ไวรัส แบบใหม่มากับ Hady drive หรือ Flash drive ยอดฮิตติดเกือบทุกเครื่องเป็นไวรัชแบบใหม่
อาศัย Autorun เป็นตัวทำงาน ที่มักเขียนด้วย Visual Basic Script มักมีชื่อเมื่อเป็น .vbs และจะติดทาง Handy Drive เป็นส่วนใหญ่ หรือแผ่น CD DVD ที่มีการใช้ AutoRun ถึงเราล้างเครื่องหรือ format ลง Windows ใหม่ ถ้าเอา Handy Drive มาใช้ก็ติดอีกเหมือนล้างออกยาก

การดูว่ามีการติด ไวรัส ชนิดนี้หรือไม่ นอกจากการใช้โปแกรมสแกนไวรัสแล้ว
1. ดับเบิ๊ลคลิ๊กไดว์ C ไดว์ D ใน My Computer จะไม่ขึ้นแต่กับมีอะไรออกมาแปลกแทน
2. ถ้าคลิ๊กขาวที่ไดว์ C D จะมีเมนูขึ้นมาก เป็นเมนูแปลก เช่น มี Open หลายอัน หรือมี ให้เรียก
โปรแกรมแปลก
3. มี Floder ที่เหมือนกัน เติมออกมา และมี icon แปลก ๆ และ ลบออก ก็จะมีโผ่ลออกมาอีก
4. ถ้ากด Ctrl + Alt + Delแล้วเลือกTab Processes จะมีชื่อไฟล์ของไวรัชนั้นทำงานอยู่
5. เมื่อเปิด IE เล่นเน็ต ไม่ค่อยวิ่ง ที่ bar ด้านบนมักมีเขียน Hack by หรือ เป็นชื่อของไวรัช
6. เมื่อ Taskbar Manager ไม่ออก หรือ ถ้าเราเข้า Mycomputer เรียกเมนู tool
ออกมาจะมีเมนูหายไป มักเป็น เมนู floder Option..

รายชื่อและอาการ
jomke.dll.vbs
อาการ Internet Explorer หรือ IE มองแถบด้านบนสุดเหนือ เมนู จะมีคำงว่า Hacked by odzilla version 2.0 หรือ เข้า Websit ช้าลงมาก และ Web มักขึ้นhttp://student.srru.ac.th/~48122420102/jomke ไวรัสจ
คัดลอกตังเองลงในทุกๆไดร์ฟบนเครื่อง ชื่อ jomke.dll.vbs และแก้ไขค่าในรีจิสทรีเพื่อสร้างค่าขยะไวรัส พยายามแพร่กระจายตัวผ่านทางแฮนดี้ไดร์ฟและการแชร์ไดร์ฟในเครือข่าย พยายามจะทำให้เครื่องปิดลงทุกครั้งหลังจากที่เปิดใช้งานโดยหน่วงเวลาไว้ที่ 50 วินาที

achi.dll.vbs
อาการ จะสร้างไฟล์ achi.htm หน้าแรกของ Internet Explorer จะเข้าแต่ achi.htm ไม่ยอมเข้า web ที่เราจะเข้าและ แสดงข้อความใน Web achi.htm

happy.vbs
อาการ สร้างไฟล์ autorun จะคัดลอกไฟล์ happy.vbs ไปด้วย จะเรียกใช้ Regedit.exe ไม่ได้ Icon My Computer หายไป เข้า Floder ที่แชร์ใช้ใน Lan ไม่ได้ ไตเติลบาร์ของ Internet Explorer เป็น ORIGINAL SILLE.B run On GAME ONLINE ตั้งค่าหน้าแรก IE เป็น http://www.sille.net/gamesonline.htm และแสดงกล่องข้อความ
“VIRUS SILLE RUN ON GAMES ONLINE”

killVBS.vbs
อาการ จะ Copy file killVBS.vbs ตัวนี้ไม่กระจายในระบบ Lan ไวรัสจะแก้ไขไตเติลบาร์ของ Internet Explorer
และหน้าแรก เป็นหน้าเปล่า เข้าเว็ปช้ามาก

HELLO WORLD i am VB
อาการ สร้างไฟล์ ชื่อ RUNDLL64.dll.vbs เอาไว้ ไตเติลบาร์ของ Internet Explorer เป็น HELLOWORLD i amVB
จะซ่อนแทบ All Programs ใน Start Menu รวมไปถึงเรียก Windows Task Manager ไม่ได้ กล่าวคือถ้ากด
Ctrl + Alt + Del ถ้าไม่ขึ้นหน้าต่าง Windows Task Manager แสดงว่าติดแล้ว

^_^Anti AntiVirus^_^ (Win32/Wenna.E worm)
อาการ ตัวนี้ใช้ Borland Delphi เขียน ไวรัสจะทำการแก้ไข Windows Title ให้เป็น ^_^Anti AntiVirus^_^ ตลอดเวลา กล่าวคือ เมื่อเข้า My Computer หรือ เข้าอื่น ด้านบนจะเขียน ^_^Anti AntiVirus^_^ และไวรัสจะแก้ไขค่าในรีจิสทรีที่เกี่ยวกับไฟล์นามสกุล exe ให้ ทำให้เรียก ไฟล์ .exe ไม่ได้ นอกจากนี้จะยกเลิกฟังก์ชั่นที่เกี่ยวกับการแก้ไขปรับแต่งระบบปฏิบัติการ เช่นการปรับแต่ง สี ขนาดหน้าจอไม่ได้ เช่น Click ขาวกลางจอ เลือก Properti

Hacked by 8BITS (VBS/Butsur.C worm)
อาการ สร้างไฟล์ kernel32.dll.vbs ไวรัสจะแก้ไขไตเติลบาร์ของ IE เป็น Hacked by 8BITS และยังสามารถ ปิด WinXP เองได้ หรือ อยู่เข้า Windows XP และปิดเองเลย

ที่กล่าวทางด้านบนเป็น รายชื่อไวรัชที่ ติดกันมาก แต่หลังวันที่ 23-7-2550
อาจมีใหม่มาอีก

วิธีป้องกัน เป็นการป้องกันในระดับหนึ่ง กล่าวคือ เมื่อเราใช้ Handy Drive ห้ามดับเบิ๊กคลิ๊กที่ไดว์ ให้คลิ๊กขาวแล้วใช้คำสั่ง Open และถ้าใน Handy Drive มี File Autorun ให้พยายามลบออกให้หมด และใช้โปรแกรมสแกนไวรัสตัวเก่งของคุณจัดาร กับไวรัสตัวร้ายเหล่านี้ซะ

ฉะนั้นแล้วอย่าลืมนะครับ ที่จะมีโปรแกรมสแกนไวรัสดีๆ ติดไว้ที่เคื่องสักโปรแกรมหนึ่ง

วิธีแก้ไข ไวรัส Handy Drive
ไวรัส : Backdoor.Glupzy / Disabler.I Trojan
ไฟล์ : Flashy.exe
อาการที่พบ : ไม่สามารถเรียกใช้ Task Manager, Registry Editor และ Folder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด
- หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ Flashy.exe จะทำการแก้รหัสของเราใหม่

* กรณีที่เครื่องคอมพิวเตอร์ถามรหัสผ่านของ Administrator ให้ใส่ password ว่า hacked

- Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ อยู่เฉยๆอาจจะปกติไม่มีอะไร
แต่เมื่อเสียบ Card Reader เข้าไปก็จะโชว์ Error นี้ทันที

- เมื่อเสียบ Flash Drive หรือ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่
Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้

โปรแกรมสแกนไวรัส

- หากว่าใน Flash Drive หรือ Memory Card ของเรามี Aplication อยู่ (ที่มีนามสกุล .exe) Flashy.exe จะทำการปลอมชื่อตัวเอง
ไปเป็นชื่อเดียวกันกับ Aplication นั้นๆ ทำให้เราเข้าใจว่า Aplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ

- จะมีการเขียนค่าลงใน Memory Card ที่เราไส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder ( คล้ายๆเจ้า Brontok )
เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอดับเบิ้ลคลิกไปก็เท่ากับเป็นการรัน ไวรัส เข้าเครื่องในทันที

- ไวรัส ตัวนี้ไม่แพร่กระจายในเครือข่าย ไม่ไปเขียนค่าหรือติดตั้งตัวเองในเครื่องอื่นๆ ในวง Lan
แต่ใช้ Flash Drive หรือ Memory Card เป็นพาหะ

- อาการจะแสดงผลในทันที

วิธีแก้ไขที่คอมพิวเตอร์
1. Restart เครื่อง และระหว่างที่ Boot อยู่นั้น ให้กด F8 เพื่อเข้า Safe Mode

2. เมื่อเข้า Safe Mode แล้ว คลิกขวาที่ My Computer > Properties > แท็บ System Restore
เลือก Turn off System Restore on all drives > OK

3. คลิกขวาที่ Task Bar > Task Manager (หรือ Ctrl+Alt+Del) > แท็บ Processes หาตัวที่ชื่อ Flashy.exe และ systemID.pif > End Process
(กรณีถ้าตรวจพบ..)

4. เปิด Notepad แล้วก็อบปี้ข้อความด้านล่างไปวาง เซฟชื่อ killfrashy.bat
เมื่อเซฟเสร็จแล้ว ให้ดับเบิ้ลคลิกที่ไฟล์ killfrashy.bat เพื่อเรียกให้ไฟล์ดังกล่าวทำงาน

@ECHO OFF
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2

5. ไปที่ Start Menu > Programs > Startup หา systemID.pif แล้วลบทิ้ง (คลิกขวา > Delete)
ไปที่ C:\WINDOWS\system และ C:\WINDOWS\system32 หาไฟล์ Flashy.exe แล้วลบทิ้ง

6. จบขั้นตอนการกำจัด Flashy.exe > Restart เครื่อง

(เข้าไปแก้ไขใน regedit ด้วยนะครับ)
HKEY_CURRENT_USER > Software > MicrosoftWindows > CurrentVersion > Policies > Explorer “NoFolderOptions” = “1″
HKEY_CURRENT_USER > Software > MicrosoftWindows > CurrentVersion > Explorer > Advanced “HideFileExt” = “1″
HKEY_CURRENT_USER > Software > MicrosoftWindows > CurrentVersion > Explorer > Advanced “Hidden” = “2″
HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > SharedAccess “Start” = “4″

วิธีแก้ไขที่ไวรัส Handy Drive

หลังจากแก้ไขที่คอมพิวเตอร์เรียบร้อยแล้ว ควรจะ Format Flash Drive หรือ Memory Card ทันที โดยไม่ต้องรอโปรแกรมสแกนไวรัสนะครับ
ถ้าต้องการที่จะ BackUp ไฟล์ใน Flash Drive หรือ Memory Card ให้อ่านที่ “ข้อควรระวัง” ด้านล่างก่อน

ข้อควรระวัง : ก่อนที่จะทำการคลิกเข้าไปยัง Folder ต่างๆ ใน Flash Drive หรือ Memory Card ให้ตรวจสอบก่อนว่าเป็น Folder หรือ Aplication
ตรวจสอบได้โดย คลิกขวาที่ Folder >Properties > ให้ดูที่ Type: ถ้าเป็น Aplication อย่าไปคลิก

ปัญหาเหล่านี้จะไม่เกิดขึ้นนะครับ ถ้าตอมพิวเตอร์ของคุณมี”โปรแกรมสแกนไวรัส”ขั้นเทพประจำการอยู่

ข้อมูลจาก http://nisit.buu.ac.th