ThaiCERT : Advisories & Alerts : Alert : Goner.A

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

ชื่อ : W32.Goner.A@mm
ค้นพบเมื่อ : 4 ธันวาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.Goner
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
Goner เป็นตัวหนอนที่ถูกเขียนขึ้นด้วยภาษา Visual Basic กระจายตัวผ่านทางอี-เมล์ และตัวหนอนถูกย่อขนาดลงโดยใช้ Portable Execution (PE)* file compressor นอกจากนี้มันยังสามารถกระจายตัวผ่านทาง ICQ network ได้เช่นเดียวกันกับการกระจายตัวผ่าน Microsoft Outlook โดยจะส่งอี-เมล์ไปยังทุกคนที่มีรายชื่อใน address book และยังสามารถแทรกตัวไปใน mIRC script ได้อีกด้วย

อี-เมล์ที่ตัวหนอนส่งไปจะมีลักษณะดังนี้

Subject: Hi
Body:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Attachment: GONE.SCR

อี-เมล์ที่ถูกส่งไปจะมีไฟล์ชื่อ GONE.SCR แนบไปด้วย ซึ่งถ้าหากผู้ใช้รันไฟล์ดังกล่าวแล้ว จะปรากฏ message box ดังนี้

จากนั้นตัวหนอนจะคัดลอก (copy) ตัวเองไปยังไดเรกทอรี %SYSTEM% (เช่น c:\windows\system ) และจะเพิ่มคีย์ในเรจิสทรี เพื่อให้มีการรันไฟล์ดังกล่าวทุกครั้งที่บูตเครื่องใหม่ ดังนี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\C:\%WINDIR%\SYSTEM\gone.scr=C:\%WINDIR%\SYSTEM\gone.scr

นอกจากนี้ตัวหนอนจะหยุดโพรเซสการทำงานของซอฟต์แวร์ต่อต้านไวรัสและไฟร์วอลล์ต่างๆ ที่พบในเครื่องคอมพิวเตอร์ ดังนี้

APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
NAVAPW32.EXE
NAVW32.EXE
PCFWallIcon.EXE
SAFEWEB.EXE
TDS2-98.EXE
TDS2-NT.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE

ซึ่งหากตัวหนอนพบโพรเซสใดในรายชื่อด้านบนแล้ว มันจะลบไฟล์ดังกล่าวและไฟล์อื่นๆ ที่อยู่ภายใต้ไดเรกทอรีเดียวกัน ในกรณีที่ไฟล์ดังกล่าวกำลังถูกใช้งานอยู่ซึ่งตัวหนอนไม่สามารถลบไฟล์ได้ มันจะสร้างไฟล์ %SYSTEM%\Wininit.ini เพื่อทำหน้าที่ลบไฟล์ที่ต้องการในช่วงที่บูตเครื่องใหม่ครั้งถัดไป

หมายเหตุ สำหรับ Windows NT/2000/XP ไฟล์ที่ตัวหนอนต้องการลบ จะถูกเก็บไว้ในเรจิสทรีที่

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

โดยเก็บไว้ใน

PendingFileRenameOperations

นอกจากการส่งอี-เมล์ไปยังทุกรายชื่อที่มีอยู่ใน address book ของ Microsoft Outlook แล้ว ตัวหนอนยังสามารถกระจายตัวผ่านเครือข่ายของ ICQ โดยถ้าหากมีการติดตั้ง ICQ ที่เครื่องที่ติดไวรัส ตัวหนอนจะกระทำการดังนี้

ตรวจสอบเวอร์ชันของ ICQ จากไฟล์ ICQ.dll ว่ามี API ตัวที่มันต้องการใช้หรือไม่ หากมีมันจะดำเนินการต่อไป
ตัวหนอนจะยกเลิกการแจ้งเตือนทุกรูปแบบ (disable all notification) ดังนั้นผู้ใช้จึงไม่สามารถมองเห็นได้ว่าตัวหนอนกำลังทำอะไรอยู่
มันจะรับรายชื่อผู้ที่ online อยู่
ตรวจสอบข้อมูลส่วนตัวของผู้ที่ online อยู่ ซึ่งจำเป็นในการตรวจสอบว่าจะสามารถส่งไฟล์ไปได้หรือไม่
จากนั้นมันจะส่งไฟล์ไปยังทุกคนที่รายชื่ออยู่ใน list
ตัวหนอนทำการ enable การแจ้งเตือนอีกครั้ง (enable all notification)

ถ้าหากเครื่องที่ติดไวรัสได้ติดตั้ง mIRC ไว้แล้ว ตัวหนอนจะแทรก script เข้าไปยังไดเรกทอรีของ mIRC เพื่อใช้ในการโจมตีแบบ Denial of Service

และในที่สุดก็จะปรากฏ message box ดังนี้

วิธีการกำจัด

ใช้ fix tool จาก
http://securityresponse.symantec.com/avcenter/FixGoner.exe โปรดอ่านคำแนะนำในการใช้งาน (ภาษาไทย) ก่อนใช้
หรือกำจัดด้วยตัวเอง
1. สำหรับ windows 98/98/ME ให้ทำการสตาร์ทเครื่องใน Safe Mode
  สำหรับ windows ME ให้ทำการ disable ฟังก์ชั่น System Restore ก่อนจึงสตาร์ทเครื่องใน Safe Mode
  สำหรับ windows NT/2000 ให้หยุดการทำงานของโพรเซส gone.scr และ pentagone ก่อนจึงสตาร์ทเครื่องใน Safe Mode
2. ทำการค้นหาไฟล์ต่อไปนี้ในระบบโดยใช้คำสั่ง find ค้นหาไฟล์ gone.scr ซึ่งมักจะถูกเก็บอยู่ในไดเรกทอรี \Windows\System หากพบไฟล์ดังกล่าวข้างต้นในระบบให้ทำการลบไฟล์ออกจากระบบ หากไม่สามารถลบไฟล์ดังกล่าวตามขั้นตอนปกติได้ ควรบูตระบบจากแผ่นดิสก์บูตระบบ--และเข้าไปลบไฟล์ดังกล่าว
3. ลบการเรียกไฟล์ที่ไวรัสได้ฝังไว้ในเรจิสทรี การแก้ไขเรจิสทรี

การแก้ไขเรจิสทรี

ทำการลบเรจิสทรีคีย์ต่อไปนี้ โดยคลิกที่ปุ่ม Start -->Run -->Regedit
และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ในช่องทางด้านขวาหากปรากฏข้อความที่ตำแหน่ง Data เป็น c:\%SYSTEM%\gone.scr ให้ลบคีย์นี้ออกจากระบบ เนื่องจากคีย์ดังกล่าวจะทำหน้าที่เรียกตัวหนอนให้ทำงานทุกครั้งที่มีการบูตระบบ
จากนั้นคลิกที่เมนู Registry เลือก Exit
ทำการบูตระบบใหม่อีกครั้ง (สำหรับ windows ME ให้ทำการ disable ฟังก์ชั่น System Restore ก่อนเสมอ)
ควรติดตั้งโปรแกรมสำหรับป้องกันไวรัสมาในระบบ และทำการสแกนระบบอีกครั้งหนึ่งเพื่อความปลอดภัย

หมายเหตุ การกระทำการใดๆ กับระบบเรจิสทรีมีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีไฟล์ไว้ก่อนทุกครั้ง
*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เอกสารอ้างอิง
[1] http://www.symantec.com/avcenter/venc/data/w32.goner.a@mm.html
[2] http://www.mcafee.com/anti-virus/viruses/goner/default.asp?cid=2636

ปรับปรุงล่าสุด : 5 ธันวาคม 2544 16.09

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์