jump to navigation

មេរោគ​កុំព្យូទ័រ “ ប៊ូម!!!” ខែ កញ្ញា 4, 2008

Posted by ទឹម បឿន in កុំព្យូទ័រ, បច្ចេក​ទេស, វិន​ដូស៍ - Windows.
trackback

ប៊ូម (BOOM) ជាមេរោគ​ដែល​ពិបាក​កម្ចាត់​​ប្រសិនបើ​វា​ឆ្លង​ចូល​​កុំព្យូទ័រ​ហើយ។ វា​មិនមែន​ជា​មេរោគ​ថ្មី​​ប៉ុន្មាន​ទេ តែ​សមត្ថភាព​របស់​វា​ក៏​មិន​ធម្មតា​ដែរ ហើយ​ថែម​ទាំង​​អាច​គេចផុត​ពី​កម្មវិធី​ការពារ​មេរោគ​ទាំង​ឡាយ​ទៀត​ផង មិនតែ​ប៉ុណ្ណោះ វា​អាច​បិទ​ដំណើរការ​របស់​កម្មវិធី​ការពារ​មេរោគ​ផង​ដែរ។

មេរោគ​នេះ វា​​ធ្វើការ​បង្កើត​កូនចៅ​​រាល់ពេល​ដែល​យើង​ Log off ពេល​បិទ ឬ​បើក​កុំព្យូទ័រ និង​ពេល​បើក​ប្រើកម្មវិធី​រាល់​កម្មវិធី​ទាំង​អស់។ ​​វា​ប្រើ DOS command ដើម្បី​​បង្កើត​ខ្លួន​វា និង​ដើម្បី​ឲ្យ​ខ្លួន​វា​អាច​ដំណើរការ​បាន​ទាំង​ក្នុង Safe Mode និង Safe Mode with command prompt ទៀត​ផង។

ផល​ប៉ះពាល់​របស់​វា វា​ធ្វើការ​គ្រប់គ្រង​លើ​កុំព្យូទ័រ​របស់​យើង ដោយ​ប្ដូរ និង​កែ​ផ្នែក​មួយ​ចំនួន​លើ​កុំព្យូទ័រ​, មិន​អាច​ប្រើ​ណេតវើក ឬ​អ៊ីនធើណិត នៅ​ពេល​ដែល​យើង​បិទ និង​បើក​កុំព្យូទ័រ​របស់​យើង​ច្រើន​ដង យូរៗ​មេរោគ​នេះ​នឹង​កាន់​តែ​មាន​ឥទ្ធិពល​ខ្លាំង​​ទៅៗ ហើយ​វា​នឹង​បង្កើត​កូដ​បិទ​មិន​ឲ្យ​យើង​បើក Explorer ឬ ចូល My Computer ឬ​ក៏​បិទ Drive របស់ ហាតឌីស ធ្វើ​ឲ្យ​កុំព្យូទ័រ​ដើរ​យឺត​ទៅៗ និង​កម្មវិធី​ខ្លះ​​មិន​អាច​ប្រើ​បាន​ក៏​មាន។ វា​ថែម​ទាំង​ប្ដូរ Desktop Background ដោយ​ដាក់​ផ្ទាំង Warning និង​​ប្រាប់​ថា​កុំព្យូទ័រ​របស់​យើង​បាន​វាយប្រហារ​ដោយ Spyware និង​ប្រាប់​ឈ្មោះ Spyware ចំនួន​ពីរ​នៅ​លើ​ផ្ទាំង ព្រមាន​នោះ និង​បង្គាប់​ឲ្យ​យើង Activate កម្មវិធី​ការពារ​មេរោគ​ដើម្បី​លុប Spyware នោះ។ ទាំង​នេះ ជា​ផលប៉ះពាល់​ខ្លះ ដែល​មេរោគ​នេះ​បាន​ចូល​ក្នុង​រយៈពេល​មួយ​ថ្ងៃ​នៅ​លើ​កុំព្យូទ័រ​បុគ្គលិក​ម្នាក់​​នៅ​កន្លែង​ធ្វើការ​របស់​ខ្ញុំ។ វា​ប្រហែល​ជា​អាច​មាន​ផលប៉ះពាល់​ច្រើន​ជាង​នេះ​ថែម​ទៀត។

លក្ខណៈ​ដែល​អាច​ឲ្យ​យើង​ដឹង​ថា មេរោគ​នេះ​ឆ្លង​ចូល​កុំព្យូទ័រ​របស់​យើង អាច​មើល​ឃើញ​នៅ​ក្នុង Process Manager របស់​វិនដូស៍ ដោយ​ចុច Ctrl + Alt + Delete, ចូល​ផ្នាំង Process និង​មើល​ឃើញ​មាន​ឯកសារ​ឈ្មោះ Global.exe, ​និង​ចេញ​ផ្ទាំង Desktop ដូច​បាន​រៀបរាប់​ខាងលើ ចំណែក​នៅ​កន្លែង Startup យើង​ឃើញ​មាន Keyboard.exe, Global.exe និង​ផ្សេងៗ​ទៀត។

មេរោគ​នេះ​បាន​បង្កើត​ឯកសារ​មួយ​ចំនួន​ដូច​ជា៖
C:\autorun.inf
C:\MS-DOS.COM
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\windows\system32\dllcache\Recycler.{645FF04-5081-101B-9F08-00AA002F954E}
C:\windows\system32\drivers\drivers.cab.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\windows\media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\pchealth\Global.exe

កូដ​មេ​​របស់​វា​គឺ C:\WINDOWS\Cursors\Boom.vbs

និង​កែ Registry ដូច​ខាងក្រោម៖
"HKCR\.vbs\", "VBSFile"
"HKCU\Control Panel\Desktop\SCRNSAVE.EXE", " C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
"HKCU\Control Panel\Desktop\ScreenSaveTimeOut", "30"
"HKCR\MSCFile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
"HKCR\regfile\Shell\Open\Command\", "C:\WINDOWS\pchealth\Global.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\", "C:\WINDOWS\system32\dllcache\Default.exe"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\", "C:\WINDOWS\system\KEYBOARD.exe"
"HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command\", "C:\WINDOWS\Fonts\Fonts.exe"

"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\DisplayName","Local Group Policy"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\FileSysPath",""
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\GPO-ID","LocalGPO"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\GPOName","Local Group Policy"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\SOM-ID","Local"
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\Parameters",""
"HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\Script","C:\WINDOWS\Cursors\Boom.vbs"

"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\DisplayName", "Local Group Policy"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\FileSysPath", ""
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\GPO-ID", "LocalGPO"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\GPOName", "Local Group Policy"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\SOM-ID", "Local"
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\Parameters", ""
"HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\Script", "C:\WINDOWS\Cursors\Boom.vbs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
"Debugger"="C:\\WINDOWS\\Fonts\\fonts.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
"Debugger"="C:\\WINDOWS\\Fonts\\Fonts.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
"Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
"Debugger"="C:\\WINDOWS\\Media\\rndll32.pif"

[HKEY_USERS\front office\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\Fonts\\Fonts.exe"="Fonts"
"C:\\WINDOWS\\system\\KEYBOARD.exe"="KEYBOARD"
"C:\\WINDOWS\\System32\\Cpl32ver.exe"="Cpl32ver"
"C:\\WINDOWS\\MFNFNGNF.exe"="MFNFNGNF"
"C:\\WINDOWS\\system32\\alt.exe.exe"="alt.exe"
"C:\\WINDOWS\\system32\\dllcache\\Default.exe"="Default"
"C:\\MS-DOS.com"="MS-DOS"
"D:\\MS-DOS.com"="MS-DOS"

វិចារ»

1. vandakimseok - ខែ កញ្ញា 4, 2008

opph! now my computer has interruped by this kind of virus, everytime when I turn on my computer it appear in the Destop Background like what u explain and it needs to activate the program to protect the computer…..
my God!
how can I protect my computer?
do you know how to scan that kind of virus?
thank you that u let me know….

2. naraths - ខែ កញ្ញា 4, 2008

អា​មេរោគ Global.exe ហ្នឹង​ខ្ញុំ​​ធ្លាប់​ជួប​ហើយ ៗ​ក៏​ធ្លាប់​ចូល​កុំព្យូទ័រ​ខ្ញុំ​ដែរ តែ​មិន​ដល់​ថ្នាក់​ដូច​បឿន​រៀប​រាប់​នោះ​ទេ ខ្ញុំ​គ្រាន់​តែ​ឃើញ​ក្នុង process មាន​ Global.exe កាន់​តែ​ច្រើន​ឡើង​ៗ​ពី​មួយ​ថ្ងៃ​ទៅ មួយ​ថ្ងៃ ។ កុំ​ព្យូទ័រ​កាន់​តែ​ដើរ​យឺត ហើយ​នឹង​យឺត​ទាល់​តែ​លែង​ចូល​បាន​ឯណោះ ជា​គោលការណ៍​របស់​មេរោគ​ហ្នឹង ។ ខ្ញុំ​មិន​ដឹង​ថា boom ជា​មេ​របស់​វា​សោះ ។ កាល​ដែល​វា​ចូល​បាន​ព្រោះ ដែតាបេស​សម្រាប់​​កម្មវិធី​កម្ចាត់​មេរោគ​របស់​ខ្ញុំ expire ។

ដោយ​មិន​ចង់​ឈូស​វិនដូស៍​ចោល ខ្ញុំ​សម្រេច​ប្រើ system restore point រើស​ថ្ងៃ​បរិសុទ្ធ​ណាមួយ​ដើម្បី back up មក​វិញ ។

3. ទឹម បឿន - ខែ កញ្ញា 4, 2008

ណារដ្ឋ៖ នេះ​ជា​អ្វី​ដែល​ខ្ញុំ​ដឹង តាម​រយៈ​ការមើល​ពី​ដំណើរការ​របស់​វា​ដែល​មាន​ក្នុង Windows Registry ដែល​វា​បង្កើត key សម្រាប់​ធ្វើអ្វី​ខ្លះ បង្កើត​ខ្លួន​យើងម៉េច​ខ្លះ និង​ធ្វើ​អ្វី​ខ្លះ ហើយ​វា​កើត​ជាក់ស្ដែង​នៅ​លើ​កុំព្យូទ័រ​នៅ​ទីនេះ ដោយ​បន្ទាប់​ពី​បិទ និង​បើក​កុំព្យូទ័រ​នេះ​ជិត​១០​ដង វា​ក៏​ចាប់ផ្ដើម​បិទ​មិន​ឲ្យ​យើង​ចូល​ទៅ My Computer ដោយ​ប្រាប់​ថា Can not run this program in MS DOS command ដែល​ជា​កូដ​ចេញ​ពី ​MS-DOS.COM។

ឈ្មោះ​មេរោគ​នេះ មិន​ដឹង​ថា​ពិតប្រកដ​យ៉ាង​ណា​នោះ​ទេ តែ​ខ្ញុំ​យក​ឈ្មោះ​តាម​កូដ​របស់​វា។ អ្វី​ដែល​យើង​គួរ​ឲ្យ​ចាប់អារម្មណ៍​នោះ គឺ KEYBOARD.EXE ដែល​វា​ជា​ប្រភេទ Trojan ដែល​អាច​មាន​គ្រោះថ្នាក់​ដល់​អ្នក​ដែល​ចាយលុយ​តាម​អ៊ីនធើណិត​ផង​ដែរ។

4. ដាវីដ - ខែ កញ្ញា 5, 2008

មែនទែទៅអាមេរោគនេះ វាក៏ធ្លាប់ចូលវាយលុកក្នុងកុំព្យូទ័រខ្ញុំដែរកាលពីលើកមុន។
តែមួយថ្ងៃសោះវាអាចគ្រប់គ្រងកុំព្យូទ័រខ្ញុំបានតែម្តង។ ទាំងនេះមិនខុសពីអ្វីដែល
បឿនបានរៀបរាប់ទេ។ តាមពឹតទៅអាមេរោគ Boom នេះ មិនខុសពីមេរោគ HIV ប៉ុន្មានទេ។ វាបំលែងខ្លួនបានលឿន ហើយវាយប្រហារបានរហ័សមែនទែន។

5. happylkt - ខែ កញ្ញា 5, 2008

it very danger

6. ទឹម បឿន - ខែ កញ្ញា 5, 2008

ខ្ញុំ​ចាត់ការ​មេរោគ​នេះ​បាន​ហើយ, ឡើង​ហត់ ចុក​ចង្កេះ ចុក​ខ្នង ;)

7. khmerempire - ខែ កញ្ញា 5, 2008

អរគុណហើយសំរាប់ពត៌មានល្អនេះ
តើបងបឿនឯងប្រើក្បាច់គុនអីខ្លះទើប
អាចចាប់មេរោគបាន? តែដល់ថ្នាក់
ចុកចង្កេះ ចុកខ្នងផង។
ពិតជាមេរោគសាហាវ ហើយមើលទៅ ។
អូ! តើបងបឿនឯងដឹងវ៉ិបសាយណាដែល
free upload បទចំរៀងទេ?
ខ្ញុំរកឃើញវ៉ិបសាយមួយដែរ តែមិនអាច
play នៅក្នុង wordpress បានទេ។
ដូច្នេះសូមជួយប្រាប់ផង???????

8. Boeun - ខែ កញ្ញា 6, 2008

មើល​នៅ​ទី​នេះ

វិធី​កម្ចាត់​មេរោគ​នេះ យើង​ត្រូវ Boot វិនដូស៍​ផ្សេង​ទៀត។ អាច​ប្រើ PE Builder សម្រាប់​បង្កើត​ស៊ីឌី​ប៊ូត ឬ​ក៏​ប្រើ Bart’s ឬ​ប្រើ ERD Commander ។ ប្រើ​កម្មវិធី​ទាំង​នេះ យើង​អាច​ប៊ូត​ចូល​វិនដូស៍ និង​អាច​លុប​ពួក​មេរោគ​ទាំង​នោះ​បាន​ហើយ។

9. Boeun - ខែ កញ្ញា 6, 2008

មេរោគ​នេះ មិនមែន​មាន​តែ​ឯកសារ និង​កែ Registry ដែល​មាន​ខាងលើ​នោះ​ទេ នៅ មាន​ផ្សេងៗ​ជា​ច្រើន​ទៀត។

ត្រូវ​ប្រយ័ត្ន​ចំពោះ​ការលុប key ណា​មួយ​ពី Registry ព្រោះ​វា​អាច​ប៉ះពាល់​ដល់​វិនដូស៍​របស់​យើង។ key ខ្លះ​យើង​អាច​លុប ចំណែក key ខ្លះ​ទៀត យើង​ត្រូវ​កែ​តម្លៃ​វា​ឲ្យ​ដូចតម្លៃ​ដើម​របស់​វិនដូស៍។

10. និរន្តរពិសិដ្ឋ - ខែ កញ្ញា 6, 2008

ខ្ញុំស្អប់មេរោគកុំព្យូទ័រដល់ហើយ​ឥឡូវនេះ តាំងពីវាបាន​ធ្វើឲ្យខ្ញុំត្រូវតម្លើងប្រព័ន្ធ​ប្រតិបត្តិការ​សាជាថ្មីមក។

11. happylkt - ខែ កញ្ញា 7, 2008

សូម​ចូល​រួម​ជជែក​ពិភាក្សា​លើ​ប្រធាន​បទ ស្តី​អំពី​ផល​ប៉ះ​ពាល់​ដែល​បណ្តាល​មក​ពី​ភាព​រីក​ចម្រើន​នៃ​វិស័យ Games Online នៅ​ប្រទេស​កម្ពុជា​យើង​សព្វ​ថ្ងៃ ឲ្យ​បាន​ច្រើន?

12. ខេមរកីឡា - ខែ កញ្ញា 7, 2008

ប្លក់ខ្ញុំមិនអាចសរសេរអត្ថបទថ្មីបាន​ វាឡើងមកថា អ្នកគ្មានច្បាប់អនុញ្ញាតិ ផ្ទុកឡើង ឯកសារ​ តើបងប្អូនណាធ្លាប់ជួបបញ្ហានេះទេ ។
នៅក្នុងក្តារបញ្ជាមានសារថា​ Warning: We have a concern about some of the content on your blog. Please click here to contact us as soon as possible to resolve the issue and re-enable posting.

ខ្ញុំទាក់ទងទៅស្ងាត់ជ្រៀប។

13. សុទ្ធិពង្ស - ខែ កញ្ញា 7, 2008

មានអាមេរោគខ្លះលប់ហើយកើតទៅជាពីរបី គឺវាបង្កើត Folder មេរោគកាន់តែច្រើន

14. ហនុមាន - ខែ កញ្ញា 8, 2008

អាមេរោគ កុំព្យូទ័រ ហ្នឹងធំជាង ជំម្ងឹ ស្វាយ (aides) ទៅទៀត ពិសិដ្ឋ​ !

15. Boeun - ខែ កញ្ញា 8, 2008

ខេមរ​កីឡា៖ សាកទាក់ទង​ទៅ​ម្ដង ពីរ​ដង​ទៀត​មើល។ តាម​ស្មាន ប្រហែល​ជា​គេ​ឃើញ​យើង​ដាក់​អត្ថបទ​ខុសច្បាប់​អី ដែល​មាន​អ្នក​ទាមទារ​ឲ្យ​បិទ​ក៏​មិន​ដឹង។

16. Posoky - ខែ កញ្ញា 8, 2008

ខ្ញុំមានមេរោគមួយដាក់កាយតាំងតែពីវាមកនៅ អត់អ្វើអីបានសោះ បើកIE ម៉ែអាយឺត ពេលបើកទំព័រម្តងៗ ចេះតែសង្ស័យថា អិនធើណិតយឺត ពេលចុចលើ address link ណាមួយបែជា ចូល page ណាផ្សេង ឡប់ឡែពាសវាលពាសកាល ដល់ចង់ ដោនឡូដ បានតែ៤០ គីឡូ ចង់ឯកសារ ៣ម៉េ ក័បានតែ ៤០ គីឡូ មិនដឹងធ្វើមិច
ជួយឲយោបល់ផង

17. Boeun - ខែ កញ្ញា 8, 2008

កុំព្យូទ័រ​បង​ប្រហែល​ជា​មាន​ពួក​ត្រូចាន ម៉ែលវៀរ អី​ហើយ។ រក​កម្មវិធី​កម្ចាត់​ពួក​ហ្នឹង​ទៅ ប្រហែល​ជា​អាច​ជួយ​បាន។ ឬ​ប្រើកម្មវិធី​ការពារ​មេរោគ​ខ្លះ​ក៏​អាច​ជួយ​បាន​ដែរ ដូច​ជា​ kaspersky ។

18. ខេមរកីឡា - ខែ កញ្ញា 9, 2008

អរគុណបឿន ការពិតគេឃើញខ្ញុំតវ៉ែបសាយផ្សេងមកដាក់ក្នុងប្លក់ខ្ញុំ គេថាជាប៉ាយពាណិជ្ជកម្ម គេអោយខ្ញុំលុបចេញ ។ ការពិតឯងគ្មានទៅពាណិជ្ជកម្មអីទេ គ្រាន់យកមកដាក់ងាយស្រួលក្នុងការចុចចូលទៅមើលតែប៉ុណ្ណឹង។
ត្រង់តំណភ្ជាប់ហ្នឹងណា ឯងដាក់ Advanced ដោយបញ្ចូលអាស័យដ្ឋានរូបរបស់ វ៉ែបសាយទៅផង (វ៉ែបសាយផ្សេងគេមាន លោហ្គោប្រចាំបស់គេ) ដល់ពេលឡើងមកវាចេញជារូប ដែលគេយល់ថាជាប៉ាយពាណិជ្ជកម្ម។ បើអញ្ចឹងដដែល ចាំបាច់អោយដាក់អាស័យដ្ឋានរូបបានធ្វើអី បើថាគេផ្សាយពាណិជ្ជកម្មនោះ។

19. Boeun - ខែ កញ្ញា 9, 2008

គេ​មិន​ឲ្យ​ផ្សាយពាណិជ្ជកម្ម​ទេ​ចឹង?

20. MYHOUSE - ខែ កញ្ញា 10, 2008

មេរោគណ្នឹងខ្ញុំក៏ធ្លាប់​ជួបដែរ ។ កម្មវិធីដែលអាចចាប់​វាបានគឺ Symantec Coporate Edition ឬក៏ Avira Antivirus (http://www.free-av.com/en/download/index.html) ហើយកម្មវិធីទាំងនោះសុទ្ធតែមិនគិត​លុយទេ​ ។

21. ទឹម បឿន - ខែ កញ្ញា 10, 2008

ខ្ញុំ​មាន avira ដែល​ទើប​នឹង​អាប់ឌេត តែ​វា Disable Avira មិនឲ្យ​ធ្វើការ​ទេ។

22. kon bamboo schoot - ខែ កញ្ញា 13, 2008

ិសួស្តីបង​ តើបង​សុខសប្បាយទេ?​ ​រីករាយណាស់បានស្គាល់បង សួមអោយបងបងើ្កតblog នេះកាន់តែល្អ

23. Hun Pheak - ខែ ឧសភា 11, 2009

My name Hun Pheak
I have problem with virus boom,please tell me how to troubleshooting

thank for advance