ชื่อ : W32.Mimail.A@mm
ค้นพบเมื่อ : 1 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_MIMAIL.A, W32/Mimail@MM, Win32.Mimail.A, W32/Mimail-A
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป

W32.Mimail.A@mm เป็นหนอนที่ถูกบรรจุในรูปแบบของ UPX (Ultimate Packer eXecutables) สามารถแพร่กระจายผ่านทางอี-เมล์ โดยใช้ชื่อเป็นผู้ดูแลระบบของโดเมนนั้นๆ และขโมยข้อมูลของผู้ใช้งานในเครื่องที่มีหนอนนี้ทำงานอยู่ด้วย โดยการแพร่กระจายของหนอนนั้นจะมุ่งโจมตีช่องโหว่ของโปรแกรมเว็บบราวเซอร์ Internet Explorer หมายเลข MS02-15

รูปแบบของหัวข้อของอี-เมล์ คือ

รายละเอียดทางเทคนิค

เมื่อได้รับไฟล์ message.zip และในไฟล์ดังกล่าวจะประกอบไปด้วยไฟล์ message.htm ถ้าเครื่องที่มีไฟล์นี้มีช่องโหว่ของโปรแกรม Internet Explorer MS02-15 จะทำให้หนอนชนิดนี้ปล่อยไฟล์ชื่อ foo.exe ไว้ที่เครื่องและรันไฟล์ดังกล่าวด้วย

ในขณะที่ไฟล์ foo.exe กำลังถูกปล่อยออกมาและรันอยู่นั้น ผู้ใช้งานจะเห็นข้อความผ่านโปรแกรมเว็บบราวเซอร์ ว่า "Please wait loading message ....." ขนาดอักษรสีแดงขนาดใหญ่บนพื้นหลังสีดำ

เมื่อไฟล์ foo.exe ถูกรัน หนอนจะทำการส่งอี-เมล์ที่แนบตัวหนอนเองไปยังแอดเดรสที่ค้นพบจากไฟล์ที่มีนามสกุลดังต่อไปนี้

".bmp"
".jpg"
".gif"
".exe"
".dll"
".avi"
".mpg"
".mp3"
".vxd"
".ocx"
".psd"
".tif"
".zip"
".rar"
".pdf"
".cab"
".wav"
".com"

จากนั้นในขณะที่หนอนกำลังทำการติดตั้งตัวเองนั้น หนอนจะทำการคัดลอกตัวเองไปยังโฟลเดอร์ของวินโดวส์โดยใช้ชื่อว่า "videodrv.exe" (%Windir%\Videodrv.exe) และทำการเพิ่มค่าคีย์

"VideoDriver"="%Windir%\videodrv.exe"

ในเรจิสทรีย์คีย์

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

นอกจากนี้หนอนยังสร้างไฟล์ใหม่อีก 3 ไฟล์ดังนี้ด้วย

• %Windir%\exe.tmp - หนอนในรูปแบบของ HTML
• %Windir%\zip.tmp - ไฟล์ HTML ของหนอนในรูปแบบของไฟล์ Archive ที่ไม่ได้ทำการบีบอัด
• %Windir%\eml.tmp - รายการอี-เมล์แอดเดรสที่ค้นพบในเครื่องที่มีหนอนชนิดนี้ทำงานอยู่

สุดท้ายหนอนชนิดนี้จะทำการบีบอัดตัวมันเองด้วยรูปแบบการบีบอัดเฉพาะของตัวเอง เพื่อที่จะใช้ในการส่งอี-เมล์กระจายตัวเองต่อไป

วิธีกำจัดหนอนชนิดนี้

• สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
  1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
  2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
  3. รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
  4. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
     
     
• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
     
     

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2

  1. ดาวน์โหลดไฟล์ FxMimail.exe จาก http://www.symantec.com/avcenter/FxMimail.exe
     
  2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
  3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
  4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
  5. จากนั้นทำการรันไฟล์ FxMimail.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
  6. รีสตาร์ทเครื่อง แล้วรัน FxMimail.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
  7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
  8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
  9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ให้เป็นเวอร์ชั่นใหม่ที่สุด

   IE 6.0 SP1

6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
   

ช้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/w32.mimail.a@mm.html
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.A&VSect=T
• http://vil.mcafee.com/dispVirus.asp?virus_k=100523
• http://www.f-secure.fi/v-descs/mimail.shtml
• http://www.sophos.com/virusinfo/analyses/w32mimaila.html
• http://www3.ca.com/virusinfo/virus.aspx?ID=36092

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 4 สิงหาคม 2546 9.30 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 4 สิงหาคม 2546 12.30 น.