ไวรัส ”Recycler”

รู้จักไวรัสโฟลเดอร์ Recycler หรือเปล่า
Recycler มันมีหน้าที่ เวลาเราลบไฟล์หรือโฟร์เดอร์อะไรก็ตาม มันจะไปสิงสถิตที่ถังขยะก่อนที่เราจะเอามันไปเททิ้งไวรัสถังขยะตัวนี้สามารถสิงสถิตใน Flash Drive ได้ด้วย ถ้าพบแสดงว่าเครื่องติดไวรัสไปแล้ววิธีการป้องกันการแพร่กระจาย ห้ามเข้า Flash Drive ผ่านทาง My Computer มิฉะนั้นอย่างน้อยมันก็ย้ายเข้าไปนอนในฮาร์ดดิสก์ แล้วตอนนี้มันสร้างความเสียหายโดยทำให้เครื่องมันรู้สึกช้าลง
แล้วจะฆ่ายังไงดี
ไฟล์ที่ไวรัสใช้ในการแพร่กระจายคือ mmc32.exe ซึ่งจะอยู่ในโฟร์เดอร์ Recycler เทคนิคที่มันใช้ในการหลบซ่อนตัวก็คือ UPX (UPX มันคือ Ultimate Packer for executable เป็นโปรแกรมของบริษัท Source forge ที่ใช้ทำการบีบอัดไฟล์พวก .exe หรือ .dll ให้มีขนาดลดลง ทำให้สามารถใช้งานโปรแกรมที่ถูกบีบอัดได้ในขณะที่การทำงานของโปรแกรมกลับไม่ช้าลง ) ไฟล์ไวรัสมันเป็นไฟล์ประเภท PE ย่อมาจาก Portable Executable ซึ่งจะหมายถึง ”ไฟล์ที่สามารถเปลี่ยนแปลงรูปแบบการใช้งานตัวเองได้” มันทำงานอัตโนมัติเมื่อเวลาเราเปิดเครื่อง เพราะเวลาที่ลบโฟลเดอร์ Recycler ที่ Flash Drive ในเครื่องที่มีไวรัส มันก็จะสร้างตัวเองขึ้นมาตลอดเวลา เป็นโปรแกรมประเภทที่เรียกว่า ”โปรแกรมที่ฝังตัวอยู่ในหน่วยความจำ” ประเภทของไวรัสคือ : Worm (หนอน) มีคุณสมบัติของไวรัสมันคือ ก่อกวน เครื่องทำให้เครื่องต้องทำงานหนัก หน่วยความจำไม่พอทำให้เครื่องอืดลง ช้าลง แต่ไม่ทำลายข้อมูล
ไวรัสตัวนี้มันทำงานอยู่บน OS ดังนี้ : Windows 98, ME, NT, 2000, XP, Server 2003 ,vista ,window 7
ไฟล์ไวรัสมันอาศัยอยู่ตรงส่วนนี้
- C:\WINDOWS\system32\crss.exe
- C:\WINDOWS\system32\crss.exebak
- C:\WINDOWS\system32\dnscon70.dll
- C:\WINDOWS\system32\mstcpcon20.dll
- C:\WINDOWS\system32\netmanage.dll
- C:\WINDOWS\system32\netused.dll
- C:\WINDOWS\system32\SR1000R.DLL
- C:\WINDOWS\system32\SR1000R.DLLbak
- C:\WINDOWS\Temp\_ISTMPI.DIR\autorun.inf
- C:\WINDOWS\Temp\_ISTMPI.DIR\template.tmp
- C:\WINDOWS\Temp\_ISTMPI.DIR\mmc32.exe
- C:\WINDOWS\Temp\Del37.tmp
แล้วมันจะเขียนค่า Registry ที่ขึ้นมาเพื่อสั่งการทำงานตัวเอง มีอยู่ 2 ส่วนคือ
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscon
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetManager

ถ้าเราจะฆ่าไวรัสนั้นเราต้องตามไปลบพวกไฟล์และค่าเหล่านี้ แต่อย่าลืมว่าต้องเข้าไปลบไวรัสใน Safe Mode โดยการเลือก ไฟล์ข้างบนจากนั้นกด Shift +Del ก่อนทำการลบ อย่าลืมเข้าไป ”Folder Options” แล้วเปิดการทำงานของ Hidden files and folder และไปปิด Hide protected operating system files ด้วย และอย่าลืมทำการ Disable ในส่วนของ System Restore ด้วย เพราะ ไวรัสมันแฝงตัวกระจัดกระจายในนั้นด้วย และต้องตามไปลบใน Registryด้วย โดยเข้า Start ไปที่ Run พิมพ์ regedit และค้นหา ค่า Registry 2 ตัวข้างบน จากนั้นก็ลบ
สำหรับใน Flash Drive นั้นเราต้องลบ ไฟล์ไวรัส โดยการ คลิกที่ไฟล์ Autorun.ini กับโฟลเดอร์ Recycler จากนั้นกด Shift +Del พร้อมกัน จะมีหน้าต่างใหม่ขึ้นมาถามว่า จะลบไฟล์ดังกล่าวแน่หรือ ตอบ OK ไฟล์จะถูกลบไป
ปล. เดี๋ยวนี้โปรแกรม Anti-Virus ทั้งหลายก็สามารถสแกนเห็นไวรัสตัวนี้ได้แล้ว บางตัวเห็นแต่ทำอะไรไม่ได้
ปล2. ไวรัส Recycler นี้รู้สึกว่าจะมีอยู่ 2 สายพันธุ์ คือ แบบที่ใช้ไฟล์ในการแพร่คือ mmc32.exe กับ info.exe แต่ว่าไอ้ info.exe น่าจะเป็นตัวอัพเกรดไวรัสรุ่นแรกของ mmc32.exe
วิธีป้องกัน
การใช้ Flash Drive ดังนี้ เข้า My com ที่ Desktop แล้วคลิกขวาที่ Drive ที่ต้องการ เลือก Explore หรือ กดที่ไอค่อน Folder ด้านบน ก็ได้ virus จะไม่สามารถเข้าได้

Print Friendly
ผู้เขียน อ.มงคล ส่องสว่างธรรม (ประวัติการเขียน 6 เรื่อง)

อาจารย์พยาบาลสังกัด ภาควิชาการพยาบาลสุขภาพจิตและจิตเวชศาสตร์


2 Responses to “ไวรัส ”Recycler””

  1. ชลิตา วรวุฒิพิศาล พูดว่า:

    ใน flash drive ถ้าเจอ recycle ให้ลบได้เลยค่ะ
    recycle จะมีเฉพาะใน drive ที่เป็น harddisk เท่านั้น เช่น drive C,D,E,…

    ไฟล์บางไฟล์คลิกครั้งเกียว ไม่ต้องดับเบิ้ลคลิกก็รันตัวเองแล้ว
    ฉะนั้นเวลาจะลบให้ drag mouse ครอบไฟล์ (อย่าคลิกที่ไฟล์) แล้วกด Shift+Del อย่างที่อาจารย์บอกค่ะ

  2. ขวดเบียร์ พูดว่า:

    กำลังคิดว่าจะเข้าไปเช็คซะหน่อยว่ามี recycle หรือเปล่า แต่ก็มีเหตุการณ์ที่ไม่คาดคิดเกิดขึ้น Flash Drive เจ๊งครับ ง่า T T