Home >> Advisories & Alerts <<  Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert
 

ชื่อ : W32.Winevar@mm
ค้นพบเมื่อ : 23 พฤศจิกายน 2545
ปรับปรุงข้อมูลเมื่อ : 26 พฤศจิกายน 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Korvar, WORM_WINEVAR.A , I-Worm.Winevar, W32.HILLW.Winevar
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป

W32.Winevar@mm เป็นหนอนอินเทอร์เน็ตที่แพร่กระจายผ่านทางอี-เมล์ ที่มีความสามารถในการหยุดการทำงานของโปรแกรมป้องกันไวรัสและไฟร์วอลล์บางประเภท หนอนชนิดนี้ยังปล่อยและเอ็กซิคิวต์ไวรัส W32.Funlove@mm

หนอนชนิดนี้จะมาพร้อมกับอี-เมล์ที่ประกอบด้วยไฟล์ที่แนบมาดังต่อไปนี้

  • WIN[some characters].TXT (12.6 KB) MUSIC_1.HTM
  • WIN[some characters].GIF (120 bytes) MUSIC_2.CEO
  • WIN[some characters].PIF

การแพร่กระจายของตัวหนอน ผ่านทางอี-เมล์โดยจะอาศัยช่องโหว่ของโปรแกรม IE ที่เรียกว่า "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment"

รูปแบบของอี-เมล์

Subject:

Re: AVAR(Association of Anti-Virus Asia Reseachers)

N`4?[registered organisation or "Trand Microsoft Inc."]

Attachments: WIN[some characters].TXT (12.6 KB) MUSIC_1.HTM
WIN[some characters].GIF (120 bytes) MUSIC_2.CEO
WIN[some characters].PIF
Message:

Registered Owner> - <Registered Organization>

รายละเอียดด้านเทคนิค

วิธีกำจัด

    1. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
    2. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนพบไวรัสให้ทำการลบไฟล์ที่ติด W32.Winevar@mm หรือ JS.Exception.Exploit.

วิธีป้องกันตัวเองจากไวรัส

  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้

    Internet Explorer 5.01 SP2
    IE 5.5 SP2
    IE 6.0 SP1

  6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
  7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ

ช้อมูลอ้างอิง

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 26 พฤศจิกายน 2545 16.00 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 26 พฤศจิกายน 2545 16.00 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์


Home >> Advisories & Alerts <<  Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

ThaiCERT Disclaimer | Copyright © 2001 ThaiCERT(NECTEC). All rights reserved.