ชื่อ : W32.Gibe@mm
ค้นพบเมื่อ : 4 มีนาคม 2545
ชนิด : ม้าโทรจัน (Trojan Horse) และหนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/Gibe@mm, WORM_GIBE.A, W32/Gibe-A
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
หนอนอินเทอร์เน็ต W32.Gibe@mm แพร่กระจายโดยอาศัยชื่อที่อยู่ของจดหมายจากโปรแกรม Microsoft Outlook โดยการใช้ SMTP Engine ของตนเอง นอกจากนี้หนอนร้ายตัวนี้จะแนบตัวเองมากับอี-เมล์ โดยใช้ชื่อหัวจดหมายว่าเป็นโปรแกรมอัพเดตที่สำคัญจากไมโครซอฟท์ และแนบไฟล์ชื่อ Q216309.exe

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้
นอกจากนี้หัวข้อจดหมายถูกทำให้มีความน่าเชื่อถือสูงมีชื่อเรื่องดังต่อไปนี้

From: Microsoft Corporation Security Center
Subject: Internet Security Update
Body:

Microsoft Customer,
this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities
.
.
.
How to install
Run attached file q216309.exe
How to use
You don't need to do anything after installing this item.
.
.
.

Attachement: Q216309.exe

ไฟล์ Q216309.exe, ที่แนบมาพัฒนามาจากภาษา Visual Basic ซึ่งประกอบด้วยส่วนของโครงสร้างของหนอนร้ายภายในตัว และเมื่อโปรแกรมทำงานมันจะทำงานในรูปแบบต่างๆดังนี้

หนอนร้ายจะทำการสร้างไฟล์ดังต่อไปนี้

• \Windows\Q216309.exe (122,880 bytes). ไฟล์ทั้งหมดของหนอนร้าย
• \Windows\Vtnmsccd.dll (122,880 bytes). ไฟล์นี้มีมีโครงสร้างทั้งหมดเหมือนกับไฟล์ Q216309.exe.
• \Windows\BcTool.exe (32,768 bytes). ไฟล์ที่ทำหน้าที่กระจายตัวเองโดยอาศัยโปรแกรม Microsoft Outlook และ SMTP.
• \Windows\GfxAcc.exe (20,480 bytes). ไฟล์ม้าโทรจันที่ทำหน้าที่เปิดประตูที่พอร์ท 12378 เข้าสู่ระบบ
• \Windows\02_N803.dat (size varies). ไฟล์เก็บข้อมูลของที่อยู่อี-เมล์ ที่ค้นพบสร้างโดยหนอนร้าย
• \Windows\WinNetw.exe (20,480 bytes). ไฟล์ที่ทำหน้าที่ค้นหาที่อยู่อี-เมล์ และเขียนข้อมูลไปยังไฟล์ 02_N803.dat

วิธีป้องกันตัวเองจากไวรัส

1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ โดยเฉพาะไฟล์ Q216309.exe โดยเด็ดขาด นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
3. ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด

ความเสียหายต่อระบบ
หนอนจะทำงานโดยการที่ผู้ใช้คลิกไฟล์ที่แนบมา ให้ทำงานโดยอาจเข้าใจผิดว่าไฟล์ที่แนบมาเป็นไฟล์สำหรับปรับปรุงระบบการทำงานจากไมโครซอฟท์ จากนั้นหนอนจะทำการส่งจดหมายที่มีสำเนาของตัวเองไปยังที่อยู่ที่เก็บในสมุดที่อยู่ Windows Address Book ที่ใช้งานโดยโปรแกรม Microsoft Outlook และสามารถค้นหาที่อยู่จากไฟล์ที่มีส่วนขยาย.htm, .html, .asp, and .php ภายในระบบได้

นอกจากนี้หนอนร้ายจะทำการติดตั้งโปรแกรมม้าโทรจันลงในระบบ เพื่ออนุญาตให้แฮ็คเกอร์สามารถควบคุมระบบได้ โดยซอฟแวร์ป้องกันไวรัสสามารถตรวจสอบโทรจันชนิดนี้ได้

รายละเอียดทางเทคนิค
เมื่อไฟล์ของหนอนร้ายทำงานมันจะทำงานดังนี้

สำเนาตัวเองเข้าสู่ระบบ LoadDBackUp C:\Windows\BcTool.exe
3Dfx Acc C:\Windows\GFXACC.exe

แก้ไขเรจิสทรีคีย์ดังนี้

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

สร้างเรจิสทรีคีย์สำหรับตัวเอง

HKEY_LOCAL_MACHINE\Software\AVTech\Settings

และเพิ่มข้อมูลต่อไปนี้ลงในคีย์

Installed ... by Begbie
Default Address <Default Email Address>
Default Server <Default Server>

และสุดท้ายไฟล์ BcTool.exe จะทำการสำเนาตัวเองและส่งไฟล์ \Windows\Q216309.exeออกไปยังที่อยู่อี-เมล์ที่ค้นพบในโปรแกรม Microsoft Outlook address book และที่อยู่ที่ค้นพบในไฟล์ .htm, .html, .asp, and .php และเก็บข้อมูลลงไฟล์ 02_N803.dat

วิธีการแก้ไข
การกำจัดหนอนทำได้โดยการสเกนโดยโปรแกรมป้องกันไวรัส และลบไฟล์ต่างๆที่สร้างโดยหนอนตัวนี้รวมทั้งลบค่าในเรจิสทรีที่หนอนสร้างขึ้น

คำแนะนำในการกำจัด
ในกรณีที่ใช้โปรแกรมป้องกันไวรัส ทำการอัพเดพฐานข้อมูลไวรัสเป็นตัวล่าสุด และสแกนทั้งระบบ หากเจอไฟล์หนอนให้ลบไฟล์ดังกล่าวทิ้งทันที

การแก้ไขเรจิสทรี:
ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีมีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีไฟล์ไว้ก่อนทุกครั้ง

1. คลิกที่ปุ่ม Start -->Run -->Regedit และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

2. ในช่องทางด้านขวามือ ลบค่าของคีย์ต่อไปนี้

   LoadDBackUp C:\Windows\BcTool.exe
   3Dfx Acc C:\Windows\GFXACC.exe

3. ค้นหาและลบคีย์ในเรจิสเตอร์ต่อไปนี้
   
   HKEY_LOCAL_MACHINE\Software\AVTech
   
   
4. จากนั้นคลิกที่เมนู Registry เลือก Exit

ข้อมูลอ้างอิง

• http://www.symantec.com/avcenter/venc/data/w32.gibe@mm.html
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_GIBE.A
• http://vil.mcafee.com/dispVirus.asp?virus_k=99377

เผยแพร่โดย ThaiCERT เมื่อ 7 มีนาคม 2545 15.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 7 มีนาคม 2545 15.00

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์