|
ชื่อ W32/Redesi.b@MM
ชื่ออื่น : Win32.Rede.A@mm (AVX)
ค้นพบเมื่อ 18 ตุลาคม 2544
ชนิด หนอนอินเตอร์เน็ต
ระดับความรุนแรง ต่ำ
ข้อมูลทั่วไป
หนอนอินเตอร์เน็ต W32/Redesi.b@MM จัดอยู่ในพวกหนอนที่ทำการส่งจดหมายอิเล็กทรอนิกส์จำนวนมากออกไปยังบุคคลอื่นโดยอาศัยที่อยู่ของผู้รับที่เก็บอยู่ใน
Address Book ของโปรแกรมไมโครซอฟท์เอ้าท์ลุก และมีการบีบอัดตัวเองด้วย
(PE Packer Algorithm) จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้ นอกจากนี้หัวข้อจดหมายถูกทำให้มีความน่าเชื่อถือสูงโดยใช้หัวข้อที่เกี่ยวข้องกับการอัพเดตของไมโครซอฟท์
จะมีชื่อเรื่องดังต่อไปนี้
Subject: FW: Security Update by Microsoft.
Subject: FW: Microsoft security update.
Subject: FW: IT departments on state of HIGH ALERT.
Subject: FW: Important news from Microsoft.
Subject: FW: Stop terrorists computer viruses reign.
Subject: FW: Terrorists release computer virus.
Subject: FW: Emergency response from Microsoft Corp.
Subject: FW: Terrorist Emergency. Latest virus can wipe disk in
minutes.
Subject: FW: Microsoft Update. Final Release Candidate.
Subject: FW: New computer virus.
ข้อความในจดหมาย Body:
Just recieved this in my email
I have contacted Microsoft and they say it's real !
-----Original Message-----
From: Microsoft Support Desk [mailto:Support@microsoft.com]
Sent: 17 October 2001 15:21
Subject: Security Update
Due to the recent spate of email spread computer viruses
Microsoft Corp has released a security patch.
Please apply the attached file to your Windows computer
to stop any futher spread or these malicious programs.
Regards
Microsoft Support
ไฟล์ที่แนบ : Common.exe หรือ Rede.exe หรือ Si.exe
หรือ UserConf.exe หรือ disk.exe
เมื่อทำการ รันไฟล์ที่แนบมาจะพบกับหน้าต่างหลอกที่มีข้อความแสดงความดังนี้
หนอนร้ายตัวนี้จะทำการคัดลอกไฟล์ ต่อไปนี้ ไปยังไดเรกทรอรี่รากของไดร์ฟ
C:
c:\Common.exe
c:\disk.exe
c:\Rede.exe
c:\Si.exe
c:\UserConf.exe
จากนั้นหนอนร้ายจะทำการแก้ไขข้อมูลในรีจิสตรี เพื่อเรียกตัวเองขึ้นมาทำงานทุกครั้งที่เริ่มระบบใหม่
โดยแก้ไข
รีจิสตรีต่อไปนี้
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\Rede="C:\rede.exe"
และสร้างคีย์ใหม่คือ
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ErrorHandling\Rede="True"
และตั้งเวลาไว้เมื่อถึงวันที่ 11 พฤศจิกายน จะเรียกไฟล์ Autoexec.bat
ที่มีคำสั่งให้ format the ไดร์ฟ C: ทำงาน โดยแสดงข้อความดังนี้ในไฟล์
ECHO Bide ye the Wiccan laws ye must, In perfect love and perfect
trust.
format C: /autotest
วิธีการแพร่กระจาย : หนอนร้ายจะแพร่กระจายโดยการสำเนาตัวเองแนบไปกับจดหมายอิเล็กทรอนิกส์โดยผ่านทางไมโครซอฟท์เอ้าท์ลุก
วิธีการกำจัด : หนอนร้ายชนิดนี้สามารถตรวจพบและกำจัดได้โดยง่าย
โดยใช้โปรแกรมป้องกันไวรัสที่มีการอัพเดตไฟล์ฐานข้อมูลไวรัสตัวปัจจุบัน
สำหรับในกรณีของวินโดว์ ME :
ข้อสังเกต : วินโดว์ ME จะมีการสำรองข้อมูลโดยอัตโนมัติ โดยโปรแกรม
backup utility ซึ่งโปรแกรมตัวนี้จะสำเนาไฟล์เก็บโดยอัตโนมัติ ในโฟลเดอร์
C:\_Restore ซึ่งไฟล์ที่ติดหนอนร้ายมาจะสามารถถูกเก็บในไดเรกทรอรี่นี้ได้เช่นกัน
และบางครั้งโปรแกรมป้องกันไวรัสจะไม่สามารถลบหรือกำจัด หรือซ่อมแซมไฟล์ได้ในโฟลเดอร์นี้
วิธีการยกเลิกการใช้โปรแกรมเรียกคืนข้อมูล
- คลิกขวาที่ไอคอน My Computer บนเดสก์ทอป
- เลือก Performance Tab
- คลิกปุ่ม File System
- คลิก Troubleshooting Tab
- ทำเครื่องหมายที่กล่องหน้าช่อง "Disable System
Restore".
- คลิกปุ่ม Apply
- คลิกปุ่ม Close
- คลิกปุ่ม Close อีกครั้งหนึ่ง
- ตอบตกลงในการบูตระบบใหม่
หมายเหตุ : เมื่อถึงขั้นตอนนี้ Restore Utility จะถูกยกเลิก
- เริ่มต้นระบบอีกครั้งใน Safe Mode.
- รันโปรแกรมป้องกันไวรัส และลบไฟล์ของหนอนร้ายออกจาก
โฟล์เดอร์ C:\_Restore
- เริ่มต้นระบบใหม่อีกครั้งตามปกติ
หมายเหตุ : หากต้องการเปิดการทำงานของ Restore
Utility ทำซ้ำตามขั้นตอนที่ 1-9 อีกครั้งและที่ขั้นตอนที่ 5 เอาเครื่องหมายหน้ากล่อง
"Disable System Restore" ออก
|
