จาก มืด TOC-101 203.113.32.10
พฤหัสบดีที่ , 19/2/2547
เวลา : 21:40
อ่านแล้ว = 313 ครั้ง
เก็บเข้ากระทู้ส่วนตัว
แจ้งลบ
ส่งหาเพื่อน
|
ชื่อ : W32.Netsky.B@mm
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Netsky.b@MM, W32/Netsky.B.worm, WORM_NETSKY.B, Moodown.B, I-Worm.Moodown.b
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Microsoft IIS, OS/2, UNIX
ข้อมูลทั่วไป
W32.Netsky.B@mm สามารถแพร่กระจายผ่านทางอี-เมล์ด้วยคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลที่ใช้ในการส่งอี-เมล์ชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และอี-เมล์แอดเดรสที่ส่งไปนั้นหนอนจะสแกนหาในไฟล์ต่างๆ นอกจากนี้หนอนชนิดนี้ยังมีความสามารถในการแพร่กระจายตัวผ่านทางการแชร์ไฟล์ โดยหนอนจะทำการค้นหาตั้งแต่ไดรฟ์C: จนกระทั่งไดรฟ์Z: ถ้าพบโฟลเดอร์ใดก็ตามที่มีชื่อประกอบด้วยคำว่า "Share" หรือ "Sharing" หนอนก็จะคัดลอกตัวหนอนเองไปยังโฟลเดอร์นั้นๆ
การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์จะมีลักษณะของอี-เมล์ดังนี้
หนอนจะปลอมแปลงชื่อผู้ส่ง
หัวข้ออี-เมล์ hi
hello ,read it immediately ,something for you ,warning ,information ,stolen ,fake ,unknown
ไฟล์ที่แนบมากับอี-เมล์ ชื่อไฟล์มีดังนี้
document ,msg ,doc ,talk ,message ,creditcard ,details ,attachment ,me ,stuff ,posting ,textfile ,concert ,information ,note ,bill ,swimmingpool ,product ,topseller ,ps ,shower ,aboutyou ,nomoney ,found ,story ,mails ,website ,friend ,jokes ,location ,final ,release ,dinner ,ranking ,object ,mail2 ,part2 ,disco ,party ,misc
นามสกุลของไฟล์แนบได้แก่
.exe ,.scr ,.com ,.pif
ข้อความในอี-เมล์
anything ok? ,what does it mean? ,ok ,i'm waiting ,read the details. ,here is the document. ,read it ,mmediately! ,my hero ,here ,is that true? ,is that your name? ,is that your account? ,i wait for a reply! ,is that from you? ,you are a bad writer ,I have your password! ,something about you! ,kill the writer of ,his document! ,i hope it is not true! ,your name is wrong ,i found this document about you ,yes, rally?
,that is bad ,here it is ,see you ,greetings ,stuff about you? ,something is going wrong! ,information about you ,about me ,from the chatter ,here, the serials ,here, the introduction ,here, the cheats,
that's funny ,do you? reply ,take it easy ,why? ,thats wrong ,misc ,you earn money ,you feel the same ,you try to steal ,you are bad ,something is going wrong ,something is fool
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี SMTP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง โดยอี-เมล์ที่หนอนทำการส่งนั้นจะปลอมแปลงชื่อผู้ส่งเพื่อหลอกล่อให้ผู้รับรันไฟล์ที่แนบมาได้
นอกจากนี้หนอนชนิดนี้ยังมีความสามารถในการแพร่กระจายผ่านการแชร์ไฟล์ โดยจะแพร่กระจายผ่านโฟลเดอร์ที่มีชื่อประกอบด้วยคำว่า "Share" หรือ "Sharing" ซึ่งส่วนใหญ่จะเป็นโฟลเดอร์ที่ใช้ในการแชร์ไฟล์ของโปรแกรมประเภท P2P (เช่น C:\Program Files\My Shared Folder\Kazaa)
ผลกระทบที่เกิดขึ้น
ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
มีความคับคั่งของข้อมูลในปริมาณมาก : หนอนจะทำการแพร่กระจายตัวหนอนเองผ่านการแชร์ไฟล์
วิธีกำจัดหนอนชนิดนี้
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
1.ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2.ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
3.แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
4.ตัดการเชื่อมต่อเครือข่าย
5.หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6.จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7.เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8.ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
1.ดาวน์โหลดไฟล์ FxNeskyB.exe จาก http://securityresponse.symantec.com/avcenter/FxNeskyB.exe
2.ปิดโปรแกรมทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
3.ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
4.ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)
5.จากนั้นทำการรันไฟล์ FxNeskyB.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
6.รีสตาร์ทเครื่อง แล้วรัน FxNeskyB.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
7.ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
8.ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
9.สแกนหาไวรัสทั้งระบบดูอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
1.คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2.เลือกแถบ Performance
3.กดปุ่ม File System
4.เลือกแถบ Troubleshooting
5.ใส่เครื่องหมายเลือก "Disable System Restore"
6.กดปุ่ม Apply
7.กดปุ่ม Close
8.กดปุ่ม Close อีกที
9.เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10.หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
1.คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2.เลือกแถบ System Restore
3.ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4.กดปุ่ม Apply
5.กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6.หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
1.ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2.ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3.ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4.สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5.ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
6.ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
7.ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
8.ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
|