ชื่อ : W32.Vote.B@mm
ค้นพบเมื่อ : 26 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ระดับความรุนแรง: ต่ำ- ปานกลาง

ภาพโดยรวม:

W32.Vote.B@mm เป็นหนอนที่แพร่กระจายทางเมล์ถูกเขียนขึ้นด้วยภาษา Visual Basic เมื่อ execute แล้วมันจะพยายามส่งอีเมล์ด้วยตัวเองไปยังรายชื่อทั้งหมดใน Microsoft address book มันจะนำไฟล์ที่มีนามสกุล .vbs จำนวน 3ไฟล์ลงไว้ในระบบ และทำการเปลี่ยนแปลง Internet Explorer home page ด้วย

W32.Vote.B@mm แตกต่างจาก W32.Vote.A@mm ดังนี้:

• ใส่ไฟล์นามสกุล .vbs จำนวน 3 ไฟล์แทน 2 ไฟล์
• ชื่อไฟล์เปลี่ยนไป
• ชื่อหัวเรื่องของอีเมล์และเนื้อความแตกต่างออกไป
• ไฟล์ของ Antivirus ไม่ถูกลบ

ข้อสังเกต: มีบางไฟล์ที่ใส่ไว้ในระบบเป็นไฟล์เดียวกับ W32.Vote.A@mm ดังนั้นมันจะถูกตรวจพบว่าเป็น W32.Vote.A@mm

ความเสียหาย:

• การส่งอีเมล์ออกจำนวนมาก: มีการส่งอีเมล์ถึงทุกคนที่มีรายชื่ออยู่ใน address book ของโปรแกรม Microsoft Outlook
• การลบไฟล์: ฟอร์แมตไดร์ฟ C แต่ถ้าไม่สำเร็จ มันจะพยายามลบไฟล์ทั้งหมดในโฟลเดอร์ Windows หลังจากรีบูต
• การแก้ไขไฟล์: ทุกๆไฟล์ที่มีนามสกุล .htm หรือ .html จะถูกเขียนทับ
• การทำลายระบบความปลอดภัย: ถ้าเป็นมีการดาวน์โหลดและติดตั้ง Backdoor.Trojan สำเร็จ ผู้อื่นก็จะมีสิทธิ์ในการเข้าถึงเครื่องได้อย่างเต็มที่
  

การแพร่กระจาย:

• หัวเรื่องของอีเมล์: Fwd:This War Must Be Done!
• ชื่อไฟล์แนบ: Anti_TeRRoRisM.exe
• ขนาดของไฟล์แนบ: 56,832 Bytes

รายละเอียดทางเทคนิค:
W32.Vote.A@mm เป็นหนอนที่แพร่กระจายทางเมล์ ถูกเขียนขึ้นด้วยภาษา Visual Basic โดยอาศัยไฟล์ Msvbvm50.dll ในการ execute

เมื่อ execute แล้วหนอนจะพยายามส่งอีเมล์ด้วยตัวเองไปยังรายชื่อทั้งหมดใน Microsoft address book โดยอีเมล์ดังกล่าวมีลักษณะดังต่อไปนี้

จากนั้นหนอนตัวนี้ก็จะเปลี่ยน Microsoft Internet Explorer home page ไปเป็น

about: I SwEar, We WiLL Rule This World SooN !!!

นอกจากนั้นมันจะพยายามใส่ไฟล์นามสกุล .vbs 3 ไฟล์ลงในระบบดังนี้:

• \%Windows%\MixDaLaL.vbs
• \%Windows\System%\WaiL.vbs
• \%Windows\System%\DaLaL

ข้อสังเกต:

%Windows% เป็นค่าตัวแปรหนึ่ง หนอนจะจัดวางไว้ที่โฟลเดอร์ \Windows (โดย default จะเป็น C:\Windows หรือ C:\Winnt) และจะทำสำเนาตัวเองไว้ในโฟลเดอร์นี้

%Windows\System% เป็นค่าตัวแปรหนึ่ง มันจะจัดวางไว้ที่โฟลเดอร์ \Windows\System (โดย default จะเป็น C:\Windows\System หรือ C:\Winnt\System32) และจะทำสำเนาตัวเองไว้ในโฟลเดอร์นี้

ลำดับต่อไป มันจะพยายามดาวน์โหลดและ execute ไฟล์ชื่อ TimeUpdate.exe ซึ่งไฟล์นี้ถูกจับด้วย Norton AntiVirus ว่าเป็น Backdoor, Trojan

สุดท้ายมันจะเปิดเว็บไซต์หนึ่งใน browser หน้าใหม่ โดยจะปรากฎเป็นภาษาที่ไม่สุภาพ และข้อความที่คล้ายกับข้อความอื่นๆที่ถูกแสดงด้วยหนอนตัวนี้

สิ่งที่ไฟล์ที่ถูกใส่ไว้ในระบบทำ

• MixDaLaL.vbs
  MixDaLaL.vbs เป็นไฟล์สคริปต์ที่ถูกเขียนด้วยภาษา Visual Basic ซึ่งถูกใส่ไว้ในโฟลเดอร์ \%Windows% ไฟล์นี้เป็นไฟล์เดียวกับใน W32.Vote.A@mm เมื่อหนอนทำการ execute ไฟล์นี้ ก็จะทำให้สคริปต์ทำงานโดยเข้าไปตรวจสอบในทุกๆโฟลเดอร์บนไดร์ฟทั้งหมด และเน็ตเวิร์คไดรฟ์ด้วย ถ้าหากพบไฟล์ที่มีนามสกุล .htm หรือ .html มันก็จะทำการเขียนทับไฟล์เหล่านั้นด้วยข้อความต่อไปนี้
  
  AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You
  
  
• DaLaL.VBS
  ไฟล์นี้ถูกนำไปใส่ไว้ในโฟลเดอร์ \%Windows\System% แต่มันไม่ได้ถูก execute ด้วยหนอนตัวนี้ หากแต่ถูกนำค่า ZaCker = \%Windows\System%\DaLaL.vbss ไปใส่ไว้ใน registry key
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  
  ดังนั้นมันจะถูก execute ทุกครั้งที่เปิดเครื่อง
  
  เมื่อมันถูก execute ตอนที่เครื่อง restart ครั้งต่อไป มันจะกระทำการดังต่อไปนี้:
  • มันจะสร้างและเขียนทับไฟล์ C:\Autoexec.bat โดยที่ในไฟล์นี้จะมีคำสั่งในการ format ไดร์ฟ C ด้วย สำหรับไฟล์ Autoexec.bat นี้ ปกติจะถูก execute บนระบบ Windows 95/98/Me และ Dos เมื่อเปิดเครื่อง
  • ต่อไป key ALWaiL = \%Windows\System%\WaiL.vbs จะถูกนำไปใส่ไว้ใน registry key
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • สุดท้าย หนอนก็จะแสดงข้อความดังนี้
    
    
    
    โดยหนอนจะพยายาม shut down เครื่อง หลังจากที่มีข้อความปรากฎ ถ้าคุณรีสตาร์ทเครื่องซึ่งรัน Windows 95/98/Me ไดร์ฟ C จะถูกรีฟอร์แมต
    
    
• WaiL.VBS
  ถ้าไดร์ฟ C ไม่ถูกรีฟอร์แมตหลังจากที่ไฟล์ DaLaL.vbs ถูก execute แล้ว ไฟล์ Wail.vbs ก็จะถูก execute โดยสคริปต์นี้จะพยายามลบทุกไฟล์ในโฟลเดอร์ %Windows% เมื่อลบเสร็จ มันก็จะปรากฏข้อความดังนี้

การกำจัดหนอน:

1. ทำการ run LiveUpdate เพื่อให้แน่ใจว่าเครื่องของคุณมี virus definition ล่าสุดแล้ว
2. ทำการ start Norton Antivirus (NAV) และต้องแน่ใจว่าได้ตั้งค่าให้โปรแกรมทำการ scan ทุกไฟล์แล้ว สำหรับคำแนะนำสามารถอ่านได้จากเอกสาร How to configure Norton AntiVirus to scan all files
3. ทำการ scan ทั้งระบบ
4. ลบทุกไฟล์ที่ถูกตรวจพบว่าเป็นหนอน W32.VoteA@mm และ W32.VotB@mm
5. รีเซ็ต Internet Explorer home page ใหม่
6. ถ้าเครื่องถูก reboot หลังจากติดไวรัสหรือหนอนตัวนี้แล้ว หรือเครื่องมีสักษณะไม่เสถียรแล้ว ขอแนะนำให้ทำการติดตั้งระบบปฏิบัติการใหม่
   
   

การแก้ไข registry:

ข้อควรระวัง: คุณควรทำการ back up registry ของระบบก่อนที่จะทำการเปลี่ยนแปลงใดๆ เพราะถ้าเกิดการแก้ไขผิดพลาดขึ้นจะทำให้ข้อมูลและไฟล์สูญหายและเสียหายได้ คุณต้องแน่ใจว่าแก้ไขเฉพาะ key ที่ระบุไว้ สามารถดูได้วิธีได้จากเอกสาร How to back up the Windows registry

1. เลือก Start--> Run จะปรากฏ Run dialog box ขึ้นมา
2. พิมพ์ regedit และกดปุ่ม OK จะปรากฎ Registry Editor ขึ้นมา
3. หา key นี้ : HKEY_LOCAL_MACHINE\Software\Microsoft\
   Windows\CurrentVersion\Run
4. ในช่องขวามือ ให้ลบค่าต่อไปนี้ออก:
   ZaCker = \%Windows\System%\DaLaL.vbs
   ALWaiL = \%Windows\System%\WaiL.vbs
5. กดปุ่ม Registry และ Exit

การรีเซ็ต Internet Explorer home page:

1. เปิด Microsoft Internet Explorer
2. เชื่อมต่อเข้าสู่อินเทอร์เน็ต และเลือกหน้าเว็บไซต์ที่คุณต้องการให้เป็น home page ของคุณ
3. กดปุ่ม Tools และ Internet Options
4. ไปที่ Gereral tab กด Use Current แล้วกด OK

ปรับปรุงล่าสุด : 28 กันยายน 2544 10:10

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์