|
ชื่อ : W32.Sober.S@mm
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32./Sober.S@mm [Outpost24], WORM_SOBER.S
[Trend Micro], Win32.Sober.N [Computer Associates], Sober.P [F-Secure],
W32/Sober.p@MM [McAfee], W32/Sober-N [Sophos], W32.Sober.O@mm[Symantec]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ
: Windows 2000, Windows 95, Windows 98, Windows Me, Windows
NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX,
Windows 3.x
ข้อมูลทั่วไป
|| วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น
|| รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้
|| วิธีป้องกันตัวเองจากหนอนชนิดนี้
|| ข้อมูลอ้างอิง
ข้อมูลทั่วไป
W32.Sober.S@mm
เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านโพรโตคอล
SMTP (Simple Mail Transfer Protocol) ของหนอนเอง โดยจะส่งอี-เมล์ไปยังแอดเดรสที่ถูกค้นพบในเครื่องที่ถูกหนอนชนิดนี้คุกคาม
และอี-เมล์ที่ส่งนั้นจะมีสองภาษาคือภาษาอังกฤษและภาษาเยอรมัน
ลักษณะของอี-เมล์ (ภาษาเยอรมัน) มีดังนี้
| ชื่อผู้ส่งอี-เมล์ |
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster |
| หัวข้ออี-เมล์ |
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung |
| ไฟล์ที่แนบมากับอี-เมล์ |
LOL.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip |
| ข้อความในอี-เมล์ |
Passwort
und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp
Diese E-Mail
wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[random domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige
E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh
dir das mal an
Was ein Ferkel ....
Herzlichen
Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem
Anhang.
St. Rainer
Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
ต่อท้ายด้วยข้อความต่อไปนี้
Mail-Scanner:
Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain] |
ลักษณะของอี-เมล์ที่หนอนส่งออกมาเป็นภาษาอังกฤษ
| ชื่อผู้ส่งอี-เมล์ |
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster |
| หัวข้ออี-เมล์ |
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re: [blank] |
| ไฟล์ที่แนบมากับอี-เมล์ |
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip |
| ข้อความในอี-เมล์ |
ok
ok ok,,,,, here is it
Account and Password
Information are attached!
Visit: http:/ /www.[random domain]
This is an automatically
generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
ต่อท้ายด้วยข้อความต่อไปนี้
Attachment-Scanner:
Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[random domain]
|
ตัวอย่างอี-เมล์ที่หนอนชนิดนี้ส่งออกมา
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ โดยเนื้อหาของอี-เมล์นั้นมีทั้งภาษาอังกฤษและเยอรมัน
ผลกระทบที่เกิดขึ้น
- ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้
SMTP ของหนอนเอง
- เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี
ทำให้เครื่องทำงานผิดพลาดได้
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Sober.S@mm
ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
วิธีกำจัดหนอนชนิดนี้
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
- ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก
http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx
แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx
เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
- ตัดการเชื่อมต่อเครือข่าย
- หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
- จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม
Scan
- เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
- ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup
utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore
ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ
โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน
Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก
Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่
ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
- หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์
C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่
1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable
System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup
utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore
ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ
โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน
Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก
Properties
- เลือกแถบ System Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore"
หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
- หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์
C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่
1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn
off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ
หรือ Pirch เป็นต้น
- ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส
และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ
โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
IE
6.0 Service Pack 1
Windows
2000 Service Pack 4
Windows
XP Service Pack 1a
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น
high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน
ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ
วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ข้อมูลอ้างอิง
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น
และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ
โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***
เผยแพร่โดย ThaiCERT เมื่อ 3
พฤษภาคม 2548 09.35น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 3 พฤษภาคม 2548 09.35น. |
