|
ชื่อ : W32.MSN.Worm และ
W32.MSN2.Worm
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky],
IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ
: Windows 2000, Windows 95, Windows 98, Windows Me, Windows
NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX,
Windows 3.x
ข้อมูลทั่วไป
|| วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น
|| รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้
|| วิธีป้องกันตัวเองจากหนอนชนิดนี้
ข้อมูลทั่วไป
W32.MSN.Worm หรือ
IM-Worm.Win32.Agent.f
เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา
MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว
หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ
ที่อยู่ในลิสต์ด้วย
หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security
Center" และ "winvnc4"
ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ
แล้วตามด้วยไฟล์ Image.zip
- LOL, you look so ugly in this picture, no joke...
- Should I put this on facebook/myspace?
- Hey m8, who is this on the right, in this picture...
- Sup, seen the pictures from the other night?
ส่วน W32.MSN2.Worm
นั้นมีกระบวนการที่คล้ายกับเวอร์ชั่นก่อน เพียงแต่อาศัยไฟล์ที่ชื่อ
pic.zip ในการแพร่กระจายผ่าน MSN และสร้างไฟล์ชื่อ %windir%msnmsg.exe
ดังตัวอย่าง
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา
MSN Messenger
ผลกระทบที่เกิดขึ้น
- เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี
สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
- เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ
ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger
รายละเอียดทางเทคนิค
เมื่อหนอน W32.MSN.Worm
และ W32.MSN2.Worm
ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
วิธีกำจัดหนอนชนิดนี้
- การกำจัดหนอนแบบอัตโนมัติ
- ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp
หมายเหตุ xxx
แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx
ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ
1.
- ตัดการเชื่อมต่อเครือข่าย
- หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
- จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม
Scan
- เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
- ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- ห้ามรับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat)
ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส
และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ
โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น
high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน
ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ
วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น
และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ
โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***
เผยแพร่โดย ThaiCERT เมื่อ 27
กรกฎาคม 2550 13.27 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 26 สิงหาคม 2551 15.21 น. |
