--วิธีกำจัดไวรัส W32.Fizzer@mm--
ลักษณะทั่วไป
W32.Fizzer@mm สามารถกระจายตัวเองผ่านทางอี-เมล์ และการแชร์ไฟล์แบบ peer to peer ของโปรแกรม KaZaA หนอนชนิดนี้มีความสามารถในการแพร่กระจายในเครื่องได้มากมายหลายวิธี และพยายามที่จะโจมตีการทำงานของโปรแกรมป้องกันไวรัสและลบโปรแกรมป้องกันไวรัสเหล่านั้น นอกจากนี้ยังจะเปิดช่องโหว่ในเครื่องที่ติดหนอนชนิดนี้เพื่อให้ไวรัสชนิดอื่นสามารถแพร่กระจายในเครื่องได้
การแพร่กระจายตัวของหนอนนี้ผ่านทางอี-เมล์ด้วยไฟล์ที่แนบมา ซึ่งไฟล์ที่แนบมานั้นจะมีชื่อต่างๆ มากมาย แต่ไฟล์ที่ถูกแนบมาส่วนใหญ่จะมีนามสกุล .EXE .PIF .SCR หรือ .COM อี-เมล์เหล่านี้จะถูกส่งไปยังแอดเดรสที่ถูกสุ่มขึ้นมาและแอดเดรสที่หาพบในเครื่องที่ติดหนอนชนิดนี้
หนอนชนิดนี้จะติดตั้งประตูลับเพื่อให้ผู้พัฒนาไวรัสสามารถเข้ามาควบคุมเครื่องที่ติดหนอน จึงทำให้สามารถจะใช้เป็นฐานในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ไปยังเครื่องที่อยู่ในอินเทอร์เน็ตต่อไปได้
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Fizzer@mm มีกระบวนการทำงานดังนี้
คำแนะนำในการกำจัดหนอนชนิดนี้ :
วิธีการกำจัดด้วยมือ
- ปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัส
- สแกนหาไวรัสทั้งระบบและลบไฟล์ทุกไฟล์ที่ติดหนอนชนิดนี้
- ลบค่าเรจิสทรีย์คีย์ที่หนอนทำการเพิ่มเข้าไป กล่าวคือลบค่า
"SystemInit"="%windir%\iservc.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ทำการแก้ไขค่า
notepad.exe %1
ในเรจิสทรีย์คีย์ที่ชื่อ
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command
จากนั้นก็รีสตาร์ทเข้าสู่ระบบปกติ
การกำจัดหนอนแบบอัตโนมัติ
- ดาวน์โหลดไฟล์ FixFiz.exe จาก http://securityresponse.symantec.com/avcenter/FixFiz.exe
- ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
- ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
- ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน
- จากนั้นทำการรันไฟล์ FixFiz.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
- รีสตาร์ทเครื่อง แล้วรัน FixFiz.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
- ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
- ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
- สแกนหาไวรัสทั้งระบบดูอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับ Windows ME:
หมายเหตุ : Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
- เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
วิธีป้องกันตัวเองจากไวรัส
- ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
- ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น high
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
โดย:katatummo
ที่มา:www.thaicert.or.th