Explorer.
- unzip ไฟล์ที่ดาวน์โหลดมา
- รันไฟล์ procexp.exe
 ProcessExplorerNt.zip (1.42 MB)
- โปรแกรม Process Explorer จะทำงานและแสดงโปรเซสทั้งหมดที่รันอยู่ และจะตรวจจับโปรเซสที่เป็น malware
- คลิ๊กขวาชื่อโปรเซสที่ตรวจจับได้และเลือก Kill Process
- ลบโปรเซสที่ตรวจจับว่าเป็น malware ที่เหลืออื่นๆ ออกให้หมด
- ปิดโปรแกรม Process Explorer.
ทำให้โปรแกรม Registry Editor สามารถเรียกใช้งานได้
ไวรัสชนิดนี้จะปิดการทำงานของโปรแกรม Registry Editor เพื่อที่จะให้มันทำงานได้อีกครั้ง ให้ทำตามขั้นตอนดังนี้:
- เปิดโปรแกรม text editor เช่น NOTEPAD แล้วก็อบปี้ข้อความต่อไปนี้ไปวาง :
REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System]"DisableRegistryTools"=-[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ CurrentVersion\Policies\System]"DisableRegistryTools"=- - บันทึกเป็นชื่อไฟล์อะไรก็ได้ให้มีนามสกุลเป็น *.REG
- ปิดโปรแกรม NOTEPAD
- ดับเบิ้ลคลิ๊กไฟล์ *.REG ที่บันทึกไว้ตามข้อ 2. เพื่อแก้ไข Registry ให้รันโปรแกรม Registry Editor ได้
ลบไวรัสออกจาก Registry ของ Windows
- รีสตาร์ทคอมพิวเตอร์เพื่อเข้า Safe mode
- ปิดการทำงานของ System Restore
- เข้าโปรแกรม Registry Editor โดยคลิ๊กที่ Start>Run พิมพ์ REGEDIT แล้วกด Enter
- กรอบด้านซ้ายมือดับเบิ้ลคลิ๊กเข้าไปที่:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run - กรอบด้านขวามือมองหาชื่อ path และ ชื่อไฟล์ที่เป็นโปรแกรมของไวรัส และทำการลบออก
- กรอบด้านซ้ายมือดับเบิ้ลคลิ๊กเข้าไปที่:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run - กรอบด้านขวามือมองหาชื่อ path และ ชื่อไฟล์ที่เป็นโปรแกรมของไวรัส และทำการลบออก.
- ปิดโปรแกรม Registry Editor
| ![[ MK-JOB ] ตลาดงานออนไลน์](images/default/mk-job.png)
