ชื่อ : JS.Gigger.A@mm
ค้นพบเมื่อ : 9 มกราคม 2545
ชนิด : หนอนอินเตอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : n/a
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
หนอนอินเตอร์เน็ต JS.Gigger.A@mm ถูกพัฒนาขึ้นโดยจาวาสคริปต์ แพร่กระจายโดยอาศัย Microsoft Outlook และโปรแกรม mIRC เมื่อหนอนทำงานมันสามารถที่จะลบไฟล์ทั้งหมดที่เก็บอยู่ในฮาร์ดดิสก์ หรือแม้กระทั่งการฟอร์แมตไดร์ฟ C ในกรณีที่โดนเล่นงานด้วยหนอนตัวนี้ถ้ามันทำงานโดยสมบูรณ์ และมีการรีบูตระบบ

ความเสียหายต่อระบบ
หนอนจะทำการส่งจดหมายที่มีสำเนาของตัวเองไปยังที่อยู่ที่เก็บในสมุดที่อยู่ของโปรแกรม Microsoft Outlook ทำการลบไฟล์ทุกไฟล์ในฮาร์ดดิสก์ นอกจากนี้หนอนจะทำการแก้ไขไฟล์ Autoexec.bat โดยเพิ่มบรรทัดคำสั่งให้ฟอร์แมตฮาร์ดดิสก์

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้
นอกจากนี้หัวข้อจดหมายถูกทำให้มีความน่าเชื่อถือสูงโดยใช้หัวข้อที่เกี่ยวข้องกับการอัพเดตโปรแกรมของไมโครซอฟท์ จะมีชื่อเรื่องดังต่อไปนี้

Subject: Outlook Express Update
Message: MSNSofware Co.
Attachement: Mmsn_offline.htm

หากหนอนทำงานมันจะสร้างไฟล์ดังต่อไปนี้

• C:\Bla.hta
• C:\B.htm
• C:\Windows\Samples\Wsh\Charts.js
• C:\Windows\Help\Mmsn_offline.htm

โดยไฟล์เหล่านี้จะแพร่กระจายโดยติดในไฟล์ .html และหนอนจะเพิ่มคำสั่ง

ECHO y|format c:

ลงในไฟล์ Autoexec.bat หากมีการรีบูตเครื่องคอมพิวเตอร์ไดร์ฟ C จะถูกฟอร์แมตในทันที
นอกจากนี้ในบางกรณี หนอนจะทำการสร้างสคริปต์ไฟล์ที่ทำงานได้กับโปรแกรม mIRC และมันสามารถกระจายไปยังห้องสนทนาเมื่อมีการเรียกใช้โปรแกรม mIRC
หนอนจะทำการแก้ไขข้อมูลต่างๆ ในเรจิสทรีคีย์ดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0

และเพิ่มข้อมูล NAV DefAlert ในเรจิสทรีคีย์ที่ตำแหน่ง

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

นอกจากนี้หากเครื่องคอมพิวเตอร์มีการใช้งานเชื่อมต่อระบบเน็ตเวิร์ค และมีการแชร์ไดร์ฟในเน็ตเวริค์ หนอนจะสำเนาตัวเองลงในเน็ตเวริค์ไดร์ฟดังกล่าวโดยจะสำเนาไฟล์ไปที่

\Windows\Start Menu\Programs\StartUp\Msoe.hta

และเมื่อมีการบูตระบบมันจะทำการลบไฟล์ทั้งหมดจากฮาร์ดดิสก์

วิธีการแก้ไข
การกำจัดหนอนทำได้โดยการลบไฟล์ทุกไฟล์ที่ตรวจพบว่ามีรหัสหนอน JS.Gigger.A@mm แทรกอยู่ และลบคำสั่งในที่หนอนเพิ่มเข้ามาในไฟล์ Autoexec.bat และลบคีย์ที่ถูกเพิ่มในเรจิสทรีทั้งหมด

หมายเหตุ: หากหนอนทำงาน และได้ทำการลบไฟล์ทั้งหมดในฮาร์ดดิสก์ไปแล้ว ควรที่จะติดตั้งระบบปฏิบัติการและโปรแกรมต่างๆใหม่ทั้งหมด โดยการติดตั้งแบบ clean Installation

คำแนะนำในการกำจัด
ในกรณีที่ใช้โปรแกรมป้องกันไวรัส ทำการอัพเดพฐานข้อมูลไวรัสเป็นตัวล่าสุด และสแกนทั้งระบบ หากเจอไฟล์หนอนให้ลบไฟล์ดังกล่าวทิ้งทันที

การแก้ไขไฟล์ Autoexec.bat

1. คลิกปุ่ม Start, และคลิก Run.
2. พิมพ์คำสั่งต่อไปนี้และคลิก OK.

   edit c:\autoexec.bat
   โปรแกรม MS-DOS Editor จะทำงาน

3. ค้นหาบรรทัดคำสั่งที่มีลักษณะดังนี้

   ECHO y|format c:
   หากพบบรรทัดคำสั่งในลักษณะดังกล่าวให้ทำการลบบรรทัดนี้ออก

4. คลิกเมนู File และเลือก Save
5. คลิกเมนู File และเลือก Exit.

การแก้ไขเรจิสทรีไฟล์:
ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีมีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีไฟล์ไว้ก่อนทุกครั้งและควรอ่านศึกษาเพิ่มเติมจากเอกสาร How to back up the Windows registry

1. ทำการลบเรจิสทรีคีย์ต่อไปนี้ โดยคลิกที่ปุ่ม Start -->Run -->Regedit และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

2. ในช่องด้านขวาให้ทำการลบค่านี้ออกจากคีย์

   NAV DefAlert

3. ทำการค้นหาและลบคีย์ทั้งหมดต่อไปนี้

   HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
   HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0

4. จากนั้นคลิกที่เมนู Registry เลือก Exit

*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เผยแพร่โดย ThaiCERT เมื่อ 11 มกราคม 2544 12.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 11 มกราคม 2544 12.00

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์