ช่วงสองอาทิตย์ที่แล้ว ผมเจอโทรจัน RavMonE.exe กับ iexp1ore.exe ในเกือบทุกเครื่องในที่ทำงาน ซึ่งส่วนใหญ่จะเป็นเครื่องที่ลง NOD32 พร้อม virus definition ที่อัพเดตล่าสุด ให้ตายสิ :em47:
ตอนแรกยังทำใจไม่ได้ เพราะอุตส่าห์ไปโฆษณาชาวบ้านไว้ตั้งเยอะ ว่ามันสุดยอด เป็นโปรแกรมเดียวที่ผมซื้อ license นะ เลยบอกให้เอา thumb drive ที่มีไวรัส มาสแกนในโน๊ตบุ๊คของผม… ผลคือ เงียบ! NOD32 มัน detect ไอ้โทรจันสองตัวนี้ไม่ได้เลย (ตั้งค่าทุกอย่างเป็น maximum ก็ยังหาไม่เจอ) แต่พอเอาไปเสียบอีกเครื่องนึงที่ลง Active Virus Shield ก็มี message เด้งขึ้นมาเตือนว่าเจอทันที
สุดท้ายเลยตัดสินใจว่าคงต้องลง antivirus ตัวอื่นแทน ซึ่ง candidate ที่เข้าตา (a.k.a. ฟรีและดี) ก็มีอยู่ 3-4 ยี่ห้อ คือ
- avast! Home Edition
- AVG Anti-Virus Free Version
- Avira AntiVir Personal Edition Classic
- AOL Active Virus Shield
ถ้าดูจากผลการทดสอบใน AV-Comparatives แล้ว ที่ดูมีภาษีกว่าน่าจะเป็น AntiVir กับ Active Virus Shield แต่ก็ไม่รู้จะเชื่อใจได้แค่ไหน เพราะ NOD32 ก็ได้คะแนนสูงเหมือนกัน :em35:
ลองโหลดทั้งสองตัวมาลง แล้วก็ตัดสินใจเลือก AntiVir เพราะ AVS ลงไปแล้วเครื่องอืดทันตาเห็น
ลง AntiVir เสร็จ ก็สั่ง full system scan เซ็งหน่อยๆ ตรงที่ขนาดยังไม่ได้อัพเดต virus definition ก็ยังเจอไอ้สองตัวที่ว่า แถมด้วยเวิร์มอะไรอีกซักอย่าง… ลาก่อน NOD32
ปล.[0] ที่เซ็งหนักกว่าเดิมคือ ตอนแรกยังมีความหวังใน NOD32 อยู่ เลยพยายามส่งไฟล์โทรจันไปให้ที่ sample@nod32.com เผื่อจะทำอะไรได้บ้าง แต่ปรากฏว่า Gmail ฟ้องว่ามีไวรัส และไม่ยอมให้ attach ไฟล์ เลยส่งเมล์เปล่าๆ ไป แถมแซวไปหน่อยว่า เนี่ย พยายามส่งไฟล์ตัวอย่างที่ NOD32 detect ไม่เจอไปให้นะ แต่ attach ไฟล์ไม่ได้ เพราะ Gmail มัน detect ได้ว่าเป็นไวรัส
ปล.[1] ได้เมล์ตอบกลับมาแล้ว เหมือนที่แซวไปจะไม่ได้ผลแฮะ :em22:
็ำHeuristics Engine ไม่ได้ช่วยเลยรึนี่
AVG ผมก็ใช้อยู่ครับ จับพวก worm กับ trojan ไม่ได้เลย
สงสัยจะต้องเปลี่ยนมั่งแล้ว
แล้ว mail มันตอบมาว่าไงหว่า?
อ้าวๆ ชักจะหนาว... เพราะไม่เคยใช้ตัวอื่นเลยนอกจาก nod32
(loyaltyสูงมาก) งืออ :em22:
Active Virus Shield บางทีก็จับ RavMonE.exe ไม่ได้เหมือนกันครับ อาทิตย์ก่อนไปดูเครื่องให้คนรู้จักมา เห็นแล้วยัง งง งง แล้วก็ งง
ไม่เข้าใจเหมือนกันว่า AVS พวกนี้ทำไมถึงทำงานผิดปกติเมื่อเวลาผ่านไป (เอ๊ะ คล้ายๆ จะมีจิตใจหรือเปล่านะ เอิ๊กๆ)
ก๊อปเมล์มาให้อ่าน... อันนี้ผมส่งไป
NOD32 cannot detect these -- RavMonE.exe and iexp1ore.exe
Hello,
Today I found 2 viruses running in my colleague's notebook which has NOD32 installation with the latest virus definition.
I tried to attach the files but Gmail won't allow me -- It says the files contain viruses :P
However, I google for both "RavMonE.exe" and "iexp1ore.exe" and there are many search results regarding them. So I think
somebody may already sent the samples to you.
What I'd like to say is that I have been using NOD32 for three years and even recommend it to many of my colleagues. But this morning I had to remove it and install some free antivirus software in order to detect and delete those viruses...
That's not a very good impression, is it?
Anyway, I'm still a big fan of NOD32 and hope this information will be useful :)
Best Regards,
อันนี้เค้าตอบกลับมา
Re: NOD32 cannot detect these -- RavMonE.exe and iexp1ore.exe [TRACK#45A356455B4E]
Hello,
unfortunately, there was no sample attached. Please re-send it and
enclose a log from Hijackthis
(http://eset.zftp.com/utils/hijackthis.exe) as well.
Best regards,
ไม่ได้ส่งกลับไปอีกรอบ ไม่รู้จะมี webmail ที่ไหน ยอมให้ attach ไฟล์ไวรัสบ้าง :em35:
ลอง Compress แล้วใส่รหัสไปสิฮะ น่าจะ Bypass ได้อ่ะนะ หรือไม่ก็ใช้ Mail ของ Host ที่ใช้อ่ะครับ ถ้ามี (ของผมมียังไม่ใช้เลย รู้สีกว่าจะ Gmail จะสะดวกกว่าอีก 555)
:em02::em02::em02:
นี่กรูเอง จั๊ม...
ศึกษิตมี blog ด้วยเหรอเนี่ย อินเทรนด์จริงๆเลย
เมิงเกี่ยวอะไรกะปังคุงฟะ หรือว่าจ่ายค่าsponsor ให้googleเป็นพิเศษ
กูsearch หาคำว่า pankun มันก็พามาblog ศึกษิตเฉยเลย
เลยลองอ่านๆดูใช่ไอ้ศึกที่กรูรู้จักจริงๆด้วย
อุอุ ไว้จะแวะมาเยี่ยมใหม่นะ
au8ust: ง่า... จริงด้วยแฮะ ผมลืมนึกไป เพราะลอง compress เฉยๆ แล้วมันก็ไม่ยอมให้ attach ถ้าใส่ password อาจจะ attach ผ่านก็ได้นิ
Jump: หวัดดีว่ะ อย่าลืมโปรโมตให้ด้วย :em02: เคยเขียนเรื่อง ปัง กะ เจมส์ ไว้เหมือนกัน ว่าแต่ใช้ keyword ไรถึงมาโผล่ที่นี่ได้หว่า ลอง google หา pankun ไม่เห็นติด 1 ใน 10 :em31:
Post new comment