|
ชื่อ : W32.Maldal.D@mm
ค้นพบเมื่อ : 29 ธันวาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : -
ระดับความรุนแรง : ปานกลาง
ข้อมูลทั่วไป
เป็นหนอนอินเทอร์เน็ตที่ถูกเขียนขึ้นโดยใช้ Visual Basic มีความสามารถในการกระจายตัวผ่านทาง
Outlook
การกระจายตัว
- กระจายตัวผ่านทางอี-เมล์ ซึ่งอี-เมล์ที่ถูกส่งไปจะมีลักษณะดังนี้
Subject: Zacker
หรืออาจจะเป็นชื่อเครื่องคอมพิวเตอร์ที่ติดไวรัสนี้ %COMPUTERNAME%
Message: จะถูกสุ่มขึ้นมา (รายละเอียดดูในส่วนของรายละเอียดทางเทคนิค)
Attachment: Zacker.exe
หรือใช้เครื่องตอมพิวเตอร์ที่ติดไวรัสซึ่งเป็นเครื่องที่ส่งไฟล์นี้เป็นชื่อไฟล์
เช่น %COMPUTERNAME%.exe
ขนาดของไฟล์ที่แนบไปด้วย: 27
Kbytes
ความเสียหาย
หากติดไวรัสตัวนี้ก็จะทำให้เกิด
- มีการส่งอี-เมล์ออกไปโดยอาศัยรายชื่ออี-เมล์จาก
address book ของ Microsoft Outlook
- ไวรัสพยายามที่จะลบไฟล์ที่เกี่ยวข้องกับซอฟแวร์ป้องกันไวรัส
และไฟล์อื่นที่มีนามสกุลดังนี้ .INI, .PHP,
.EXE, .COM, .MPEG, .DAT, .ZIP, .TXT, .EXE, .XLS, .DOC,.JPG.
รายละเอียดทางเทคนิค
เมื่อถูกรันเป็นครั้งแรกมันจะสำเนาตัวเองไปยัง WINDOWS\SYSTEM
โดยใช้ชื่อไฟล์ win.exe จากนั้นจึงแก้ไขเรจิสทรีโดยเพิ่มค่า entity
Zacker ให้มีค่าเป็น %SYSTEM%\win.exe
ที่
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
เพื่อให้มีการรันตัวของมันเองทุกครั้งที่มีการรีบูตเครื่องใหม่
หลังจากที่ไวรัสทราบชื่อเครื่องคอมพิวเตอร์ปัจจุบันแล้ว
มันจะพยายามส่งอี-เมล์ออกไป โดยใช้ subject ของอี-เมล์ เป็นชื่อเครื่องคอมพิวเตอร์
และแนบไฟล์ที่ชื่อเป็นชื่อเครื่องคอมพิวเอตร์ .exe ออกไปด้วย ถ้าหากมันถูกรันอีกครั้ง
มันจะเปลี่ยนชื่อเครื่องคอมพิวเตอร์เป็น Zacker ดังนั้นอี-เมล์ที่ส่งออกไปจะใช้
subject เป็น Zacker และมีไฟล์แนบชื่อ Zacker.exe
สำหรับเนื้อหาในอี-เมล์นั้น จะประกอบไปด้วยข้อความที่ถูกสุ่มดังนี้
Test this game
I wish u like it
I have got this file for you
Surprise !!!
download this game & have fun ;)
desktop maker ,you may need it ;)
have you ever got a gift !?
What women wants !
Don't waste any time ,Subscribe now
Make your pc funny !
new program from my fun groups
Map of the world
Create your Ecard
looooooooooooooooool
Send it to everybody you love
Its made by me ;)
Our symbol
If you have an elegant taste
Test your mind
1 + 1 = 3 !!!
Singer , searsh for any song and sing ;)
For everybody wants to marry a woman that he doesn't love !
nowadays , there is no womanhood !! :P
Just Try to fix it
Keep these advertisements run and earn 0.25 $ per 10 minute ;)
See this file
นอกจากนี้มันยังลบโปรแกรมของซอฟแวร์ป้องกันไวรัสดังนี้
Program Files\AntiViral Toolkit
Pro\
Program Files\Command Software\F-PROT95\
eSafe\Protect\
PC-Cillin 95\
PC-Cillin 97\
Program Files\Quick Heal\
Program Files\FWIN32\
Program Files\FindVirus\
Toolkit\FindVirus\
f-macro\
Program Files\McAfeeVirusScan95\
Program Files\Norton AntiVirus\
TBAVW95\
VS95\
rescue\
Program Files\Zone Labs\
และยังลบไฟล์ที่มีนามสกุลดังต่อไปนี้ด้วย
.INI, .PHP, .EXE, .COM,
.MPEG, .DAT, .ZIP, .TXT, .EXE, .XLS, .DOC,.JPG.
วิธีป้องกันตนเองให้พ้นจากไวรัสตัวนี้
- ให้ลบอีเมล์ที่มีรูปแบบดังกล่าวทันที
- ห้ามรันไฟล์ (double click)
ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ ที่ถูกส่งผ่านมาทางอีเมลล์
- ปรับปรุงข้อมูลของไวรัสสำหรับ
anti-virus software ของท่านทันที (update virus signature)
การกำจัดไวรัส
- สตาร์ทวินโดว์ใน Safe Mode (สำหรับ
windows ME ให้ทำการ disable ฟังก์ชั่น System Restore ก่อนเสมอ)
- รันโปรแกรมป้องกันไวรัสซึ่งได้ปรับปรุงข้อมูลของรหัสไวรัสแล้ว
เอกสารอ้างอิง
[1] http://securityresponse.symantec.com/avcenter/venc/data/w32.maldal.d@mm.html
[2] http://vil.mcafee.com/dispVirus.asp?virus_k=99288&
เผยแพร่โดย ThaiCERT เมื่อ:
30 ธันวาคม 2544 19:00 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ : 30 ธันวาคม 2544 19:00
น.
|
