Thursday, July 8, 2010

The Most Popular Virus In Myanmar Family


မေကြးအက္ဖ္စီ ဟု အမည္ထြင္ေသာ ကြန္ပ်ဴတာ ဗိုင္းရပ္စ္

ေန႔က ရရွိေသာ သတင္းမ်ားအရ.. ျမန္မာျပည္၏ အစိုးရဌာနမ်ားႏွင့္ ကုန္မၼဏီ ကြန္ပ်ဴတာမ်ားတြင္ မေကြးအက္ဖ္စီ ဟု အမည္ထြင္ေသာ ကြန္ပ်ဴတာ ဗိုင္းရပ္စ္မ်ား ပ်ံ႕ႏွံလွ်က္ရွိေၾကာင္း သတင္းရရွိပါသည္။ အဆိုပါ ဗိုင္းရပ္စ္၏ တိုက္ခိုက္မႈပမာဏကိုမႈ အေသးစိတ္မသိရွိရေသးေပ။ တိုက္ခိုက္ခံရသူမ်ား၏ ေျပာစကားမ်ားအရ ကြန္ပ်ဴတာအတြင္းဖိုင္မ်ားအား ဖ်က္ပစ္ေၾကာင္းႏွင့္ ဝင္းဒိုးစ္ ၏ desktopရွိ start menuေနရာတြင္ မေကြးအက္ဖ္စီ စာတမ္းသာ ေတြ႕ရေတာ့ေၾကာင္း သိရွိရပါသည္။
irusအတိုက္ခိုက္ခံရတာ အမ်ားစုဟာ .exeဖိုင္ေတြကို အလြယ္တကူဖြင့္မိလို႕ျဖစ္တာအမ်ားဆံုးပါ။ ဗိုင္းယပ္နံမည္က mgy.exe ပါ။

mgy.exe Virus တိုက္ခိုက္ခံရေသာ ကြန္ပ်ဴတာသည္ ..
၁) ကြန္ပ်ဴတာသည္ ေႏွးေကြးသြားျခင္း။
၂) Memory Stick မ်ားတြင္းမွ Folder မ်ားေပ်ာက္သြားကာ ထုိေပ်ာက္သြားေသာ Folder မ်ား၏ အမည္မ်ားျဖင့္ .exe File မ်ားအစားထိုးဝင္ေရာက္ေနျခင္း။
၃) Folder Option၊ Taskmanager ေပ်ာက္သြားျခင္း။
၄) cmd.exe ဖြင့္လိုက္သည္ႏွင့္ ခ်က္ခ်င္းျပန္ပိတ္သြားျခင္း။
၄) .vbs script မ်ား Run ၍မရျခင္း။
၅) Desktop ၏ ညာဘက္ေအာက္ေထာင့္ ( အခ်ိန္ေဖာ္ျပေသာေနရာ ) တြင္ အထက္ပါ ေဖာ္ျပထားေသာ Magway Fc ပံု မၾကာခဏ ေပၚလာျခင္း
ို႔ပဲျဖစ္ပါသည္။

mgy.exe Virus တိုက္ခိုက္ျခင္းခံေနရပါက ..
၁) ကြန္ပ်ဴတာတြင္ ရွိေသာ AntiVirus ကို ေခတၱ ပိတ္လုိက္ပါ။
၂) Virus ကိုဖယ္ရွားျခင္းျပဳလုပ္ရာတြင္ System ကို Restart ျပဳလုပ္ရန္လိုအပ္သည့္ အတြက္ လုပ္လက္စအလုပ္မ်ားရွိပါက Save ျပဳလုပ္ထားရန္လိုအပ္ပါသည္။
၃) Virus ဝင္ေရာက္ျခင္းခံထားရေသာ Memory Stick မ်ားကို ကြန္ပ်ဴတာတြင္ တပ္ဆင္ထားပါ။
၄) mgyVirusRemoval.exe ကို Runလိုက္ပါ။
၅) System Restart ျဖစ္၍ ျပန္လည္တက္လာသည့္ အခ်ိန္အတြင္ mgy.exe Virus သည္ သင့္ကြန္ပ်ဴတာတြင္းႏွင့္ Memory Stick မ်ားတြင္းမွ ရွင္းလင္းျပီးျဖစ္သြားသည္ကို ေတြ႔ရပါလိမ့္မည္။
၆) Nod32 AntiVirus အသံုးျပဳသူမ်ားအေနျဖင့္ Nod32 ၏ေနရာကို Virus မွ ေနရာဝင္ေရာက္ယူသြားသျဖင့္ Nod32 ကိုျပန္လည္ ထည့္သြင္းေပးရန္ လိုအပ္ပါသည္။

MGY Virus

virus file မ်ားရွာရန္ command တစ္ေၾကာင္းသာအဓိကလိုအပ္ပါတယ္။
အထူးသျဖင့္ Made in Myanmar virus ေတြေပါ့။taskmanager , folder options , registry ေပ်ာက္ေနရင္ေတာ့ virus ၀င္တာေသခ်ာပါျပီ။start>run>cmd ရုိက္ျပီး Enter ႏွိပ္ပါ။command prompt ထဲမွာ cd\ လို႕ရုိက္ျပီး Enter ႏွိပ္ပါ။command prompt မွာ c:\ လို႕ေပၚရပါမယ္။ေနာက္တစ္ခုရုိက္ရမွာက dir/ah *.exe /s/p/b လို႕ရုိက္ျပီး Enter ႏွိပ္ပါ။virus ရဲ႕ source file မ်ားေပၚလာပါလိမ့္မယ္။အခုနာမည္ၾကီးေနတဲ့ Loikaw , Funny , chrome , mgy.exe တို႕ကို စမ္းျပီးပါျပီ။virus file အကုန္လုံးေတြ႕ပါတယ္။ဒီ virus file ေတြရဲ႕ process ကို kill ျပီးမွသတ္လို႕ရပါတယ္။အဲဒီအတြက္ process explorer software နဲ႕ၾကည့္လို႕ရပါတယ္။download လုပ္လိုက္ပါဦး။command prompt မွာေပၚတဲ့ virus file name က process explorer မွာေပၚရင္ process ကို kill ျပီးvirus ကိုသတ္ပါ။ဒီ command ေလးရွိေတာ့ virus file ကိုအလြယ္တကူရွာျပီးသတ္လို႕ရတာေပါ့။အဆင္ေျပပါေစဗ်ာ


ile ေတြ ဖ်က္တာကေတာ့ del filename /s/f/a ပါ။eg del chrome.exe /s/f/a ပါ။ s ဆိုသည္မွာ file ရွိတဲ့ folder ေကာ္ သူ႕ရဲ႕ sub-folder ေတြပါဖ်က္တာပါ။ f ကေတာ့ force deleting ပါ။ a ကေတာ့ attrib လုပ္ထားတဲ့ file ေတြကိုဖ်က္တာပါ။ a ထည့္လိုက္ျခင္းျဖင့္ hidden , read only ,system တို႕ကိုဖ်က္လို႕ရပါတယ္။attrib chrome.exe -s -h -r ဆိုျပီးလုပ္စရာမလုိပါ။တစ္ခါတည္းျဖတ္ပစ္တာပါ။

ir/ah *.exe /s/p/b စစ္လို႕ေပၚလာတိုင့္ virus လို႕ေျပာလို႕မရပါ။ virus name နဲ႕ process explorer မွာျပတဲ့ name နဲ႕တိုက္ၾကည့္လို႕ေတြ႔မွသာ virus ပါ။ eg. mgy virus ၀င္ေနလို႕ရွာမယ္ဆိုပါစို႕။ cmd မွာ dir/ah *.exe /s/p/b လို႕ရုိက္ပါ။ mgy.exe ေပၚေနပါလိမ့္မယ္။ process explorer ကိုဖြင့္ပါ။ mgy.exe အလုပ္လုပ္ေနတာကိုျပေနပါလိမ့္မယ္။ဒီနည္းအတိုင္းတျခား virus မ်ားကိုရွာေဖြႏုိင္ပါတယ္။ dir/ah *.exe /s/p/bလုိ႕စစ္လို႕ ေတြ႕တဲ့ file မ်ားကိုအကုန္ဖ်က္လို႕ရပါတယ္။ဒါဆိုပိုစိတ္ခ်ရတာေပါ့။တခ်ိုဳ႕ virus ကိုက္လို႕ command prompt ေခၚလုိ႕မရရင္ windows ကို restart လုပ္ပါ။ post လုပ္ေနတဲ့အခ်ိန္မွာ F8 key ကိုဆက္တိုက္ႏုိပ္ထားပါ။ Safe Mode options ေပၚလာရင္ Safe Mode with command prompt ကိုေရြးပါ။ command prompt ေပၚလာရင္ dir/ah *.exe /s/p/b လို႕ရုိက္ပါ။ေတြ႕သမ်ွ file ကိုဖ်က္ပါ။သူ႕ရဲ႕ process ကို kill စရာမလိုေတာ့ပါဘူး။တစ္ခါတည္း delete လုပ္ပါ။ ေနာက္ျပီး command prompt မွာ msconfig လို႕ရုိက္ပါ။ startup Tab ကိုသြားျပီး ခုနက command prompt မွာ ေပၚတဲ့ file မ်ားကိုအမွန္ျခစ္ျဖဳတ္ပါ။ဒါဆိုရင္ virus ပါတစ္ခါတည္းသတ္နည္းပါ။ s/p/b ရဲ႔အဓိပၸါယ္ကို သာမက က်ေနာ္တေၾကာင္းလုံးကိုရွင္ျပပါမယ္။


ir/ah *.exe /s/p/b
ir/ah = dir က windows ရဲ႕ File & Folder ေတြကိုေခၚၾကည့္တဲ့ေနရမွာသုံးတာပါ။ ah ဆိုတာကေတာ့ attrib လုပ္ထားတဲ့ file ေတြပါ။
attrib file ဆိုတာ Read only , Hidden , System file ေတြကိုေျပာတာပါ။ eg. boot.ini // virus file ေတြက boot.in file လိုပဲ ttrib file ေတြပါ။


.exe = *.exe ကေတာ့အေရွ့က * က file name ျဖစ္ခ်င္ရာျဖစ္ကိုေျပာတာပါ။ဒါေပမဲ့ exe file ပဲျဖစ္ရမွာပါ။ဘာေၾကာင့္လဲဆိုေတာ့ exe ပါ
/s = /s ကေတာ့ သူ႕ရဲ႕ ဆင့္ပြား Folder ေတြထဲက file ေတြကိုၾကည့္တာပါ။ eg. c: ရဲ႕ ဆင့္ပြား Folder က file ၾကည့္ရင္ windows system32\cmd.exe ပါ။cmd.exe က c: ရဲ႕ ဆင့္ပြား folder က file ပါ။

p = /p ကေတာ့ virus file ေတြကိုတမ်က္ႏွာဆီျပတာပါ။
b = /b ကေတာ့ file ေတြ ရဲ႕ information ေတြကိုေဖ်ာက္ျပီးၾကည့္တာပါ။


MGY Virus ကို အလြယ္သတ္နည္း

အရင္ဆံုး MGY Virus ၀င္ရင္ ဘယ္လိုလကၡဏာ၀င္လဲဆိုတာကိုေတာ့ အသိေတာ့ အသိသာႀကီးပါ။ ထံုးစံအတိုင္း Task Manager, Folder Option ပိတ္သြားတယ္။ Start Menu က Start ေနရာမွာ MagwayFC ဆိုၿပီး ေျပာင္းသြားတယ္။ Start Menu ထဲက My Computer Link ေတြ Control Panel Link ေတြရဲ႕ icon က မေကြး FC ရဲ႕ Logo ေတြ ေျပာင္းသြားပါတယ္။ txt, bat, com ဖိုင္ေတြရဲ႕ icon ေတြလည္း မေကြး FC ရဲ႕ Logo ေတြ ေျပာင္းသြားပါတယ္။ ၿပီးေတာ့ Welcome to Magway FC ဆိုၿပီး အနီေရာင္ေနာက္ခံနဲ႔ box ေလးက Taskbar ရဲ႕ ညာဘက္မွာ အၿမဲတမ္း ေပၚလာပါတယ္။ Folder ေတြ တစ္ခုမွ ဖြင့္မရေတာ့ဘူး။ ဘယ္ Software မွ တင္လို႔ မရေတာ့ဘူး။ ေနာက္ၿပီး Start>All Programs ထဲက Program ေတြလည္း တစ္ခုမွ မရွိေတာ့ဘူး။ Program ေတြကို ဖ်က္လိုက္တာမဟုတ္ပါဘူး။ .lnk ေတြကို hidden လုပ္လိုက္တာပါ။

အဲဒီလိုေတြ အရမ္းမ်ားတာမို႔ ဗိုင္းရပ္စ္သတ္ၿပီးရင္ Windows ျပန္တင္လိုက္တာက အျမန္ဆံုးနည္းပါ။ တစ္ခု ရွိတာက မေကြးကို မသတ္ပဲနဲ႔ Windows ျပန္တင္လည္း ခဏပါပဲ။ မေကြးက ျပန္၀င္မွာပါပဲ။ ဘာေၾကာင့္လဲ ဆိုေတာ့ သူက D: ေတြ E: ေတြထဲမွာပါ ၀င္ကုန္တာကိုး။ ဒါေၾကာင့္ သတ္ၿပီးမွ တင္ပါ။
ဒါေပမဲ့ လိုင္စင္ Windows ႀကီးဆိုရင္ေတာ့ ေအာက္မွာ ေရးထားသလို အေသးစိတ္သတ္ၿပီး ျပင္ေပးမွ ရပါမယ္။ မဟုတ္ဘဲနဲ႔ လိုင္စင္ Windows ႀကီး ဖ်က္ၿပီး ခိုးကူး Windows ႀကီး ျပန္တင္ေပးရင္ေတာ့ ဘယ္ေကာင္းပါ့မလဲ။ ဒါေၾကာင့္ လိုင္စင္ Windows ဆိုရင္ေတာ့ ထစ္ခနဲရွိ Windows ျပန္တင္ရတာမ်ိဳးေတာ့ လုပ္မရေတာ့ဘူးေပါ့။ မသကာ Recovery လုပ္တာက အလြန္ဆံုးပဲ။

သတ္နည္းေလး ေျပာပါဦးမယ္။ လိုအပ္တာေတြက

(၁) Hiren Boot CD
(၂) CCleaner
(၃) Tuneup Utilites
(၄) RRT, HijackThis
(၅) XYPlorer

မေကြး၀င္တာနဲ႔ တၿပိဳင္နက္ ကြန္ပ်ဴတာကို မသံုးပါနဲ႔ေတာ့။ ခ်က္ခ်င္းပိတ္လိုက္ပါ။ ၿပီးရင္ Hiren နဲ႔ Boot တက္ပါ။ အဲဒီထဲက Mini Windows XP နဲ႔ boot တက္ပါ။ Mini Windows XP တက္လာရင္ C: ထဲက mgy.exe, autorun.inf ေတြကို ဖ်က္ပစ္လိုက္ပါ။ ၿပီးေတာ့ ရွိၿပီးသား Folder ေတြန႔ဲ နာမည္တူ .exe ဖိုင္ေတြ၊ .lnk.exe ဖိုင္ေတြ အကုန္ဖ်က္ပါ။ C:\Windows ထဲက mgy.exe ကိုလည္း ဖ်က္ပါ။ System32 ထဲက 27 နဲ႔ စတဲ့ Folder နဲ႔ mgy.exe ကိုလည္း ဖ်က္ပစ္ပါ။ C: ထဲက System Volume Information နဲ႔ Recycler, Recycled ေတြကိုလည္း ဖ်က္ပါ။ တျခား D: ေတြ E: ေတြထဲက mgy.exe ကို ရွာဖ်က္ပါ။ မေကြးက ပြားလိုက္တဲ့ .exe ဖိုင္ေတြဟာ 15.6 MB ေတြ ခ်ည္းပဲ ျဖစ္ပါတယ္။

မေကြးနဲ႔ သူ႔အေပါင္းအပါေတြကို ရက္ရက္စက္စက္ သတ္ၿပီးသြားရင္ HDD ထဲက Windows ျပန္တက္လိုက္ပါ။ RRT နဲ႔ ပိတ္ထားတာေတြကို ျပန္ဖြင့္မယ္။ HijactThis နဲ႔ Autorun ေတြ ျဖဳတ္မယ္။ Software ေတြ တင္မရ ေအာင္ လုပ္ထားတာကို Registry ထဲမွာ DisableMSI key ရွာၿပီး Value ကို 0 ေပးလိုက္ပါ့မယ္။

Icon ေတြကို Windows Default အတိုင္း ျပန္ျဖစ္ေစဖို႔အတြက္ Tune up သံုးရင္ ရပါတယ္။ မေကြးက shell32.dll အစား sxell32.dll အစားထိုးလိုက္တာမို႔ အဲဒီလို ျဖစ္သြားတာပါ။

ေနာက္ၿပီး မေကြးေဖ်ာက္ထားတဲ့ ဖိုင္ေတြက Super Hidden ေတြဖို႔ Folder Options က Show Hidden နဲ႔ဆို ျမင္ရမွာမဟုတ္ပါဘူး။ XYplorer နဲ႔ေတာ့ ျမင္ရမယ္။ ၿပီးရင္ XY နဲ႔ attribute ေတြျဖဳတ္လိုက္ရင္ အဆင္ေျပသြား ပါလိမ့္မယ္။ Start Menu ထဲက ေပ်ာက္ေနတာေတြကိုလည္း XY နဲ႔ပဲ ျပန္ေဖာ္လို႔ရပါတယ္။

Start Menu မွာ MagwayFC ျဖစ္ေနတာကိုေတာ့ Resource hacker ကို အသံုးျပဳၿပီး http://www.theeldergeek.com/change_text_on_xp_start_button.htm မွာ ေရးထားတဲ့အတိုင္း Start ဆိုၿပီး ျပန္ေျပာင္းလိုက္ပါ။


ဒါဆိုရင္ မေကြးလည္း ေသသြားပါၿပီ။ Windows လည္း ျပန္ေကာင္းသြားပါၿပီ။ Windows ကို ပိုသန္႔သြားေအာင္ Command Prompt ကိုဖြင့္ၿပီး sfc /scannow ေပးလိုက္ပါ။


ေနာက္တစ္နည္း

MgyVirusCleaner မွ မရွင္းလင္းႏိုင္သည္မွာ virus မရွိေတာ့ေသာ္လည္း software

မ်ားကို install လုပ္၍မရေတာ့ျခင္းျဖစ္သည္။ OK ၏ MgyVirusCleaner သံုးၿပီး၍
Virus မရွိေတာ့လွ်င္ ေအာက္ပါအတိုင္း ျပဳလုပ္ပါ။

အဆင့္(၁)

  1. Start > Control Panel > Administrative Tools ကိုအဆင့္ဆင့္ဖြင့္ပါ။
  2. Administrative Tools ထဲမွ Local Security Policy ကို ဖြင့္ပါ။
  3. Local Security Policy ထဲတြင္ Software Restriction Policies ကို Right-click ႏွိပ္၍ “New Software Rectriction Policies” ကိုေရြးႏွိပ္ပါ။
  4. Software Restriction Policies ကို click တစ္ခ်က္ႏွိပ္လိုက္လွ်င္ ညာဘက္ျခမ္းတြင္ Enforcement ကိုေတြ႕ရမည္။
  5. ၎ Enforcement ကို Double-click ႏွိပ္ပါ။ “All users except localadministrators" ကိုေရြးႏွိပ္ၿပီး OK ႏွိပ္ပါ။ Local Security Policy ကိုပိတ္ပါ။ Control Panel ရွိေနေသးလွ်င္ ပိတ္ပါ။

အဆင့္(၂)

  1. Registry Editor ကိုဖြင့္ပါ။ (Windows XP အတြက္္ Start > Run တြင္ regedit ဟု႐ိုက္ၿပီး Enter ႏွိပ္ပါ။ Windows Vista or 7 အတြက္ Start ႏွိပ္ၿပီးသည္ႏွင့္ regedit ဟု႐ိုက္ၿပီး Enter ႏွိပ္ပါ။)
  2. ဘယ္ဘက္ျခမ္းမွ HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer အထိ အဆင့္ဆင့္ Double-click ႏွိပ္ၿပီး ဖြင့္သြားပါ။ ညာဘက္ျခမ္းမွ DisableMSI ကို Double-click ႏွိပ္ဖြင့္ၿပီး 1 ျဖစ္ေနသည္ကို 0 ဟုျပင္လိုက္ပါ။ OK ႏွိပ္ပါ။ Registry Editor ကိုပိတ္ၿပီး စက္ကို Restart ျပန္လုပ္လိုက္လွ်င္ Software မ်ား Install ျပန္လုပ္၍ရသည္ကို ေတြ႕ရပါမည္။

1 comments:

yekyawhan said...

regedit ပါ disable ျဖစ္ေနရင္ဘယ္လို ဘယ္လို ျပန္ေျဖရမလဲခင္ဗ်ာ.....

Related Posts Plugin for WordPress, Blogger...