ThaiCERT : Advisories & Alerts : Alert : W32.Sobig.A@mm

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

ชื่อ : W32.Sobig.A@mm
ค้นพบเมื่อ : 9 มกราคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : I-Worm.Sobig, W32/Sobig, W32/Sobig-A,Win32.Sobig , WORM_SOBIG.A
ระดับความรุนแรง : ปานกลาง

ลักษณะทั่วไป

W32.Sobig.A@mm สามารถกระจายตัวเองผ่านทางอี-เมล์ ซึ่งจะส่งไปยังอี-เมล์แอดเดรสที่ค้นหาได้จากไฟล์ที่มีนามสกุล .txt .eml .html .htm .dbx และ .wab ภายในเครื่อง อี-เมล์ที่หนอนชนิดนี้ส่งมีลักษณะดังนี้

Subject. หัวเรื่องดังต่อไปนี้

Re: Movies

Re: Sample

Re: Document

Re: Here is that sample

Attachment. ไฟล์ที่แนบมาดังต่อไปนี้

Movie_0074.mpeg.pif

Document003.pif

Untitled1.pif

Sample.pif

From. big@boss.com

ก่อนที่หนอนจะส่งอี-เมล์ไปยังรายชื่อผู้รับที่ค้นหาได้ข้างต้น หนอนจะทำการส่งข้อความไปหาผู้รับที่อยู่ในโฮสต์ pagers.icq.com ด้วย

หนอนพยายามที่จะคัดลอกตัวเองไปยังโฟลเดอร์ต่อไปนี้ของเครื่องที่เปิดแชร์

\Windows\All Users\Start Menu\Programs\StartUp\

\Documents and Settings\All Users\Start Menu\Programs\Startup\

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Sobig.A@mm เริ่มทำงาน

หนอนจะคัดลอกไฟล์ Winmgm32.exe ไปเก็บไว้ยัง %Windir%\

หมายเหตุ %Windir% เป็นตัวแปรแทนโฟลเดอร์ของระบบปฏิบัติการวินโดวส์ซึ่งมีค่าเป็น C:\Windows หรือ C:\Winnt
สร้างโพรเซส %Windir%\Winmgm32.exe ซึ่งโพรเซสดังกล่าวจะทำดังต่อไปนี้
- สร้าง Mutex ด้วยชื่อ Worm.X
- สร้าง thread ที่จะส่งข้อความไปยังผู้รับที่มีชื่ออยู่ใน pagers.icq.com
- สร้าง thread ที่จะดาวน์โหลดเนื้อหาจากเว็บไซต์บางประเภท
- สร้าง thread ที่จะค้นหาเครื่องที่ทำการเปิดแชร์ในเครือข่าย และคัดลอกหนอนไปยังโฟล์เดอร์ต่อไปนี้ที่อยู่บนเครื่องที่เปิดแชร์
  - \Windows\All Users\Start Menu\Programs\StartUp\
  - \Documents and Settings\All Users\Start Menu\Programs\Startup\
- สร้าง thread ที่จะส่งอี-เมล์ไปยังรายชื่อที่ค้นพบในไฟล์ที่มีนามสกุลต่อไปนี้
  - .txt
  - .eml
  - .html
  - .htm
  - .dbx
  - .wab
- ปรับแต่งตัวเองให้เริ่มต้นทำงานเมื่อมีการเริ่มต้นใช้งานวินโดวส์ โดยเพิ่มค่า
  WindowsMGM %Windir%\Winmgm32.exe
  
  ในเรจิสทรีย์คีย์
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

รายละเอียดของส่วนที่ทำการส่งอี-เมล์
หนอนจะทำการส่งอี-เมล์ที่มีค่าต่อไปนี้

Subject. หัวเรื่องดังต่อไปนี้

Re: Movies

Re: Sample

Re: Document

Re: Here is that sample

Attachment. ไฟล์ที่แนบมาดังต่อไปนี้

Movie_0074.mpeg.pif

Document003.pif

Untitled1.pif

Sample.pif

From. big@boss.com

คำแนะนำในการกำจัดหนอนชนิดนี้ :

ทำการปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ท่านใช้
สแกนหาไวรัสทั้งระบบและลบทุกไฟล์ที่ติดหนอนชนิดนี้

วิธีป้องกันตัวเองจากไวรัส

ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้

Internet Explorer 5.01 SP2
IE 5.5 SP2
IE 6.0 SP1
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ

ช้อมูลอ้างอิง

*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เผยแพร่โดย ThaiCERT เมื่อ 14 มกราคม 2546 10:55
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 14 มกราคม 2546 10:55

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

ThaiCERT Disclaimer | Copyright © 2001 ThaiCERT(NECTEC). All rights reserved.