--วิธีกำจัดไวรัส W32.Bugbear.B@mm--

ข้อมูลทั่วไป

W32.Bugbear.B@mm เป็นหนอนในตระกูลหรือสายพันธุ์ของ W32.Bugbear@mm ซึ่งจัดอยู่ในประเภท Polymorphic (หนอนที่อาศัยการเปลี่ยนแปลงรูปแบบของหนอน มีการแบ่งรหัสของหนอนเป็นส่วนย่อยแทรกอยู่ระหว่างไฟล์) และสามารถแพร่กระจายลงไปในไฟล์ที่เอ็กซิคิวต์ได้

หนอนชนิดนี้มีลักษณะการแพร่กระจายผ่านทางอี-เมล์และการแชร์ไฟล์ รวมทั้งมีความสามารถในการเก็บข้อมูลของการกดคีย์บอร์ด (Keystroke-logger) และเปิดพอร์ตประตูลับ (พอร์ต 1080) ตลอดจนพยายามที่จะหยุดการทำงานของโปรแกรมป้องกันไวรัสและไฟร์วอลล์

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะอาศัยช่องโหว่ของโปรแกรม IE ที่เรียกว่า "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" กล่าวคือเป็นช่องโหว่ที่ให้โปรแกรม Internet Explorer รันไฟล์ที่แนบมากับอี-เมล์โดยอัตโนมัติ

นอกจากนี้หนอนชนิดยังมีจุดเด่นอีกอย่างคือการ flood ไปยังเครื่องพิมพ์ที่เปิดการแชร์ไว้ ทำให้เครื่องพิมพ์ทำการพิมพ์ข้อมูลที่เป็นขยะออกมามากมาย

รูปแบบของหัวข้อของอี-เมล์ คือ

Subject: อี-เมล์ที่หนอนส่งอาจจะเป็นอี-เมล์ที่ส่งต่อมาหรือตอบกลับ แต่หัวเรื่องจะประกอบด้วยคำต่อไปนี้
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re:
$150 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!
Attachments:

ชื่อไฟล์ที่หนอนชนิดนี้ใช้ส่งมาพร้อมกับอี-เมล์
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

นามสกุลของไฟล์มี 2 ชั้น โดยชั้นแรกจะมีนามสกุลดังนี้
.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp

และมีนามสกุลของไฟล์ในชั้นที่สองเป็น :
.scr
.pif
.exe

Message:

อาจจะประกอบด้วยคำต่อไปนี้

text/html
text/plain
application/octet-stream
image/jpeg
image/gif

วิธีกำจัดหนอนชนิดนี้

  • สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
    1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
    2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
    3. รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
    4. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
    1. ดาวน์โหลดไฟล์ FixBugb.exe จาก h ttp://securityresponse.symantec.com/avcenter/FixBugb.exe
    2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
    3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
    4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน
    5. จากนั้นทำการรันไฟล์ FixBugb.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
    6. รีสตาร์ทเครื่อง แล้วรัน FixBugb.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
    7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
    8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
    9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ Performance
  3. กดปุ่ม File System
  4. เลือกแถบ Troubleshooting
  5. ใส่เครื่องหมายเลือก "Disable System Restore"
  6. กดปุ่ม Apply
  7. กดปุ่ม Close
  8. กดปุ่ม Close อีกที
  9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
  11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ให้เป็นเวอร์ชั่นใหม่ที่สุด

    IE 6.0 SP1

  6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high

    โดย:katatummo
    ที่มา:www.thaicert.or.th


ย้อนกลับ หน้าแรก