29 กันยายน 2009 thumb How to send the suspicious files to Avira Lab

avira-logoจากเรื่องก่อนหน้านี้ ที่แนะนำวิธีการตรวจสอบไฟล์ต้องสงสัยให้ virustotal.com ตรวจสอบ ว่าเป็นไวรัสจริงหรือไม่ ถ้าเกิดส่งไปแล้ว VirusTotal รายงานกลับมาว่าเป็นไวรัสหรือมัลแวร์  แต่แอนตี้ไวรัสที่เราใช้อยู่ปัจจุบันไม่รู้จักหล่ะ จะทำอย่างไรดี


ช่วงนี้ผมใช้ Avira AntiVir Personal อยู่ และแนะนำให้ลูกค้าใช้ด้วย เนื่องจากมันฟรี และ สามารถอัปเดทฐานข้อมูลไวรัสแบบออฟไลน์ได้โดยง่าย สามารถตรวจพบไวรัสหรือมัลแวร์ ที่กำลังระบาดในเครื่องของลูกค้าและคนรู้จักของผมได้ดี

แต่อาทิตย์ที่ผ่านมางานเข้า เนื่องจากมีไวรัสชนิดหนึ่ง ที่ Avira ไม่สามารถตรวจพบได้ และ เริ่มระบาดหนักในกลุ่มลูกค้าของผม (ส่วนใหญ่เป็นนักศึกษามหาลัยแห่งหนึ่ง) ซึ่งเกือบทุกคนใช้ Avira (ก็ผมแนะนำไปนี่) หรือไม่ก็ Avast ทุกคนทยอยนำเครื่องเข้ามาให้ผมตรวจเช็ต ตรวจสอบเบื้องต้นแล้ว ติดไวรัสแน่ และพบไฟล์ สงสัยอยู่ด้วย ชื่อ winpsvc.exe ทดสอบสแกนด้วย Avira มันก็ตรวจไม่พบ Avast ก็เช่นเดียวกัน

avira-scan-before-update-definition
ลองส่งไฟล์นี้ไปทดสอบที่ virustotal.com ได้ผลมาว่า ทั้ง Avira และ Avast ไม่รู้จักทั้งคู่  และแอนตี้ไวรัสที่สามารถฆ่ามันได้คือ Kaspersky เห็นผลรายงานแบบนี้ไม่สนุกแล้ว เนื่องจาก  Kaspersky ไม่มีเวอร์ชั่นที่ใช้ได้ฟรี (มีตัวทดลองใช้ 30 วัน) และแอนตี้ไวรัสที่ใช้งานได้ฟรี อื่นๆ ก็ฆ่าไวรัสชนิดนี้ไม่ได้

สุดท้ายก็นึกขึ้นได้ ว่าทาง Avira เค้ามีอีเมลเฉพาะให้สำหรับส่งไฟล์ที่เราสงสัยว่าอาจเป็นไวรัสให้ทาง Avira ตรวจสอบได้ ก็เลยรีบทำการส่งไป โดยใช้โปรแกรม 7z ทำการบีบอัด ไฟล์ก่อน เนื่องจาก Hotmail ไม่อนุญาติให้ส่งไฟล์ .exe ได้ โดยผมส่งไฟล์ไปที่ virus@avira.com ส่งไปเมื่อวันที่ 25 กันยายน และอ้างอิงรายงานผลการตรวจสอบจาก  VirusTotal แนบไปด้วย แต่ด้วยที่ไม่เก่งภาษาอังกฤษมากนัก เนื้อหาในอีเมลอ่านแล้วอาจ ตลกๆ และผิดไวยากรณ์มากหน่อย ตอนประถมไม่ตั้งใจเรียน ผลก็เลยเป็นอย่างนี้

avira-send-suspicious-file

ณ วันที่ 28 กันยายน (3 วันถัดมา) ก็มีอีเมลตอบกลับมาจากทีม Avira Lab ว่าได้รับไฟล์ที่ผมส่งไป แล้ว และทำการตรวจสอบ พบว่า มันเป็นมัลแวร์ โดยทีมตรวจสอบของ Avira ตั้งชื่อมันว่า  TR/Refroso.kqt พร้อมกับส่งลิงค์ผลการตรวจสอบให้ผม สุดท้ายก็แจ้งว่า ได้เพิ่มฐานข้อมูล มัลแวร์ตัวนี้ไว้ในฐานข้อมูลตั้งแต่เวอร์ชัน 7.01.06.41 แล้ว และแนะนำให้รีบอัปเดทฐาน ข้อมูลไวรัสในเครื่อง

avira-response
avira-submission-details

ผมจึงรีบตรวจสอบฐานข้อมูลไวรัสของผม ก็พบว่าเป็นเวอร์ชัน 7.01.06.40 อยู่ ซึ่งยังไม่ได้เพิ่มมัลแวร์ตัวนี้เข้าไป จึงทำการอัปเดทฐานข้อมูลไวรัสทันที

avira-before-update-definition

และได้เวอร์ชันใหม่เป็นเวอร์ชัน 7.01.06.42 ซึ่งใหม่กว่าที่ทาง Avira Lab แนะนำ

avira-after-update-definition

เมื่ออัปเดทเสร็จจึงรีบกลับไปที่ไฟล์ winpsvc.exe ที่แอบเก็บไว้ดูเล่น ทันทีที่เปิดโฟล์เดอร์ที่ เก็บไฟล์นี้ไว้ Avira ก็เตือนมาทันที ว่าตรวจพบมัลแวร์ชื่อ TR/Refroso.kqt และแนะนำให้ ลบทิ้ง ไม่รออะไรแล้วครับ รีบกดลบทันทีด้วยความดีใจ เพราะนอกจากผมจะจัดการมันได้แล้ว  ลูกค้าหรือคนที่ผมแนะนำให้ใช้ Avira ทั้งหมด พวกเขาจะสามารถป้องกัน หรือตรวจสอบ มัลแวร์ตัวนี้ได้ทันที (ถ้าพวกเขาหมั่นอัปเดทฐานข้อมูลไวรัสนะ)

avira-scan-after-update-definition

ใครสนใจก็สามารถส่งไปให้ทาง Avira หรือแอนตี้ไวรัสที่ตัวเองใช้อยู่ได้แนะครับ ลองเข้าไป ในเว็บไซต์ของแอนตี้ไวรัสตัวที่เราใช้อยู่ เขาอาจจะมีช่องทางให้เราส่งไฟล์ให้เขาตรวจสอบได้ครับ

ช่วยกันคนละไม้คนละมือ (และคนละไฟล์) ไวรัสแสนร้ายจะได้หมดๆ ไปซะที

เชิญเสวนาจ่ะ

«
»