ชื่อ : W32.Yarner.A@mm
ค้นพบเมื่อ : 19 กุมภาพันธ์ 2545
ชนิด : หนอนอินเตอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : n/a
ระดับความรุนแรง : สูง

ข้อมูลทั่วไป
หนอนอินเตอร์เน็ต W32.Yarner.A@mm ถูกพัฒนาขึ้นโดยภาษา Delphi แพร่กระจายโดยอาศัยที่อยู่ของจดหมายจาก Microsoft Outlook Address Book ในเครื่องเป้าหมาย

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้
หนอนจะส่งอี-เมล์ไปยังบุคคลที่มีรายชื่อใน Microsoft Outlook Address Book โดยอี-เมล์ดังกล่าวมีลักษณะดังนี้

Subject: Trojaner-Info Newsletter [วันที่ปัจจุบัน]
Body:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:

01. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************
01. YAW 2.0 - Unser Dialerwarner in neuer Version

Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere
Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
unter andreas@ants-online.de zur Verf
gung. Viel Spa? mit YAW!

<http://www.trojaner-info.de/dialer/yaw.shtml>

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine
angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert
<http://www.trojaner-info.de>

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber
abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.

************************************

Attachement: yawsetup.exe

วิธีป้องกันตัวเองจากไวรัส

1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที โดยสังเกตจาก subject ของอี-เมล์คือTrojaner-Info Newsletter [วันที่ปัจจุบัน]
2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ โดยเฉพาะไฟล์ yawsetup.exe โดยเด็ดขาด นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
3. ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด (update anti-virus signature)
4. ในกรณีที่ใช้โปรแกรม Microsoft Internet Explorer ควรปรับค่า Security Zone ใน Internet Option ตามคำอธิบายเรื่อง การปรับค่า Security Zone เพื่อป้องกันไวรัสของโปรแกรม MS Internet Explorer

ความเสียหายต่อระบบ
หนอนจะทำงานโดยการที่ผู้ใช้คลิกไฟล์ที่แนบมา และหนอนจะทำการส่งจดหมายที่มีสำเนาของตัวเองไปยังที่อยู่ที่เก็บในสมุดที่อยู่ Windows Address Book ที่ใช้งานโดยโปรแกรม Microsoft Outlook Express และทำการคัดลอกตัวเองไปแทนที่ notepad.exe นอกจากนี้ยังก่อให้เกิดความเสียหายที่ร้ายแรงที่สุดคือจะทำการลบไฟล์ทุกไฟล์ในไดรฟ์เดียวกันกับ Windows

รายละเอียดทางเทคนิค

เมื่อไฟล์ yawsetup.exe ถูกรัน มันจะคัดลอกตัวเองไปยัง

%WinDir%\notepad.exe

โดยไฟล์โปรแกรม Notepad เดิมจะถูก save ไว้ที่

%WinDir\notedpad.exe

หลังจากนั้นจะคัดลอกตัวเองไปยัง

%WinDir%\[random characters].exe

และแก้ไขเรจิสทรีเพื่อให้มีการรันโปรแกรมดังกล่าวดังนี้

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
[random characters] = [random characters].exe

หลังจากนั้นตัวหนอนจะใช้ MAPI เพื่อส่งอี-เมล์ไปยังผู้ที่มีรายชื่ออยู่ใน Microsoft Outlook address book โดยแนบไฟล์ yawsetup.exe ไปด้วย

นอกจากนี้หนอนยังสร้างไฟล์

%WinDir%\kernei32.daa
%WinDir%\kernei32.das

ขึ้นอีกด้วย ซึ่งทั้งสองไฟล์นี้ไม่ใช่ไฟล์ที่ติดไวรัสแต่อย่างใด แต่เป็นไฟล์ที่ใช้เก็บข้อมูล server และ address ที่ถูกใช้ไปโดยตัวหนอนโดยตัวหนอนพยายามแสร้งทำเป็นโปรแกรม YAW ของบริษัท Trojaner Info ในเยอรมันนี

นอกจากนี้อันตรายที่สำคัญคือตัวหนอนจะทำงานโดยการสุ่ม โดยอาจจะลบไฟล์ทุกไฟล์ในไดรฟ์เดียวกันกับ Windows

วิธีการแก้ไข

• ในกรณีที่ตัวหนอนได้ลบไฟล์ออกจากฮาร์ไดรฟ์แล้ว จำเป็นต้องติดตั้งระบบปฏิบัติการใหม่เท่านั้น
• ในกรณีที่ถูกระบบตรวจพบหนอน W32.Yarner.A@mm ในขณะที่ตัวหนอนยังไม่ได้ลบไฟล์ออกจากฮาร์ดไดรฟ์ ให้เปลี่ยนชื่อไฟล์จาก Notedpad.exe เป็น Notepad.exe และให้แก้ไขเรจิสทรีที่ตัวหนอนสร้างไว้

วิธีเปลี่ยนชื่อไฟล์ Notedpad.exe

1. เปิดโปรแกรม Windows Explorer และเลือกไปที่ \%Windows%\Notedpad.exe. (%Windows% คือชื่อโฟลเดอร์ที่วินโดวส์ถูกติดตั้งไว้ เช่น c:\Windows หรือ c:\winnt)
2. เลือกไปที่ไฟล์ Notedpad.exe คลิ้กเมาส์ขวา แล้วเลือก Rename
3. ให้เปลี่ยนชื่อไฟล์เป็น Notepad.exe

การแก้ไขเรจิสทรี:
ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีมีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีไฟล์ไว้ก่อนทุกครั้งและควรอ่านศึกษาเพิ่มเติมจากเอกสาร How to back up the Windows registry

1. ทำการลบเรจิสทรีคีย์ต่อไปนี้ โดยคลิกที่ปุ่ม Start -->Run -->Regedit และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

2. ในช่องด้านขวาให้ค้นหาค่าคีย์ที่เกิดจากการสุ่มของตัวอักษร และให้ลบคีย์นั้นทิ้งไป
3. จากนั้นคลิกที่เมนู Registry เลือก Exit

ข้อมูลอ้างอิง

• http://www.sarc.com/avcenter/venc/data/w32.yarner.a@mm.html

เผยแพร่โดย ThaiCERT เมื่อ 20 กุมภาพันธ์ 2545 9.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 22 กุมภาพันธ์ 2545 20.30

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์