ชื่อ : VBS.Haptime.A@mm
ค้นพบเมื่อ : 29 เมษายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm) ประเภท Visual Basic Script
ชื่ออื่นที่เป็นที่รู้จัก : VBS.HappyTime, VBS_HAPTIME.A, VBS.Happytime.A, VBS/Help, VBS_Haptime.A, VBS/Haptime@MM
ระดับความรุนแรง : ปานกลาง

VBS.Haptime.A@mm เป็นหนอนอินเทอร์เน็ตประเภท Visual Basic Script โดยการติดตัวเองเข้ากับไฟล์ .htm, .html, .vbs, .asp และ .htt อาศัยออบเจ็กต์ MAPI ในการแพร่กระจายตัวเองในรูปแบบของไฟล์ที่แนบไปด้วย นอกจากนี้ หนอนชนิดนี้ยังได้รวมตัวเองเข้ากับอีเมล์ที่จะส่งออกจากเครื่องผ่านการตั้งค่าไว้ที่ stationery ของโปรแกรม Outlook Express
หนอนชนิดนี้ใช้ประโยชน์จากช่องโหว่ของโปรแกรม Microsoft Outlook Express ทำให้ตัวเองสามารถทำงานได้โดยที่ผู้ใช้ยังไม่ได้เปิดดูสิ่งที่แนบมากับกับอีเมล์แต่อย่างใด Microsoft ได้ทำการแก้ไขช่องโหว่นี้โดยให้ติดตั้ง patch เพื่อควบคุมการทำงานของ ActiveX ชื่อ "Scriptlet.TypLib" ซึ่งสามารถอ่านรายละเอียดได้จาก http://www.microsoft.com/TechNet/security/bulletin/ms99-032.asp
และดาวน์โหลดได้ที่
http://www.microsoft.com/technet/ie/tools/scrpteye.asp
สำหรับผู้ใช้งานที่ได้ติดตั้ง patch ดังกล่าวนี้ให้กับโปรแกรม Outlook Express เรียบร้อยแล้ว จะเป็นการป้องกันไม่ให้หนอนชนิดนี้ติดสู่เครื่องโดยอัตโนมัติได้

รายละเอียด

VBS.Haptime.A@mm เป็นหนอนอินเทอร์เน็ตชนิดหนึ่งที่ทำงานโดยการบรรจุโปรแกรมของตนเองในรูปแบบของ Visual Basic Script ลงในไฟล์ .htm, .vbs, .asp หรือ .htt หนอนชนิดนี้อาศัยการทำงานของ stationery บนโปรแกรม Outlook Express ในการแพร่กระจาย กล่าวคือ จะทำการสร้าง stationery ที่ใช้เป็นแบบ (template) ของอีเมล์ให้มีรูปแบบเป็น HTML ซึ่งจะทำให้ผู้ใช้สามารถปรับเปลี่ยนพื้นหลังและแบบตัวอักษรที่ใช้ได้ โดยที่หนอนชนิดนี้จะพยายามตั้งค่าการใช้งานของข้อความที่จะส่งให้ใช้ stationery เป็นแบบ HTML ที่ติดเชื้อของหนอนชนิดนี้ไว้ ซึ่งเป็นรูปแบบเดียวกับการทำงานของ Wscript.KakWorm เมื่อใดก็ตามที่มีการส่งอีเมล์จากเครื่องดังกล่าวออกไปภายนอก อีเมล์ดังกล่าวจะรวมเอาตัวหนอนออกไปด้วย และหนอนชนิดนี้สามารถติดสู่เครื่องอื่นได้ทันทีที่ปรากฏในช่องพรีวิว (preview) ของโปรแกรม Outlook Express โดยไม่จำเป็นต้องเปิดดูสิ่งที่แนบมาด้วยแต่อย่างใด ป้องกันได้โดยการติดตั้ง Microsoft's security update patch

ขั้นตอนการทำงานของหนอนชนิดนี้

1. ติดตั้งตัวเองลงในเครื่องโดยใช้ชื่อไฟล์ว่า Help.hta หรือ Help.vbs ในโฟลเดอร์แรกที่พบของไดรฟ์ C หรือไฟล์ Help.htm หรือ Untitled.htm ในโฟลเดอร์ Windows
2. เพิ่มค่า HKEY_CURRENT_USER\Software\Help\Count ลงใน registry และแก้ไขค่าให้เท่ากับจำนวนไฟล์ที่ติดเชื้อ
3. ค้นหาไฟล์ .htm, .vbs, .asp และ .htt จากทุกๆ โฟลเดอร์ทั้งภายในเครื่องและผ่านเครือข่าย ถ้าหากผลรวมของวันที่และเดือนของเครื่องในขณะนั้นเป็น 13 ตัวโปรแกรมจะพยายามลบไฟล์ .exe และ .dll ทุกไฟล์
4. สำหรับทุกไฟล์ที่หนอนชนิดนี้ตรวจพบ ตัว VBS.Haptime.A@mm จะค้นหาข้อความ "mailto:<email address>" ภายในไฟล์ จากนั้นจะเก็บค่าอีเมล์แอดเดรสดังกล่าวมาใช้ในการส่งอีเมล์ ภายในอีเมล์มีรายละเอียดดังนี้
   
   

   Subject: Help Message: (The body of the message is empty.) Attachment: Untitled.htm (This is infected with VBS.Haptime.A@mm.)

   
   
5. หลังจากนั้น ไฟล์ใดก็ตามที่ถูกตรวจพบว่ามีชื่ออีเมล์แอดเดรสอยู่และมีชนิดเป็น .htm, .vbs, .asp หรือ .htt จะได้รับผลกระทบจากหนอนชนิดนี้ โดยการนำเอาชื่อไฟล์ไปเก็บไว้ที่ registry ชื่อ HKEY_CURRENT_USER\Software\Help\FileName
6. ในการติดทุกๆ ครั้งที่ 366 โปรแกรมของหนอนชนิดนี้จะทำการอย่างใดอย่างหนึ่งต่อไปนี้ (มีความน่าจะเป็นในการเกิดทั้งสองเหตุการณ์เท่าๆ กัน)
   • จะตรวจค้นทุกๆ อีเมล์ที่ได้รับและถูกเก็บไว้ เพื่อทำการตอบกลับทุกๆ ฉบับด้วยข้อความต่อไปนี้
     

     Subject: Fw: <The original sender's email address> Message: (The body of the message is empty.) Attachment: Untitled.htm (This is infected with VBS.Haptime.A@mm.)

     
     
   • จะส่งข้อความต่อไปนี้ไปยังทุกๆ อีเมล์แอดเดรสที่เก็บอยู่ในรายชื่อผู้ติดต่อ (Contact list)
     

     Subject: Help Message: (The body of the message is empty.) Attachment: Untitled.htm (This is infected with VBS.Haptime.A@mm.)

     
     
7. ทำการตั้งค่า Desktop wallpaper ใหม่เพื่อให้แสดงหน้า Help.htm ที่ติดเชื้อแทน ทำให้หนอนชนิดนี้สามารถเริ่มต้นทำงานด้วยตัวเองได้ทันทีที่เปิดเครื่อง โดยหนอนชนิดนี้อาจจะซ่อนตัวเองไว้โดยการการใช้ Active Desktop wallpaper กับรูปพื้นหลังเดิมก่อนที่เครื่องได้รับเชื้อ มีการแก้ไขค่า registry ดังนี้
   HKEY_CURRENT_USER\Control Panel\Desktop\wallPaper=%WinDir%\HELP.HTM
8. โปรแกรมของหนอนชนิดนี้ยังกระทบต่อไฟล์ .htt ที่อยู่ในโฟลเดอร์ %WinDir%\Web Folder ซึ่งเป็นไฟล์ที่มีรูปแบบเป็น HyperText ทั้งหมดที่ใช้ในการวางรูปแบบและแสดงข้อมูลของโฟลเดอร์ ถ้าหากผู้ใช้อนุญาตให้การแสดงโฟลเดอร์ต่างๆ ในเครื่องสามารถทำวิธีเดียวกับที่ใช้ในเว็บเพจ จะทำให้เกิดการเรียกให้หนอนชนิดนี้ทำงานทุกๆ ครั้งที่มีการเรียกดูโฟลเดอร์
9. หนอนชนิดนี้จะทำการตั้งค่ารูปแบบเริ่มต้นของข้อมูลเป็น HTML แล้วจะตั้งค่าไฟล์ %WinDir%\Untitled.htm ที่ได้รับผลจากหนอนชนิดนี้ให้เป็น stationery หลักที่ใช้ในการส่งอีเมล์ในโปรแกรม Microsoft Outlook Express ทำให้ทุกๆ ข้อความที่ถูกส่งจากโปรแกรม Outlook Express มีการใส่โปรแกรมของหนอนชนิดนี้ในรูปแบบที่เป็น HTML ไว้ด้วย การที่จะทำเช่นนี้ได้ หนอนชนิดนี้จะเพิ่มเติมค่าในส่วนของ registry
   HKEY_CURRENT_USER\Identities\<Default User ID>\Software\Microsoft\Outlook Express\5.0\Mail
   ดังนี้
   • Message Send HTML เป็น 1
   • Compose Use Stationery เป็น 1
   • Stationery Name เป็น %WinDir%\Untitled.htm

หมายเหตุ ถ้าโปรแกรมที่ใช้ในการรับอีเมล์หรือเครื่องเมล์เซิร์ฟเวอร์ที่ได้รับอีเมล์เหล่านี้ไม่ได้ถูกตั้งค่าหรือไม่สามารถใช้แปลอีเมล์ที่มีรูปแบบเป็น HTML ได้ โปรแกรมหรือเครื่องเซิร์ฟเวอร์ดังกล่าวจะแปลงข้อความที่ได้รับให้เป็นไฟล์แนบมากับอีเมล์แทน ถ้าหากผู้ใช้เปิดไฟล์ดังกล่าวก็จะทำให้ได้รับผลเช่นเดียวกันการเปิดอีเมล์ที่มีหนอนชนิดนี้รวมอยูด้วยโดยตรง

อาการที่บ่งบอกว่าเครื่องได้ติดหนอนชนิดนี้

• มีไฟล์ .dll หรือ .exe บางไฟล์หายไป
• ไฟล์ .asp, htm, .html, .htt, และ .vbs มีขนาดใหญ่ขึ้น
• ตรวจพบไฟล์ Help.hta, Help.vbs, Help.htm หรือ Untitled.htm ในเครื่อง

คำแนะนำในการกำจัด

สามารถกำจัดหนอนชนิดนี้ได้โดยใช้เครื่องมือของ Symantec ซึ่งสามารถกำจัดได้ทั้ง VBS.Haptime.A@mm และ VBS.Haptime.B@mm สามารถดาวน์โหลดได้จาก
http://www.symantec.com/avcenter/venc/data/vbs.haptime.fix.html

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User

การกำจัดหนอนชนิดนี้ด้วยตนเอง สามารถทำได้โดยการลบไฟล์ .htt และไฟล์ใดๆ ทั้งหมดที่ถูกตรวจพบว่าติด VBS.Haptime.A@mm แก้ไขค่า registry ที่ถูกหนอนชนิดนี้เพิ่มเติม และตั้งค่าใหม่ให้กับโปรแกรม Outlook Express มีขั้นตอนดังนี้

• กำจัดหนอน
  1. ทำการอัพเดตโปรแกรม AntiVirus เพื่อให้แน่ใจว่าโปรแกรมมีข้อมูลล่าสุดของไวรัสทั้งหมด
     
  2. ทำการ scan หาไวรัส โดยให้ตัวโปรแกรม AntiVirus ทำการ scan ทั้งระบบและทุกไฟล์ในเครื่อง
     
  3. ลบทิ้งไฟล์ทุกไฟล์ที่ถูกตรวจพบว่าติด VBS.Haptime.A@mm
     
     
• ลบไฟล์ .htt
  1. เปิดดูโฟลเดอร์ C:\Windows Web โดยใช้โปรแกรม Windows Explorer
     หมายเหตุ โฟลเดอร์นี้อาจใช้ชื่ออื่นหากทำการติดตั้ง Windows ไว้ที่อื่น ให้ผู้ใช้เข้าไปที่โฟลเดอร์นั้น
  2. เลือก Start > Search > File or Folder เพื่อสั่งให้ค้นหา
  3. ค้นหาจากโฟลเดอร์ C:\Windows Web เท่านั้น
  4. ในช่อง "Name" หรือ "Search for ..." ให้ใส่ค่า *.htt เป็นชื่อไฟล์ที่ต้องการค้นหา
  5. สั่งให้เริ่มค้นหา
  6. ลบไฟล์ทั้งหมดที่ค้นพบทิ้ง
     
     
• แก้ไขค่า registry
  1. เลือก Start > Run จะปรากฏหน้าต่างใหม่ขึ้นมา
  2. ให้ใส่ค่า regedit ลงในช่องดังกล่าว แล้วเลือก OK จะทำการเปิดหน้าต่างที่ใช้ในการแก้ไขค่า registry
     
  3. ค้นหา และลบทิ้งค่าต่อไปนี้
     HKEY_CURRENT_USER\Software\Help\Count
     HKEY_CURRENT_USER\Software\Help\FileName
     
  4. ออกจากการแก้ไขค่า registry
     
     
  คำเตือน ก่อนที่จะแก้ไขค่าใดๆ ใน registry ขอให้ผู้ใช้ทำการแบ็กอัพค่า registry ทั้งหมดของระบบไว้ก่อน เพราะหากการแก้ไขที่เกิดขึ้นไม่ถูกต้อง อาจส่งผลให้ข้อมูลทั้งหมดสูญหายหรือเสียหายได้ และขอให้ทำการแก้ไขเฉพาะค่าที่กำหนดเท่านั้น
  
  
• ตั้งค่าใหม่ให้กับโปรแกรม Outlook Express
  
  1. เปิดโปรแกรม Outlook Express
     
  2. เลือก Tools > Options
     
  3. เลือก tab ชื่อ Compose
     
  4. ในส่วนของ Stationery ถ้าไม่ต้องการใช้งาน stationery ในการส่งอีเมล์ ให้เอาเครื่องหมายในช่อง Mail ออก แต่ถ้าต้องการใช้ ให้เลือก Select แล้วเลือก Stationary ที่ต้องการใช้งาน

เอกสารอ้างอิง

[1] http://www.symantec.com/avcenter/venc/data/vbs.haptime.a@mm.html
[2] http://vil.mcafee.com/dispVirus.asp?virus_k=99080&

ปรับปรุงล่าสุด : 29 ตุลาคม 2544 13.39 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์