ThaiCERT : Advisories & Alerts : Alert : W32.magistr.24876@mm

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

ชื่อ : W32.magistr.39921@mm
ค้นพบเมื่อ : 3 กันยายน พ.ศ. 2544
ชนิด : ไวรัส, หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : I-Worm.Magistr.b(AVP), PE_MAGISTR.B, W32magistr.39921@mm(NAV), Win32.Magistr.B(CA)

รายละเอียด
W32magistr.b@mm เป็น ไวรัสที่มีความเสี่ยงในการติดต่อระดับปานกลางซึ่งมีการกระจายตัวการติดไวรัสต่อผู้รับ E-mail ที่มีอยู่ใน Address Book ของผู้ส่งที่ติดไวรัสตัวนี้ ไม่ว่าจะเป็น Outlook Express, Netscape และ Eudora เพราะฉะนั้น E-mail ที่ติดไวรัสอาจจะถูกส่งมาจากผู้ส่งที่รู้จักสนิทสนมก็ได้
สำหรับข้อความที่ส่งมา จะถูกส่งมาในรูปของ attached file หนึ่งไฟล์หรือมากกว่าก็ได้ และอาจจะรวมถึงไฟล์ที่มีนามสกุลไม่เป็น .EXE หรือเป็นไฟล์ที่ไม่ติดไวรัสแนบมากับไฟล์ที่ติดไวรัสที่เป็น .EXE

ความเสียหายที่เกิดขึ้น
1. ทำให้เกิดการแพร่กระจายของ ไวรัส E-mail โดยอาศัย E-mail Address ที่อยู่ใน Address Book
2. ทำให้ระบบเครื่องไม่ stable โดย ไวรัสตัวนี้มีผลทำลาย Harddisk, Cmos และ flash BIOS
3. ส่งข้อมูลที่เป็นความลับออกโดยไม่รู้ตัว

กระบวนการทำงานของ worm ตัวนี้
ภายใน 5 นาทีหลังจากที่ติดไวรัส ก็ทำการแพร่กระจายโดยส่งไวรัสไปยังผู้รับที่มีที่อยู่ใน Address Book ตามที่ได้กล่าวข้างต้น โดยไวรัสตัวนี้ทำการ infect ไฟล์ .EXE ประเภท 32 bit PE ที่พบในไดเร็คทอรี่ system และ ไดเร็คทอรี่ย่อยอื่นๆ code ของไวรัสตัวนี้จะถูกผ่านขั้นตอนต่างๆเช่น encrypted และ polymorphic และ anti-debugging เพื่อให้ยากต่อการตรวจจับ
ไวรัสตัวนี้จัดว่าอยู่ในตระกูลเดียวกับและมีคุณลักษณะอื่นๆคล้ายกับ W32magistr.a@mm แต่จะมีข้อที่แตกต่างก็คือ
1. ใช้ขั้นตอนการ encryption ที่ซับซ้อนกว่า
2. ตรวจหาไฟล์ที่เป็น .NTZ ทั้งหมดในเครื่อง
3. หยุดการทำงานของ โปรแกรม ZoneAlarm firewall
4. ทำการสร้าง [boot] shell ในไฟล์ SYSTEM.INI เพื่อให้ไวรัสเริ่มทำงานทันทีที่เปิดเครื่อง
5. random ในการสร้างไฟล์ที่มีนามสกุลต่างๆกันเช่น .bat .com .exe .pif เพื่อใช้ในการส่ง E-mail
6. ทำการเขียนทับไฟล์ WIN..COM/NTLDR และส่ง ไฟล์นามสกุล .GIF ที่พบในเครื่องไปพร้อมกับ E-mail ที่ติดไวรัส

วิธีกำจัด worm ตัวนี้
1. ทำการ update anti-virus ทุกๆสัปดาห์เพื่อให้แน่ใจว่า anti-virus ในเครื่องมีข้อมูลของ virus ตัวล่าสุดแล้ว
2. ใช้ anti-virus scan ทั้งระบบ
3. ถ้ามีไฟล์ที่ติดเชื้อก็ทำการ repair ด้วย anti-virus นั้นๆ

วิธีกำจัด W32.Magistr.Trojan entry
หลังจากทำการ Update โปรแกรม anti-virus และกำจัดไวรัสที่ติดในเครื่องแล้ว ให้ทำการกำจัด entry ใน ไฟล์ System.ini โดยทำการขั้นตอนดังนี้
1. รันคำสั่ง edit c:\windows\system.ini
2. หา [boot] section ในไฟล์ มีข้อความว่า shell=Explorer.exe
3. ให้ลบข้อความที่ตามหลัง Explorer.exe ในบรรทัดนั้นทั้งหมด
4. ทำการ save ไฟล์ และออกจากโปรแกรม

(Ref: http://www.symantec.com/avcenter/venc/data/w32.magistr.39921@mm.html และ http://vil.mcafee.com/dispVirus.asp?virus_k=99199&)

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์