|
ชื่อ : W32/Klez.g@MM, W32/Klez.h@MM, W32/Klez.k@MM และ PE_ElKern.A
ค้นพบเมื่อ : 17 เมษายน 2545
ปรับปุรงข้อมูลเมื่อ : 5 กรกฎาคม 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ระดับความรุนแรง : ปานกลาง
หมายเหตุ หลังจากที่ติดหนอน
W32/Klez.A@MM อาจจะทำให้ติดไวรัส PE_ElKern.A ด้วย และสามารถที่จะแพร่กระจายผ่านการเปิดแชร์ข้อมูลหรือให้
map drive ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมได้ที่
ข้อมูลทั่วไป
หนอนอินเทอร์เน็ตชนิดนี้ถูกพัฒนามาจาก W32/Klez.e@MM
โดยอาศัยช่องโหว่เดิมของส่วนหัวของ MIME ที่ผิดซึ่งทำให้ IE เรียกใช้งานไฟล์ที่แนบมากับอีเมล์
(MIME
Header Can Cause IE to Execute E-mail Attachment vulnerability in
Microsoft Internet Explorer ver 5.01 or 5.5 without SP2)
รูปแบบของหัวข้อ และเนื้อหาของอีเมล์ จะไม่แน่นอน
โดยอาจจะมีหัวข้อของอีเมล์ ดังต่อไปนี้
- Undeliverable mail--"คำที่สุ่ม"
- Returned mail--"คำที่สุ่ม"
- a คำที่สุ่ม คำที่สุ่ม game
- a คำที่สุ่ม คำที่สุ่ม tool
- a คำที่สุ่ม คำที่สุ่ม website
- a คำที่สุ่ม คำที่สุ่ม patch
- คำที่สุ่ม removal tools
- how are you
- let's be friends
- darling
- so cool a flash,enjoy it
- your password
- honey
- some questions
- please try again
- welcome to my hometown
- the Garden of Eden
- introduction on ADSL
- meeting notice
- questionnaire
- congratulations
- sos!
- japanese girl VS playboy
- look,my beautiful girl friend
- eager to see you
- spice girls' vocal concert
- japanese lass' sexy pictures
ตัวอักษรที่สุ่มอาจจะคำดังต่อไปนี้
- new
- funny
- nice
- humour
- excite
- good
- powful
- WinXP
- IE 6.0
- W32.Elkern
- W32.Klez.E
- Symantec
- Mcafee
- F-Secure
- Sophos
- Trendmicro
- Kaspersky
ส่วนของเนิ้อหา และไฟล์ที่แนบนั้นจะไม่แน่นอนเช่นกัน
บางครั้งจะเป็นกับอีเมล์ที่ว่างเปล่าไม่มีหัวข้อและเนื้อความเลย และสามารถหยุดการทำงานของโปรแกรมป้องกันไวรัสจากหน่วยความจำของเครื่องได้อีกด้วย
สิ่งที่ชี้ให้เห็นว่าเครื่องติดหนอนร้ายชนิดนี้:
- หนอนร้ายสุ่มข้อมูลของหัวข้อ เนื้อหา และไฟล์ที่แทรกมากับอีเมล์
ดังตัวอย่างข้างต้น
- หลังจากที่เครื่องติดหนอนชนิดนี้ ตัวหนอนจะสร้างไฟล์ที่มีชื่อเป็น
WINKxxx.EXE ในโฟลเดอร์ \WINDOWS\SYSTEM (เช่น WINKIDT.EXE หรือ WINKKR.EXE)
- มีการอ้างถึงไฟล์ WINKxxx.EXE ใน registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
หรือ
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winkxxx
- ตัวหนอนจะค้นหารายชื่อที่อยู่ของจดหมายในไฟล์ Windows
Address Book (WAB) ตัวหนอนจะแพร่กระจายผ่านรายชื่อดังกล่าว โดยใช้
SMTP server ของตัวมันเอง
- ตัวหนอนจะแทรกและฝังตัวในโปรแกรมต่างๆ ของเครื่อง
ได้แก่ไฟล์ที่มีนามสกุลต่อไปนี้
- MP8
- EXE
- SCR
- PIF
- BAT
- TXT
- HTM
- HTML
- WAB
- DOC
- XLS
- CPP
- C
- PAS
- MPQ
- MPEG
- BAK
- MP3
- หากในเครื่องมีโปรแกรมป้องกันไวรัสทำงาน หรือติดตั้งอยู่
เพื่อหยุดการทำงานของโปรแกรมป้องกันไวรัส ตัวหนอนจะพยายามค้นหาโปแกรมป้องกันไวรัสตามรูปแบบของชื่อของโปรแกรมดังต่อไปนี้
- _AVP32_AVPCC
- NOD32
- NPSSVC
- NRESQ32
- NSCHED32
- NSCHEDNT
- NSPLUGIN
- NAV
- NAVAPSVC
- NAVAPW32
- NAVLU32
- NAVRUNR
- NAVW32
- _AVPM
- ALERTSVC
- AMON
- AVP32
- AVPCC
- AVPM
- N32SCANW
- NAVWNT
- ANTIVIR
- AVPUPD
- AVGCTRL
- AVWIN95
- SCAN32
- VSHWIN32
- F-STOPW
- F-PROT95
- ACKWIN32
- VETTRAY
- VET95
- SWEEP95
- PCCWIN98
- IOMON98
- AVPTC
- AVE32
- AVCONSOL
- FP-WIN
- DVP95
- F-AGNT95
- CLAW95
- NVC95
- LOCKDOWN2000
- Norton
- Mcafee
- Antivir
- TASKMGR
รวมทั้งฐานข้อมูลของไวรัสในแต่ละโปรแกรม ตัวหนอนจะค้นหาไฟล์ที่มีชื่อดังต่อไปนี้
- ANTI-VIR.DAT
- CHKLIST.DAT
- CHKLIST.MS
- CHKLIST.CPS
- CHKLIST.TAV
- IVB.NTZ
- SMARTCHK.MS
- SMARTCHK.CPS
- AVGQT.DAT
- AGUARD.DAT
- ตัวหนอนจะทำงานทุกครั้งเมื่อระบบปฎิบัติการเริ่มทำงาน
- หนอนร้ายชนิดนี้ยังส่งผลทำให้ประสิทธิภาพการทำงานของระบบลดลงและหยุดการทำงานของโปรแกรมบางอย่างบนเครื่องด้วย
วิธีการแพร่ระบาด
เมื่ออีเมล์ที่มีหนอนร้ายนี้อยู่ถูกเปิดขึ้น หนอนร้ายจะเรียกใช้ช่องโหว่ที่กล่าวถึงนั้น
(หรือถ้าเครื่องของคุณไม่ได้ติดตั้ง patch ไว้ เพียงแค่ preview อีเมล์
หนอนร้ายก็ทำงานได้) หนอนร้ายจะทำสำเนาตัวมันเองโดยมีชื่อ WINKxxx.EXT
(xxx คือตัวอักษรที่สุ่มมา) ไว้ในโฟลเดอร์ WINDOWS\SYSTEM และไฟล์นี้ถูกตั้งให้เริ่มทำงานทุกครั้งที่เปิดเครื่อง
ตัวหนอนจะส่งเมล์ที่สุ่มข้อมูลของหัวข้อ เนื้อหา และ ไฟล์ที่แทรกไปยังรายชื่อที่อยู่ของอีเมล์ในเครื่องทั้งหมด
นอกจากนี้ ตัวหนอนยังสามารถกระจายผ่านระบบเครือข่ายที่มีการแชร์ทรัพยากรในระบบเครือข่ายที่ใช้สิทธิของการอ่านและเขียน
วิธีกำจัด
วิธีกำจัดแบบอัตโนมัติ
- ดาวน์โหลดและใช้ fix tool จาก antivirus.com
(fix_klez.com)
ก่อนการใช้งานควรอ่านเอกสาร readme_klez.txt
ซึ่งเป็นเวอร์ชันใหม่ล่าสุด สามารถที่จะแก้ไขหนอนตระกูล
Klez และ รวมทั้งไวรัส PE_ElKern.A
- หรือดาวน์โหลดและใช้ fix tool จาก symantec.com
(FixKlez.com)
ก่อนการใช้งานควรอ่านเอกสารประกอบด้วย
(fix tool ตัวนี้สามารถกำจัดไวรัส W32.Klez.E@mm, W32.Klez.H@mm,
W32.ElKern.3587, และ W32.ElKern.4926. )
- ปรับปรุงไฟล์ dat ของโปรแกรมป้องกันไวรัสและสแกนระบบด้วยโปรแกรมป้องกันไวรัสและลบไฟล์ทั้งหมดที่ติดเชื้อของหนอนร้ายชนิดนี้
หมายเหตุ
ในกรณีที่ซอฟต์แวร์ป้องกันไวรัสแจ้งว่า เครื่องของท่านติดไวรัส
Klez.gen@mm แล้ว หมายความว่าเครื่องของท่านอาจจะติดไวรัส Klez.E
หรือ Klez.H หรือทั้งสองตัว ซึ่งสามารถใช้ fix tool จาก symantec.com
กำจัดได้เช่นเดียวกัน
วิธีกำจัดด้วยมือ
เนืองจากตัวหนอนจะหยุดการทำงานของโปรแกรมป้องกันไวรัสทั้งหมดที่อยู่ในเครื่อง
ดังนั้นอาจจะต้องมีการติดตั้งโปรแกรมป้องกันไวรัสใหม่ในขณะทำการกำจัดตัวหนอน
- ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe
Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
และ windows 98/ME ให้กดปุ่ม Ctrl
- เลือก Start ->Run, พิมพ์ regedit และกด Enter
- ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE ->Software
->Microsoft>Windows->CurrentVersion->Run สำหรับ
windows 95/98/ME
- ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE->System->CurrentControlSet->Services
สำหรับ windows 2000/XP
- ลบไฟล์ WINKxxx, "WINKxxx.exe" ในช่องขวามือของ
registry ออก
- ลบไฟล์ WINKxxx.exe ในไดเรกทอรี่ C:\Windows\System
โดยตั้งค่าให้ windows ให้เห็นไฟล์ที่ซ่อนทั้งหมดก่อน
- ลบไฟล์ทั้งหมดใน recycle bin
- ดาวน์โหลดข้อมูลของไวรัสใหม่ล่าสุดตามประเภทของโปรแกรมป้องกันไวรัส
และติดตั้งในเครื่อง
- ตรวจสอบไวรัสโดยใช้โปรแกรมป้องกันไวรัส
- หากเป็นโปรแกรม norton antivirus ให้ใช้คำสั่งแทนการใช้โปรแกรม
โดยทำดังนี้คือ
- เนื่องจากตัวหนอนชนิดนี้ได้สร้างความเสียหายโดยการลบโปรแกรม
และฐานข้อมูลไวรัสในเครื่อง ดังนั้นจำเป็นต้องติดตั้งโปรแกรมป้องกันไวรัสในเครื่องใหม่อีกครั้ง
- หนอนร้ายนี้ใช้ช่องโหว่ของโปรแกรมอ่านเมล์ที่มีรูปแบบของอีเมล์เป็น
HTML เช่น Microsoft Outlook และ Outlook Express ดังนั้นต้องปรับปรุงโปรแกรมช่วย
(patch) ดังนี้:
Internet
Explorer 5.01 SP2
IE
5.5 SP2
IE
6.0
ข้อมูลเพิ่มเติมสำหรับ Windows
ME:
หมายเหตุ: Windows ME ใช้ backup utility สำหรับ
backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์
backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้
จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ
เลือก Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่
ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
- รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
- เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด
หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore
และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่
1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable
System Restore" ออก
วิธีป้องกันตัวเองจากไวรัส
- ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
- ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่
นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat,
.vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
- ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของ Internet
Explorer ดังลิ้งค์ด้านล่างนี้
Internet
Explorer 5.01 SP2
IE
5.5 SP2
IE
6.0
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น
high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
ช้อมูลอ้างอิง
เผยแพร่โดย ThaiCERT เมื่อ 18
เมษายน 2545 13.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 5 กรกฎาคม 2545 14.00
|
