ชื่อ : W32.Bugbear@mm
ค้นพบเมื่อ : 1 ตุลาคม 2545
ปรับปรุงข้อมูลเมื่อ : 6 ตุลาคม 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Bugbear-A , WORM_BUGBEAR.A , Win32.Bugbear, W32/Bugbear@MM, I-Worm.Tanatos, W32/Bugbear, Tanatos
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป

W32.Bugbear@mm เป็นหนอนอินเทอร์เน็ตที่แพร่กระจายผ่านทางอี-เมล์ และการแชร์ไฟล์ผ่านระบบเครือข่ายด้วย นอกจากนี้ยังเก็บค่า keystroke และเปิดพอร์ตประตูหลัง (Back door port) หมายเลข 36794/TCP ฝังโปรแกรมม้าโทรจัน (Trojan Horse program) รวมทั้งมันยังสามารถหยุดการทำงานของโปรแกรมป้องกันไวรัส หรือไฟร์วอลล์ส่วนบุคคลในเครื่องที่ติดอีกด้วย สุดท้ายหนอนชนิดนี้ยังทำการ flood ไปยังเครื่องพิมพ์ที่ถูกแชร์ไว้ ซึ่งจะทำให้เครื่องพิมพ์พิมพ์ข้อมูลที่เป็นขยะออกมา

หนอนชนิดนี้มีต้นกำเนิดมาจากประเทศมาเลเซีย ถูกพัฒนาด้วยโปรแกรม Microsoft Visual C++ และถูกบีบอัดด้วย UPX v0.76.1-1.22

รูปแบบของหัวข้อของอี-เมล์ คือ

โปรแกรม Microsoft Internet Explorer (เวอร์ชั่น 5.01 หรือ 5.5 ที่ไม่ได้ติดตั้ง SP2) ในระบบปฎิบัติการที่ได้รับผลกระทบจากตัวหนอนตัวนี้ได้แก่ Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

สิ่งที่ชี้ให้เห็นว่าเครื่องติดหนอนร้ายชนิดนี้:

1. หนอนร้ายสุ่มข้อมูลของหัวข้อ เนื้อหา และไฟล์ที่แทรกมากับอี-เมล์ ดังตัวอย่างข้างต้น
2. หลังจากที่เครื่องติดหนอนชนิดนี้ ตัวหนอนจะสำเนาตัวเองเป็นไฟล์ ????.exe (? หมายถึงตัวอักษรใดๆ ที่สุ่มขึ้นมาโดยตัวหนอน) เช่น FAFS.EXE หรือ FFFA.EXE เป็นต้น ในโฟลเดอร์ของระบบ Windows เช่น C:\WINDOWS\SYSTEM32 ในระบบ Window 95, 98 หรือ C:\WINNT\SYSTEM32 ใน windows 2000, NT เป็นต้น (ในที่นี้ขอเรียกว่า C:\%System%)
3. ในระบบ Windows 9X ตัวหนอนจะสร้างไฟล์ C:\WINDOWS\Start Menu\Programs\Startup\CUU.EXE
4. ในระบบ Windows 2000/NT ตัวหนอนจะสร้างไฟล์ C:\Documents and Settings\<ชื่อ username ที่ติดไวรัส>\Start Menu\Programs\Startup\CTI.EXE
5. ตัวหนอนจะสร้างไฟล์ 5 ไฟล์ ในโฟลเดอร์ C:\%System% และ C:\%Windir%  (C:\%Windir% หมายถึงโฟลเดอร์ที่วินโดวส์ถูกติดตั้งอยู่ เช่น C:\Windows หรือ C:\Winnt) ดังต่อไปนี้
   
   
   • C:\%System%\iccyoa.dll
   • C:\%System%\lgguqaa.dll
   • C:\%System%\roomuaa.dll
   • C:\%Windir%\okkqsa.dat
   • C:\%Windir%\ussiwa.dat

   หมายเหตุ   เนื่องจากโปรแกรมป้องกันไวรัสไม่สามารถลบไฟล์ทั้ง 5 ไฟล์ข้างต้นได้ ดังนั้นต้องลบด้วยมือแทนการใช้โปรแกรมป้องกันไวรัส

6. มีการปรับเปลี่ยนค่าคีย์ในเรจิสทรีย์ โดยจะสร้างค่า <ตัวอักษรที่หนอนสุ่ม> <ชื่อไฟล์ของหนอน> ในเรจิสทรี

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

7. ตัวหนอนจะหยุดการทำงานของโปรแกรมที่มีชื่อ ดังต่อไนี้

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

8. ตัวหนอนค้นหารายชื่ออี-เมล์จากไฟล์ที่มีนามสกุล

MMF
NCH
MBX
EML
TBB
DBX
OCS

และ ค้นหาอี-เมล์ของผู้ใช้ระบบจาก เรจิสทรีย์

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

หนอนยังสร้างอี-เมล์แอดเดรสสำหรับกรอกในช่อง "From:" โดยใช้ข้อมูลของเครื่องที่ติดหนอนชนิดนี้ ซึ่งมีตัวอย่างของการปลอมแปลงอี-เมล์ของหนอนคือ สมมติว่าหนอนค้นหาอี-เมล์พบ a@a.com b@b.com และ c@c.com แล้วหนอนทำการสร้างอี-เมล์ส่งให้ a@a.com และปลอมแปลงแอดเดรสที่ใช้ส่งเป็น c@b.com เป็นต้น

ส่วนหัวเรื่องของอี-เมล์ที่หนอนทำการส่งดังที่กล่าวไว้ข้างต้น

หนอนชนิดนี้ยังอ่านค่าของ Personal ที่อยู่ในเรจิสทรีย์

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

และเรียงไฟล์ที่ถูกเก็บในโฟลเดอร์ My Documents ซึ่งรายชื่อไฟล์ที่ได้เหล่านี้จะถูกหนอนใช้ส่งไฟล์ที่แนบไปกับอี-เมล์ต่อไป ไฟล์ที่แนบมาอาจจะมีชื่อไฟล์ที่ประกอบด้วยคำเหล่านี้

readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

มีนามสกุลของไฟล์ที่ถูกเลือกเป็น

.scr
.pif
.exe

ถ้าหนอนใช้ชื่อไฟล์ที่ได้จากโฟลเดอร์ My Documents จะเปลี่ยนแปลงชนิดของข้อความให้มีลักษณะเกี่ยวข้องกันกับนานสกุลของไฟล์ ซึ่งนานสกุลเหล่านั้นได้แก่

.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp

ชนิดของข้อความที่สร้างขึ้นอาจจะเป็น

text/html
text/plain
application/octet-stream
image/jpeg
image/gif

การแพร่กระจายของตัวหนอนผ่านอี-เมล์นั้นจะอาศัยช่องโหว่ของโปรแกรม IE ที่เรียกว่า "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment"

9. ตัวหนอนจะเปิดพอร์ตหมายเลข 36794/TCP เพื่อเป็นประตูลับของผู้บุกรุก ในการใช้งานเครื่องหลังจากติดตัวหนอน
   • ลบไฟล์
   • ยุติการทำงานของโพรเซส
   • แสดงรายชื่อของโพรเซสที่กำลังทำงานและส่งรายชื่อนั้นไปยังผู้บุกรุก
   • คัดลอกไฟล์
   • สั่งให้โพรเซสเริ่มต้นทำงาน
   • แสดงรายชื่อของไฟล์ที่กำลังทำงานและส่งรายชื่อนั้นไปยังผู้บุกรุก
   • ส่งค่า keystroke ไปยังผู้บุกรุก (ในรูปแบบของการเข้ารหัส)
   • ส่งข้อมูลต่างๆ ของระบบไปยังผู้บุกรุกดังนี้
     • User: <ชื่อผู้ใช้>
     • Processor: <ชนิดของโพรเซสเซอร์ที่ใช้>
     • Windows version: <เวอร์ชั่นของวินโดวส์และ build number>
     • Memory information: <พื้นที่ของหน่วยความจำที่เหลือ ฯลฯ>
     • Local drive
   • แสดงรายชื่อและชนิดของ network resource และส่งรายชื่อนี้ไปยังผู้บุกรุก
10. นอกจากนี้ตัวหนอนยังมีความสามารถในการค้นหาเครื่องพิมพ์ในระบบเครือข่าย เพื่อสั่งเครื่องพิมพ์ดังกล่าวให้พิมพ์อย่างต่อเนื่องจำนวนมาก ซึ่งอาจจะทำให้เครื่องพิมพ์หยุดการทำงาน หรือสร้างความเสียหายได้

วิธีการแพร่ระบาด
ตัวหนอนนี้จะกระจายตัวผ่านอี-เมล์ไปยังที่มีช่องโหว่ของโปรแกรม Outlook ที่มาพร้อมกับ IE และ ผ่านทางการแชร์ไฟล์ในระบบเครือข่าย

วิธีกำจัด

• สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
  1. ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
  2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
  3. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
     
     
• การกำจัดตัวหนอนด้วยตัวเอง
  1. ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
  2. ค้นหา และลบไฟล์ ต่างๆ ทั้งหมดที่กล่าวมาแล้วข้างต้น
  3. เลือก Start -> Run, พิมพ์ regedit และกด Enter
     • ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->RunOnce ลบค่าต่างๆที่เพิ่มโดยตัวหนอน ในช่องขวามือของเรจิสทรีย์ออก

  ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง

• การกำจัดหนอนแบบอัตโนมัติ
  1. ดาวน์โหลดไฟล์ FxBgbear.exe จาก http://securityresponse.symantec.com/avcenter/FxBgbear.exe
  2. ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
  3. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
  4. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
  5. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
  6. จากนั้นทำการรันไฟล์ FxBgbear.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
  7. รีสตาร์ทเครื่อง แล้วรัน FxBgbear อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
  8. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
  9. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
  10. เมื่อรัน Tools ดังกล่าวเรียบร้อยแล้ว ถ้าเครื่องดังกล่าวติดไวรัสชนิดดังกล่าวจะปรากฎที่มีรายละเอียดดังนี้
      • จำนวนไฟล์ที่ถูกสแกน
      • จำนวนไฟล์ที่ถูกลบ
      • จำนวนโพรเซสของไวรัสที่ถูกหยุดการทำงาน
      • จำนวนเรจิสทรีย์ที่ถูกลบ โดยเรจิสทรีย์ดังกล่าวเป็นเรจิสทรีย์ที่ไวรัสทำการเพิ่มเข้าไป

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้

   Internet Explorer 5.01 SP2
   IE 5.5 SP2
   IE 6.0 SP1

6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ

ช้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html
• http://vil.mcafee.com/dispVirus.asp?virus_k=99728

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 1 ตุลาคม 2545 23.30 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 6 ตุลาคม 2545 03.00 น.