[G] มันมาได้ไงเนี้ย?? โทรจัน Win32/Wigon.LC trojan (Rncsys32.exe)
มันมาตอนไหนหว๋า??
มาวันนี้ (16 มิถุนายน 2552) ก็เปิดเนตเชคเมลตามปกติ แต่สิ่งที่น่าแปลกใจอย่างที่ไม่เป็นมาก่อน คือ ผมเห็นรายชื่อโปรเซสใน Task Manage มีโปรเซสที่ชื่อว่า Warinya.exe (ผมไม่ได้เซฟภาพมาให้ดูนะครับ แบบว่าลืมสนิทใจ) ซึ่งเป็นตัวที่ไม่เคยเห็นมาก่อน เพราะปกติผมก็เปิดดูรายชื่อโปรเซสเป็นประจำอยู่แล้วดังนั้นผมจึงรู้ได้ทันทีว่าโปรเซสตัวไหนแปลกปลอมเข้ามา โดยที่…ตอนนั้นผมก็ไม่ได้เสียบแฟลชไดร์ฟ หรือทำอะไรผิดปกติ อย่างมากก็แค่เปิด Windows Live Messanger, Firefox, Outlook แค่ 3 โปรแกรมเพียงเท่านี้ พอเห็นเท่านั้นคิดว่าคงโดนเข้าให้แล้ว…งานเข้าอีกแล้ว : (
.
ข้อมูลจำเพาะ
ชื่อไฟล์ : Rncsys32.exe
ชื่อโทรจัน : Win32/Wigon.LC trojan
ประเภท : EXE – Rncsys32.exe is a executable file
ความร้ายแรง : ปานกลาง
ค้นพบ : มิถุนายน 2009
การติดเชื้อ : ยังไม่ทราบสาเหตุ
.
อาการและวิธีแก้ไข
ผมได้ค้นหาข้อมูลสรุปจากหลายๆ เว็บก็ไม่ค่อยรู้อะไรเกี่ยวกับตัวมันมากนัก รู้เป็นเพียงข้อมูลเบื้องต้นระดับพื้นๆ ว่าไอ้ตัวที่ผมเจอมันเป็นโทรจัน ความร้ายแรงระดับปานกลาง เท่าที่ได้สังเกตดูนั้นจะมีไฟล์ (.exe) ที่เป็นชื่อยูสเซอร์ที่ล๊อกอินเข้ามาในระบบ ณ ตอนนั้น โดยจะมีตัวไฟล์อยู่ที่ “C:\Documents and Settings\ชื่อผู้ใช้” โดยที่ผมเจอในครั้งนี้เป็น C:\Documents and Settings\Warinya\Warinya.exe เจอแล้วก็ลบโดยไม่ต้องสงสัย และในขณะที่โทรจันกำลังทำงานนั้นจะมี Error ฟ้องต่างๆ (ขออภัยไม่มีภาพประกอบ เพราะลืมเซฟภาพมาให้ดูครับ) ว่าระบบทำงานผิดพลาดอย่างนู้นอย่างงี้
และที่โฟลเดอร์ Startup (C:\Documents and Settings\[username]\Start Menu\Programs\Startup\rncsys32.exe) จะมีไฟล์อีกตัว ซึ่งน่าจะเป็นไฟล์ต้นเหตุของเรื่องทั้งหมดอยู่ที่นี้ด้วย ผมก็ไม่รอช้าก็เลยรีบลบไฟล์ตัวนี้ออกไปเช่นกัน
เจอไฟล์แล้วก็ลบออกไปตามระเบียบ
และเพื่อความรอบคอบ ผมได้ใช้โปรแกรม HijackThis สแกนหาไฟล์ที่คิดว่าเป็นตัวต้นเหตุ ปรากฏว่าเจอตัวที่คิดว่าน่าจะเป็นตัวปัญหาอยู่ 3 ตัวด้วยกัน จากนั้นก็ติ๊กทั้ง 3 ตัวไว้ แล้วกดปุ่ม Fix checked ทันที เพราะถ้าเราไม่ลบในขั้นตอนนี้จะทำให้โทรจันทำงานได้อีกครั้งตอนที่บูตเครื่องเข้ามา
กด Fix checked ไปเลย !!
ก็มีเท่านี้ล่ะครับ ถ้าทำตามนี้ได้ก็คงปลอดภัยแระ ถ้าใครเจออย่างผมก็ไม่ต้องตกใจนะครับค่อยๆ ทำตามผมก็ได้ อย่าตื่นเต้นมากจะเผลอไปดับเบิ้ลคลิกไฟล์ดังกล่าวก็แล้วกัน เดี๋ยวจะทำให้ปวดสมองไปกันใหญ่ 555… และถ้ามีอะไรอัปเดตผมจะมาบอกอีกทีครับ
ข้อมูลอ้างอิง : http://www.virusremovalguru.com/?p=2841
.
.
