Share Facebook LINE Twitter
หน้าแรก เว็บบอร์ด Chat ตรวจหวย ควิซ คำนวณ Pageราคาทองคำ
หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ติดต่อเว็บไซต์ลงโฆษณาลงข่าวประชาสัมพันธ์แจ้งเนื้อหาไม่เหมาะสมเงื่อนไขการให้บริการ
News บอร์ดต่างๆค้นหาตั้งกระทู้

ระวัง! ไวรัสFacebook ตัวใหม่อาละวาด!

โพสท์โดย Faithbook

ช้าก่อน! ใครเล่น Facebook ในคอม (Windows) ถ้าเห็นว่าใน Notification ขึ้นแจ้งว่ามีใครแท็กเรามาใน comment แบบนี้ อย่าเพิ่งคลิกนะ

ไวรัส Facebook ตัวใหม่ คลิกแล้วจะไปยังหน้าสีแดงๆมีรูป Mario (ถ้าเจอหน้านี้ก็คือโดนแล้ว) และจะโหลดไฟล์ไวรัสชื่อว่า Instalador_Cores.scr แอบติดตั้งในคอม มันเล่นแบบนี้แล้ว แฝงตัวได้เนียนมาก ส่วนใครใช้ Mac และ Linux รอดจ้าา

 

 
 
วิธีลบไวรัสเฟซบุ๊ก Instalador_Cores.scr โดย Beartai Hitech | แบไต๋ ไฮเทค
 
มีคนถามเข้ามาว่าติดเจ้าไวรัสเฟซบุ๊กตัวนี้แล้ว จะทำยังไงดี กรณีนี้คือเผลอไปคลิกลิ้ง ที่ขึ้นว่าเพื่อนแท็คมา ดาวโหลด Instalador_Cores.scr มาลงเรียบร้อย ถ้าใครโหลดมาแล้วยังไม่ได้ลง ก็น่าจะไม่ต้องห่วงอะไรนะครับ...
 
แอดมินพลีชีพตัวเอง ด้วยการ ลองรันเจ้าไวรัสตัวนี้เพื่อวิเคราะห์การทำงานและหาวิธีแก้ไขมาฝากครับ (รันบนเครื่องทดสอบวิเคราะห์มัลแวร์ และบัญชีเฟซบุ๊ก สำหรับใช้ในการทดสอบครับ)
 
ปกติผมก็ไม่ค่อยจะวิเคราะห์มัลแวร์ เพราะเพจนี้ชื่อสอนแฮกเว็บแบบแมว ๆ นะครับ (ฮาา) แต่บังเอินเห็นว่าใน virustotal.com มี anti-virus แค่ 1 ใน 50 กว่าตัวจับได้เลย มาเขียนเผื่อเป็นประโยชน์ต่อคนที่ติด นำวิธีไปแก้ไขครับ
 
[+] ข้อมูลเบื้องต้นจากการวิเคราะห์มัลแวร์
- ไฟล์ไวรัสชื่อ Instalador_Cores.scr ขนาด: 1.2 MB md5 checksum: 1c85b68b0cd731e8db116f9c86496ded
 
 
 
 
 
- ติดจากเว็บ http://facebook (dot) pinandwin8 (dot) co (dot) nz/cores-fb/
โดยอาการคือจะมีข้อความขึ้นเตือน notification ว่ามีเพื่อนในเฟซ แท็คเรา พอเราเผลอไปกดปุ๊บ จะเข้ามาหน้าเว็บแพร่เชื้อทันที ...
 
 
 
 
 
 
 
วิธีสังเกตคือชี้หรือ *กดแจ้งเตือนที่เพื่อนแท็คเราแล้วจะเข้าหน้าเว็บ pinnandwin8.. ทันที* ครับ แทนที่จะกดแล้วมาหน้าที่ขึ้นว่าโดนเพื่อนแท็คจริง ๆ จะเด้งไปเข้าหน้าเว็บจะหลอก ให้เราติดตั้งไวรัส โดยที่บอกว่าติดตั้งแล้วจะเปลี่ยนสีเฟซบุ๊กได้ (ซึ่งก็เปลี่ยนให้เราจริง ๆ เห็นเฉพาะเครื่องเราและแถมไวรัสให้ด้วย)
- ทำงานบน Windows เท่านั้น (OSX กับ Linux รอด)
- ทำงานบนเครื่องที่ติดตั้ง Google Chrome แล้วเท่านั้น
จริง!! ถ้าไม่มี chrome ติดตั้งอยู่ไวรัสจะไม่ทำงานครับ อยากรู้ว่าทำไมต้องอ่านต่อครับ ;]

[+] วิธีตรวจสอบว่าเครื่องเราติดไวรัสตัวนี้รึเปล่า

1. ถ้าเปิด Google Chrome มาแล้วเฟซบุ๊กเปลี่ยนจากสีน้ำเงินเป็นสีเขียว และมีไอคอน สีรุ้งกลม ๆ มีตัว f ข้างในโผล่ขึ้นมาข้าง ๆ แถบ url แบบนี
 
 
 
 
 
 
 
แสดงว่าโดนไปเรียบร้อยแล้วครับ ใครมาเห็นโดยผิวเผินอาจจะคิดว่าเจ้าไวรัสตัวนี้มันทำการติดตั้ง
ส่วนเสริมของ Google Chrome ให้เราแต่ทว่า... ถ้าเข้าไปดูใน แถบ Extension จะไม่พบสิ่งแปลกปลอมครับ
 
 
 
 
 
 
 
แล้วจะลบไงละทีนี้! ต้อง format เครื่องใหม่เลยไหม๊!!?

[+] วิเคราะห์มัลแวร์

ผมได้ทำการวิเคราะห์ การทำงานของไวรัสตัวนี้ดูในเชิงลึกและสังเกตดูว่าจริง ๆ แล้วมันทำอะไรกับเครื่องเรากันแน่ก็พบว่า... สิ่งที่เจ้ามัลแวร์ตัวนี้ทำมีคร่าว ๆ ดังนี้ แบบอธิบายเป็นภาษาคน! (ไม่อยากอ่านภาษาโค้ดกันใช่ไหมครับอิอิ)
1. รันปุ๊บจะเจอหน้าต่างนี้ก่อนให้เรากดติดตั้ง
 
 
 
 
 
 
 
 
 
 
2. จากนั้นถ้าเราคลิกติดตั้งมันจะเช็คว่าเรามี Google Chrome ทำงานอยู่รึเปล่า ถ้าไม่มีจบการทำงานถ้ามีไปต่อ...
3. ทำการปล่อยไฟล์ชื่อ “kut.zip” ลงในโฟลเดอร์ที่ไว้เก็บตัวอัพเดทของ Google Chrome และ แตกไฟล์เหล่านี้ ตามรูปข้างล่าง ลงในเครื่องอีกที จากนั้นลบ “kut.zip” ออกครับ
 
ขึ้นอยู่กับเวอร์ชั่นของ windows นะครับ Path ในรูปข้างบนคือ Windows XP จะอยู่ที่
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\Update\chrome\
ถ้าเป็น Windows Vista/ Windows 7/ Windows 8/ Windows 10 จะอยู่ที่
%LOCALAPPDATA%\Google\Chrome\Update\chrome\
 
สามารถก๊อปไปแปะใน run ของเครื่องหรือ windows explorer แล้ว enter เข้าไปได้เลยนะครับ ซึ่งไฟล์เหล่านี้คือ ส่วนที่จะเข้าไปแก้ไขเปลี่ยนแปลงหน้า Google Chrome ให้มีไอคอนตัว f กลม ๆ สีรุ้ง กับทำการแก้ไขหน้า html (ฝั่ง client) ให้มันเปลี่ยนสีให้เราและทำการแพร่เชื้อแท็คส่งไปบอกคนอื่น ๆ ที่เป็นเพื่อนของเราโดยเราไม่ได้ขอให้ติดตั้งไวรัสตัวนี้ครับ หลักการทำงานมันมีแค่นี้เองครับ so simple เป็น html + js + css เหมือนการเขียน Chrome Extension ธรรมดา ๆ นี้เอง
 
** โฟลเดอร์นี้ปกติมีอยู่แล้วถึงแค่ \Update\ จะไม่มีโฟลเดอร์ย่อยไปเป็น \chrome\ อันนี้ของไวรัสสร้างครับ
 
4. ทำการแก้ไข symlink ของ Google Chrome หรือที่คุ้น ๆ กันในชื่อ shortcut นั้นแหละครับ จำนวน 3 ที่คือ
C:\Documents and Settings\<user>\Desktop\Google Chrome.lnk
C:\Documents and Settings\<user>\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Documents and Settings\<user>\Start Menu\Programs\Google Chrome.lnk
อันนี้คือ Windows XP นะครับ ถ้า Windows 7 เป็นต้นไปจะอยู่ที่ C:\Users\<user>\... หรือใช้ฟังก์ชันค้นหาลองหาไฟล์ Google Chrome.lnk ดูก็ได้ครับ โดยการแก้ไขคือใส่ argument เพิ่มเข้าไปตอนเราเรียกใช้งาน Chrome ครับ ปกติเวลาเราดับเบิ้ลคลิกที่ ไอคอนคือ มันจะไปเรียก chrome.exe ในโฟลเดอร์ที่เราติดตั้งไว้แค่นั้น ซึ่งคนเขียนไวรัสตัวนี้เพิ่มเข้าไปว่า
--extensions-on-chrome-urls --test-type --load-component-extension="C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Update\chrome"
 
ซึ่งเป็นการบอกว่า เนี่ยน้า แทนที่จะเปิด chrome.exe เฉย ๆ ให้เปิดแล้วเรียก extension ที่อยู่ในข้อ 3. นั้นขึ้นมาด้วย .. ซึ่งเป็นคำตอบของคำถามว่าทำไม extension ถึงไม่ขึ้นใน list ปกติ เพราะว่ามันโหลดมาทำงานแบบวิธีไม่ปกตินั้นเองครับ
 
5. โบนัสฟีเจอร์ ถ้าลง Firefox ไว้มันจะทำการแก้ไข shortcut ให้ Firefox เราเข้าไม่ได้ครับ!! โดยมีทั้งลบออก (ใน start menu) หรือแก้ให้กลายเป็น Chrome shortcut แทน (บน Desktop) 555
สรุปสิ่งที่ไวรัสทำคือ ติดตั้ง Chrome Extension ที่แพร่เชื้อไวรัสต่อให้เราแบบปิดด้วยวิธีปกติในเมนู Extension ไม่ได้ โดยการทำงานหลัก ๆ ของมันคือ ใช้ JavaScript เข้าไปแอบสั่งการ Facebook ขณะที่เรากำลังเปิด Chrome อยู่ให้ส่งลิ้งแท็คเพื่อนเพื่อให้เข้าไปโหลด เจ้าไวรัสตัวนี้ให้ขยายแพร่กระจายไปเรื่อย ๆ ครับ
 
ความฉลาดของมันคือ ลูกเล่นเปลี่ยนสีเฟซบุ๊กดันใช้งานได้จริง ๆ เพื่อให้คนที่ติดไวรัส ไม่อยากลบตัวไวรัสนี้ออก หรือหลอกว่าตัวมันไม่ใช่ไวรัสครับ (แต่เห็นเฉพาะเครื่องเรานะครับ)
 
 
 
 
 
 

[+] วิธีแก้ไข

1. ปิดกาบาท ออกจากโปรแกรม Google Chrome ก่อนครับ
2. ลบไอคอน shortcut ของ Google Chrome ทิ้งให้หมดครับ (ใน start menu, desktop, quick launch)
 
 
 
 
 
 
 
 
 
 
3. ลบไฟล์ใน...Windows XP จะอยู่ที่
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\Update\chrome\ หรือส่วนมากก็คือ.. (อาจจะต้องเปิดไฟล์ซ่อนก่อน) C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Update\chrome\
 
 
ถ้าเป็น Windows Vista/ Windows 7/ Windows 8/ Windows 10 จะอยู่ที่
%LOCALAPPDATA%\Google\Chrome\Update\chrome\ หรือส่วนมากก็คือ.. (อาจจะต้องเปิดไฟล์ซ่อนก่อน) C:\Users\<user>\AppData\Local\Google\Chrome\Update\chrome\
เฉพาะเจ้าโฟลเดอร์ \chrome\ นะครับ ลบทิ้งให้หมด
 
4. จากนั้นเข้าไปที่
C:\Program Files\Google\Chrome\Application\chrome.exe
แล้วทำการสร้าง shortcut อันใหม่ครับ วิธีการสร้างจะคล้าย ๆ กันในเกือบทุก Windows ตั้งแต่ XP เป็นต้นไปครับ คือคลิกขวา แล้ว Send to > Desktop
 
 
เสร็จแล้วครับ ทีนี้ก็เข้าใช้งาน Google Chrome ผ่าน Shortcut อันใหม่ก็จะไม่มีเจ้าไวรัสตัวนี้แล้วครับผม
 
 
 
 
// สอนวิเคราะห์มัลแวร์แบบแมว ๆ
 
⚠ แจ้งเนื้อหาไม่เหมาะสม 
Faithbook's profile


โพสท์โดย: Faithbook
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
16 VOTES (4/5 จาก 4 คน)
VOTED: หุ่นเชิดสังหาร, เสียสติ, ถั่วเขียวต้มน้ำตาล
Hot Topic ที่น่าสนใจอื่นๆ
ทำนายดวงเมืองกลางปี 2568 หมอปลาย พรายกระซิบความลับป้ายเหลืองที่ร้านเซเว่น..ที่หลายคนไม่เคยรู้สวนคลองช่องนนทรีไม่ตอบโจทย์ ต้องการรถไฟฟ้าบีทีเอสเอ็กซ์ กุลพัทธ์ ผู้ประกาศตี๋ที่กำลังมาแรง เปิดวาร์ปโปรไฟล์แน่นญี่ปุ่นสั่งปิดแหล่งท่องเที่ยวดังแบบไม่มีกำหนดโซเชียลแซวกะจาย..! ชุดประจำชาติ Miss Universe Cambodia 2019 เหมือนไก่ย่างวิเชียรบุรีย้อนอดีต 128 ปี ภาพถ่ายหายากเผยชีวิตเรียบง่ายของชาวนนทบุรี – เกษตรกรรมคือวิถีงานอดิเรกสร้างสุข ปลูกว่านสี่ทิศกันเถอะสูตรคำนวณงวด 16/6/68EU ประกาศคว่ำบาตรรัสเซีย เป็นครั้งที่ 18 แล้ว!!ขนมงาทอดดราม่าผู้โดยสารเดือด! เมื่อ "เสียงร้องของเด็กทารก" บนเครื่องบิน กลายเป็นประเด็นร้อนบนโลกออนไลน์
Hot Topic ที่มีผู้ตอบล่าสุด
งานอดิเรกสร้างสุข ปลูกว่านสี่ทิศกันเถอะขนมงาทอดดราม่าผู้โดยสารเดือด! เมื่อ "เสียงร้องของเด็กทารก" บนเครื่องบิน กลายเป็นประเด็นร้อนบนโลกออนไลน์LA 4 วันมีคนโดนจับ 378 คน และ นักข่าวถูกกระสุนยางยิงหัวดราม่าพิธีเลี้ยงดง! ร่างทรงเซลฟี่ก่อนเชิญผี คนดูจวกเหมือนละครตลก
กระทู้อื่นๆในบอร์ด ข่าววันนี้
“อุ๊งอิ๊ง” แสดงความสงสัย กรณีไม่สามารถซื้อลอตเตอรี่ได้ ขณะลงพื้นที่ จ.สุรินทร์Pelosi เดือด!"อะไรคือเหตุผลในการจับกุมผู้ว่าการนิวซัม? เขาก่ออาชญากรรมอะไร?"ดราม่าผู้โดยสารเดือด! เมื่อ "เสียงร้องของเด็กทารก" บนเครื่องบิน กลายเป็นประเด็นร้อนบนโลกออนไลน์ญี่ปุ่นสั่งปิดแหล่งท่องเที่ยวดังแบบไม่มีกำหนด
ตั้งกระทู้ใหม่
หน้าแรกเว็บบอร์ดหาเพื่อนChatหาเพื่อน LinePic PostตรวจหวยควิซคำนวณPageราคาทองคำ
Postjung
เงื่อนไขการให้บริการ ติดต่อเว็บไซต์ แจ้งปัญหาการใช้งาน แจ้งเนื้อหาไม่เหมาะสม ข่าวประชาสัมพันธ์ ลงโฆษณา
เว็บไซต์นี้ใช้ Cookie
เพื่อประสบการณ์ที่ดีและการใช้งานได้อย่างเต็มประสิทธิภาพ ดูข้อมูลเพิ่มเติม อ่านนโยบายการใช้งาน
ตกลง