ชื่อ : W32.Fizzer@mm
ค้นพบเมื่อ : 8 พฤษภาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/Fizzer@MM , Win32.Fizzer , W32/Fizzer-A , WORM_FIZZER.A , Fizzer, Win32/Fizzer.A@mm, I-Worm.Fizzer
ระดับความรุนแรง : ปานกลาง

W32.Fizzer@mm สามารถกระจายตัวเองผ่านทางอี-เมล์ และการแชร์ไฟล์แบบ peer to peer ของโปรแกรม KaZaA หนอนชนิดนี้มีความสามารถในการแพร่กระจายในเครื่องได้มากมายหลายวิธี และพยายามที่จะโจมตีการทำงานของโปรแกรมป้องกันไวรัสและลบโปรแกรมป้องกันไวรัสเหล่านั้น นอกจากนี้ยังจะเปิดช่องโหว่ในเครื่องที่ติดหนอนชนิดนี้เพื่อให้ไวรัสชนิดอื่นสามารถแพร่กระจายในเครื่องได้

การแพร่กระจายตัวของหนอนนี้ผ่านทางอี-เมล์ด้วยไฟล์ที่แนบมา ซึ่งไฟล์ที่แนบมานั้นจะมีชื่อต่างๆ มากมาย แต่ไฟล์ที่ถูกแนบมาส่วนใหญ่จะมีนามสกุล .EXE .PIF .SCR หรือ .COM อี-เมล์เหล่านี้จะถูกส่งไปยังแอดเดรสที่ถูกสุ่มขึ้นมาและแอดเดรสที่หาพบในเครื่องที่ติดหนอนชนิดนี้

หนอนชนิดนี้จะติดตั้งประตูลับเพื่อให้ผู้พัฒนาไวรัสสามารถเข้ามาควบคุมเครื่องที่ติดหนอน จึงทำให้สามารถจะใช้เป็นฐานในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ไปยังเครื่องที่อยู่ในอินเทอร์เน็ตต่อไปได้

เมื่อหนอน W32.Fizzer@mm มีกระบวนการทำงานดังนี้

วิธีการกำจัดด้วยมือ

1. ปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัส
2. สแกนหาไวรัสทั้งระบบและลบไฟล์ทุกไฟล์ที่ติดหนอนชนิดนี้
3. ลบค่าเรจิสทรีย์คีย์ที่หนอนทำการเพิ่มเข้าไป กล่าวคือลบค่า

"SystemInit"="%windir%\iservc.exe"


ในเรจิสทรีย์คีย์

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ทำการแก้ไขค่า

notepad.exe %1


ในเรจิสทรีย์คีย์ที่ชื่อ

HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command

จากนั้นก็รีสตาร์ทเข้าสู่ระบบปกติ

ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง

การกำจัดหนอนแบบอัตโนมัติ

1. ดาวน์โหลดไฟล์ FixFiz.exe จาก http://securityresponse.symantec.com/avcenter/FixFiz.exe
2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
5. จากนั้นทำการรันไฟล์ FixFiz.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
6. รีสตาร์ทเครื่อง แล้วรัน FixFiz.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้

   Internet Explorer 5.01 SP2
   IE 5.5 SP2
   IE 6.0 SP1

6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php

ช้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.fizzer@mm.html
• http://www.f-secure.com/v-descs/fizzer.shtml
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FIZZER.A
• http://vil.mcafee.com/dispVirus.asp?virus_k=100295
• http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=42884

*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เผยแพร่โดย ThaiCERT เมื่อ 13 พฤษภาคม 2546 9:43
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 14 พฤษภาคม 2546 9:22

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์