មេរោគ​កុំព្យូទ័រ “ប៊ូម!!!”

Standard

ប៊ូម (BOOM) ជាមេរោគ​ដែល​ពិបាក​កម្ចាត់​​ប្រសិនបើ​វា​ឆ្លង​ចូល​​កុំព្យូទ័រ​ហើយ។ វា​មិនមែន​ជា​មេរោគ​ថ្មី​​ប៉ុន្មាន​ទេ តែ​សមត្ថភាព​របស់​វា​ក៏​មិន​ធម្មតា​ដែរ ហើយ​ថែម​ទាំង​​អាច​គេចផុត​ពី​កម្មវិធី​ការពារ​មេរោគ​ទាំង​ឡាយ​ទៀត​ផង មិនតែ​ប៉ុណ្ណោះ វា​អាច​បិទ​ដំណើរការ​របស់​កម្មវិធី​ការពារ​មេរោគ​ផង​ដែរ។

មេរោគ​នេះ វា​​ធ្វើការ​បង្កើត​កូនចៅ​​រាល់ពេល​ដែល​យើង​ Log off ពេល​បិទ ឬ​បើក​កុំព្យូទ័រ និង​ពេល​បើក​ប្រើកម្មវិធី​រាល់​កម្មវិធី​ទាំង​អស់។ ​​វា​ប្រើ DOS command ដើម្បី​​បង្កើត​ខ្លួន​វា និង​ដើម្បី​ឲ្យ​ខ្លួន​វា​អាច​ដំណើរការ​បាន​ទាំង​ក្នុង Safe Mode និង Safe Mode with command prompt ទៀត​ផង។

ផល​ប៉ះពាល់​របស់​វា វា​ធ្វើការ​គ្រប់គ្រង​លើ​កុំព្យូទ័រ​របស់​យើង ដោយ​ប្ដូរ និង​កែ​ផ្នែក​មួយ​ចំនួន​លើ​កុំព្យូទ័រ​, មិន​អាច​ប្រើ​ណេតវើក ឬ​អ៊ីនធើណិត នៅ​ពេល​ដែល​យើង​បិទ និង​បើក​កុំព្យូទ័រ​របស់​យើង​ច្រើន​ដង យូរៗ​មេរោគ​នេះ​នឹង​កាន់​តែ​មាន​ឥទ្ធិពល​ខ្លាំង​​ទៅៗ ហើយ​វា​នឹង​បង្កើត​កូដ​បិទ​មិន​ឲ្យ​យើង​បើក Explorer ឬ ចូល My Computer ឬ​ក៏​បិទ Drive របស់ ហាតឌីស ធ្វើ​ឲ្យ​កុំព្យូទ័រ​ដើរ​យឺត​ទៅៗ និង​កម្មវិធី​ខ្លះ​​មិន​អាច​ប្រើ​បាន​ក៏​មាន។ វា​ថែម​ទាំង​ប្ដូរ Desktop Background ដោយ​ដាក់​ផ្ទាំង Warning និង​​ប្រាប់​ថា​កុំព្យូទ័រ​របស់​យើង​បាន​វាយប្រហារ​ដោយ Spyware និង​ប្រាប់​ឈ្មោះ Spyware ចំនួន​ពីរ​នៅ​លើ​ផ្ទាំង ព្រមាន​នោះ និង​បង្គាប់​ឲ្យ​យើង Activate កម្មវិធី​ការពារ​មេរោគ​ដើម្បី​លុប Spyware នោះ។ ទាំង​នេះ ជា​ផលប៉ះពាល់​ខ្លះ ដែល​មេរោគ​នេះ​បាន​ចូល​ក្នុង​រយៈពេល​មួយ​ថ្ងៃ​នៅ​លើ​កុំព្យូទ័រ​បុគ្គលិក​ម្នាក់​​នៅ​កន្លែង​ធ្វើការ​របស់​ខ្ញុំ។ វា​ប្រហែល​ជា​អាច​មាន​ផលប៉ះពាល់​ច្រើន​ជាង​នេះ​ថែម​ទៀត។

លក្ខណៈ​ដែល​អាច​ឲ្យ​យើង​ដឹង​ថា មេរោគ​នេះ​ឆ្លង​ចូល​កុំព្យូទ័រ​របស់​យើង អាច​មើល​ឃើញ​នៅ​ក្នុង Process Manager របស់​វិនដូស៍ ដោយ​ចុច Ctrl + Alt + Delete, ចូល​ផ្នាំង Process និង​មើល​ឃើញ​មាន​ឯកសារ​ឈ្មោះ Global.exe, ​និង​ចេញ​ផ្ទាំង Desktop ដូច​បាន​រៀបរាប់​ខាងលើ ចំណែក​នៅ​កន្លែង Startup យើង​ឃើញ​មាន Keyboard.exe, Global.exe និង​ផ្សេងៗ​ទៀត។

មេរោគ​នេះ​បាន​បង្កើត​ឯកសារ​មួយ​ចំនួន​ដូច​ជា៖
C:\autorun.inf
C:\MS-DOS.COM
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\windows\system32\dllcache\Recycler.{645FF04-5081-101B-9F08-00AA002F954E}
C:\windows\system32\drivers\drivers.cab.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\windows\media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\pchealth\Global.exe

កូដ​មេ​​របស់​វា​គឺ C:\WINDOWS\Cursors\Boom.vbs

និង​កែ Registry ដូច​ខាងក្រោម៖
"HKCR\.vbs\", "VBSFile"
"HKCU\Control Panel\Desktop\SCRNSAVE.EXE", " C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
"HKCU\Control Panel\Desktop\ScreenSaveTimeOut", "30"
"HKCR\MSCFile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
"HKCR\regfile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\", "C:\WINDOWS\system\KEYBOARD.exe"
"HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command\", "C:\WINDOWS\Fonts\Fonts.exe"

"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\DisplayName","Local Group Policy"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\FileSysPath",""
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\GPO-ID","LocalGPO"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\GPOName","Local Group Policy"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\SOM-ID","Local"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\Parameters",""
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\Script","C:\WINDOWS\Cursors\Boom.vbs"

"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\DisplayName", "Local Group Policy"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\FileSysPath", ""
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\GPO-ID", "LocalGPO"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\GPOName", "Local Group Policy"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\SOM-ID", "Local"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\Parameters", ""
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\Script", "C:\WINDOWS\Cursors\Boom.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
"Debugger"="C:\\WINDOWS\\Fonts\\fonts.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
"Debugger"="C:\\WINDOWS\\Fonts\\Fonts.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
"Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
"Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"

[HKEY_USERS\front office\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\Fonts\\Fonts.exe"="Fonts"
"C:\\WINDOWS\\system\\KEYBOARD.exe"="KEYBOARD"
"C:\\WINDOWS\\System32\\Cpl32ver.exe"="Cpl32ver"
"C:\\WINDOWS\\MFNFNGNF.exe"="MFNFNGNF"
"C:\\WINDOWS\\system32\\alt.exe.exe"="alt.exe"
"C:\\WINDOWS\\system32\\dllcache\\Default.exe"="Default"
"C:\\MS-DOS.com"="MS-DOS"
"D:\\MS-DOS.com"="MS-DOS"

About these ads

23 thoughts on “មេរោគ​កុំព្យូទ័រ “ប៊ូម!!!”

  1. អា​មេរោគ Global.exe ហ្នឹង​ខ្ញុំ​​ធ្លាប់​ជួប​ហើយ ៗ​ក៏​ធ្លាប់​ចូល​កុំព្យូទ័រ​ខ្ញុំ​ដែរ តែ​មិន​ដល់​ថ្នាក់​ដូច​បឿន​រៀប​រាប់​នោះ​ទេ ខ្ញុំ​គ្រាន់​តែ​ឃើញ​ក្នុង process មាន​ Global.exe កាន់​តែ​ច្រើន​ឡើង​ៗ​ពី​មួយ​ថ្ងៃ​ទៅ មួយ​ថ្ងៃ ។ កុំ​ព្យូទ័រ​កាន់​តែ​ដើរ​យឺត ហើយ​នឹង​យឺត​ទាល់​តែ​លែង​ចូល​បាន​ឯណោះ ជា​គោលការណ៍​របស់​មេរោគ​ហ្នឹង ។ ខ្ញុំ​មិន​ដឹង​ថា boom ជា​មេ​របស់​វា​សោះ ។ កាល​ដែល​វា​ចូល​បាន​ព្រោះ ដែតាបេស​សម្រាប់​​កម្មវិធី​កម្ចាត់​មេរោគ​របស់​ខ្ញុំ expire ។

    ដោយ​មិន​ចង់​ឈូស​វិនដូស៍​ចោល ខ្ញុំ​សម្រេច​ប្រើ system restore point រើស​ថ្ងៃ​បរិសុទ្ធ​ណាមួយ​ដើម្បី back up មក​វិញ ។

  2. ណារដ្ឋ៖ នេះ​ជា​អ្វី​ដែល​ខ្ញុំ​ដឹង តាម​រយៈ​ការមើល​ពី​ដំណើរការ​របស់​វា​ដែល​មាន​ក្នុង Windows Registry ដែល​វា​បង្កើត key សម្រាប់​ធ្វើអ្វី​ខ្លះ បង្កើត​ខ្លួន​យើងម៉េច​ខ្លះ និង​ធ្វើ​អ្វី​ខ្លះ ហើយ​វា​កើត​ជាក់ស្ដែង​នៅ​លើ​កុំព្យូទ័រ​នៅ​ទីនេះ ដោយ​បន្ទាប់​ពី​បិទ និង​បើក​កុំព្យូទ័រ​នេះ​ជិត​១០​ដង វា​ក៏​ចាប់ផ្ដើម​បិទ​មិន​ឲ្យ​យើង​ចូល​ទៅ My Computer ដោយ​ប្រាប់​ថា Can not run this program in MS DOS command ដែល​ជា​កូដ​ចេញ​ពី ​MS-DOS.COM។

    ឈ្មោះ​មេរោគ​នេះ មិន​ដឹង​ថា​ពិតប្រកដ​យ៉ាង​ណា​នោះ​ទេ តែ​ខ្ញុំ​យក​ឈ្មោះ​តាម​កូដ​របស់​វា។ អ្វី​ដែល​យើង​គួរ​ឲ្យ​ចាប់អារម្មណ៍​នោះ គឺ KEYBOARD.EXE ដែល​វា​ជា​ប្រភេទ Trojan ដែល​អាច​មាន​គ្រោះថ្នាក់​ដល់​អ្នក​ដែល​ចាយលុយ​តាម​អ៊ីនធើណិត​ផង​ដែរ។

  3. មែនទែទៅអាមេរោគនេះ វាក៏ធ្លាប់ចូលវាយលុកក្នុងកុំព្យូទ័រខ្ញុំដែរកាលពីលើកមុន។
    តែមួយថ្ងៃសោះវាអាចគ្រប់គ្រងកុំព្យូទ័រខ្ញុំបានតែម្តង។ ទាំងនេះមិនខុសពីអ្វីដែល
    បឿនបានរៀបរាប់ទេ។ តាមពឹតទៅអាមេរោគ Boom នេះ មិនខុសពីមេរោគ HIV ប៉ុន្មានទេ។ វាបំលែងខ្លួនបានលឿន ហើយវាយប្រហារបានរហ័សមែនទែន។

  4. khmerempire

    អរគុណហើយសំរាប់ពត៌មានល្អនេះ
    តើបងបឿនឯងប្រើក្បាច់គុនអីខ្លះទើប
    អាចចាប់មេរោគបាន? តែដល់ថ្នាក់
    ចុកចង្កេះ ចុកខ្នងផង។
    ពិតជាមេរោគសាហាវ ហើយមើលទៅ ។
    អូ! តើបងបឿនឯងដឹងវ៉ិបសាយណាដែល
    free upload បទចំរៀងទេ?
    ខ្ញុំរកឃើញវ៉ិបសាយមួយដែរ តែមិនអាច
    play នៅក្នុង wordpress បានទេ។
    ដូច្នេះសូមជួយប្រាប់ផង???????

  5. មើល​នៅ​ទី​នេះ

    វិធី​កម្ចាត់​មេរោគ​នេះ យើង​ត្រូវ Boot វិនដូស៍​ផ្សេង​ទៀត។ អាច​ប្រើ PE Builder សម្រាប់​បង្កើត​ស៊ីឌី​ប៊ូត ឬ​ក៏​ប្រើ Bart’s ឬ​ប្រើ ERD Commander ។ ប្រើ​កម្មវិធី​ទាំង​នេះ យើង​អាច​ប៊ូត​ចូល​វិនដូស៍ និង​អាច​លុប​ពួក​មេរោគ​ទាំង​នោះ​បាន​ហើយ។

  6. មេរោគ​នេះ មិនមែន​មាន​តែ​ឯកសារ និង​កែ Registry ដែល​មាន​ខាងលើ​នោះ​ទេ នៅ មាន​ផ្សេងៗ​ជា​ច្រើន​ទៀត។

    ត្រូវ​ប្រយ័ត្ន​ចំពោះ​ការលុប key ណា​មួយ​ពី Registry ព្រោះ​វា​អាច​ប៉ះពាល់​ដល់​វិនដូស៍​របស់​យើង។ key ខ្លះ​យើង​អាច​លុប ចំណែក key ខ្លះ​ទៀត យើង​ត្រូវ​កែ​តម្លៃ​វា​ឲ្យ​ដូចតម្លៃ​ដើម​របស់​វិនដូស៍។

  7. happylkt

    សូម​ចូល​រួម​ជជែក​ពិភាក្សា​លើ​ប្រធាន​បទ ស្តី​អំពី​ផល​ប៉ះ​ពាល់​ដែល​បណ្តាល​មក​ពី​ភាព​រីក​ចម្រើន​នៃ​វិស័យ Games Online នៅ​ប្រទេស​កម្ពុជា​យើង​សព្វ​ថ្ងៃ ឲ្យ​បាន​ច្រើន?

  8. ប្លក់ខ្ញុំមិនអាចសរសេរអត្ថបទថ្មីបាន​ វាឡើងមកថា អ្នកគ្មានច្បាប់អនុញ្ញាតិ ផ្ទុកឡើង ឯកសារ​ តើបងប្អូនណាធ្លាប់ជួបបញ្ហានេះទេ ។
    នៅក្នុងក្តារបញ្ជាមានសារថា​ Warning: We have a concern about some of the content on your blog. Please click here to contact us as soon as possible to resolve the issue and re-enable posting.

    ខ្ញុំទាក់ទងទៅស្ងាត់ជ្រៀប។

  9. ខេមរ​កីឡា៖ សាកទាក់ទង​ទៅ​ម្ដង ពីរ​ដង​ទៀត​មើល។ តាម​ស្មាន ប្រហែល​ជា​គេ​ឃើញ​យើង​ដាក់​អត្ថបទ​ខុសច្បាប់​អី ដែល​មាន​អ្នក​ទាមទារ​ឲ្យ​បិទ​ក៏​មិន​ដឹង។

  10. Posoky

    ខ្ញុំមានមេរោគមួយដាក់កាយតាំងតែពីវាមកនៅ អត់អ្វើអីបានសោះ បើកIE ម៉ែអាយឺត ពេលបើកទំព័រម្តងៗ ចេះតែសង្ស័យថា អិនធើណិតយឺត ពេលចុចលើ address link ណាមួយបែជា ចូល page ណាផ្សេង ឡប់ឡែពាសវាលពាសកាល ដល់ចង់ ដោនឡូដ បានតែ៤០ គីឡូ ចង់ឯកសារ ៣ម៉េ ក័បានតែ ៤០ គីឡូ មិនដឹងធ្វើមិច
    ជួយឲយោបល់ផង

  11. កុំព្យូទ័រ​បង​ប្រហែល​ជា​មាន​ពួក​ត្រូចាន ម៉ែលវៀរ អី​ហើយ។ រក​កម្មវិធី​កម្ចាត់​ពួក​ហ្នឹង​ទៅ ប្រហែល​ជា​អាច​ជួយ​បាន។ ឬ​ប្រើកម្មវិធី​ការពារ​មេរោគ​ខ្លះ​ក៏​អាច​ជួយ​បាន​ដែរ ដូច​ជា​ kaspersky ។

  12. អរគុណបឿន ការពិតគេឃើញខ្ញុំតវ៉ែបសាយផ្សេងមកដាក់ក្នុងប្លក់ខ្ញុំ គេថាជាប៉ាយពាណិជ្ជកម្ម គេអោយខ្ញុំលុបចេញ ។ ការពិតឯងគ្មានទៅពាណិជ្ជកម្មអីទេ គ្រាន់យកមកដាក់ងាយស្រួលក្នុងការចុចចូលទៅមើលតែប៉ុណ្ណឹង។
    ត្រង់តំណភ្ជាប់ហ្នឹងណា ឯងដាក់ Advanced ដោយបញ្ចូលអាស័យដ្ឋានរូបរបស់ វ៉ែបសាយទៅផង (វ៉ែបសាយផ្សេងគេមាន លោហ្គោប្រចាំបស់គេ) ដល់ពេលឡើងមកវាចេញជារូប ដែលគេយល់ថាជាប៉ាយពាណិជ្ជកម្ម។ បើអញ្ចឹងដដែល ចាំបាច់អោយដាក់អាស័យដ្ឋានរូបបានធ្វើអី បើថាគេផ្សាយពាណិជ្ជកម្មនោះ។

ឆ្លើយ​តប

Fill in your details below or click an icon to log in:

ឡូហ្កូ WordPress.com

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី WordPress.com របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

រូបភាព​ពី Twitter

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី Twitter របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

រូបថត Facebook

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី Facebook របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

Google+ photo

អ្នក​កំពុង​បញ្ចេញ​មតិ​ដោយ​ប្រើ​គណនី Google+ របស់​អ្នក​។ Log Out / ផ្លាស់ប្តូរ )

កំពុង​ភ្ជាប់​ទៅ​កាន់ %s