ชื่อ : VBS.VBSWG.AQ@mm
ค้นพบเมื่อ : 6 มิถุนายน 2545
ปรับปุรงข้อมูลเมื่อ : 6 มิถุนายน 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : VBS/VBSWG.aq@MM, VBS_VBSWG.AQ, VBS/VBSWG-AQ, VBSWG.AQ

ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
VBS.VBSWG.AQ@mm เป็นหนอนอินเทอร์เน็ตที่ถูกพัฒนาด้วย VBScript ให้ทำการส่งตัวเองไปยังผู้ใช้ Microsoft Outlook หรือโปรแกรม mIRC ในรูปของไฟล์ชื่อ ShakiraPics.jpg.vbs หนอนชนิดนี้จะทำการเขียนโค้ดตัวเองทับทุกไฟล์ที่มีนามสกุล .vbs และ .vbe

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้ มีลักษณะดังต่อไปนี้

Subject: Shakira's Pictures
Message:
Hi :
i have sent the photos via attachment
have funn...
Attachment: ShakiraPics.jpg.vbs

รายละเอียดเชิงเทคนิค
หนอนถูกสร้างขึ้นด้วยชุดคิทในการพัฒนา VBScript ในชื่อ VBSWG ซึ่งอนุญาตให้สามารถเลือกวิธีการในการแพร่กระจายไฟล์และเลือกชื่อไฟล์ได้ พบว่าผู้สร้างหนอนได้เลือก Microsoft Outlook และ mIRC เป็นโปรแกรมที่ใช้ในการแพร่กระจาย และยังพบด้วยว่าผู้สร้างหนอนได้เลือกชื่อของหนอนเป็น VBS.Shakira เห็นได้จากคอมเมนต์ในสคริปต์ว่า

'Vbs.ShakiraPics Created by TGK
If VBS.VBSWG.AQ@mm is executed, it does the following:
It copies itself into the \%Windows% folder as ShakiraPics.jpg.vbs.

โดย %Windows% ซึ่งเป็นตัวแปรในระบบของระบบปฏิบัติการวินโดวส์ (ปกติจะเป็น C:\Windows หรือ C:\Winnt) ที่หนอน VBS.VBSWG.AQ@mm จะทำการสำเนาตัวเองไปยังตำแหน่งที่ตัวแปรนี้ระบุอยู่

จากนั้นหนอนจะทำการเพิ่มค่าลงในเรจิสทรีย์
Registry                   wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
ในตำแหน่งของเรจิสทรีย์คีย์คือ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

และจะทำการค้นหาไฟล์ที่มีนามสกุล .vbs และ .vbe ในทุกไดรฟ์ที่เข้าถึงได้ (ซึ่งอาจจะรวมไปถึงฟลอปปี้ดิสก์ และอุปกรณ์บันทึกข้อมูลทั้งหมด) และพยายามที่จะเขียนทับด้วยโค้ดของตัวหนอนเองทั้งหมด

สุดท้ายจะใช้โปรแกรม Microsoft Outlook ส่งตัวหนอนไปยังผู้ใช้บนเครื่อง โดยอี-เมล์มีลักษณะดังต่อไปนี้

Subject: Shakira's Pictures
Message:
Hi :
i have sent the photos via attachment
have funn...
Attachment: ShakiraPics.jpg.vbs

นอกจากนี้ยังทำการเขียนทับไฟล์คอมฟิกเจอเรชันของโปรแกรม mIRC (Script.ini) ดังนั้นเมื่อมีการใช้โปรแกรม mIRC ติดต่อไปยังเซิร์ฟเวอร์ หนอนก็จะสามารถแพร่กระจายตัวเองผ่านทาง mIRC ได้

ถ้าหนอนใช้วิธีการในแพร่ผ่าน Microsoft Outlook จะมีข้อความในเรจิสทรีย์ซึ่งใช้ในการส่งเมล์อยู่ที่
HKEY_CURRENT_USER\Software\ShakiraPics โดยมีค่าเป็น
"mailed" = "1"

ถ้าหนอนได้แก้ไข mIRC เพื่อให้สามารถใช้วิธีการในการแพร่กระจายผ่านทาง mIRC จะมีข้อความในเรจิสทรีย์ในตำแหน่ง
HKEY_CURRENT_USER\Software\ShakiraPics โดยมีค่าเป็น
"mirqued" = "1"

เมื่อหนอนทำกระบวนการทั้งหมดเสร็จสิ้น จะแสดงข้อความว่า

วิธีการแพร่ระบาด
หนอน VBS.VBSWG.AQ@mm ใช้วิธีการในการแพร่กระจายได้สองวิธี วิธีแรกโดยทำการส่งอี-เมล์ ไปยังรายชื่อผู้ใช้ทุกคนที่อยู่บน Address book ของ Microsoft Outlook วิธีที่สองคือผ่านทาง mIRC โดยใช้
โปรแกรม mIRC script.ini ในการแพร่กระจายไปยัง IRC เซิร์ฟเวอร์ และอาจจะเขียนทับไฟล์นามสกุล .vbs และ .vbe ทั้งหมด

การแก้ไขเรจิสทรีย์เมื่อติดไวรัสตัวนี้
ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง

1. คลิกที่ปุ่ม Start -->Run -->Regedit และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2. ในช่องทางด้านขวามือ ให้ลบค่าของคีย์ต่อไปนี้
   Registry                   wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
3. จากนั้นคลิกที่เมนู Registry เลือก Exit
4. จากนั้นทำการ restart เครื่องคอมพิวเตอร์ และทำการ scan virus โดยใช้ antivirus software ของท่าน

วิธีป้องกันตัวเองจากไวรัสชนิดนี้

1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที (โดยเฉพาะที่มี Subject : Shakira's Pictures)
2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม (ไวรัสตัวนี้แพร่กระจายทางIRC ด้วย ดังนั้นควรระวังการแลกเปลี่ยนไฟล์ทาง IRC )
3. ทำการปรับปรุงฐานข้อมูลไวรัสของ Antivirus software ที่ท่านใช้อยู่ให้ทันสมัยอยู่เสมอ (update antivirus software)
4. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
5. เพื่อป้องกันไวรัสตัวอื่น โปรดติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของ Internet Explorer ดังลิ้งค์ด้านล่างนี้
   

   Internet Explorer 5.01 SP2
   E 5.5 SP2
   IE 6.0

ช้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/vbs.vbswg.aq@mm.html
  
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_VBSWG.AQ
• http://vil.mcafee.com/dispVirus.asp?virus_k=99506

เผยแพร่โดย ThaiCERT เมื่อ 7 มิถุนายน 2545 10.33
ปรับปรุงล่าสุดโดย ThaiCERT 7 มิถุนายน 2545 11.10

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์