ชื่อ : W32.Badtrans.B@MM Worm
ค้นพบเมื่อ : 24 พฤศจิกายน 2544
ชนิด : หนอนอินเตอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.Badtrans
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
ตัวหนอน Badtrans.B จะอาศัยฟังก์ชั่นการทำงานของ MAPI (Messaging Application Program Interface) ในการกระจายตัวเองผ่านทางอี-เมล์ โดยมีชื่อไฟล์ที่สุ่มขึ้นมาแตกต่างกันออกไป เมื่อหนอนทำงานมันจะทำงานในลักษณะต่างๆ กันขึ้นกับการตั้งค่ารหัสควบคุมการทำงานของหนอน นอกจากนี้หนอนยังทำการปล่อยม้าโทรจันเพื่อดักจับเอาการกดคีย์บอร์ดที่สำคัญ สำหรับการเข้าโจมตีระบบในลักษณะต่างๆ ต่อไป และมีความเป็นไปได้ที่หนอนสามารถทำงานได้เองเมื่อโปรแกรมอ่านเมลล์ที่เป็น Microsoft Outlook และ Outlook Express ถูกเรียกขึ้นมาทำงาน

วิธีการแพร่กระจาย
ตัวหนอน Badtrans.B จะอาศัยฟังก์ชั่นการทำงานของ MAPI (Messaging Application Program Interface) ในการกระจายตัวเองผ่านทางเมลล์ โดยมี subject ในรูป

Subject : "ชื่อไฟล์ที่สุ่ม"
และ
Subject : "Re:=ชื่อไฟล์ที่สุ่ม"

และใช้ชื่อไฟล์แนบที่สุ่มขึ้นมาแตกต่างกันออกไป ซึ่งไฟล์ที่แนบมานั้นมีคุณสมบัติในการทำงานได้อย่างอัตโนมัติเช่น .pif ไฟล์ที่มีนามสกุลนี้ในในการติดตั้งโปรแกรมของวินโดว์ หรือไฟล์ที่มีนามสกุลเป็น .scr ซึ่งเป็นไฟล์สำหรับ screen saver แต่ไฟล์ที่แนบจะอาศัยการลวงโดยใช้นามสกุลที่1 เช่นส่งเอกสาร .doc เพลง .mp3 ไฟล์ถูกบีบอัด .zip และซ่อนนามสกุลที่ 2 ของไฟล์เอาไว้เพื่อลวง (วินโดว์จะไม่แสดงรายละเอียดหลังจุด (dot) ที่ 1) โดยเราจะพบไฟล์ที่มีชื่อของส่วนประกอบต่อไปนี้

ตัวอย่างไฟล์ที่แนบเช่น

CARD.DOC.PIF
NEWS_DOC.MP3.SCR

เมื่อหนอนทำงานมันจะทำการสำเนาตัวเองในไฟล์ชื่อ kernel32.exe ในไดเรกทรอรี่ "\windows\system" และจะทำการเพิ่มการเรียกไฟล์ทุกครั้งที่มีการบูตระบบลงในเรจิสทรีคีย์

HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe.

คำแนะนำในการกำจัด
ท่านควรดาวน์โหลดหรือปรับปรุงข้อมูลของรหัสไวรัส และทำการตรวจสอบไวรัสภายในเครื่อง โปรแกรมป้องกันไวรัสจะทำการลบและทำลายไวรัสดังกล่าวทันทีหลังจากพบ และควรลบเรจิสทรีคีย์ที่เรียกไฟล์ของตัวหนอนออกจากระบบ

Windows 95/98/ME

1. สตาร์ทวินโดว์ใน Safe Mode
2. รันโปรแกรมป้องกันไวรัสที่ติดตั้งในระบบของท่าน
3. ลบการเรียกไฟล์ที่ไวรัสได้ฝังไว้ในเรจิสทรี การแก้ไขเรจิสทรี
   

Windows NT/2000

1. ให้หยุดการทำงานของโพรเซส Kernel32.exe โดยการกดปุ่ม "Ctrl + Alt + Del" เลือก Task manager และเลือก Tab Processes คลิกที่ชื่อ Kernel32.exe คลิก End Process
2. ค้นหาไฟล์ที่ชื่อ Kernel32.exe และเปลี่ยนชื่อเป็นชื่ออื่นเช่น Kernel.old เป็นต้น
3. ลบการเรียกไฟล์ที่ไวรัสได้ฝังไว้ในเรจิสทรี การแก้ไขเรจิสทรี
4. รีสตาร์ทวินโดว์
5. รันโปรแกรมป้องกันไวรัสที่ติดตั้งในระบบของท่าน
   

fix tool
ใช้ fix tool จาก
http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.badtrans.b@mm.removal.tool.html โปรดอ่านคำแนะนำในการใช้งานด้วย (ภาษาไทย)

ในกรณีที่ท่านไม่มีโปรแกรมป้องกันไวรัส
วิธีกำจัดในกรณีที่ท่านไม่มีโปรแกรมป้องกันไวรัสและสงสัยว่าเครื่องท่านติดไวรัสตัวนี้ให้ปฏิบัติตามขั้นตอนดังนี้

1. สำหรับ windows 98/98/ME ให้ทำการสตาร์ทเครื่องใน Safe Mode สำหรับ windows NT/2000 ให้หยุดการทำงานของโพรเซส Kernel32.exe
2. ทำการค้นหาไฟล์ต่อไปนี้ในระบบโดยใช้คำสั่ง find ค้นหาไฟล์ที่มีชื่อดังต่อไปนี้ kernel32.exe, KERN32.EXE, HKSDLL.DLL, KDLL.DLL ซึ่งมักจะถูกเก็บอยู่ในไดเรกทรอรี่ \Windows\System หากพบไฟล์ดังกล่าวข้างต้นในระบบให้ทำการลบไฟล์ออกจากระบบ หากไม่สามารถลบไฟล์ดังกล่าวตามขั้นตอนปกติได้ ควรบูตระบบจากแผ่นดิสก์บูตระบบ--และเข้าไปลบไฟล์ดังกล่าว (ระบบวินโดว์มีไฟล์ kernel ที่ถูกต้องคือ kernel.dll เท่านั้น)
3. ลบการเรียกไฟล์ที่ไวรัสได้ฝังไว้ในเรจิสทรี การแก้ไขเรจิสทรี
   

การแก้ไขเรจิสทรี

1. ทำการลบเรจิสทรีคีย์ต่อไปนี้ โดยคลิกที่ปุ่ม Start -->Run -->Regedit
   และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
2. ในช่องทางด้านขวาหากปรากฏข้อความที่ตำแหน่ง Name เป็น Kernel32 และช่อง Data เป็น kernel32.exe ให้ลบคีย์นี้ออกจากระบบ เนื่องจากคีย์ดังกล่าวจะทำหน้าที่เรียกม้าโทรจันให้ทำงานทุกครั้งที่มีการบูตระบบ โดยม้าโทรจันจะทำการแอบดักจับการกดคีย์บอร์ดไว้ และเปิดประตูลับเพื่อให้ผุ้อื่นสามารถบุกรุกเข้าสู่ระบบได้
3. จากนั้นคลิกที่เมนู Registry เลือก Exit
4. ทำการบูตระบบใหม่อีกครั้ง (สำหรับ windows ME ให้ทำการ disable ฟังก์ชั่น System Restore ก่อนเสมอ)
5. ควรติดตั้งโปรแกรมสำหรับป้องกันไวรัสมาในระบบ และทำการสแกนระบบอีกครั้งหนึ่งเพื่อความปลอดภัย
   

หมายเหตุ การกระทำการใดๆ กับระบบเรจิสทรีมีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีไฟล์ไว้ก่อนทุกครั้ง
*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***
*** ผู้เขียน สัญญา คล่องในวัย ***

วิธีการป้องกัน
เนื่องจากช่องโหว่แบบ Incorrect MIME Header Can Cause IE to Execute E-mail Attachment [2] นั้นค้นพบมาตั้งแต่ 29 กันยายน 2543 ดังนั้น แนวทางป้องกันที่ดีที่สุดคือการปรับปรุง เวอร์ชั่นของโปรแกรม Microsoft Outlook และ Outlook Express ให้ใหม่ที่สุด และนอกจากนี้การ update ข้อมูลของไวรัสใหม่ๆ เป็นสิ่งจำเป็นสำหรับความปลอดภัย สำหรับเมลล์ที่เป็น Eudora ก็มีความเสี่ยงที่เกิดผลกระทบเนื่องจาก Eudora ทำงานโดยอาศัย MAPI

ความเสียหายที่เกิดขึ้น

• หนอนจะสำเนาตัวเองเข้าสู่ระบบและเรียกตัวเองขึ้นมาทำงานทุกครั้งที่มีการบูตระบบ
• มีการรัน keylogger program ที่สามารถแอบบันทึกข้อมูลการกด keyboard ซึ่งรวมไปถึงรหัสผ่าน หมายเลขบัตรเครดิต และข้อมูลส่วนบุคคลอื่นๆ
• เปิด backdoor ทำให้ถูกจู่โจมจากผู้บุกรุกได้ และนำไปสู่การถูกขโมยข้อมูลภายในเครื่อง
  

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User

1. ควรติดตั้ง และปรับปรุงโปรแกรม Microsoft Outlook และ Outlook Express รวมทั้งระบบปฎิบัติการ Windows ให้ใหม่ที่สุดอยู่สม่ำเสมอ
2. หมั่นตรวจสอบไวรัสต้วยโปรแกรมป้องกันไวรัสอย่างสม่ำเเสมอ และ คอยปรับปรุงข้อมูลของไวรัสอย่างสม่ำเสมอ
3. หมั่นสำรองข้อมูลของ registry ของระบบปฎิบัติการอย่างสม่ำเสมอ
   
   

links ที่เกี่ยวข้อง
IE 5.01 Service Pack 2
IE 5.5 Service Pack2

เอกสารอ้างอิง
[1] http://securityresponse.symantec.com/avcenter/venc/data/w32.badtrans.b@mm.html
[2] http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ปรับปรุงล่าสุด : 30 พฤศจิกายน 2544 10.09

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์