W32/Redesi.gen@MM
ชื่ออื่น : Dark Machine, DarkMachine, W32.Redesi@mm (NAV), W32/Redesi-A (Sophos), W32/Redesi.gen@MM , W32/Ucon@MM
ค้นพบเมื่อ 17 ตุลาคม 2544
ชนิด หนอนอินเตอร์เน็ต
ระดับความรุนแรง ต่ำ

ข้อมูลทั่วไป
หนอนอินเตอร์เน็ต W32/Redesi.gen@MM จัดอยู่ในพวกหนอนที่ทำการส่งจดหมายอิเล็กทรอนิกส์จำนวนมากออกไปยังบุคคลอื่นโดยอาศัยที่อยู่ของผู้รับที่เก็บอยู่ใน Address Book ของโปรแกรมไมโครซอฟท์เอ้าท์ลุก และมีการบีบอัดตัวเองด้วย (PE Packer Algorithm) จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้ จะมีชื่อเรื่องดังต่อไปนี้


Subject: Kev Gives great orgasms to ladeez!! -- Kev
Subject: hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz
Subject: Scientists have found traces of the HIV virus in cow's milk...here is the proof -- Will 4 Yay.
Subject: I caught a fish -- Si
Subject: I don't want to write anything but Si is bullying me. -- Jim
Subject: I want to live in a wooden house -- Arwel
Subject: Michelle still owes me ฃ10 ... shit ! -- Si
Subject: Why have I only got cheese and onion crisps ? I hate them !! -- Si
Subject: A new type of Lager / Weed variant...... sorted !
Subject: My dad not caring about my exam results -- by Michelle

ข้อความในจดหมาย Body: heh. I tell ya this is nuts ! You gotta check it out !
ไฟล์ที่แนบ : Common.exe หรือ Rede.exe หรือ Si.exe หรือ UserConf.exe หรือ disk.exe

เมื่อทำการ รันไฟล์ที่แนบมาจะพบกับหน้าต่างหลอกที่มีข้อความแสดงความผิดพลาดดังนี้

หนอนร้ายตัวนี้จะทำการคัดลอกไฟล์ ต่อไปนี้ ไปยังไดเรกทอรี่รากของไดร์ฟ C:
c:\Common.exe
c:\disk.exe
c:\Rede.exe
c:\Si.exe
c:\UserConf.exe
วิธีการแพร่กระจาย : หนอนร้ายจะแพร่กระจายโดยการสำเนาตัวเองแนบไปกับจดหมายอิเล็กทรอนิกส์โดยผ่านทางไมโครซอฟท์เอ้าท์ลุก

วิธีการกำจัด : หนอนร้ายชนิดนี้สามารถตรวจพบและกำจัดได้โดยง่าย โดยใช้โปรแกรมป้องกันไวรัสที่มีการอัพเดตไฟล์ฐานข้อมูลไวรัสตัวปัจจุบัน

สำหรับในกรณีของวินโดว์ ME :
ข้อสังเกต : วินโดว์ ME จะมีการสำรองข้อมูลโดยอัตโนมัติ โดยโปรแกรม backup utility ซึ่งโปรแกรมตัวนี้จะสำเนาไฟล์เก็บโดยอัตโนมัติ ในโฟลเดอร์ C:\_Restore ซึ่งไฟล์ที่ติดหนอนร้ายมาจะสามารถถูกเก็บในไดเรกทรอรี่นี้ได้เช่นกัน และบางครั้งโปรแกรมป้องกันไวรัสจะไม่สามารถลบหรือกำจัด หรือซ่อมแซมไฟล์ได้ในโฟลเดอร์นี้

วิธีการยกเลิกการใช้โปรแกรมเรียกคืนข้อมูล

1. คลิกขวาที่ไอคอน My Computer บนเดสก์ทอป
   
2. เลือก Performance Tab
   
3. คลิกปุ่ม File System
   
4. คลิก Troubleshooting Tab
   
5. ทำเครื่องหมายที่กล่องหน้าช่อง "Disable System Restore".
   
6. คลิกปุ่ม Apply
   
7. คลิกปุ่ม Close
   
8. คลิกปุ่ม Close อีกครั้งหนึ่ง
   
9. ตอบตกลงในการบูตระบบใหม่
   หมายเหตุ : เมื่อถึงขั้นตอนนี้ Restore Utility จะถูกยกเลิก
   
10. เริ่มต้นระบบอีกครั้งใน Safe Mode.
    
11. รันโปรแกรมป้องกันไวรัส และลบไฟล์ของหนอนร้ายออกจาก โฟล์เดอร์ C:\_Restore
    
12. เริ่มต้นระบบใหม่อีกครั้งตามปกติ

หมายเหตุ : หากต้องการเปิดการทำงานของ Restore Utility ทำซ้ำตามขั้นตอนที่ 1-9 อีกครั้งและที่ขั้นตอนที่ 5 เอาเครื่องหมายหน้ากล่อง "Disable System Restore" ออก

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์