|
ชื่อ : W32/Aliz.Worm
ค้นพบเมื่อ : 22 มิถุนายน 2544 ปรับปรุงล่าสุด : 20
พฤศจิกายน 2544
ชนิด : หนอนอินเตอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/aliz@MM
ระดับความรุนแรง : ปานกลาง
ข้อมูลทั่วไป
หนอนอินเตอร์เน็ต W32/Aliz จัดอยู่ในพวกหนอนที่ใช้ SMTP Engine อย่างง่าย
ทำการส่งจดหมายอิเล็กทรอนิกส์จำนวนมากออกไปยังบุคคลอื่นโดยอาศัยที่อยู่ของผู้รับที่เก็บอยู่ใน
Windows Address Book ของโปรแกรมไมโครซอฟท์เอ้าท์ลุก
วิธีการแพร่กระจาย
เมื่อได้รับจดหมายอิเล็กทรอนิกส์ที่มีหนอนร้ายตัวนี้ฝังอยู่ หนอนร้ายจะแพร่กระจายโดยการสำเนาตัวเองแนบไปกับจดหมายอิเล็กทรอนิกส์โดยผ่านทางไมโครซอฟท์เอ้าท์ลุก
ตามที่อยู่ที่เก็บอยู่ ตัวหนอนนี้จะอาศัยช่องโหว่ของโปรแกรม Microsoft
Outlook และ Outlook Express ในการเรียกใช้งานโปรแกรมอย่างอัตโนมัติ
เข่นเดียวกับตัวหนอน Nimda [2]
วิธีการกำจัด
หนอนร้ายชนิดนี้สามารถตรวจพบและกำจัดได้โดยง่าย โดยใช้โปรแกรมป้องกันไวรัสที่มีการอัพเดตไฟล์ฐานข้อมูลไวรัสตัวปัจจุบัน
และ Configuration options ให้โปรแกรมป้องกันไวรัสทำการสเกนไฟล์ทุกไฟล์ในเครื่อง
การทำงานของตัวหนอน
ตัวหนอนจะทำงานโดยอาศัย SMTP engine ของตัวเองในการส่งเมลล์ไปยัง SMTP
server โดยค้นหาข้อมูลแอดเดรสของ SMTP server จาก "Internet Manager
Account" ที่เก็บอยู่ใน เรจิสทรีเครื่องที่ติดตัวหนอน และเมลล์แอดเดรสจะถูกดึงมาจาก
Windows Address Book โดยตัวหนอนจะค้นจากคีย์
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab
File Name.
โดยหัวข้อของเมลล์จะเป็นเรื่องที่สุ่มขึ้นมาโดยมีคำดังต่อไปนี้
Fw:
Fw: Re: |
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many |
website
site
pics
urls
pictures
stuff
mp3s
shit
music
info |
to check
for you
i found
to see
here
- check it |
!!
!
:-)
?!
hehe ;-) |
ตัวอย่างหัวจดหมายที่ประกอบด้วยคำที่แสดงข้างต้น
"Fw: Cool pictures - check it!"
คำแนะนำในการกำจัด
ในกรณีที่ท่านมีโปรแกรมป้องกันไวรัส ท่านควรดาวน์โหลดหรือปรับปรุงข้อมูลของไวรัส
และทำการตรวจสอบไวรัสจากเครื่อง โปรแกรมป้องกันไวรัสจะทำการลบและทำลายไวรัสดังกล่าวทันทีหลังจากพบ
วิธีการป้องกัน
เนื่องจากช่องโหว่แบบ Incorrect MIME Header Can Cause IE to Execute
E-mail Attachment [2] นั้นค้นพบมาตั้งแต่ 29 กันยายน 2543 ดังนั้น
แนวทางป้องกันที่ดีที่สุดคือการปรับปรุง เวอร์ชั่นของโปรแกรม Microsoft
Outlook และ Outlook Express ให้ใหม่ที่สุด และนอกจากนี้การ update
ข้อมูลของไวรัสใหม่ๆ เป็นสิ่งจำเป็นสำหรับความปลอดภัย
ความเสียหายที่เกิดขึ้น
ความรุนแรงของตัวหนอนนี้มีความร้ายแรงในระดับกลาง โดยระหว่างที่ตัวหนอนทำงาน
ทรัพยากรของระบบเช่น หน่วยความจำ หรือ การทำงานของ ซีพียู จะถูกใช้งานในการส่งเมล์เพื่อกระจายตัวเอง
ที่มีข้อมูลขนาดใหญ่ โดยอาจให้ระบบไม่สามารถให้บริการได้ตามปรกติ และ
การแผร่กระจายชองตัวหนอนนี้ค่อนข้างรวดเร็วเนื่องจากอาศัยช่องโหว่เดียวกันกับ
Nimda
คำแนะนำสำหรับผู้ดูแลระบบ
/ Advanced User
1. ควรติดตั้ง และปรับปรุงโปรแกรม Microsoft Outlook และ Outlook Express
รวมทั้งระบบปฎิบัติการ Windows ให้ใหม่ที่สุดอยู่สม่ำเสมอ
2. หมั่นตรวจสอบไวรัสต้วยโปรแกรมป้องกันไวรัสอย่างสม่ำเเสมอ และ คอยปรับปรุงข้อมูลของไวรัสอย่างสม่ำเสมอ
3. หมั่นสำรองข้อมูลของ registry ของระบบปฎิบัติการอย่างสม่ำเสมอ
links ที่เกี่ยวข้อง
IE
5.01 Service Pack 2
IE
5.5 Service Pack2
เอกสารอ้างอิง
[1] http://www.symantec.com/avcenter/venc/data/w32.aliz.worm.html
[2] http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ปรับปรุงล่าสุด
: 23 พฤศจิกายน 2544 17:45
|
