ชื่อ : W32.Frethem.B@mm, W32.Frethem.K@mm ,W32.Frethem.L@mm
ค้นพบเมื่อ : 15 กรกฎาคม2545
ปรับปรุงข้อมูลเมื่อ : 16 กรกฎาคม 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)

ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
หนอนอินเทอร์เน็ตชนิดนี้ถูกพัฒนามาจาก W32.Frethem.B@mm ตัวหนอนจะการกระจายตัวผ่านอี-เมล์ ตามรายชื่ออี-เมล์แอดเดรสที่ปรากฎอยู่ใน Microsoft Windows Address Book ผ่านโปรแกรม SMTP ภายในตัวหนอน ตัวหนอนจะอาศัยช่องโหว่ IFRAME และ MIME ของโปรแกรม IE (http://www.microsoft.com/technet/security/bulletin/MS01-020.asp)

รูปแบบของหัวข้อของอี-เมล์ คือ

ระบบปฎิบัติการที่ได้รับผลกระทบจากตัวหนอนตัวนี้ได้แก่ Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

สิ่งที่ชี้ให้เห็นว่าเครื่องติดหนอนร้ายชนิดนี้:

1. หนอนร้ายสุ่มข้อมูลของหัวข้อ เนื้อหา และไฟล์ที่แทรกมากับอี-เมล์ ดังตัวอย่างข้างต้น
2. หลังจากที่เครื่องติดหนอนชนิดนี้ ตัวหนอนจะสำเนาตัวเองเป็นไฟล์ Taskbar.exe, Winstat.ini ในโฟลเดอร์ของระบบ Windows เช่น C:\WINDOWS\ ในระบบ Window 95, 98 หรือ C:\WINNT ใน windows 2000, NT เป็นต้น
3. มีการปรับเปลี่ยนค่าคีย์ในเรจิสทรีย์ดังนี้

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\
   Internet Account Manager\Accounts\00000001\SMTP Server
   HKEY_CURRENT_USER\Software\Microsoft\
   Internet Account Manager\Accounts\00000001\SMTP Email Address

   หรือ
   

   HKEY_CURRENT_USER\Software\Microsoft\
   Internet Account Manager\Accounts\00000001\SMTP Display Name

4. การกระจายตัวของตัวหนอนจะเกิดหลังจากเครื่องคอมพิวเตอร์ติดตัวหนอนเป็นเวลานานหลายชั่วโมง เมื่อถึงเวลาการกระจายตัวของตัวหนอน ตัวหนอนจะค้นหารายชื่อที่อยู่ของจดหมายในไฟล์ Windows Address Book (.dbx, .wab, .mbx, .eml, และ .mdb ) ตัวหนอนจะแพร่กระจายผ่านรายชื่อดังกล่าว โดยใช้ SMTP server ของตัวมันเอง
5. ตัวหนอนจะทำงานทุกครั้งเมื่อเปิดใช้เครื่อง โดยตัวหนอนจะสำเนาตัวเองเป็นไฟล์ C:\%WINDOWS%\All Users\Start Menu\Programs\Startup\Setup.exe (โฟลเดอร์ %WINDOWS% เปลี่ยนแปลงตามชนิดของระบบปฎิบัติการ)
6. ระบบทำงานช้าลงเนื่องจาก การทำงานของ SMTP server ของตัวหนอนที่ทำหน้าที่กระจายตัวของตัวหนอน
   

วิธีการแพร่ระบาด
เนื่องจากตัวหนอนตัวนี้อาศัยช่องโหว่ของ IE Browser และ Outlook ที่มาพร้อมกับ IE ดังนั้นตัวหนอนจะสามารถแพร่กระจายได้สองทางใหญ่ คือ ผ่านทางอี-เมล์ และ ผ่านเว็บเพจ

วิธีกำจัด

• สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
  1. ปรับปรุง Virus Profile ใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
  2. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุง Virus Profile จากข้อที่ 1. หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบ
     
     
• การกำจัดตัวหนอนด้วยตัวเอง
  1. ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
  2. ค้นหา และลบไฟล์ ดังต่อไปนี้

     Taskbar.exe
     Winstat.ini

  3. เลือก Start -> Run, พิมพ์ regedit และกด Enter
     • ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE ->Software ->Microsoft>Windows->CurrentVersion->Run สำหรับ windows 95/98/ME
     • ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE->System->CurrentControlSet->Services สำหรับ windows 2000/XP
       
  4. ลบค่า Task Bar ในช่องขวามือของเรจิสทรีย์ออก

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และโปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
   
2. เลือกแถบ Performance
   
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
   
5. ใส่เครื่องหมายเลือก "Disable System Restore"
   
6. กดปุ่ม Apply
   
7. กดปุ่ม Close
   
8. กดปุ่ม Close อีกที
   
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
   
10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
    
11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
3. ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด
4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของ Internet Explorer ดังลิงค์ด้านล่างนี้

   Internet Explorer 5.01 SP2
   IE 5.5 SP2
   IE 6.0

5. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php

ช้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K
• http://vil.mcafee.com/dispVirus.asp?virus_k=99566

*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับ ระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 16 กรกฏาคม 2545 09:30 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 16 กรกฏาคม 2545 09:30 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์