วันนี้เปิดเว็บที่เขียนบน Localhost แล้วมีการเรียกเว็บแปลกๆ มันวิ่งตรงไปที่ jL.chura.pl เลย ผมสังเกตุเห็นบน status bar เห็นว่าแปลกๆ ก็เลยไปลองไล่ code ดู ปรากฏว่า มี code iframe วิ่งตรงไปที่นี่เลย http://jL.chura.pl/rc ซึ่งผม ลอง Search ดู เว็บ chura.pl เป็นที่แพร่ไว้รัส Bloodhound.Exploit.196 เลยเข้าใจแล้วว่า เราโดนไวรัสเข้าไปแล้ว

พอเปิดไฟล์ Hosts คุณก็จะเจอ

127.0.0.1 jL.chura.pl
#

นั่นก็ยืนยันความรู้สึกของตัวเอง ยิ่งดูอาการอ้างอิงตามเอกสารของ ThreatExpert แล้วยิ่งมั่นใจ ในเอกสารบอกว่าไวรัสตัวนี้ชื่อ W32.Virut.CF

ไวรัสตัวนี้จัดได้ว่าร้ายจริงๆ เพราะเข้าไปแก้ไขไฟล์ของเรา เข้าไปครอบงำ exe และ dll อาจจะก่อให้เกิดความเสียหายของข้อมูล (ก็ Inject พวก html , htm , asp ,php file ของเรา) ด้วยอีกต่างหาก (โดนตัวนี้จะทำให้ Shutdown ไม่ค่อยลงด้วย shell open command ก็เสีย)

เมื่อรู้ตัวแล้วว่าติดไวรัส ก็ต้องพยายามแก้ไขกัน โดยเอาตัวแก้ virus ที่ Norton ที่ใช้แก้  Win32.Virut  FixVirut  มา แต่เมื่อไป Scan ใน Safe Mode แล้ว กลับไม่เจออะไร !!! เลยไป Search ใหม่ เลยทำให้รู้ว่า ตัวนี้เป็นอีกตัวนึง ออกมาไม่ถึงเดือน คนเขียนคนเดียวกันกะ Virut แต่ ตัวนี้ชื่อ Vitro แรงพอกัน ถ้าโดนตัวนี้เข้าไป โดยส่วนใหญ่ จะให้ลงใหม่ โดย ห้าม backup พวก exe , com , scr ซึ่ง มันจะเล่นงาน exe ไฟล์ driver file (เลยเข้าใจเลยว่าตอนแรกลง windows ใหม่ก็ไม่หาย เพราะว่ามันติดอยู่กะตัว Driver นั่นเอง)

ซึ่งที่ผมอ่านมามันอยู่ที่นี่ http://forums.g4tv.com/showthread.php?p=2044567 ขอโพสคำเค้าไว้หน่อยดีกว่า

Vitro is a very new virus, just out about a month, It infects drivers, screensavers and exe files
It was not coded by an amateur, but by the same person who wrote the virut series . It is polymorphic, (meaning it can change its name and location when you reboot) and really a nasty one to deal with since it infects and alters core windows files at the kernel level through ntdll.dll .
The problem is that the majoriy of infected files are Windows executables and after the AV has executed and deleted infected files the computer will not run; meaning you may need to do a repair install

Pete C

สำหรับตัวแก้ ที่ใช้งานได้จริงๆ ก็จะเป็น rmvirut.exe ของ AVG (เริ่มรัก AVG เข้าให้แล้ว เพราะหามาสองสามวันแล้ว) ตัวนี้ ก็สั่ง run (มี parameter การค้นหาด้วย แต่ถ้าไม่ใส่ก็ scan หาทั้ง Computer เลย) ตัวโปรแกรมจะไม่ scan เลย ต้อง reboot แล้ว โปรแกรมจะ scan ให้ก่อนเข้า windows Fix Program ที่ติดไวรัสกันเห็นๆ สบายใจได้ครับ

หลังจากนั้น ผมก็ต้องทำการ ลบ บรรทัด 127.0.0.1 jL.chura.pl ใน File Hosts ออก

เนื่องจาก ไฟล์ผมเป็น Web Application ผมเลยต้องมา Search and Replace เอา iframe อันนั้นออกเสียก่อน

การตรวจสอบว่าหายแล้ว

สำหรับการตรวจสอบว่าไวรัสได้จากไปหรือยังของผมก็เขียน html ไฟล์ขึ้นมาอันนึงมี tag body เปิด ปิด ถ้า ปิดไฟล์ไปแล้วเปิดมาไม่โดนเติม iFrame ก็โอเคแล้วครับ

แต่หลังจาก Fix ด้วย rmvirut.exe ไปแล้ว โปรแกรมบางตัวก็ยังคงเสียหายอยู่ ผมก็เลยคิดว่าคงต้องลงใหม่ แต่ก็ทำให้มั่นใจว่า เครื่องไม่มีไวรัสตัวนี้อยู่แล้ว พอเบาใจแล้วค่อยลง windows ใหม่ ก็ไม่เสียหลายครับ

ขอให้โชคดีครับ มีปัญหาแบบเดียวกัน ลองสอบถามมาได้ครับ