ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky], IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
W32.MSN.Worm หรือ IM-Worm.Win32.Agent.f เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ด้วย
หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security Center" และ "winvnc4"
ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip
LOL, you look so ugly in this picture, no joke... Should I put this on facebook/myspace? Hey m8, who is this on the right, in this picture... Sup, seen the pictures from the other night? ส่วน W32.MSN2.Worm นั้นมีกระบวนการที่คล้ายกับเวอร์ชั่นก่อน เพียงแต่อาศัยไฟล์ที่ชื่อ pic.zip ในการแพร่กระจายผ่าน MSN และสร้างไฟล์ชื่อ %windir%msnmsg.exe
ดังตัวอย่าง
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger
ผลกระทบที่เกิดขึ้น
เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger
วิธีกำจัดหนอนชนิดนี้
วิธีการกำจัดหนอนสำหรับระบบปฏิบัติการวินโดวส์
98
วิธีการกำจัดหนอนสำหรับระบบปฏิบัติการวินโดวส์
ME
วิธีการกำจัดหนอนสำหรับระบบปฏิบัติการวินโดวส์
NT/2000/XP
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
ดาวน์โหลดไฟล์ FixSwen.exe จาก http://www.symantec.com/avcenter/FixSwen.exe
ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ
disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ
ข้อมูลเพิ่มเติมสำหรับ Windows ME และ
ข้อมูลเพิ่มเติมสำหรับ Windows XP)
จากนั้นทำการรันไฟล์ FixSwen.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม
start
รีสตาร์ทเครื่อง แล้วรัน FixSwen.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ
enable System Restore
ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
สแกนหาไวรัสทั้งระบบดูอีกครั้ง
การกำจัดหนอนด้วยมือ
ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP
ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME และ
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP)
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้
หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์
95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการปรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2
หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
ทำการแก้ไขเรจิสทรีย์ดังต่อไปนี้
เปิดโปรแกรม notepad.exe
ขึ้นมา
จากนั้นคัดลอกข้อความต่อไปนี้ใส่ลงในโปรแกรม
notepad.exe
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[-HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
@="\"%1\" %*"
บันทึกไฟล์ดังกล่าวไว้ที่ C:\
โดยใช้ชื่อว่า repair.reg
คลิ๊ก Start
เลือก Run
พิมพ์ regedit
-s \repair.reg
คลิ๊ก Start
เลือก Run อีกครั้งหนึ่ง
พิมพ์ regedit
แล้วกด OK เพื่อเข้าสู่โปรแกรม
Registry Editor
ค้นหาคีย์ชื่อ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ในฝั่งด้านขวามือ ลบค่าสุ่มที่หนอนสร้างขึ้นมา
ออกจากโปรแกรม Registry Editor
ข้อควรระวัง:
การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด
และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง
-->
การกำจัดหนอนแบบอัตโนมัติ
ดาวน์โหลดโปรแกรม MSN_Worm_Remover.exe จาก http://www.thaicert.nectec.or.th/advisory/alert/msnworm/MSN_Worm_Remover.exe
หมายเหตุขนาด: 111,104 ไบต์MD5: 42568A40BDB1BAB4FCAB16CD8E33A32D
ทำการรันไฟล์ที่ได้โดยการดับเบิลคลิ๊กไฟล์ MSN_Worm_Remover.exe
วิธีป้องกันตัวเองจากหนอนชนิดนี้
ห้ามรับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://www.thaicert.org/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ไม่มีความคิดเห็น:
แสดงความคิดเห็น