ชื่อ : W32.Sobig.B@mm และ W32.Sobig.C@mm
ค้นพบเมื่อ : 18 พฤษภาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.HLLW.Mankx@mm, W32/Palyh@MM, W32/Palyh-A, I-Worm.Palyh, WORM_PALYH.A, Win32.Palyh.A
ระดับความรุนแรง : ปานกลาง

หมายเหตุ W32.Sobig.C@mm มีลักษณะการทำงานเหมือนกับ W32.Sobig.B@mm แต่แตกต่างกันชื่อไฟล์และเรจิสทรีย์ที่หนอนชนิดนี้ติด ซึ่งจะเปรียบเทียบได้ดังในตารางต่อไปนี้

ลักษณะ	W32.Sobig.B@mm	W32.Sobig.C@mm
ไฟล์ของหนอน	%Windir%\msccn32.exe	%Windir%\mscvb32.exe
ไฟล์ที่หนอนสร้างใหม่	%Windir%\hnks.ini %Windir%\msdbrr.ini	%Windir%\msddr.dll %Windir%\msddr.dat
ค่าเรจิสทรีย์ที่แก้ไข	"System Tray"="%Windir%\msccn32.exe"	"System MScvb"="%Windir%\mscvb32.exe"
ชื่อผู้ส่งอี-เมล์	support@microsoft.com	bill@microsoft.com
หัวข้ออี-เมล์	Your details Approved (Ref: 38446-263) Re: Approved (Ref: 3394-65467) Your password Re: My details Screensaver Cool screensaver Re: Movie Re: My application	Re: Movie Re: Submited (004756-3463) Re: 45443-343556 Re: Approved Approved Re: Your application Re: Application
ไฟล์ที่แนบมากับอี-เมล์	your_details.pif ref-394755.pif approved.pif password.pif doc_details.pif screen_temp.pif screen_doc.pif movie28.pif application.pif	screensaver.scr movie.pif submited.pif 45443.pif documents.pif approved.pif application.pif document.pif

W32.Sobig.B@mm และ W32.Sobig.C@mm มีลักษณะการทำงานเหมือนกับ W32.Sobig@mm ซึ่งสามารถแพร่กระจายผ่านทางอี-เมล์ โดยค้นหาอี-เมล์แอดเดรสของผู้รับจากไฟล์ที่มีนามสกุลดังต่อไปนี้

.wab
.dbx
.htm
.html
.eml
.txt

และสามารถแพร่กระจายตัวผ่านการแชร์ต่างๆ โดยจะคัดลอกตัวเองไปยังโฟลเดอร์ต่อไปนี้ในเครื่องอื่นๆ

• Windows\All Users\Start Menu\Programs\StartUp
• Documents and Settings\All Users\Start Menu\Programs\Startup

เมื่อหนอน W32.Sobig.B@mm และ W32.Sobig.C@mm แพร่กระจายในเครื่องจะมีกระบวนการทำงานดังนี้

รูปที่ 1 แสดง Flow chart การทำงานของหนอนชนิดนี้

รูปที่ 2 แสดงตัวอย่างอี-เมล์ที่ส่งโดยหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ

1. ดาวน์โหลดไฟล์ FixSobigb.exe จาก http://securityresponse.symantec.com/avcenter/FxSobigb.exe และถ้าติด W32.Sobig.C@mm ให้ดาวน์โหลดไฟล์ FixSobigc.exe จาก http://securityresponse.symantec.com/avcenter/FixSbigc.exe
2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
5. จากนั้นทำการรันไฟล์ FixSobigb.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
6. รีสตาร์ทเครื่อง แล้วรัน FixSobigb.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ให้เป็นเวอร์ชั่นใหม่ที่สุด

   IE 6.0 SP1

6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php

ช้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.b@mm.html
• http://vil.mcafee.com/dispVirus.asp?virus_k=100307
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_PALYH.A
• http://www.f-secure.fi/v-descs/palyh.shtml
• http://www3.ca.com/virusinfo/virus.aspx?ID=35204
• http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.c@mm.html
• http://vil.mcafee.com/dispVirus.asp?virus_k=100343
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.C

*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เผยแพร่โดย ThaiCERT เมื่อ 20 พฤษภาคม 2546 10:43
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 3 มิถุนายน 2546 10:58

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์