จาก มืด TOC-101
203.113.34.8
อังคารที่ , 27/1/2547
เวลา : 12:58
อ่านแล้ว = 218 ครั้ง
 เก็บเข้ากระทู้ส่วนตัว
 แจ้งลบ
 ส่งหาเพื่อน
|
ชื่อ : W32/Mydoom@MM
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32.Novarg.A@mm , WORM_MIMAIL.R, W32/Mydoom@MM ,Mydoom, Win32.Mydoom.A, Win32/Shimg
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
ข้อมูลทั่วไป
W32/Mydoom@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้จะมากับอีเมล์โดยมีหัวข้ออี-เมล์และเนื้อความที่หลากหลายจากการสุ่มขึ้นมา
แต่สิ่งที่สามารถสังเกตได้คือ
1. ข้อความในอีเมล์จะไม่สามารถแสดงด้วยการแสดงผลแบบ 7 บิต และจะมีไฟล์แนบประเภทไบนารี ได้แก่ .exe .pif .cmd .scr รวมทั้ง .zip ด้วย
2. ข้อความในอีเมล์ประกอบด้วยตัวอักษรที่ใช้การแสดงผลแบบ Unicode และจะมีไฟล์แนบประเภทไบนารีเช่นเดียวกัน
3. อีเมล์ที่ได้รับเข้ามาอาจจะมีข้อความแค่เพียงบางส่วน และอาจส่งผลให้ไม่สามารถใช้งานระบบอี-เมล์ได้
เมื่อทำการรันไฟล์แนบที่มากับหนอน จะทำให้หนอนติดเข้าไปในเครื่องและเมื่อทำการรีบูตเครื่อง
หนอนก็จะสามารถทำงานได้ทันที รวมทั้งจะทำการเปิดพอร์ตระหว่าง 3127 ถึง 3198 (TCP) ด้วย
หนอนจะทำการโจมตีแบบ Denial of Service ไปยัง www.sco.com ในช่วงวันที่ 1 ถึง 12 กุมภาพันธ์ 2547 อีกด้วย
การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้
ชื่อผู้ส่งอี-เมล์ เกิดจากการสุ่มชื่ออี-เมล์ขึ้นมา
หัวข้ออี-เมล์ Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test
Mail Transaction Failed
Server Request
Error
ไฟล์ที่แนบมากับอี-เมล์ เป็นไฟล์ที่สุ่มจากหนอน เป็นไปได้ในหลายลักษณะตัวอย่างไฟล์
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
ข้อความในอี-เมล์ ข้อความในอี-เมล์อาจจะเป็นไปได้ในลักษณะนี้
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
test
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ไฟล์ที่แนบมากับอี-เมล์นั้นมีรูปแบบไม่แน่นอน
ผลกระทบที่เกิดขึ้น
ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
เครื่องอาจทำงานผิดพลาด
: วิธีกำจัดหนอนชนิดนี้
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
1. ดาวน์โหลดไฟล์ ClnShimg.zip จาก http://www3.ca.com/Files/VirusInformationAndPrevention/clnshimg.zip
2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
3. ทำการแตกไฟล์ ClnShimg.zip ซึ่งจะได้ไฟล์ ClnShimg.com
4. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
5. ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME และ ข้อมูลเพิ่มเติมสำหรับ Windows XP)
6. จากนั้นทำการรันไฟล์ ClnShimg.com โดยการดับเบิลคลิ้กไฟล์ดังกล่าว
7. รีสตาร์ทเครื่อง แล้วรัน ClnShimg.com อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
8. ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ enable System Restore
9. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
10. สแกนหาไวรัสทั้งระบบดูอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4. กดปุ่ม Apply
5. กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high
8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
|
