Achitasin vbs Browser Hijack

posted on 28 Feb 2007 21:23 by yium  in Antivirus, Computer
ได้ข้อมูลดีๆมาจากการช่างสังเกตของเพื่อน และคำบอกเล่าจากหลายๆท่าน

ที่ใน IE บนหัวแทนที่จะขึ้นว่า Internet Explorer แต่กลับไปขึ้นเป็น Achi หรือ Hello world VB แทน

ถ้าเครื่องนั้นๆติดไวรัส Godzilla+Moozilla[Butsur.A,B] อยู่อาการของไวรัสคือ
จะต้องคลิ๊กขวาเพื่อเปิดไดร์ฟ ซึ่งไวรัสใช้ Handdy Drive ในการแพร่กระจายไวรัส
ถ้าไม่ใช่ตัวนี้ก็จะเป็นชื่อ Rundll64.dll.vbs ครับ คือ2ตัวนี้เป็นญาติกันอ่ะครับ

ต่อไปมาเข้าเรื่อง VB ที่กำลังระบาดอยู่ในขณะนี้ มาดูการทำงานของมันกัน

1. วิธีการแก้ไขด้วยตนเอง

แล้วดังนั้น เปิดดู Hidden File ทั้งหมด โดยเปิดหน้าต่างขึ้นมา 1 หน้าต่าง
แล้วไปที่ Tool > Floder option > เลือก tab view
> Show hidden file and Folder > แล้วเอาเครื่องหมายถูกออกตามภาพครับ



พยายามลบมันออกไปอย่างเร่งด่วน
มันจะมีทั้งไฟล์ achi.dll.vbs หรือ "computername".dll.vbs
computername ที่มหาลัย ชื่อ 901_XX อ่ะนะ


นี่คือรูปที่จับมาได้ว่ามันก๊อบตัว VB ของมันลงที่ Handy Drive ของผม
ส่วนไฟล์ HTML คือไฟล์ที่เอาไว้แสดงผลว่า "อชิ(อะไรซักอย่าง)สุดหหล่อ"

Edit เพิ่มเติมนะครับ ได้ข้อมูลมาเพิ่ม
ก่อนทำการลบไฟล์ *.dll.vbs ใดๆ ให้ทำการ Kill Proccess
"Wscript.exe" ไปก่อน โดยการเข้าทีั่ Task Manager
(Ctrl+Alt+Del หรือ คลิ๊กขวาที่ Task Bar แล้วเลือกที่ Task Manager ครับ)
เมื่อ Kill หรือ End Process ชื่อ Wscript.exe นี้ไป
จะเป็นการหยุดการคัดลอกตัวไฟล์ไวรัสลง

ถ้าจะลบตัว VB ได้คือควรจะมีโปรแกรมชื่อUnlocker
เพื่อที่จะได้ว่า Kill Process "Wscript.exe" ของ VB ตัวนี้ได้
แต่ถ้าไม่มีแล้ว Kill Process ใน Task Manager ก็ได้เหมือนกันครับ




โค้ดการทำงานบางส่วนของมันจะเห็นว่าเป็นกาฝาก

วิธีเข้าไปแก้ Regitry โดย เข้าไปที่ Start > Run > พิมพ์ regedit เท่านี้ล่ะครับ


จากนั้นเราก็เข้าไปแก้ใช้ค่า Registry ดังนี้ครับ

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL
",xpway&"\achi.dll.vbs <<ไว้รันตัวมันเอง และแพร่กระจายไปเครื่องอื่น
อันนี้เจอแล้วลบไปเลยไม่ต้องแก้

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
","Achitasin&MindMap <<อันนี้คือที่มันไปเปลี่ยน Title ของ IE
อันนี้แก้จาก Achitasin&MindMap ->> Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
","C:\achi.htm << ไว้รันหน้าที่ว่า "อชิตสิน สุดหล่อ" ประมาณนั้น
อันนี้แก้จาก C:\achi.htm ->> about:blank หรือ url Home Page ที่ต้องการ

สรุปแล้วคือ ต้องลบไฟล์ของตัวมันให้หมด แล้วเข้าไปแก้ REG ให้เป็นปรกติแล้วรีเครื่องใหม่

Edit 23/03/2007
2.แก้ไขโดยใช้ Tool ของ NOD32
เพิ่งสังเกตว่า Nod32 Cleaner Tool มีหลายอัน เลยแนะนำอันนี้
NOD32 Registry Recovery Tool
ไอ้ตัวนี้จะแก้ปัญหาที่ไวรัสไปแก้ค่าต่างๆไว้เกือบทั้งหมด (ที่ดังๆ) อย่างAuto Run หรือ Title Bar ของ IE ตัวนี้ก็จะเรียกค่ากลับคืนมาให้ทั้งหมดคับ แล้วก็มีอีกอัน คือ
NOD32 VBS Autorun[Small.K] Fix + NOD32_Godzilla+Moozilla[Butsur.A,B]-Fix +  NOD32 VBS[Butsur.D]-Fix
หวังว่าคงจะเป็นประโยชน์ให้กับหลายๆท่าน แล้วถ้าใครติดไวรัสอะไรอื่นๆอีก
ลองเข้าไปดูรายละเอียดที่เว็บของ NOD32 ได้นะครับ ^^



3.วิธีแก้ไข จาก ThaiCERT
อ่านเพิ่มเติมจาก เว็บ Thaicert แล้วไปที่หัวข้อVBS.Solow (Rundll64.dll.vbs หรือ Hello World I am VB) เป็นไฟล์ PDF นะครับ
รายละเอียดอ่านข้างในแล้วจะเข้าใจเลย แต่ถ้าขี้เกียจอ่านผมก็จะก๊อบมาให้ครับ
1. ดาวโหลดโปรแกรมกำจัดไวรัสของ ThaiCERT แล้วติดตั้งให้เรียบร้อย
2. ดาวโหลดแพทอัพเดทของโปรแกรม แล้วติดตั้ง
3. กดสแกน แล้วลบทิ้งออกไปทั้งหมด
4. หลังจากนั้นต้องซ่อมแซมค่า รีจิสทรี ที่เสียหาย อันนี้ก็มีให้โหลดเช่นกันครับ



4.แก้ไขด้วยโปรแกรมของไทย ไทยทำ

CPE17 Autorun Killer (AntiAutorun) ทั้งแก้และป้องกันปัญหาในอนาคต
สามารถดาว์โหลดได้จาก Thaiware.com
อ่ายรายละเอียดโปรแกรมได้จากเว็บไซต์ผู้พัฒนาโปรแกรม


5. วิธีแก้ไขโดยใช้ Tool จาก Trend Micro
 
โปรแกรมตัวนี้ไม่ได้แค่ฆ่าตัวนี้เท่านั้นน่ะ
แต่กำจัดทุกตัวที่ฐานข้อมูลมันมีเลยแหละ
ถ้าโหลดฐานข้อมูลล่าสุดมันมา ก็จะได้อันใหม่สุดแล้วล่ะ 
1. Download ตัวเรียกโปรแกรม ของ Trend Micro
2. Download ตัวฐานข้อมูลไวรัส (lptxxx.zip)
3. ถ้าคิดว่าไหนๆก็สแกนแล้วก็หา Spyware ไปในตัวก็อันนี้ด้วย(Optional)(ssapiptnxxx.zip)
 
เมื่อโหลดทั้ง 3 (หรือ2) มาแล้วก็แตกไฟล์ lptxxx ออกมาจาก zip ไฟล์
แล้วสร้าง โฟลเดอร์หนึ่งขึ้นมา นำไฟล์ทั้ง 3 (หรือ2) มารวมไว้ด้วยกัน
เสดแล้วหน้าตาจะประมาณนี้อ่ะ ดูคู่มือฉบับเต็มได้ที่นี่ครับ
จากนั้น รีสตาร์ทเครื่อง กด F8 ก่อนจะขึ้นจอบูตวินโดว์
(กดยิกๆนั้นแหละ)
แล้วเลือกแบบ Safe Mode พอเข้าไปแล้วขึ้นหน้าต่างถามมาให้กด Yes
 
แล้วเริ่มใช้งานในระบบ Safe Mode ได้
จากนั้นไปยังโฟลเดอร์ที่เรานำไลฟ์มารวมเอาไว้
แล้วเรียกใช้โปรแกรมผ่าน sysclean.com
แล้วจะมีหน้าจอดอสขึ้นมา เราก็รอมันแตกๆไฟล์ แล้วก็มาดูเป็นระยะๆ
เพราะโปรแกรมนี้ถ้าเจอไวรัสแล้วมันจะเด้งหน้าต่างให้เรากด OK
(เวอร์ชันแรกๆไม่มีอ่ะนะ)
 
พอสแกนเสดก็ รีสตาร์ทเครื่อง เราสู่ระบบปรกติ
ส่วนในกรณีที่มันเปลี่ยนชื่อ หัวของ Browser ไปด้วย
ให้ขึ้นไปแก้ไขตามขั้นตอนด้านบนคร้าบบ

 
 6. Tool จาก McAfee ชื่อ Stinger
 
เข้าไปโหลดจากหน้านี้เอาแล้วเลือก Stinger ที่ใหม่ที่สุดมาใช้
ตัวนี้ก็จะคล้ายๆของ TrendMicro แต่ไม่เป็น DOS แล้ว
ก็เรียกว่าน่าใช้กว่าล่ะมั้ง?
แต่ๆ ฐานข้อมูลไม่ค่อยได้อัพเดทเท่าไหร่
ไม่ก็อัพเดทช้า เรียกได้ว่าใส่แต่ข้อมูลไวรัสดังๆเท่านั้นเอง
 
พล่ามมานานไม่ได้ให้ลิงค์ซักที Stinger Releases


 

ของแถมที่เพิ่งไปเจอมา
ถ้ารู้ว่า ไวรัสมันทำงานอยู่ที่ Process ไหนแล้วล่ะก็
กด Kill Process ด้วยตัวเองเลยนะ
เข้าไปโหลดได้เลยของ Microsoft Process Explorerแต่ไม่เสียกะตังนะ

 
 
 
จริงๆแล้วตอนนี้ถ้าอัพเดทแอนตี้ไวรัสอย่างต่อเนื่อง ตัวโปรแกรมจะจับได้แล้วครับ

Loading image

Click anywhere to cancel

Image unavailable

 

 

Loading image

Click anywhere to cancel

Image unavailable

 

 

Loading image

Click anywhere to cancel

Image unavailable

 

 

Tags: achitasin, browser, fixed, hijacker, vbs, virus19 Comments

Comment



smilebig smileopen-mounthed smileconfused smilesad smileangry smiletonguequestionembarrassedsurprised smilewinkdouble winkcry

Tweet

โอ้ achi ตัวใหม่อีกแล้วหรือนี่
แหม ตั้งชื่อ อชิตสิน สุดหล่อ ด้วยนะเนี่ย

#1 By 丽丽 ~ ชิงช้าโบราณ on 2007-02-28 22:00

ไม่ได้มานานเลย มิสๆ นะค่า

.. เรียนตามตรง ไม่ค่อยรู้เรื่อง ไวรัสอะไรเท่าไหร่ รู้แต่ว่าถ้าเครื่องมันแปลก ๆก็ให้พี่มาลงใหม่ให้อ่า อิอิ .. แต่ก็ได้ความรู้ใหม่นะค่ะ เด่วจะลองไปดูที่เคร่องมั้งเผื่อเจ้าสุดหล่อมานจะแอบอยู่ อิอิ

#2 By *~อินู๋วีน~* on 2007-03-01 01:46

แง่มๆ เกลียดมานนนนนนนนน

ได้โปรด ขออย่าเจอะเจอกานเล้ยยย ฟิ้ววว~

อ่ายคนคิดนี้ มานก็โรคจิต จริงจริ้ง

#3 By VaNneSSa on 2007-03-01 08:09

มีวิธีแก้ไวรัส MS32.dll.vbs มั้ยครับ?

#4 By เทราสเฟียร์ เอล เซราฟีเตอร์ on 2007-03-01 11:18

น่าจะเหมือนๆกันนะครับ ถ้าเห็นตัวMS32.dll.vbs
แล้วเนี่ยลองคลิ๊กขวาแล้ว Open with Note Pad

เสร็จแล้วเลื่อนลงไปดูว่า มันเข้าไปแก้ค่า Reg ตรงไหนบ้าง เราก็เข้าไปแก้กลับคืนมาครับ

ปล.โปรแกรม Anti virus บางเจ้าเริ่มอัพเดทให้ตรวจจับ VBS พวกนี้ได้แล้วครับ

#5 By YiUM ชีวิตจริงไม่เหมือนฝัน on 2007-03-01 18:10

ขอบคุณมาก ๆ ครับที่มีคำแนะนำให้ด้วย พอดีช่วงนี้พ่อหมีซื้อแบบลายเส้น ของ NOD มาใว้ใช้แล้วครับเลยกันได้เยอะเลย ไม่รู้ว่ารู้กันรึเปล่าว่า NOD มีขายที่ ร้านซีเอ็ดด้วย ชุดละ 799 ครับ ลองเข้าไปดูนะครับ

ปล. ขอบคุณที่ไปทักทายกันครับ ทำให้พ่อหมีมีเพื่อนบ้านดี ๆ อีกหลังครับ

#6 By ปู่หมี on 2007-03-02 12:05

ไวรัสวายร้าย
thanks naja

#7 By " POOMOO " on 2007-03-03 00:39

เพิ่งเจอเลยค่ะ ตัวเนี้ยอ่ะ Achitasin&Mindmap เซ็งมาก ทั้งๆที่มันก็ไม่ได้รบกวนอะไรเท่าไหร่ แต่รำคาญ ของเราสังเกตมันมาจากเอารูปใส่แฮนดี้ไดร์ฟ ไปอัดที่ร้านรูป จากนั้นกลับมาก็ติดเลย เซ็งชะมัด เราก็งงๆกับมันด้วยอ่ะ ทำไม่เป็นเลย รอเพื่อนให้มาดูให้อยู่ค่ะ

#8 By เซ็งสุดๆ (58.9.199.57) on 2007-03-23 16:14

มันลบ ไฟล์ achi.dll.vbs ไม่ออกอ่ะ ทำไงอ่ะคับช่วยที

#9 By help me (61.91.163.13) on 2007-04-03 17:20

ต้องไปพยายามหาตัว achi.dll.vbs แล้วไป Kill Process ใน Task Manager เอาอ่ะครับ
แต่อย่างที่บอกคือ ถ้ามีโปรแกรม Unlock จะช่วยในเรื่องนี้ำได้ครับ

#10 By YiUM ชีวิตจริงไม่เหมือนฝัน on 2007-04-03 22:11

........โอ๊ย...โล่งอก...ไอ้..พวกปราสาท..แด....ก..อ้าย....วายร้าย
แห่งIT""จด่ามันยังงายดีว่ะ!!!!!!!@!
"""""""""""""""ขอบใจมาก..ที่ชี้แนะ
ขอให้เจ้าจงเจริญ........เทิน.อิอิอิอิอิ..ไปละ!!!!!!!!!!!!!!!!!!!!!!!!!

#11 By tajudjud@ (203.113.80.9) on 2007-04-07 08:43

ช่วยกรุณาเปลี่ยนback ground ได้ปะอ่านไม่ออกเลย

#12 By เอก (58.181.207.170) on 2007-05-08 09:00

เปิด Regis ของเครื่องยังไงอ่า กระจ่างหน่อย คับ

#13 By ไม่รุจิงๆอะ (124.120.29.77) on 2007-05-09 18:16

แล้วใครรู้จักไวรัส Fuck บ้างอ่ะ มีตัวแก้บ้างม่ะ ไม่รู้เป็นไง ไวรัสชอบเข้ามาในเครื่องจัง ม่ะได้เลี้ยงนะ ....ใครรู้บ้างบอกหน่อยนะ

#14 By น้อยหน่า (202.47.227.17 /202.47.227.17, 202.47.227.17) on 2007-05-30 10:40

มีตัวแก้ Fuck บ้างไหมค่ะ ใครรู้บอกหน่อยนะ

#15 By อุ๊ (202.47.227.17 /202.47.227.17, 202.47.227.17) on 2007-05-30 10:42

เล่าอาการทีครับผมยังไม่เคยเจอ

#16 By YiUM ชีวิตจริงไม่เหมือนฝัน on 2007-05-31 13:32

เจอมา เลยเอามาฝาก เผื่อมีประโยชน์ครับ
.......
Achitasin Removal
อธิบายทีละบรรทัดหล่ะกันนะครับ

TASKKILL /F /IM "Wscript.exe"
คำสั่งหยุดการทำงานของ Script Achitasin ที่กำลังทำงานอยู่ในเครื่อง

REG DELETE "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" /v "MS32DLL" /f
ลบ registry ที่สั่งให้เรียกใช้ตัว script เมื่อเปิดเครื่อง

REG DELETE "HKCU\\Software\\Microsoft\\Internet Explorer\\Main" /v "Window Title" /f
เอา window title ที่โดนเปลี่ยนออก

REG DELETE "HKCU\\Software\\Microsoft\\Internet Explorer\\Main" /v "Start Page" /f
เอาตัว home page ที่โดนเปลี่ยนออก

attrib %windir%\\achi.dll.vbs -a -s -h -r
del %windir%\\achi.dll.vbs
ลบตัว script ที่อยู่ใน directory window ออก

c:
cd\\
attrib achi.dll.vbs -a -s -h -r
del achi.dll.vbs
attrib autorun.inf -a -s -h -r
del autorun.inf
attrib achi.htm -a -s -h -r
del achi.htm
ลบ file script ที่อยู่ใน drive C
กรณีมี drive อื่นๆ อีกให้เปลี่ยน drive แล้ววนคำสั่งชุดนี้อีกรอบ

#17 By โนรา (58.181.145.220 /10.193.1.99, 10.192.6.1) on 2007-06-07 10:10

ขอบคุณครับสำหรับเนื้อหาเพิ่มเติม

#18 By YiUM ชีวิตจริงไม่เหมือนฝัน on 2007-07-23 19:14

โดนเข้าแล้ว.....

ที่ใน IE บนหัวแทนที่จะขึ้นว่า Internet Explorer แต่กลับไปขึ้นเป็น Achi หรือ Hello world VB แทน

บอกตามตรงตามวิธการข้างต้น...ทำไม่เป้นเลยอะ
ช่วยหน่อยซิ

#19 By ชัยยา (222.123.248.33) on 2008-07-10 18:55