Blood Window or One_Miss_Call Virus

Internet Journal မွာေတြ႔လုိက္ရလုိ႔ပါ။ လြန္ခဲ့တဲ့ တစ္လေက်ာ္ထဲက Manual သတ္ဖူးပါတယ္။ ပထမတစ္ေခါက္က PC မွာပါ။ ေနာက္ႏွစ္လုံးလဲ PC မွာပဲ အလုပ္လုပ္ပုံေတြပဲ ကြာလာသလား ၾကာမွပုိဒုကၡေပးသလား မေျပာတတ္ပါ။ တစ္ခါနဲ႔တစ္ခါ ေတြ႔ရတာေတြ မတူေတာ့ပါဘူး။ Start Up မွာထည့္တာရယ္ svchost နာမည္ယူသုံးတာရယ္ Message ေလး ၁၀ ခု Desktop မွာ ဒါမွမဟုတ္ Pan Drive မွာေတြ႔ရတာရယ္ေတာ့ တူတူပါပဲ။ Pan မွာတစ္ႀကိမ္ေတြ႔ေတာ့ မအားတာနဲ႔ Ubuntu ကေန Delete လုပ္လုိက္ေတာ့ ေသေသခ်ာခ်ာ မၾကည့္လုိက္မိဘူး။ ေနာက္ေတြ႔ရတဲ့အခါမွာလဲ Message မေျပာင္းသြားပါဘူး။ ဒါေပမယ့္ ပထမအႀကိမ္ေတြထက္ ဆုိးဝါးစြာ အလုပ္လုပ္ပါတယ္။ Flashy ေတာင္မွ File ကုိ Hidden ေပးၿပီး သူက Filename ပဲယူထားတာပါ။ ဒီေကာင္ကေတာ့ Software ေတြ Shortcut ေတြကုိ Replace လုပ္ပစ္ၿပီး ေခၚရင္ Ring tone ပဲေပးပါတယ္။ စမ္းၾကည့္ေတာ့ Kaspersky နဲ႔ NOD32 က ပထမဆုံး Alert ေပးေပမယ့္ သူတုိ႔ကုိယ္တုိင္ Replace အလုပ္ခံလုိက္ရပါတယ္။ အခုထက္ထိ Definition မထြက္ေသးရင္ Home User ေတြ ေတာ္ေတာ္ ဒုကၡေရာက္ႏုိင္ပါတယ္။ ကၽြန္ေတာ္ကမသုံးတာၾကာတာရယ္ အပ်င္းႀကီးေနတာရယ္ ေၾကာင့္ မတင္ေပးျဖစ္ပါဘူး။ မနက္ျဖန္ေလာက္ အားတယ္ဆုိရင္ Path ပါထုတ္ေပးပါ့မယ္။ Services သမားေတြနဲ႕ Professional ေတြ Hacker ေတြ Definition အတြက္စမ္းသပ္လုိ႔ရေအာင္ Virus ပါ UPLOAD တင္ေပးထားပါတယ္။

http://www.mediafire.com/?nleoz9xjdne Password:friend4

Not for Virus Distribute

One_Miss_Call (Blood Window)

This Virus is can copy Virus &

Delete your programs and damage your PC.

Disable Task Manager

Disable Folder Option & Default Hidden

Disable Registry Manager

Virus Copy to

USB & Drive Root Directory – Autorun.inf | wnscntfy.exe

SYSTEM32/del.exe

SYSTEM32/dir.exe

SYSTEM32/Restore/svchost.exe

Add Registry to

No Folder Options

User Key [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

System Key [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

Value Name: NoFolderOptions

Data Type: REG_DWORD (DWORD Value)

Value Data: 1 (0 = show options, 1 = hide options)

Disable Task Manager

User Key [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
System Key [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
Value Name: DisableTaskMgr
Data Type: REG_DWORD (DWORD Value)
Value Data : 1 (0 = default, 1 = disable Task Manager

Startup Run

System Key

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit]

User Key

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]

Value Name: winomc

Data Type: REG_SZ (String Value)

Value Data: C:WindowsSystem32Restoresvchost.exe (C: = Windows Directory, can see %windir%)

Virus Info

Name : One_Miss_Call (Auto it v3 Script 3.2.10.0)

Copy Name : svchost.exe

Del.exe

Dir.exe

Wscntfy.exe

Size : 292 Kb

And many file, Folder or Executive file Name

%file%.exe

Sample : photoshop.exe size : 292 Kb

Nero.exe size : 292 Kb

MyDocument.exe size: 292 Kb

Creator Message (On Desktop 10 Message One_Missed_Call#1 to #10)

One_Miss_Call 4 help

One_miss_call ကုိ သတ္ႏုိင္တဲ့ Definition ေတာ့ မဟုတ္ပါဘူး။ Virus ကအဓိကထားၿပီး Systems File ေတြ Windows Directory ေတြထဲမွာ ထည့္ထားတဲ့ Virus Original File ေတြကုိ Delete လုပ္ၿပီး Registry ထဲမွာထည့္ထားတဲ့ Auto Run နဲ႔ Folder Option Hidden, System Hidden ေတြကုိျပန္ Clear လုပ္ေပး ထားတာပါ။ က်န္တဲ့ File ေတြကုိေတာ့ Search box ကေန All file and folders >> file name: *.exe | Look in : My Computer | Size : 292 | File type : All File and folder | Search System Folder, Hidden, Sub folder ေတြနဲ႔ရွာၿပီး Manual ရွင္းရမွာပါ။ File Name က Application တစ္ခုရဲ႕ နာမည္ျဖစ္ေနၿပီး Size က 292 Kb ပဲရွိရင္ ဥပမာ photoshop.exe pm70.exe ျဖစ္ေနၿပီး 292 Kb ပဲ ရွိရင္ ေသခ်ာေနပါၿပီ Virus ပါ ဖ်က္ပစ္လုိက္ပါေတာ့။ ၿပီးေတာ့ EXE file က Music Folder ပုံေလးနဲ႔ ေပးထားတတ္ပါတယ္။ မေသခ်ာတဲ့ File ကုိ Right Click နဲ႔ Properties >> Version မွာ ၾကည့္ပါ။ Adobe ကထုတ္ၿပီးေတာ့ Auto it v3 လုိ႔ေတာ့မေပးမွန္း အကုန္သိၾကမွာပါ။ Auto it v3 Script 3.2.10.0 တဲ့ခင္ဗ် Version က။ ကဲ ေအာက္က BAT ဖုိင္ေလးကုိ Download လုပ္ၿပီး စမ္းၾကည့္ၾကဦးေပါ့ဗ်ာ။ ဖုိင္ကလဲ 1.55 Kb ပဲရွိတာ။ Click ရုံနဲ႔တင္အကုန္ Run ေပးမွာပါ။ က်န္တာေတြေတာ့ လုိက္ဖ်က္ေပေတာ့။ ေနာက္ထပ္ Virus မတက္ေစခ်င္ရင္ Auto Run Killer ေလးသုံးေပးပါ။ ေလာေလာဆယ္အထိ ဘယ္ Anti-Virus မွသူ႔ကုိမသိၾကေသးပါဘူး။ ပထမတင္ထားတဲ့ BAT မွာ autorun.inf သတ္တာပါမသြားဘူး။ ျပန္ေရးၿပီးထပ္တင္ေပးထားပါတယ္။

?39w5ejb2tzv 1.55 KB double Click to Use (Up to date 23.7.08 3.09pm)

Regedit command Line

Taskkill command Line

http://www.computerhope.com/taskkill.htm

Learning Other Command

Virus Dead

Run> Services.msc /s

Removal Tool သံုးရမယ္

(1) RPC (Service)

(2) RPC (Locator) ဟု၍ (၂)မ်ိဳးမွ Service ကို အသံုးျပဳရပါမယ္။

Remot Reocedure ေပၚတြင္ Right Click လုပ္ျပီး Properties ကို ေရႊး၊ Service name မွ RpcSs နဲ႕ Rpc Locator ဆိုျပီး ခြဲျခားေပးထားတယ္။ RpcSs က ( Service ) ကို ေျပာတာ(အသံုးျပဳရန္)

RpsSs Properties ကို ေရြး၊ Tab ေတြထဲမွာ Recovery Tab ကို ေရြး၊ အဲ့ဒီထဲမွ First Failure (3)ခု ေတြ႔ရင္ တစ္ခု ျခင္းစီေဘးက “ Restart the Service " ျဖစ္ေအာင္လုပ္ လိုက္ပါ။

Malware မ်ားအေၾကာင္း

Malware ဆိုတာ ကြန္ပ်ဴတာသံုးစြဲသူမ်ားရဲ႕ ခြင့္ျပဳခ်က္မယူပဲ computer system မ်ားကို ပ်က္စီးေအာင္ ျပဳလုပ္တတ္တဲ့ေဆာ့၀ဲလ္တစ္မ်ိဳးပါပဲ။တနည္းအားျဖင့္ Virus, Trojan Horse, Worm, Spyware, Adware တို႕ ဟာ Malware ေတြပါပဲ။

Virus

လူမွာ ေရာဂါပိုး virus ၀င္ေရာက္ရင္ ၀င္တဲ့သူေရာ ၊ အျခားသူမ်ားပါ ကူးစက္ျပန္႕ ပြါးသကဲ့သို႕ ကြန္ပ်ဴတာမွာလဲ virus ၀င္ရင္ ၀င္ခံထိတဲ့ကြန္ပ်ဴတာေရာ၊ အျခားကြန္ပ်ဴတာေတြပါ ကူးစက္ျပန္႕ ပြါးဒုကၡေပးတဲ့အတြက္ virus လို႕ သတ္မွတ္က်ျခင္းျဖစ္ပါတယ္။အမွန္စင္စစ္ Virus ဆိုတာ ကြန္ပ်ဴတာ ပရိုဂရမ္တစ္ခုပါပဲ ။ Virus ဟာကြန္ပ်ဴတာတစ္လံုးအတြင္းသို႕ နည္းအမ်ိဳးမ်ိဳးျဖင့္ ၀င္ေရာက္လာနုိင္ပါတယ္။ Virus ဟာ ဖုိင္ဖ်က္ျခင္း ၊ ကြန္ပ်ဴတာမ်က္နွာျပင္ေပၚမွာ မက္ေဆ့ေပၚေစျခင္း၊ system file ဖ်က္ဆီးျခင္းတို႕ ကိုျပဳလုပ္နုိင္ပါတယ္။

Trojan Horse

သူသည္လဲ ကြန္ပ်ဴတာ ပရိုဂရမ္တစ္ခုပါပဲ။သူက်ေတာ့ အျခား ပရိုဂရမ္ေတြနဲ႕ အတူပုန္းခိုၿပီးပါတတ္ပါတယ္။တကယ္လို႕ Trojan ပါတဲ့ ပရိုဂရမ္တစ္ခုကို run လုိက္မိၿပီးဆုိရင္ေတာ့ ဒီေကာင္က ေကာင္းေကာင္းဒုကၡေပးလို႕ ရပါၿပီး။ ဒါေၾကာင့္ မိမိမသိတဲ့ အီးေမလ္းတို႕ ၊ ပရိုဂရမ္တို႕ ကို မဖြင့္မိေစဖို႕ လုိအပ္ပါတယ္။

Worm

Worm ကေတာ့ virus နဲ႕တူပါတယ္။ ဒါေပမဲ့ ဒီေကာင္က်ေတာ့ နက္၀က္ကေန အျခားကြန္ပ်ဴတာကို ၀င္ေရာက္အသံုးျပဳနို္င္ဖို႕ ျဖစ္ပါတယ္။ ဒီေကာင္က နက္၀ပ္အတြင္းမွာ ျပန္႕ ႏွ႕ံ ပါတယ္။ ဒီေကာင္က အကြာအကြယ္မျပဳထားတဲ့ ကြန္ပ်ဴတာေတြကုိ ၀င္ေရာက္ဖုိ႕ လုပ္ထားပါတယ္။

Spyware

Spyware ကေတာ့ ခြင့္ျပဳခ်က္မယူပဲ အင္စေတာၿပီးေတာ့တာျဖစ္ျဖစ္၊ ခြင့္ၿပဳခ်က္ယူၿပီး အင္စေတာတာ ျဖစ္ျဖစ္ ဒီေကာင္ေတြက information ေတြကုိ စုေဆာင္းေပးပါတယ္။ ၿပီးရင္ hacker လုပ္သူဆီကို စုေဆာင္းထားတဲ့ ေဒတာေတြ ျပန္ပို႕ ေပးပါတယ္။

Adware

Adware ကေတာ့ Spyware နဲ႕ တူပါတယ္။ ဒီေကာင္ကေတာ့ ေၾကာ္ျငာေတြေဖာ္ျပဖုိ႕ အတြက္သံုးေလ့ရွိပါတယ္။ ဘယ္မွာေတြ႕ ရေလ့ရွိသလဲဆုိရင္ pop-up window မွာေတြ႕ ရတတ္ပါတယ္။