ชื่อ : W32.Maldal.C@mm
ค้นพบเมื่อ : 19 ธันวาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.Zacker.C@mm, W32.Reeezak.A@mm, W32/Maldal.c@MM, WORM_MALDAL.C, W32/Keyluc@MM

ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
เป็นหนอนอินเทอร์เน็ตที่ถูกเขียนขึ้นโดยใช้ Visual Basic มีความสามารถในการกระจายตัวผ่านทาง Microsoft Outlook และยังแก้ไขค่า default page ของ Microsoft Internet Explorer

การกระจายตัว

1. กระจายตัวผ่านทางอี-เมล์ ซึ่งอี-เมล์ที่ถูกส่งไปจะมีลักษณะดังนี้

   Subject: Happy New Year
   
   Message:
   Hii
   I can't describe my feelings
   But all i can say is
   Happy New Year :)
   bye
   
   Attachment: Christmas.exe
   ขนาดของไฟล์ที่แนบไปด้วย: 37376 bytes

2. มันจะคัดลอก(copy) ตัวเองไปยัง network share อีกด้วย

ความเสียหาย
หากติดไวรัสตัวนี้ก็จะทำให้เกิด

• มีการส่งอี-เมล์ออกไปโดยอาศัยรายชื่ออี-เมล์จาก address book ของ Microsoft Outlook
• ไวรัสพยายามที่จะลบไดเร็กทอรีของซอฟแวร์ป้องกันไวรัส
• ทำให้แป้นพิมพ์ใช้งานไม่ได้

รายละเอียดทางเทคนิค
ไวรัสตัวนี้ถูกเขียนขึ้นโดย Visual Basic ดังนั้นมันจึงต้องการ runtime libraries ของ Visual Basic ในการรัน เมื่อมันถูกรัน(executed) มันจะส่งอี-เมล์ออกไป โดยใช้รายชื่ออี-เมล์จาก address book ของ Microsoft Outlook ซึ่งมีลักษณะของอี-เมล์ดังที่แสดงไว้ด้านบน

นอกจากนี้มันยังเปลี่ยนชื่อของเครื่องคอมพิวเตอร์(computer name) ไปเป็น Zacker โดยแก้ไขเรจิสทรีในส่วนของ ComputerName ให้เป็น Zacker ที่

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName

และยังเพิ่มค่า Zacker         %SYSTEM%\Christmas.exe ที่

HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run

เพื่อให้มีการรันตัวของมันเองทุกครั้งที่มีการรีบูตเครื่องใหม่

จากนั้นไวรัสจะแก้ไขค่า default page ของ Internet Explorer ไปเป็นเว็บเพจที่สร้างไว้โดยผู้ที่สร้างไวรัสตัวนี้ขึ้นมา โดยเว็บเพจดังกล่าวถูกตรวจพบว่ามีไวรัส JS.Exception.Exploit แฝงตัวอยู่ (อาจจะจำเป็นต้องปรับปรุง virus definition จากผู้ผลิตจึงจะสามารถตรวจสอบได้) และหลังจากนั้นไวรัสจะแสดงข้อความจากหน้าต่างของโปรแกรม Chrismas ดังนี้

สุดท้ายไวรัสจะยกเลิกการใช้งานแป้นพิมพ์ ซึ่งทำให้แป้นพิมพ์ใช้งานไม่ได้จนกว่าจะรีบูตเครื่องใหม่โดยไวรัสไม่ได้ถูกรันภายหลังการรีบูตนั้น

รายละเอียดเพิ่มเติม
เว็บเพจที่ไวรัสตั้งให้เป็นค่า default page ของ Internet Explorer นั้น เป็นเว็บเพจที่อันตราย เนื่องจากมันจะสร้างไฟล์ %Windows%Rol.vbs และไฟล์ดังกล่าวจะถูกรันด้วย

เมื่อไฟล์ Rol.vbs ถูกรัน ก็จะเกิด

1. มันจะเซ็ตค่าโฮมเพจของ IE เปลี่ยนไปเป็นเว็บเพจที่เป็น flash
2. มันจะคัดลอกตัวมันเองไปยัง %SYSTEM%\Zacker.vbs เช่น c:\windows\System หรือ c:\Winnt\System32
3. มันจะสร้างไฟล์ %SYSTEM%\Dalal.htm ซึ่งบรรจุข้อมความที่จะเอาไปต่อท้ายไฟล์ .html, .htm และ .asp
4. มันจะลบไฟล์ของซอฟแวร์ antivirus และซอฟแวร์ที่เกี่ยวข้องกับความปลอดภัยดังนี้
   
   \Program Files\Zone Labs
   \Program Files\AntiViral Toolkit Pro\*.*
   \Program Files\Command Software\F-PROT95\*.*
   \eSafe\Protect\*.*
   \PC-Cillin 95\*.*
   \PC-Cillin 97\*.*
   \Program Files\Quick Heal\*.*
   \Program Files\FWIN32\*.*
   \Program Files\FindVirus\*.*
   \Toolkit\FindVirus\*.*
   \f-macro\*.*
   \Program Files\McAfee\VirusScan95\*.*
   \Program Files\Norton AntiVirus\*.*
   \TBAVW95\*.*
   \VS95\*.*
   \rescue\*.*
   \Program Files\Zone Labs\*.*
   
   
5. จากนั้นก็จะนำโค้ดไปแทรกในไฟล์ .html, .htm และ .asp
6. ไฟล์ที่มีนามสกุลดังต่อไปนี้
   .lnk, .zip, .jpg, .jpeg, .mpg, .mpeg, .doc, .xls, .mdb, .txt, .ppt, .pps, .ram, .rm, .mp3, .mdb, or .swf
   
   จะถูกแทนที่ด้วยไฟล์ Zacker.vbs
   
   
7. ถ้าไวรัสค้นพบไฟล์ Mirc.ini ไฟล์ที่มีนามสกุล .ini ในไดเร็กทอรีดังกล่าวจะถูกแทนที่ด้วยสตริงที่ทำให้เครื่องดังกล่าวส่ง URL ไปยังผู้อื่นผ่านทาง IRC
8. และไวรัสจะแสดงข้อความก่อนที่จะออกไปจากวินโดวส์

วิธีป้องกันตนเองให้พ้นจากไวรัสตัวนี้

1. ให้ลบอีเมล์ที่มีรูปแบบดังกล่าวทันที
2. ห้ามรันไฟล์ (double click) ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ ซึ่งลงท้ายด้วย .pif, .scr, .exe, .com, .bat ที่ถูกส่งผ่านมาทางอีเมลล์
3. ปรับปรุงข้อมูลของไวรัสสำหรับ anti-virus software ของท่านทันที (update virus signature)

การกำจัดไวรัส

1. สตาร์ทวินโดว์ใน Safe Mode (สำหรับ windows ME ให้ทำการ disable ฟังก์ชั่น System Restore ก่อนเสมอ)
2. รันโปรแกรมป้องกันไวรัสซึ่งได้ปรับปรุงข้อมูลของรหัสไวรัสแล้ว
3. ลบการเรียกไฟล์ที่ไวรัสได้ฝังไว้ในเรจิสทรี การแก้ไขเรจิสทรี
   

การแก้ไขเรจิสทรี

1. ทำการลบเรจิสทรีคีย์ต่อไปนี้ โดยคลิกที่ปุ่ม Start -->Run -->Regedit
   และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้ HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run
2. ให้ลบค่า Zacker      %SYSTEM%\Christmas.exe ทิ้งไป
3. (อาจจะไม่จำเป็น) เข้าไปยังคีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
4. ในช่องทางด้านขวา ให้ double click ค่า ComputerName โดยให้แกไขจาก Zacker เป็นชื่อที่ต้องการ(ชื่อเครื่องคอมพิวเตอร์)
5. จากนั้นคลิกที่เมนู Registry เลือก Exit
6. ทำการบูตระบบใหม่อีกครั้ง (สำหรับ windows ME ให้ทำการ disable ฟังก์ชั่น System Restore ก่อนเสมอ)
7. ควรติดตั้งโปรแกรมสำหรับป้องกันไวรัสมาในระบบ และทำการสแกนระบบอีกครั้งหนึ่งเพื่อความปลอดภัย
   

หมายเหตุ การกระทำการใดๆ กับระบบเรจิสทรีมีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีไฟล์ไว้ก่อนทุกครั้ง
*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เอกสารอ้างอิง
[1] http://www.symantec.com/avcenter/venc/data/w32.maldal.c@mm.html
[2] http://vil.mcafee.com/dispVirus.asp?virus_k=99285&
[3] http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_MALDAL.C&VSect=T

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์