ชื่อ : W32.Bropia
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32.Bropia
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น ||รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง

ข้อมูลทั่วไป

ตัวหนอนนี้จะแพร่กระจายผ่านโพรโตคอล(พอร์ต 1863/tcp) ที่ให้บริการจากโปรแกรม MSN Messenger โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งไฟล์ไปยัง ผู้ที่มีรายชื่ออยู่ใน contact list ของผู้รับและหากผู้รับ รับไฟล์และเปิดใช้งานจะทำให้ติดตัวหนอนชนิดนี้ได้ การแพร่กระจายของหนอนชนิดนี้ผ่านไฟล์ในชื่อที่แตกต่างกัน เช่น

ไฟล์ชื่อ

love_me.pif sexy_bedroom.pif drunk_lol.pif naked_party.pif web_cam.pif drunk_lol.pif webcam_004.pif

ตัวอย่างหน้าจอของ MSN ของตัวหนอน

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านโปรแกรม MSN เป็นหลัก

ผลกระทบที่เกิดขึ้น

• ส่งไฟล์แนบให้กับผู้ที่มีรายชื่ออยู่ใน contact list ของผู้รับ : หนอนจะส่งไฟล์ ผ่านโปรแกรม MSN โดยอัตโนมัติ
• เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้

• หยุดการทำงานโปรแกรมป้องกันไวรัส : ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย อาจถูกหนอนชนิดอื่นแพร่กระจายเข้ามาได้

รายละเอียดทางเทคนิค

ลักษณะที่อาจจะบ่งให้เห็นว่าติดตัวหนอน

1. ไม่สามารถทำการ click ขวาได้
2. ไม่สามารถใช้งาน task manager ได้ โดยการกด Ctrl-Alt-Del
3. ตัวหนอนสร้างไฟล์ในเครื่องผู้เสียหายดังนี้
   C:\<ชื่อไฟล์ของหนอน>.pif
   C:\omc.com
   C:\windows\system32\lexplore.exe
4. เครื่องจะพยายามติดต่อ MSN
5. ตัวหนอนจะติดตั้งโปรแกรมโทรจันในเครื่องโดยเปิดพอร์ตชนิด udp ที่มีหมายเลขที่สูงกว่า 1024 เช่น
   44802/udp
   9943/udp
   2268/udp เป็นต้น
6. เครื่องทำงานช้าลง

เมื่อหนอน W32.Bropia ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1

1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

   หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
4. ตัดการเชื่อมต่อเครือข่าย
5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

• สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส

1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)
2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
3. รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
4. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมด ที่กล่าวมาแล้วในข้างต้น

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4. กดปุ่ม Apply
5. กดปุ่ม Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
   หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ห้ามรับไฟล์ หรือเปิดใช้งานไฟล์ที่ได้รับจากโปรแกรม MSN
2. สำหรับผู้ดูแลระบบท่านควรปิดการใช้งานของพอร์ต 1863/tcp เพื่อระงับการแพร่กระจายของตัวหนอนชนิดนี้
   
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
6. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
7. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
   

ช้อมูลอ้างอิง

• http://www.outpost24.com/
• http://securityresponse.symantec.com/avcenter/venc/data/w32.bropia.html
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BROPIA.A

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 20 มกราคม 2548 11.31 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 20 มกราคม 2548 16:00 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์