WeekendHobby.com
เครื่องมือในการใช้งาน website =>> สมัครสมาชิก | Login | Logout | เปลี่ยนไอคอนส่วนตัว | เกี่ยวกับเรา | ติดต่อโฆษณา         View stat by Truehits.net


มาแล้วจ้า.....ไวรัส สดๆร้อนๆ มาอ่านเพื่อเตรียมป้องกันตัวเอง
มืด
จาก มืด TOC-101
203.113.35.12
อังคารที่ , 20/1/2547
เวลา : 17:45

อ่านแล้ว = 294 ครั้ง
 เก็บเข้ากระทู้ส่วนตัว
แจ้งตรวจสอบกระทู้
 แจ้งลบ
ส่งหาเพื่อน ส่งหาเพื่อน

       ชื่อ : W32.Bagle.A@mm
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : I-Worm.Bagle, WORM_BAGLE.A, W32/Bagle@MM,
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Microsoft IIS, OS/2, UNIX

ข้อมูลทั่วไป

W32.Bagle.A@mm เป็นหนอนอินเทอร์เน็ตที่สามารถทำงานได้จนกระทั่งวันที่ของเครื่องผ่านวันที่ 28 มกราคม นอกจากนี้หนอนชนิดนี้ยังแก้ไขไฟล์หลายไฟล์รวมทั้งค่าเรจิสทรีย์ด้วย

หนอนจะพยายามทำการเชื่อมต่อไปยังเว็บไซต์ดังต่อไปนี้เพื่ออัพเดตตัวหนอนเอง ผ่านพอร์ต 6667

http://www.elra>hop.de/1.php

http://www.it>msc.de/1.php

http://www.get>orfree.net/1.php

http://www.dm>sign.de/1.php

http://64.1>.228.13/1.php

http://www.leonze>nitsky.com/1.php

http://216.98.>6.248/1.php

http://216.98.>4.247/1.php

http://www.cdrom>a.com/1.php

http://www.kunst>in-templin.de/1.php

http://vipwe>.ru/1.php

http://antol>co.ru/1.php

http://www.bags>dostavka.mags.ru/1.php

http://www.5>12.ru/1.php

http://bose>audio.net/1.php

http://www.st>ngdata.de/1.php

http://wh9.tu>dresden.de/1.php

http://www.mi>onuke.net/1.php

http://www.sta>hagen.org/1.php

http://www.beasty>cars.de/1.php

http://www.polo>exe.de/1.php

http://www.bi>88.de/1.php

http://www.gref>athpaenz.de/1.php

http://www.bha>idy.de/1.php

http://www.mysti>vws.de/1.php

http://www.auto>hobby-essen.de/1.php

http://www.po>zicke.de/1.php

http://www.twr>music.de/1.php

http://www.sc>erbendorf.de/1.php

http://www.mont>ia.de/1.php

http://www.med>martin.de/1.php

http://vv>gn.de/1.php

http://www.ballon>oto.com/1.php

http://www.marder>gmbh.de/1.php

http://www.dvd>filme.com/1.php

http://www.s>eangol.com/1.php
การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์ ค้นหาจากไฟล์ต่างๆ เพื่อใช้หลอกให้ผู้ที่ได้รับอี-เมล์เชื่อว่าคนรู้จักส่งอี-เมล์ฉบับนี้มา
หัวข้ออี-เมล์ Hi
ไฟล์ที่แนบมากับอี-เมล์ สุ่มขึ้นมา ไม่มีรูปแบบแน่นอน (ขนาด 16 กิโลไบต์)

ข้อความในอี-เมล์ Test =)
<ตัวอักษรที่ถูกสุ่มขึ้นมา>
--
Test, yep.

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี STMP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง ไฟล์ที่แนบมากับอี-เมล์นั้นมีรูปแบบไม่แน่นอน ชื่อหัวข้ออี-เมล์และข้อความในอี-เมล์ทำให้ดูคล้ายกับเพื่อนส่งโปรแกรมมาให้เล่นด้วย

ผลกระทบที่เกิดขึ้น

ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และเรจิสทรีย์ ทำให้เครื่องทำงานผิดพลาดได้
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะพยายามติดต่อไปยังเว็บไซต์ ผ่านพอร์ต 6667 เพื่อทำการอัพเดตตัวหนอนเอง

วิธีกำจัดหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
ตัดการเชื่อมต่อเครือข่าย
หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
ดาวน์โหลดไฟล์ FxBeagle.exe จาก http://securityresponse.symantec.com/avcenter/FxBeagle.exe
ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1

ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง

ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)

จากนั้นทำการรันไฟล์ FxBeagle.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start

รีสตาร์ทเครื่อง แล้วรัน FxBeagle.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ

ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore

ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ

สแกนหาไวรัสทั้งระบบดูอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
เลือกแถบ Performance
กดปุ่ม File System
เลือกแถบ Troubleshooting
ใส่เครื่องหมายเลือก "Disable System Restore"
กดปุ่ม Apply
กดปุ่ม Close
กดปุ่ม Close อีกที
เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
เลือกแถบ System Restore
ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
กดปุ่ม Apply
กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้

ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที

ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น

ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ

สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a

ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น


คำตอบแบ่งหน้าละ 30 คำตอบ ขณะนี้คุณอยู่ที่หน้า 1 จาก >>> 1  

คำตอบที่ 1
       ต้องขอโทษเพื่อนๆด้วย คัดลอกมา ไม่ได้ตัด link ต่างๆ ออก อย่าเผลอไปเลือกเข้าล่ะครับ คราวหน้าจะปรับปรุงใหม่ ส่วนเวปที่ให้ download fix virus ก็สามารถเลือกได้เลย

มืด จาก มืด TOC-101 203.113.35.12 อังคาร, 20/1/2547 เวลา : 18:02   


คำตอบที่ 2
       ขอบคุณครับ

Black Tiger จาก น้องแบล็ค 211.19.45.220 อังคาร, 20/1/2547 เวลา : 19:10   


คำตอบที่ 3
       น้ามืด..101..มีเรื่องดีๆ+มีประโยชน์มาให้อีกแล้ว

rider man จาก rider man 203.121.131.36 พุธ, 21/1/2547 เวลา : 03:13   


คำตอบที่ 4
       เกียจหนอนจังวุ้ย ทำเครื่องเรามีปัญหา

babimink จาก กระจก129 203.156.8.148 พุธ, 21/1/2547 เวลา : 08:46   


คำตอบที่ 5
       * * * * * *

hs0gxm จาก มังกร178 203.149.47.185 พุธ, 21/1/2547 เวลา : 08:53   


คำตอบที่ 6
       อิอิ...ขอบคุณครับ...เมื่อวานเจ้า HI เต็ม BOX ไปหมดเลย...
ดีนะที่มาอ่านกระทู้นี้เสียก่อน...

slippers87 จาก E ( ตัวใหญ่ ) TOC 024 203.113.37.12 พุธ, 21/1/2547 เวลา : 09:14   


คำตอบที่ 7
      

จาก เบาหวิว /TOC-263 203.170.236.195 พุธ, 21/1/2547 เวลา : 11:24   

กระทู้ข้อมูลเก่า สำหรับอ่านได้อย่างเดียว

คำตอบแบ่งหน้าละ 30 คำตอบ ขณะนี้คุณอยู่ที่หน้า 1 จาก >>> 1  



      




Since 22, Feb 2001 hit counter View My Stats  Truehits.net      วันอาทิตย์,24 พฤศจิกายน 2567 (Online 4422 คน)