ชื่อ : W32.FBOUND.B@MM, W32.Dotjaypee@mm
ค้นพบเมื่อ : 13 มีนาคม 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.Dotjaypee@mm, JAPANIZE.A, FIDAO.A, FIDAO, W32/Fbound.b@MM, Win32/Japanize.Worm, I-Worm.Zircon.B, JAPANIZE.A
ระดับความรุนแรง : ปานกลางถึงรุนแรง (On Watch)

ข้อมูลทั่วไป
หนอนอินเทอร์เน็ต W32.Fbound@mm แพร่กระจายโดยอาศัยชื่อที่อยู่ของจดหมายจากโปรแกรม Microsoft Outlook โดยการใช้ SMTP Engine ของเครื่องที่ติดเชื้อจากหนอนร้าย นอกจากนี้หนอนร้ายตัวนี้จะแนบตัวเองมากับอี-เมล์ โดยใช้ชื่อหัวจดหมายว่าเป็นโปรแกรมอัพเดตที่สำคัญ และแนบไฟล์ชื่อ Patch.exe

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้ มีชื่อเรื่องดังต่อไปนี้

From: Any place .JP
Subject: "Important" หรือเป็นข้อความภาษาญี่ปุ่น
Body: [empty]

.
.
.

Attachement: patch.exe

เมื่อไฟล์ Patch.exe, ที่แนบมาทำงาน หนอนร้ายจะทำการส่งจดหมายออกไปยังที่อยู่ต่างๆ ตามที่เก็บ Windows Address Book และปกติหนอนร้ายตัวนี้จะไม่สามารถทำงานด้วยตนเองได้จนกว่าจะมีการ Double Click ไฟล์ที่แนบมาให้ทำงาน

วิธีป้องกันตัวเองจากไวรัส

1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ โดยเฉพาะไฟล์ patch.exe โดยเด็ดขาด นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
3. ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด

ความเสียหายต่อระบบ
หนอนจะทำงานหลังจากที่ผู้ใช้คลิกไฟล์ที่แนบมาให้ทำงาน โดยอาจเข้าใจผิดว่าไฟล์ที่แนบมาเป็นไฟล์สำหรับปรับปรุงระบบการทำงาน (Patch) จากนั้นหนอนจะทำการส่งจดหมายที่มีสำเนาของตัวเองไปยังที่อยู่ที่เก็บในสมุดที่อยู่ Windows Address Book

รายละเอียดทางเทคนิค
หนอนอินเตอร์เน็ต W32.Fbound@mm แพร่กระจายโดยอาศัยชื่อที่อยู่ของจดหมายจากโปรแกรม Microsoft Outlook โดยการใช้ SMTP Engine ของเครื่องที่ติดเชื้อจากหนอนร้าย โดยตัวอย่างจดหมายที่แพร่กระจายจะมีลักษณะใดลักษณะหนึ่งดังนี้

วิธีการแก้ไข
การกำจัดหนอนทำได้โดยการสแกนโดยโปรแกรมป้องกันไวรัส ที่ปรับปรุงฐานข้อมูลไวรัสล่าสุด

คำแนะนำในการกำจัด
ในกรณีที่ใช้โปรแกรมป้องกันไวรัส ทำการอัพเดพฐานข้อมูลไวรัสเป็นตัวล่าสุด และสแกนทั้งระบบ หากเจอไฟล์หนอนให้ลบไฟล์ดังกล่าวทิ้งทันที และติดตามข้อมูลข่าวสารไวรัส

ข้อมูลเพิ่มเติมสำหรับ Windows ME:
หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Uitility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Destop และ เลือก Properties
   
2. เลือกแถบ Performance
   
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
   
5. ใส่เครื่องหมายเลือก "Disable System Restore"
   
6. กดปุ่ม Apply
   
7. กดปุ่ม Close
   
8. กดปุ่ม Close อีกที
   
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
   
10. รีสตาร์ทเครื่องให้อยู่ใน Sefe Mode
    
11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
    

ข้อมูลอ้างอิง

• http://www.symantec.com/avcenter/venc/data/w32.dotjaypee@mm.html
• http://vil.mcafee.com/dispVirus.asp?virus_k=99386
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
  

เผยแพร่โดย ThaiCERT เมื่อ 14 มีนาคม 2545 17.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 15 มีนาคม 2545 11.50

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์