|
ชื่อ : W32.Vote.A@mm
ค้นพบเมื่อ : 24 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ระดับความรุนแรง: ต่ำ- ปานกลาง
ภาพโดยรวม:
W32.Vote.A@mm เป็นหนอนที่แพร่กระจายทางเมล์ถูกเขียนขึ้นด้วยภาษา
Visual Basic เมื่อ execute แล้วมันจะพยายามส่งอีเมล์ด้วยตัวเองไปยังรายชื่อทั้งหมดใน
Microsoft address book มันจะนำไฟล์ที่มีนามสกุล .vbs จำนวน 2 ไฟล์ลงไว้ในระบบ
และจะพยายามลบไฟล์จากผลิตภัณฑ์ antivirus ชนิดต่างๆ
ความเสียหาย:
- การส่งอีเมล์ออกจำนวนมาก: มีการส่งอีเมล์ถึงทุกคนที่มีรายชื่ออยู่ใน
address book ของโปรแกรม Microsoft Outlook
- การลบไฟล์: หลังจากการรีบูตเครื่อง หนอนตัวนี้จะพยายามลบทุกไฟล์ในโฟลเดอร์
Windows
- การแก้ไขไฟล์: ทุกๆไฟล์ที่มีนามสกุล .htm หรือ
.html จะถูกเขียนทับ
- การทำลายระบบความปลอดภัย: ถ้าเป็นมีการดาวน์โหลดและติดตั้ง
Backdoor.Trojan สำเร็จ ผู้อื่นก็จะมีสิทธิ์ในการเข้าถึงเครื่องได้อย่างเต็มที่
การแพร่กระจาย:
- หัวเรื่องของอีเมล์: Fwd:Peace BeTweeN AmeriCa
and IsLaM!
- ชื่อไฟล์แนบ: WTC.exe
- ขนาดของไฟล์แนบ: 55808 Bytes
รายละเอียดทางเทคนิค:
W32.Vote.A@mm เป็นหนอนที่แพร่กระจายทางเมล์ ถูกเขียนขึ้นด้วยภาษา
Visual Basic โดยอาศัยไฟล์ Msvbvm50.dll ในการ execute
เมื่อ execute แล้วหนอนจะพยายามส่งอีเมล์ด้วยตัวเองไปยังรายชื่อทั้งหมดใน
Microsoft address book โดยอีเมล์ดังกล่าวมีลักษณะดังต่อไปนี้
|
!!!
โปรดเปิดอี-เมล์ด้วยความระมัดระวังอย่างยิ่ง !!!
Subject: Fwd:Peace BeTweeN AmeriCa
and IsLaM!
Message:
Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Attachment: WTC.EXE
|
|
จากนั้นหนอนก็จะใส่ไฟล์ 2 ไฟล์ที่มีนามสกุล .vbs ลงในระบบดังนี้:
- \<Windows folder>\ZaCker.vbs
- \<Windows\System folder>\MixDaLaL.vbs
นอกจากนั้นหนอนจะพยายามดาวน์โหลดและ execute ไฟล์หนึ่งซึ่ง Norton
Antivirus ตรวจพบว่าเป็น Backdoor.Trojan
และสุดท้าย หนอนก็จะพยายามลบไฟล์ทั้งหมดออกจากหลายๆโฟลเดอร์
โดยโฟลเดอร์เหล่านี้เป็นโฟลเดอร์ default สำหรับติดตั้งผลิตภัณฑ์ antivirus
ทั้งหลาย สำหรับ Norton AntiVirus หนอนจะพยายามลบไฟล์ถ้า Norton Antivirus
ถูกติดตั้งไว้ในโฟลเดอร์ C:\Program Files\Norton Antivirus
สิ่งที่ไฟล์ที่ถูกใส่ไว้ในระบบทำ
- MixDaLaL.vbs
MixDaLaL.vbs เป็นไฟล์สคริปต์ที่ถูกเขียนด้วยภาษา Visual Basic ซึ่งถูกใส่ไว้ในโฟลเดอร์
\Windows\System เมื่อหนอนทำการ execute ไฟล์นี้ ก็จะทำให้สคริปต์ทำงานโดยเข้าไปตรวจสอบในทุกๆโฟลเดอร์บนไดร์ฟทั้งหมดและเน็ตเวิร์คไดรฟ์ด้วย
ถ้าหากพบไฟล์ที่มีนามสกุล .htm หรือ .html มันก็จะทำการเขียนทับไฟล์เหล่านั้นด้วยข้อความต่อไปนี้
AmeRiCa ...Few Days WiLL Show You What
We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For
You
-
ZaCker.vbs
ไฟล์นี้ถูกนำไปใส่ไว้ในโฟลเดอร์ \Windows\System เช่นกัน แต่มันไม่ได้ถูก
execute ด้วยหนอนตัวนี้ หากแต่ถูกนำค่า Norton.Thar \Windows\System\ZaCker.vbs
ไปใส่ไว้ใน registry key
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
ดังนั้นมันจะถูก execute ทุกครั้งที่เปิดเครื่อง
เมื่อมันถูก execute ตอนที่เครื่อง restart ครั้งต่อไป
ไฟล์นี้จะพยายามลบไฟล์ทั้งหมดในโฟลเดอร์ \Windows และจากนั้นมันก็จะสร้างหรือเขียนทับไฟล์ชื่อ
C:\Autoexec.bat โดยที่ในไฟล์นี้จะมีคำสั่งในการ format ไดร์ฟ
C ด้วย สำหรับไฟล์ Autoexec.bat นี้ ปกติจะถูก execute
บนระบบ Windows 95/98/Me และ Dos เมื่อเปิดเครื่อง
สุดท้าย หนอนก็จะแสดงข้อความดังนี้
โดยหนอนจะพยายาม shut down เครื่อง หลังจากที่มีข้อความปรากฎ อย่างไรก็ตามไฟล์ที่ต้องใช้ในการทำให้เครื่อง
shut down นั้นได้ถูกลบออกจากโฟลเดอร์ \Windows ไปแล้ว เหตุการณ์ดังกล่าวจึงไม่สามารถเกิดขึ้นได้
คำแนะนำในการกำจัด:
- ทำการ run LiveUpdate เพื่อให้แน่ใจว่าเครื่องของคุณมี
virus definition ล่าสุดแล้ว
- ทำการ start Norton Antivirus (NAV) และต้องแน่ใจว่าได้ตั้งค่าให้โปรแกรมทำการ
scan ทุกไฟล์แล้ว สำหรับคำแนะนำสามารถอ่านได้จากเอกสาร How
to configure Norton AntiVirus to scan all files
- ทำการ scan ทั้งระบบ
- ลบทุกไฟล์ที่ถูกตรวจพบว่าเป็นหนอน W32.Vote@mm
ถ้าหนอนตัวนี้ได้แพร่กระจายแล้วและโปรแกรม Norton Antivirus ถูกติดตั้งไว้ในโฟลเดอร์
C:\Program Files\Norton AntiVirus คุณควรจะทำการติดตั้ง Norton
Antivirus ใหม่อีกครั้ง
- ถ้าเครื่องถูก reboot หลังจากติดไวรัสหรือหนอนตัวนี้แล้ว
หรือเครื่องมีสักษณะไม่เสถียรแล้ว ขอแนะนำให้ทำการติดตั้งระบบปฏิบัติการใหม่
ข้อมูลเพิ่มเติม:
ถ้า Backdoor.Trojan ถูกติดตั้งบนเครื่องสำเร็จ ก็มีความเป็นไปได้ที่ระบบของคุณจะถูกเข้าถึงจากระยะไกลโดยผู้ที่ไม่ได้รับอนุญาต
ดังนั้นเครื่องที่ติดไวรัสหรือหนอนตัวนี้แล้วจึงถือได้ว่าระบบไม่มีความสมบูรณ์แล้ว
ซึ่งผู้ที่เข้าถึงระบบของคุณสามารถทำการเปลี่ยนแปลระบบของคุณได้ เช่น:
- ขโมยหรือเปลี่ยนแปลงรหัสผ่านหรือไฟล์รหัสผ่าน
- ติดตั้งประตูหลังเพื่อใช้เชื่อมต่อเข้ามาที่ระบบได้อีกในภายหลัง
- ติดตั้ง keystroke logging software
- แก้ไขการตั้งค่ากฎของ Firewall
- ขโมยหมายเลขบัตรเครดิต ข้อมูลของธนาคาร ข้อมูลส่วนบุคคล
และข้อมูลอื่นๆ
- ลบหรือแก้ไขไฟล์ต่างๆ
- ส่งข้อความที่ไม่เหมาะสมหรือใส่ร้ายผู้อื่น
- แก้ไขสิทธิในการเข้าถึงไฟล์หรือ user accounts
- ลบข้อมูลจากไฟล์ที่เก็บล็อก เพื่อปิดบังการกระทำของตัวเอง
ถ้าต้องการให้แน่ใจว่าองค์กรของคุณปลอดภัยจากไวรัสจริงๆนั้น
คุณควรต้องทำการติดตั้งระบบปฏิบัติการใหม่และนำไฟล์ที่ทำการสำรองไว้ก่อนติดไวรัสมาใช้
รวมทั้งทำการเปลี่ยนรหัสผ่านทั้งหมดที่อยู่บนเครื่องหรือที่ใช้ผ่านเครื่องดังกล่าวด้วย
ปรับปรุงล่าสุด : 25 กันยายน
2544 13:54
|
