ชื่อ : W32.Nimda.E@mm
ค้นพบเมื่อ : 29 ตุลาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)

ระบบที่ได้รับผลกระทบ : Microsoft Windows 95, 98, ME, NT, and 2000

W32.Nimda.E@mm เป็นไวรัสเวอร์ชั่นใหม่ของ W32.Nimda.A@mm ซึ่งผ่านการแก้ไขบักและมีการเปลี่ยนแปลงบางอย่าง โดยลักษณะการทำงานคล้ายกับ W32.Nimda.A@mm แต่มีการเปลี่ยนแปลงบางอย่างดังนี้

• ไฟล์ attachment ถูกเปลี่ยนชื่อเป็น sample.exe (บางครั้งอาจจะซ่อนไว้ทำให้มองไม่เห็น)
• ไฟล์ที่ถูกทิ้งไว้ในเครื่องชื่อ Httpodbc.dll
• มันจะคัดลอกตัวเองไปยังโฟลเดอร์ %Windows%System โดยใช้ชื่อ Csrss.exe

ความเสียหายที่จะเกิดขึ้นเมื่อติดไวรัส

• มันจะส่งอีเมล์ไวรัสออกไป โดยจะส่งไฟล์ attachment แนบไปในชื่อ Sample.exe
• ทำให้ระบบมีประสิทธิภาพลดลง
• สร้าง network share ในเครื่องนั้นๆ

วิธีกำจัดไวรัส

• ใช้ fix tool จาก http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.e@mm.removal.tool.html โปรดอ่านคำแนะนำในการใช้งานด้วย(ภาษาไทย)

การกระจายตัว
คล้ายกับ Nimda.A คือ

• กระจายตัวผ่านทางอี-เมล์ โดยแนบไฟล์ชื่อ Sample.exe ไปด้วย
• กระจายตัวผ่านทาง network share ที่เปิดไว้
• และพยายามกระจายตัวผ่านทาง IIS web server ที่ไม่ได้ติดตั้ง patch (โดยอาสัยช่องโหว่ที่ MS00-978)
• กระจายตัวผ่านไฟล์ที่ติดไวรัส

วิธีป้องกันสำหรับผู้ใช้ตามบ้านทั่วไป

• ติดตั้ง Internet Explorer 5.01 SP2 หรือติดตั้ง Internet Explorer 5.5 SP2 หรือติดตั้ง Internet Explorer 6.0
• กรณีที่ไม่สามารถติดตั้ง SP2 ได้นั้น ให้ติดตั้ง patch จากเว็บไซต์ของ Microsoft

วิธีป้องกันการติดไวรัสผ่านทาง network share

• สำหรับผู้ที่ share ข้อมูลผ่านทางเครือข่ายให้ยกเลิกการ share หรือให้ share แบบ read only เท่านั้น

วิธีป้องกันสำหรับผู้ดูแลระบบ NT 4

• ดาวน์โหลดและติดตั้ง service pack 6a
• Security Fix Rollup Package
• IIS-related Security Patch

วิธีป้องกันสำหรับผู้ดูแลระบบ IIS 5.0

• ติดตั้ง service pack2

ปรับปรุงล่าสุด : 30 ตุลาคม 2544  เวลา 14.02

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์