ชื่อ : W32/Klez.e@MM
ค้นพบเมื่อ : 17 มกราคม 2545
ปรับปุรงข้อมูลเมื่อ : 20 กุมภาพันธ์ 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.Klez.E@mm, KLEZ, I-Worm/Klez.E , W32/Klez., Win32.HLLM.Klez.1, Worm/Klez.E, WORM_KLEZ.E

ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
หนอนอินเทอร์เน็ต W32/Klez.e@MM นี้มีความสามารถในการปลอมแปลงชื่อผู้ส่งในส่วนที่เป็น FROM: โดยอาศัยช่องโหว่ของส่วนหัวของ MIME ที่ผิดซึ่งทำให้ IE เรียกใช้งานไฟล์ที่แนบมากับอีเมล์ (MIME Header Can Cause IE to Execute E-mail Attachment vulnerability in Microsoft Internet Explorer ver 5.01 or 5.5 without SP2 )

หนอนอินเทอร์เน็ต W32/Klez.e@MM นี้มากับอีเมล์ที่มีหัวข้อและเนื้อความแบบสุ่ม โดยในเนื้อความประกอบด้วยข้อความประโยคยาวๆดังนี้

"Hi, Hello, Re: Fw: Undeliverable mail-- Returned mail-- game a tool a website new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez how are you let's be friends darling don't drink too much your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice question naire congratulations sos! japanese girl VS playboy look, my beautiful girlfriend eager to see you spice girls' vocal concert japanese lass' sexy pictures Symantec Mcafee F-Secure Sophos The following mail can't be sent to The attachment The file is the original mail give you the is a dangerous virus that can infect on Win98/Me/2000/XP. spread through email. very special For more information,please visit This is I you would it. enjoy like wish hope expect Christmas New year Saint Valentine's Day Allhallowmas April Fools' Day Lady Day Assumption Candlemas All Souls'Day Epiphany Happy Have a"

และตัวอย่างของหัวข้ออีเมล์ที่มีหนอนอินเทอร์เน็ตชนิดนี้ได้แก่

Subject: Document End
Subject: Happy Lady Day
Subject: From
Subject: Eager to see you
Subject: Returned mail--"Document End "
Subject: HEIGHT
Subject: A WinXP patch
Subject: Hi,spice girls' vocal concert
Subject: Happy nice Lady Day
Subject: Have a humour Lady Day
Subject: Happy good Lady Day
Subject: ALIGN
Subject: Have a good Lady Day
Subject: Undeliverable mail--"IIS services with this Web administration tool."

บางทีก็มากับอีเมล์ที่ว่างเปล่าไม่มีหัวข้อและเนื้อความเลย และสามารถหยุดการทำงานของโปรแกรมป้องกันไวรัสจากหน่วยความจำของเครื่องได้อีกด้วย

สิ่งที่ชี้ให้เห็นว่าเครื่องติดหนอนร้ายชนิดนี้:

1. หนอนร้ายจะรบกวนด้วยการรันโปรแกรมและแสดงหน้าจอข้อความผิดพลาดที่ปลอมขึ้นมา ดังนี้:
   
   
   
   ข้อสังเกต: ชื่อที่แสดงจะเป็นชื่อที่สุ่มมาแต่มักจะเป็นไฟล์นามสกุล .EXE
2. มีไฟล์แปลกๆ ที่มีชื่อเป็น WINKxxx.EXE ในโฟลเดอร์ \WINDOWS\SYSTEM (เช่น WINKIDT.EXE or WINKKR.EXE)
3. มีการอ้างถึงไฟล์ WINKxxx.EXE ใน registry key
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
4. ไฟล์ที่เรียกใช้งานได้จะถูกสร้างเพิ่มโดยมีขนาดเท่ากับต้นฉบับและมีนามสกุลแบบสุ่ม (เช่นไฟล์ MSOFFICE.EXE จะมีไฟล์ MSOFFICE.HRH ซึ่งเป็นไฟล์ระบบที่ซ่อนอยู่ ถ้าคุณรันไฟล์ที่ติดหนอนร้ายชนิดนี้ก็จะมีไฟล์เพิ่มขึ้นมาอีกโดยมี "~1" ต่อท้ายชื่อไฟล์ด้วย (เช่น ไฟล์ NETSCAPE.EXE จะมีทั้ง NETSCAPE.PXB และ NETSCA~1.EXE ที่มีขนาดเท่ากัน) ซึ่งไฟล์ที่ 3 นี้จะถูกลบทิ้งโดยหนอนร้ายทันที่ที่ออกจากโปรแกรม NETSCAPE
   
5. หนอนร้ายชนิดนี้ยังส่งผลทำให้ประสิทธิภาพการทำงานของระบบลดลงและหยุดการทำงานของโปรแกรมบางอย่างบนเครื่องด้วย
   

วิธีการแพร่ระบาด
เมื่ออีเมล์ที่มีหนอนร้ายนี้อยู่ถูกเปิดขึ้น หนอนร้ายจะเรียกใช้ช่องโหว่ที่กล่าวถึงนั้น (หรือถ้าเครื่องของคุณไม่ได้ติดตั้ง patch ไว้ เพียงแค่ preview อีเมล์ หนอนร้ายก็ทำงานได้) หนอนร้ายจะทำสำเนาตัวมันเองโดยมีชื่อ WINKxxx.EXT (xxx คือตัวอักษรที่สุ่มมา) ไว้ในโฟลเดอร์ WINDOWS\SYSTEM และไฟล์นี้ถูกตั้งให้เริ่มทำงานทุกครั้งที่เปิดเครื่อง
W32/Klez.e@MM มีพื้นฐานมาจาก W32/Klez.gen@MM แต่ต่างกันตรงที่ W32/Klez.e@MM สามารถแพร่ระบาดไปยังไฟล์ต่างๆด้วยตัวเอง โดยเขียนทับไฟล์และเขียนเลข 0 ทับลงไปยังไฟล์เหล่านั้นโดยที่ขนาดของไฟล์ไม่เปลี่ยนแปลง
หนอนร้ายจะบันทึกข้อความเดิมของโฮสต์ลงในไฟล์ด้วยชื่อเดียวกันและใช้นามสกุลของไฟล์แบบสุ่ม ไฟล์เหล่านี้จะถูกซ่อนอยู่ ดังนั้นจะต้องแก้ไข "View/Folder Options" ใน Windows Explorer โดยเลือกเป็น "Show all files" เพื่อให้มองเห็นไฟล์ได้

การใช้งานไฟล์ที่ติดเชื้อหนอนร้ายนี้จะทำให้หนอนร้ายสร้างไฟล์ที่ไม่ได้ติดเชื้อขึ้นมาใหม่โดยใช้ข้อมูลที่เก็บบันทึกไว้ โดยไฟล์นั้นจะมี "~1" ต่อท้ายที่ชื่อไฟล์ด้วย เช่น MSOFFICE.EXE ติดเชื้อแล้วจะถูกสร้างไฟล์ใหม่ขึ้นมาชื่อ MSOFFI~1.EXE หนอนร้ายจะลบไฟล์เหล่านี้เมื่อปิดโปรแกรม ดังนั้นไฟล์เหล่านี้จึงปรากฏอยู่ชั่วคราวเท่านั้น

หนอนร้ายชนิดนี้จะส่งดัวมันเองออกไปด้วยการใช้โพรโตคอล SMTP ในการส่งอีเมล์ไปยังรายชื่อใน address book ภายในเครื่องนั้น

หนอนร้ายจะทำงานในวันที่ 6 มีนาคม กันยายน หรือพฤศจิกายน โดยการเขียนทับด้วยเลข 0 ลงไปยังไฟล์ภายในเครื่องและไฟล์ของเครือข่ายที่มีนามสกุลต่อไปนี้ : .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, or .mp3 และในเดือนมกราคม หรือกรกฎาคม ทุกไฟล์ในเครื่องจะถูกเขียนทับ

วิธีกำจัด

วิธีกำจัดแบบอัตโนมัติ

1. ดาวน์โหลดและใช้ fix tool จาก antivirus.com (fix_klez.com) ก่อนการใช้งานควรอ่านเอกสาร readme_klez.txt
2. หรือดาวน์โหลดและใช้ fix tool จาก symantec.com (FixKlez.com) ก่อนการใช้งานควรอ่านเอกสารประกอบด้วย (fix tool ตัวนี้สามารถกำจัดไวรัส W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587, และ W32.ElKern.4926. )
   
3. ปรับปรุงไฟล์ dat ของโปรแกรมป้องกันไวรัสและสแกนระบบด้วยโปรแกรมป้องกันไวรัสและลบไฟล์ทั้งหมดที่ติดเชื้อของหนอนร้ายชนิดนี้

หมายเหตุ
ในกรณีที่ซอฟต์แวร์ป้องกันไวรัสแจ้งว่า เครื่องของท่านติดไวรัส Klez.gen@mm แล้ว หมายความว่าเครื่องของท่านอาจจะติดไวรัส Klez.E หรือ Klez.H หรือทั้งสองตัว ซึ่งสามารถใช้ fix tool จาก symantec.com กำจัดได้เช่นเดียวกัน

วิธีกำจัดด้วยมือ

1. สแกนระบบด้วยโปรแกรมป้องกันไวรัส และจดชื่อไฟล์ที่ติดเชื้อไว้ซึ่งมีชื่อเป็น WINKxxx.EXE (xxx คือตัวอักษรที่สุ่มมา) และลบไฟล์เหล่านั้นออกจากระบบ (โดยโปรแกรมป้องกันไวรัสที่ใช้ต้องปรับปรุงไฟล์ dat ล่าสุดแล้ว)
   
2. เลือก Start ->Run, พิมพ์ regedit และกด Enter
   
3. ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE ->Software ->Microsoft>Windows->CurrentVersion->Run
   
4. ลบไฟล์ WINKxxx, "WINKxxx.exe"ในช่องขวามือของ registry ออก
   
5. ลบไฟล์ที่คุณจดไว้จากขั้นตอนที่ 1ที่พบในช่องขวามือออก
   
6. หนอนร้ายนี้ใช้ช่องโหว่ของโปรแกรมอ่านเมล์ที่มีรูปแบบของอีเมล์เป็น HTML เช่น Microsoft Outlook and Outlook Express ดังนั้นต้องปรับปรุงโปรแกรมช่วย (patch) ดังนี้:

   Internet Explorer 5.01 SP2
   E 5.5 SP2
   IE 6.0

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Uitility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Destop และ เลือก Properties
   
2. เลือกแถบ Performance
   
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
   
5. ใส่เครื่องหมายเลือก "Disable System Restore"
   
6. กดปุ่ม Apply
   
7. กดปุ่ม Close
   
8. กดปุ่ม Close อีกที
   
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
   
10. รีสตาร์ทเครื่องให้อยู่ใน Sefe Mode
    
11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

ช้อมูลอ้างอิง

• http://vil.mcafee.com/dispVirus.asp?virus_k=99367&#top
  
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E

เผยแพร่โดย ThaiCERT เมื่อ 8 มีนาคม 2545 13.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 3 พฤษภาคม 2545 11.00

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์