ข่าว

Instalador_Cores.scr ไวรัสเฟสบุ๊คตัวใหม่ โดนแล้วแก้ยังไง ? ไปดูกัน!

วิธีแก้ไวรัสตัวใหม่ที่มีชื่อว่า Instalador มาในรูปแบบของการแจ้งเตือนในเฟสบุ๊ค เผลอไปกดดูปุ๊บจะเข้าหน้าเว็บหลอกให้ install ไวรัสจากนั้นก็จะแพร่เชื้อทันที

เมื่อช่วงปลายเดือนก่อน แอดมินก็ได้เขียนเกี่ยวกับการแก้ Virus Facebook ที่มีชื่อว่า Terapaper ไป ซึ่งเจ้าไวรัสตัวนี้จะมาในรูปแบบของ ข้อความแชทเมสเซนเจอร์ ลักษณะคล้ายๆมีเพื่อนส่งคลิปวิดีโอมาให้เรา ถ้าหากเผลอไปกดเข้าก็ติดไวรัสทันทีและ Account เราก้จะเริ่มการแพร่เชื่อไวรัสนี้โดยการส่งข้อความลักษณะเดียวกันกับที่เราโดนมานี้ไปยังเพื่อน ๆ คนอื่นอัตโนมัติทันที

วันนี้แอดมินก็ได้ไปเจอ เพจสอนแฮกเว็บแบบแมวๆ เอาวิธีแก้ไวรัสตัวใหม่ที่มีชื่อว่า Instalador _Cores.scr  มาบอกกล่าวเป็นความรู้ แอดมินก็เลยขอนำเอาคำแนะนำและวิธีแก้ไข จากเพจมาบอกต่อให้กับเพื่อน ๆ กันค่ะ เผื่อใครโดนไวรัสตัวใหม่เข้าไปแล้วยังหาวิธีแก้ไม่ได้ ลองมาทำตามวิธีนี้ดูนะคะ 

ก่อนอื่นแอดมินต้องขออธิบายก่อนว่าเจ้าไวรัสตัวนี้ ค่อนข้างจะมาในรูปแบบที่แนบเนียนกว่าเดิมมากกกกก!! คือครั้งนี้มารูปแบบของ แถบการแจ้งเตือน (Notification) ในกรณีนี้ถ้าเผลอไปกดคลิกลิ้งที่มีการแจ้งเตือนขึ้นว่ามีเพื่อนแท็คมา แล้วทำตามลิ้งหลอกที่บอกให้ดาวโหลด Cores para มาลง ก็เรียบร้อยเสร็จเจ้าไวรัสนี้แน่นอน แต่ถ้าใครโหลดมาแล้วยังไม่ได้ลง ก็ไม่น่าจะเป็นอะไร ให้จัดการลบทิ้งไปทันทีค่ะ

ข้อมูลเบื้องต้นเกี่ยวกับไวรัส

Instalador

  • ไฟล์ไวรัสชื่อ Instalador_Cores.scr
  • ขนาด: 1.2 MB
  • md5 checksum: 1c85b68b0cd731e8db116f9c86496ded
  • ติดจากเว็บ pinandwin8.co.nz/cores-fb/ โดยอาการ คือ จะมีข้อความขึ้นเตือนที่แถบ notification ของเฟสบุ๊คว่ามีเพื่อนในเฟซบุ๊คนั้นแท็คเรามา พอเราเผลอไปกดปุ๊บ จะเข้ามาหน้าเว็บหลอกให้ install ไวรัสจากนั้นก็จะแพร่เชื้อทันที02วิธีสังเกตคือ เมื่อเอาเมาส์ไปชี้ที่แถบการแจ้งเตือนนเฟสบุ๊คที่มีเพื่อนแท็คเราแล้วจะขึ้นลิ้งหน้าเว็บ pinnandwin8.. อยู่ที่ด้านล่างดังในภาพ ซึ่งถ้าเราไม่ทันสังเกตุ (ปกติแอดมินก็ไม่เคยสังเกตุ) เผลอกดเข้าไปที่แถบการแจ้งเตือนนั้น แทนที่กดแล้วจะไปหน้าที่ขึ้นว่าโดนเพื่อนแท็คจริง ๆ แต่มันจะเด้งไปเข้าที่หน้าเว็บหลอก เพื่อให้เราติดตั้งไวรัส โดยบอกว่าถ้าติดตั้งแล้วจะสามารถเปลี่ยนสีเฟซบุ๊กได้ ซึ่งก็เปลี่ยนให้เราได้จริง ๆ แต่จะเห็นแค่เฉพาะเครื่องเราเท่านั้น และแถมเจ้าไวรัสตัวนี้ฝังในเครื่องมาให้เราอีกด้วยด้วย T T

( ข้อสังเกตุ : เจ้าไวรัสตัวนี้จะทำงานบน Windows ที่ติดตั้ง Google Chrome แล้วเท่านั้น Mac OSX กับ Linux รอด !! แต่ถ้าเครื่องวินโดว์ของเราไม่มี Google Chrome ติดตั้งอยู่ไวรัสก็จะไม่ทำงานค่ะ )

วิธีตรวจสอบว่าติดไวรัสตัวนี้รึเปล่า

03

1. ถ้าเปิด Google Chrome มาแล้วเฟซบุ๊กเปลี่ยนจากสีน้ำเงินเป็นสีเขียว และมีไอคอน สีรุ้งกลม ๆ มีตัว f ข้างในโผล่ขึ้นมาข้าง ๆ แถบ url แบบนี้ แสดงว่าโดนไปเรียบร้อยแล้ว ถ้าดูผิวเผินอาจจะคิดว่าเจ้าไวรัสตัวนี้มันทำการติดตั้งส่วนเสริมของ Google Chrome ให้เรา แต่…. ถ้าเข้าไปดูในแถบ Extension จะไม่พบสิ่งแปลกปลอมอะไรเลยค่ะ

extension

อ่าววววววววววววววววววววววววว ….

แล้วมันไปอยู่ไหนอ้ะ !? แล้วจะลบมันออกจากเครื่องยังไง ต้อง Format เครื่องเลยมั้ย !?? 😫

 

จากการบทวิเคราะห์ของเพจสอนแฮกเว็บแบบแมว ๆ สรุปได้ดังนี้

1. รันปุ๊บจะเจอหน้าต่างนี้ก่อนให้เรากดติดตั้ง

corespara

2. จากนั้นถ้าเราคลิกติดตั้งมันจะเช็คว่าเรามี Google Chrome ทำงานอยู่รึเปล่า ถ้าไม่มีก็จบการทำงาน แต่ถ้ามีก็ไปต่อค่ะ

3. โดยทำการปล่อยไฟล์ชื่อ “kut.zip” ลงในโฟลเดอร์ที่เอาไว้เก็บตัวอัพเดทของ Google Chrome และ แตกไฟล์เหล่านี้ตามในรูปข้างล่างลงในเครื่องเราอีกที จากนั้นลบ “kut.zip” ออกค่ะ (หน้าตาการแสดงการทำงานอาจจะขึ้นอยู่กับเวอร์ชั่นของ windows นะคะ

แตกไฟล์

สำหรับหน้าตา Path ในรูปข้างบนจะเป็นของ Windows XP จะอยู่ที่

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\Update\chrome\

แต่ถ้าถ้าเป็น Windows Vista/ Windows 7/ Windows 8/ Windows 10 จะอยู่ที่
%LOCALAPPDATA%\Google\Chrome\Update\chrome\
สามารถ Copy ไปแปะใน run ของเครื่อง หรือ windows explorer แล้ว enter เข้าไปได้เลยนะคะ ซึ่งไฟล์เหล่านี้คือส่วนที่จะเข้าไปแก้ไขเปลี่ยนแปลงหน้า Google Chrome ให้มีไอคอนตัว f กลม ๆ สีรุ้ง กับทำการแก้ไขหน้า html (ฝั่ง client) ให้มันเปลี่ยนสีให้เรา และทำการแพร่เชื้อแท็คส่งไปบอกคนอื่น ๆ ที่เป็นเพื่อนของเราโดยที่เราไม่ได้ขอ หลักการทำงานมันก็มีประมาณนี้ค่ะ 
 ** โฟลเดอร์นี้ปกติมีอยู่แล้วถึงแค่ \Update\ เท่านั้นจะไม่มีโฟลเดอร์ย่อยต่อไปเป็น \chrome\ ขึ้นมาอีก ถ้ามีก็แสดงว่าเป็นโฟลเดอร์ของไวรัสสร้างขึ้นมาค่ะ **
4.อันนี้คือ Windows XP นะคะ ทำการแก้ไข symlink ของ Google Chrome หรือที่คุ้น ๆ กันในชื่อ shortcut จำนวน 3 ที่คือ 
C:\Documents and Settings\<user>\Desktop\Google Chrome.lnk
C:\Documents and Settings\<user>\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Documents and Settings\<user>\Start Menu\Programs\Google Chrome.lnk   
ถ้าเป็น Windows 7 ขึ้นไป จะอยู่ที่
C:\Users\<user>\… หรือใช้ฟังก์ชันค้นหาลองหาไฟล์ Google Chrome.lnk ดูก็ได้ค่ะ การแก้ไขคือใส่ argument เพิ่มเข้าไปตอนเราเรียกใช้งาน Chrome ค่ะ ปกติเวลาเราดับเบิ้ลคลิกที่ไอคอน คือมันจะไปเรียก chrome.exe ในโฟลเดอร์ที่เราติดตั้งไว้แค่นั้น ซึ่งคนเขียนไวรัสตัวนี้เพิ่มเข้าไปว่า
–extensions-on-chrome-urls –test-type –load-component-extension=”C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Update\chrome”
 ซึ่งเป็นการบอกว่า เนี่ยน้า แทนที่จะเปิด chrome.exe เฉย ๆ ให้เปิดแล้วเรียก extension ที่อยู่ในข้อ 3. นั้นขึ้นมาด้วย ซึ่งเป็นคำตอบของคำถามว่าทำไม ถึงไม่ขึ้นใน extension list ปกติ เพราะมันโหลดมาทำงานแบบวิธีไม่ปกตินั้นเองค่ะ
5. โบนัสฟีเจอร์ ถ้าลง Firefox ไว้มันจะทำการแก้ไข shortcut ให้ Firefox เราเข้าไม่ได้ค่ะ!! โดยมีทั้งลบออก (ใน start menu) หรือแก้ให้กลายเป็น Chrome shortcut แทน (บน Desktop)
สรุปสิ่งที่ไวรัสทำคือ ติดตั้ง Chrome Extension ที่แพร่เชื้อไวรัสต่อให้เราแบบ ไม่สามารถเข้าไปปิดด้วยวิธีปกติในเมนู Extension ได้ โดยการทำงานหลัก ๆ ของมันคือใช้ JavaScript เข้าไปแอบสั่งการ Facebook ในขณะที่เรากำลังเปิด Chrome อยู่ และสั่งการให้ส่งลิ้งแท็คเพื่อนเพื่อให้เพื่อนๆในเฟสบุ๊คที่ได้เข้าไปโหลดเจ้าไวรัสตัวนี้เพื่อที่จะขยายละแพร่กระจายไปเรื่อย ๆ ค่ะ
change color
และความฉลาดของมันที่ดึงความสนใจได้ไม่น้อยก็คือ คือ ลูกเล่นที่สามารถเปลี่ยนสีเฟซบุ๊กที่ใช้งานได้จริง ๆ (แต่เห็นเฉพาะเครื่องเรานะคะ) จุดนี้เพื่อล่อให้คนที่ติดไวรัส ไม่อยากลบตัวไวรัสนี้ออก หรือหลอกว่าตัวมันไม่ใช่ไวรัส

วิธีแก้ไข Virus Facebook Instalador 

1. ปิดกาบาท ออกจากโปรแกรม Google Chrome ก่อนนะคะ
2. ลบไอคอน shortcut ของ Google Chrome ทิ้งให้หมด (ใน start menu, desktop, quick launch)
delete
3. ลบไฟล์ใน Windows XP จะอยู่ที่
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\Update\chrome\
หรือส่วนมากก็คือ.. (อาจจะต้องเปิดไฟล์ซ่อนก่อน)
C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Update\chrome\
iconถ้าเป็น Windows Vista/ Windows 7/ Windows 8/ Windows 10 จะอยู่ที่
%LOCALAPPDATA%\Google\Chrome\Update\chrome\  หรือส่วนมากก็คือ.. (อาจจะต้องเปิดไฟล์ซ่อนก่อน)
C:\Users<user>\AppData\Local\Google\Chrome\Update\chrome\   
ลบทิ้งให้หมดเฉพาะเจ้าโฟลเดอร์ \chrome\ นะคะ
4. จากนั้นเข้าไปที่ C:\Program Files\Google\Chrome\Application\chrome.exe
แล้วทำการสร้าง shortcut อันใหม่ค่ะ วิธีการสร้างจะคล้าย ๆ กันในเกือบทุก Windows ตั้งแต่ XP เป็นต้นไป คือคลิกขวา แล้ว Send to > Desktop
create new shortcut
พอเสร็จแล้วทีนี้เวลาเข้าใช้งาน Google Chrome ผ่าน Shortcut อันใหม่ก็จะไม่มีเจ้าไวรัสตัวนี้แล้วค่ะ
ขอบคุณที่มา สอนแฮกเว็บแบบแมวๆ

Most Popular

To Top