មេរោគ​កុំព្យូទ័រ “ប៊ូម!!!”


ប៊ូម (BOOM) ជាមេរោគ​ដែល​ពិបាក​កម្ចាត់​​ប្រសិនបើ​វា​ឆ្លង​ចូល​​កុំព្យូទ័រ​ហើយ។ វា​មិនមែន​ជា​មេរោគ​ថ្មី​​ប៉ុន្មាន​ទេ តែ​សមត្ថភាព​របស់​វា​ក៏​មិន​ធម្មតា​ដែរ ហើយ​ថែម​ទាំង​​អាច​គេចផុត​ពី​កម្មវិធី​ការពារ​មេរោគ​ទាំង​ឡាយ​ទៀត​ផង មិនតែ​ប៉ុណ្ណោះ វា​អាច​បិទ​ដំណើរការ​របស់​កម្មវិធី​ការពារ​មេរោគ​ផង​ដែរ។

មេរោគ​នេះ វា​​ធ្វើការ​បង្កើត​កូនចៅ​​រាល់ពេល​ដែល​យើង​ Log off ពេល​បិទ ឬ​បើក​កុំព្យូទ័រ និង​ពេល​បើក​ប្រើកម្មវិធី​រាល់​កម្មវិធី​ទាំង​អស់។ ​​វា​ប្រើ DOS command ដើម្បី​​បង្កើត​ខ្លួន​វា និង​ដើម្បី​ឲ្យ​ខ្លួន​វា​អាច​ដំណើរការ​បាន​ទាំង​ក្នុង Safe Mode និង Safe Mode with command prompt ទៀត​ផង។

ផល​ប៉ះពាល់​របស់​វា វា​ធ្វើការ​គ្រប់គ្រង​លើ​កុំព្យូទ័រ​របស់​យើង ដោយ​ប្ដូរ និង​កែ​ផ្នែក​មួយ​ចំនួន​លើ​កុំព្យូទ័រ​, មិន​អាច​ប្រើ​ណេតវើក ឬ​អ៊ីនធើណិត នៅ​ពេល​ដែល​យើង​បិទ និង​បើក​កុំព្យូទ័រ​របស់​យើង​ច្រើន​ដង យូរៗ​មេរោគ​នេះ​នឹង​កាន់​តែ​មាន​ឥទ្ធិពល​ខ្លាំង​​ទៅៗ ហើយ​វា​នឹង​បង្កើត​កូដ​បិទ​មិន​ឲ្យ​យើង​បើក Explorer ឬ ចូល My Computer ឬ​ក៏​បិទ Drive របស់ ហាតឌីស ធ្វើ​ឲ្យ​កុំព្យូទ័រ​ដើរ​យឺត​ទៅៗ និង​កម្មវិធី​ខ្លះ​​មិន​អាច​ប្រើ​បាន​ក៏​មាន។ វា​ថែម​ទាំង​ប្ដូរ Desktop Background ដោយ​ដាក់​ផ្ទាំង Warning និង​​ប្រាប់​ថា​កុំព្យូទ័រ​របស់​យើង​បាន​វាយប្រហារ​ដោយ Spyware និង​ប្រាប់​ឈ្មោះ Spyware ចំនួន​ពីរ​នៅ​លើ​ផ្ទាំង ព្រមាន​នោះ និង​បង្គាប់​ឲ្យ​យើង Activate កម្មវិធី​ការពារ​មេរោគ​ដើម្បី​លុប Spyware នោះ។ ទាំង​នេះ ជា​ផលប៉ះពាល់​ខ្លះ ដែល​មេរោគ​នេះ​បាន​ចូល​ក្នុង​រយៈពេល​មួយ​ថ្ងៃ​នៅ​លើ​កុំព្យូទ័រ​បុគ្គលិក​ម្នាក់​​នៅ​កន្លែង​ធ្វើការ​របស់​ខ្ញុំ។ វា​ប្រហែល​ជា​អាច​មាន​ផលប៉ះពាល់​ច្រើន​ជាង​នេះ​ថែម​ទៀត។

លក្ខណៈ​ដែល​អាច​ឲ្យ​យើង​ដឹង​ថា មេរោគ​នេះ​ឆ្លង​ចូល​កុំព្យូទ័រ​របស់​យើង អាច​មើល​ឃើញ​នៅ​ក្នុង Process Manager របស់​វិនដូស៍ ដោយ​ចុច Ctrl + Alt + Delete, ចូល​ផ្នាំង Process និង​មើល​ឃើញ​មាន​ឯកសារ​ឈ្មោះ Global.exe, ​និង​ចេញ​ផ្ទាំង Desktop ដូច​បាន​រៀបរាប់​ខាងលើ ចំណែក​នៅ​កន្លែង Startup យើង​ឃើញ​មាន Keyboard.exe, Global.exe និង​ផ្សេងៗ​ទៀត។

មេរោគ​នេះ​បាន​បង្កើត​ឯកសារ​មួយ​ចំនួន​ដូច​ជា៖
C:\autorun.inf
C:\MS-DOS.COM
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\windows\system32\dllcache\Recycler.{645FF04-5081-101B-9F08-00AA002F954E}
C:\windows\system32\drivers\drivers.cab.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\windows\media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\pchealth\Global.exe

កូដ​មេ​​របស់​វា​គឺ C:\WINDOWS\Cursors\Boom.vbs

និង​កែ Registry ដូច​ខាងក្រោម៖
"HKCR\.vbs\", "VBSFile"
"HKCU\Control Panel\Desktop\SCRNSAVE.EXE", " C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
"HKCU\Control Panel\Desktop\ScreenSaveTimeOut", "30"
"HKCR\MSCFile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
"HKCR\regfile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\", "C:\WINDOWS\system\KEYBOARD.exe"
"HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command\", "C:\WINDOWS\Fonts\Fonts.exe"

"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\DisplayName","Local Group Policy"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\FileSysPath",""
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\GPO-ID","LocalGPO"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\GPOName","Local Group Policy"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\SOM-ID","Local"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\Parameters",""
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\Script","C:\WINDOWS\Cursors\Boom.vbs"

"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\DisplayName", "Local Group Policy"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\FileSysPath", ""
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\GPO-ID", "LocalGPO"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\GPOName", "Local Group Policy"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\SOM-ID", "Local"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\Parameters", ""
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\Script", "C:\WINDOWS\Cursors\Boom.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
"Debugger"="C:\\WINDOWS\\Fonts\\fonts.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
"Debugger"="C:\\WINDOWS\\Fonts\\Fonts.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
"Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
"Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"

[HKEY_USERS\front office\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\Fonts\\Fonts.exe"="Fonts"
"C:\\WINDOWS\\system\\KEYBOARD.exe"="KEYBOARD"
"C:\\WINDOWS\\System32\\Cpl32ver.exe"="Cpl32ver"
"C:\\WINDOWS\\MFNFNGNF.exe"="MFNFNGNF"
"C:\\WINDOWS\\system32\\alt.exe.exe"="alt.exe"
"C:\\WINDOWS\\system32\\dllcache\\Default.exe"="Default"
"C:\\MS-DOS.com"="MS-DOS"
"D:\\MS-DOS.com"="MS-DOS"

About these ads

23 thoughts on “មេរោគ​កុំព្យូទ័រ “ប៊ូម!!!”

  1. អា​មេរោគ Global.exe ហ្នឹង​ខ្ញុំ​​ធ្លាប់​ជួប​ហើយ ៗ​ក៏​ធ្លាប់​ចូល​កុំព្យូទ័រ​ខ្ញុំ​ដែរ តែ​មិន​ដល់​ថ្នាក់​ដូច​បឿន​រៀប​រាប់​នោះ​ទេ ខ្ញុំ​គ្រាន់​តែ​ឃើញ​ក្នុង process មាន​ Global.exe កាន់​តែ​ច្រើន​ឡើង​ៗ​ពី​មួយ​ថ្ងៃ​ទៅ មួយ​ថ្ងៃ ។ កុំ​ព្យូទ័រ​កាន់​តែ​ដើរ​យឺត ហើយ​នឹង​យឺត​ទាល់​តែ​លែង​ចូល​បាន​ឯណោះ ជា​គោលការណ៍​របស់​មេរោគ​ហ្នឹង ។ ខ្ញុំ​មិន​ដឹង​ថា boom ជា​មេ​របស់​វា​សោះ ។ កាល​ដែល​វា​ចូល​បាន​ព្រោះ ដែតាបេស​សម្រាប់​​កម្មវិធី​កម្ចាត់​មេរោគ​របស់​ខ្ញុំ expire ។

    ដោយ​មិន​ចង់​ឈូស​វិនដូស៍​ចោល ខ្ញុំ​សម្រេច​ប្រើ system restore point រើស​ថ្ងៃ​បរិសុទ្ធ​ណាមួយ​ដើម្បី back up មក​វិញ ។

  2. ណារដ្ឋ៖ នេះ​ជា​អ្វី​ដែល​ខ្ញុំ​ដឹង តាម​រយៈ​ការមើល​ពី​ដំណើរការ​របស់​វា​ដែល​មាន​ក្នុង Windows Registry ដែល​វា​បង្កើត key សម្រាប់​ធ្វើអ្វី​ខ្លះ បង្កើត​ខ្លួន​យើងម៉េច​ខ្លះ និង​ធ្វើ​អ្វី​ខ្លះ ហើយ​វា​កើត​ជាក់ស្ដែង​នៅ​លើ​កុំព្យូទ័រ​នៅ​ទីនេះ ដោយ​បន្ទាប់​ពី​បិទ និង​បើក​កុំព្យូទ័រ​នេះ​ជិត​១០​ដង វា​ក៏​ចាប់ផ្ដើម​បិទ​មិន​ឲ្យ​យើង​ចូល​ទៅ My Computer ដោយ​ប្រាប់​ថា Can not run this program in MS DOS command ដែល​ជា​កូដ​ចេញ​ពី ​MS-DOS.COM។

    ឈ្មោះ​មេរោគ​នេះ មិន​ដឹង​ថា​ពិតប្រកដ​យ៉ាង​ណា​នោះ​ទេ តែ​ខ្ញុំ​យក​ឈ្មោះ​តាម​កូដ​របស់​វា។ អ្វី​ដែល​យើង​គួរ​ឲ្យ​ចាប់អារម្មណ៍​នោះ គឺ KEYBOARD.EXE ដែល​វា​ជា​ប្រភេទ Trojan ដែល​អាច​មាន​គ្រោះថ្នាក់​ដល់​អ្នក​ដែល​ចាយលុយ​តាម​អ៊ីនធើណិត​ផង​ដែរ។

  3. មែនទែទៅអាមេរោគនេះ វាក៏ធ្លាប់ចូលវាយលុកក្នុងកុំព្យូទ័រខ្ញុំដែរកាលពីលើកមុន។
    តែមួយថ្ងៃសោះវាអាចគ្រប់គ្រងកុំព្យូទ័រខ្ញុំបានតែម្តង។ ទាំងនេះមិនខុសពីអ្វីដែល
    បឿនបានរៀបរាប់ទេ។ តាមពឹតទៅអាមេរោគ Boom នេះ មិនខុសពីមេរោគ HIV ប៉ុន្មានទេ។ វាបំលែងខ្លួនបានលឿន ហើយវាយប្រហារបានរហ័សមែនទែន។

  4. khmerempire និយាយថា៖

    អរគុណហើយសំរាប់ពត៌មានល្អនេះ
    តើបងបឿនឯងប្រើក្បាច់គុនអីខ្លះទើប
    អាចចាប់មេរោគបាន? តែដល់ថ្នាក់
    ចុកចង្កេះ ចុកខ្នងផង។
    ពិតជាមេរោគសាហាវ ហើយមើលទៅ ។
    អូ! តើបងបឿនឯងដឹងវ៉ិបសាយណាដែល
    free upload បទចំរៀងទេ?
    ខ្ញុំរកឃើញវ៉ិបសាយមួយដែរ តែមិនអាច
    play នៅក្នុង wordpress បានទេ។
    ដូច្នេះសូមជួយប្រាប់ផង???????

  5. Boeun និយាយថា៖

    មើល​នៅ​ទី​នេះ

    វិធី​កម្ចាត់​មេរោគ​នេះ យើង​ត្រូវ Boot វិនដូស៍​ផ្សេង​ទៀត។ អាច​ប្រើ PE Builder សម្រាប់​បង្កើត​ស៊ីឌី​ប៊ូត ឬ​ក៏​ប្រើ Bart’s ឬ​ប្រើ ERD Commander ។ ប្រើ​កម្មវិធី​ទាំង​នេះ យើង​អាច​ប៊ូត​ចូល​វិនដូស៍ និង​អាច​លុប​ពួក​មេរោគ​ទាំង​នោះ​បាន​ហើយ។

  6. Boeun និយាយថា៖

    មេរោគ​នេះ មិនមែន​មាន​តែ​ឯកសារ និង​កែ Registry ដែល​មាន​ខាងលើ​នោះ​ទេ នៅ មាន​ផ្សេងៗ​ជា​ច្រើន​ទៀត។

    ត្រូវ​ប្រយ័ត្ន​ចំពោះ​ការលុប key ណា​មួយ​ពី Registry ព្រោះ​វា​អាច​ប៉ះពាល់​ដល់​វិនដូស៍​របស់​យើង។ key ខ្លះ​យើង​អាច​លុប ចំណែក key ខ្លះ​ទៀត យើង​ត្រូវ​កែ​តម្លៃ​វា​ឲ្យ​ដូចតម្លៃ​ដើម​របស់​វិនដូស៍។

  7. happylkt និយាយថា៖

    សូម​ចូល​រួម​ជជែក​ពិភាក្សា​លើ​ប្រធាន​បទ ស្តី​អំពី​ផល​ប៉ះ​ពាល់​ដែល​បណ្តាល​មក​ពី​ភាព​រីក​ចម្រើន​នៃ​វិស័យ Games Online នៅ​ប្រទេស​កម្ពុជា​យើង​សព្វ​ថ្ងៃ ឲ្យ​បាន​ច្រើន?

  8. ប្លក់ខ្ញុំមិនអាចសរសេរអត្ថបទថ្មីបាន​ វាឡើងមកថា អ្នកគ្មានច្បាប់អនុញ្ញាតិ ផ្ទុកឡើង ឯកសារ​ តើបងប្អូនណាធ្លាប់ជួបបញ្ហានេះទេ ។
    នៅក្នុងក្តារបញ្ជាមានសារថា​ Warning: We have a concern about some of the content on your blog. Please click here to contact us as soon as possible to resolve the issue and re-enable posting.

    ខ្ញុំទាក់ទងទៅស្ងាត់ជ្រៀប។

  9. Boeun និយាយថា៖

    ខេមរ​កីឡា៖ សាកទាក់ទង​ទៅ​ម្ដង ពីរ​ដង​ទៀត​មើល។ តាម​ស្មាន ប្រហែល​ជា​គេ​ឃើញ​យើង​ដាក់​អត្ថបទ​ខុសច្បាប់​អី ដែល​មាន​អ្នក​ទាមទារ​ឲ្យ​បិទ​ក៏​មិន​ដឹង។

  10. Posoky និយាយថា៖

    ខ្ញុំមានមេរោគមួយដាក់កាយតាំងតែពីវាមកនៅ អត់អ្វើអីបានសោះ បើកIE ម៉ែអាយឺត ពេលបើកទំព័រម្តងៗ ចេះតែសង្ស័យថា អិនធើណិតយឺត ពេលចុចលើ address link ណាមួយបែជា ចូល page ណាផ្សេង ឡប់ឡែពាសវាលពាសកាល ដល់ចង់ ដោនឡូដ បានតែ៤០ គីឡូ ចង់ឯកសារ ៣ម៉េ ក័បានតែ ៤០ គីឡូ មិនដឹងធ្វើមិច
    ជួយឲយោបល់ផង

  11. Boeun និយាយថា៖

    កុំព្យូទ័រ​បង​ប្រហែល​ជា​មាន​ពួក​ត្រូចាន ម៉ែលវៀរ អី​ហើយ។ រក​កម្មវិធី​កម្ចាត់​ពួក​ហ្នឹង​ទៅ ប្រហែល​ជា​អាច​ជួយ​បាន។ ឬ​ប្រើកម្មវិធី​ការពារ​មេរោគ​ខ្លះ​ក៏​អាច​ជួយ​បាន​ដែរ ដូច​ជា​ kaspersky ។

  12. អរគុណបឿន ការពិតគេឃើញខ្ញុំតវ៉ែបសាយផ្សេងមកដាក់ក្នុងប្លក់ខ្ញុំ គេថាជាប៉ាយពាណិជ្ជកម្ម គេអោយខ្ញុំលុបចេញ ។ ការពិតឯងគ្មានទៅពាណិជ្ជកម្មអីទេ គ្រាន់យកមកដាក់ងាយស្រួលក្នុងការចុចចូលទៅមើលតែប៉ុណ្ណឹង។
    ត្រង់តំណភ្ជាប់ហ្នឹងណា ឯងដាក់ Advanced ដោយបញ្ចូលអាស័យដ្ឋានរូបរបស់ វ៉ែបសាយទៅផង (វ៉ែបសាយផ្សេងគេមាន លោហ្គោប្រចាំបស់គេ) ដល់ពេលឡើងមកវាចេញជារូប ដែលគេយល់ថាជាប៉ាយពាណិជ្ជកម្ម។ បើអញ្ចឹងដដែល ចាំបាច់អោយដាក់អាស័យដ្ឋានរូបបានធ្វើអី បើថាគេផ្សាយពាណិជ្ជកម្មនោះ។

  13. មេរោគណ្នឹងខ្ញុំក៏ធ្លាប់​ជួបដែរ ។ កម្មវិធីដែលអាចចាប់​វាបានគឺ Symantec Coporate Edition ឬក៏ Avira Antivirus (http://www.free-av.com/en/download/index.html) ហើយកម្មវិធីទាំងនោះសុទ្ធតែមិនគិត​លុយទេ​ ។

ឆ្លើយ​តប

Fill in your details below or click an icon to log in:

ឡូហ្កូ WordPress.com

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី WordPress.com របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

រូបភាព​ពី Twitter

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី Twitter របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

រូបថត Facebook

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី Facebook របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

Google+ photo

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី Google+ របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

កំពុង​ភ្ជាប់​ទៅ​កាន់ %s