--วิธีกำจัดไวรัส W32.Frethem.B@mm, .K@mm ,.L@mm--


ข้อมูลทั่วไป

หนอนอินเทอร์เน็ตชนิดนี้ถูกพัฒนามาจาก W32.Frethem.B@mm ตัวหนอนจะการกระจายตัวผ่านอี-เมล์ ตามรายชื่ออี-เมล์แอดเดรสที่ปรากฎอยู่ใน Microsoft Windows Address Book ผ่านโปรแกรม SMTP ภายในตัวหนอน ตัวหนอนจะอาศัยช่องโหว่ IFRAME และ MIME ของโปรแกรม IE ( http://www.microsoft.com/technet/security/bulletin/MS01-020.asp )

รูปแบบของหัวข้อของอี-เมล์ คือ

Subject: Re: Your password!
Attachments: Decrypt-password.exe and Password.txt
Message:

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

ระบบปฎิบัติการที่ได้รับผลกระทบจากตัวหนอนตัวนี้ได้แก่ Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

สิ่งที่ชี้ให้เห็นว่าเครื่องติดหนอนร้ายชนิดนี้:

  1. หนอนร้ายสุ่มข้อมูลของหัวข้อ เนื้อหา และไฟล์ที่แทรกมากับอี-เมล์ ดังตัวอย่างข้างต้น
  2. หลังจากที่เครื่องติดหนอนชนิดนี้ ตัวหนอนจะสำเนาตัวเองเป็นไฟล์ Taskbar.exe, Winstat.ini ในโฟลเดอร์ของระบบ Windows เช่น C:\WINDOWS\ ในระบบ Window 95, 98 หรือ C:\WINNT ใน windows 2000, NT เป็นต้น
  3. มีการปรับเปลี่ยนค่าคีย์ในเรจิสทรีย์ดังนี้

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\
    Internet Account Manager\Accounts\00000001\SMTP Server
    HKEY_CURRENT_USER\Software\Microsoft\
    Internet Account Manager\Accounts\00000001\SMTP Email Address

    หรือ

    HKEY_CURRENT_USER\Software\Microsoft\
    Internet Account Manager\Accounts\00000001\SMTP Display Name

  4. การกระจายตัวของตัวหนอนจะเกิดหลังจากเครื่องคอมพิวเตอร์ติดตัวหนอนเป็นเวลานานหลายชั่วโมง เมื่อถึงเวลาการกระจายตัวของตัวหนอน ตัวหนอนจะค้นหารายชื่อที่อยู่ของจดหมายในไฟล์ Windows Address Book (.dbx, .wab, .mbx, .eml, และ .mdb ) ตัวหนอนจะแพร่กระจายผ่านรายชื่อดังกล่าว โดยใช้ SMTP server ของตัวมันเอง
  5. ตัวหนอนจะทำงานทุกครั้งเมื่อเปิดใช้เครื่อง โดยตัวหนอนจะสำเนาตัวเองเป็นไฟล์ C:\%WINDOWS%\All Users\Start Menu\Programs\Startup\Setup.exe (โฟลเดอร์ %WINDOWS% เปลี่ยนแปลงตามชนิดของระบบปฎิบัติการ)
  6. ระบบทำงานช้าลงเนื่องจาก การทำงานของ SMTP server ของตัวหนอนที่ทำหน้าที่กระจายตัวของตัวหนอน

วิธีการแพร่ระบาด

เนื่องจากตัวหนอนตัวนี้อาศัยช่องโหว่ของ IE Browser และ Outlook ที่มาพร้อมกับ IE ดังนั้นตัวหนอนจะสามารถแพร่กระจายได้สองทางใหญ่ คือ ผ่านทางอี-เมล์ และ ผ่านเว็บเพจ

วิธีกำจัด

  • สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
    1. ปรับปรุง Virus Profile ใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
    2. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุง Virus Profile จากข้อที่ 1. หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบ

  • การกำจัดตัวหนอนด้วยตัวเอง
    1. ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
    2. ค้นหา และลบไฟล์ ดังต่อไปนี้

      Taskbar.exe
      Winstat.ini

    3. เลือก Start -> Run , พิมพ์ regedit และกด Enter
      • ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE ->Software ->Microsoft>Windows->CurrentVersion->Run สำหรับ windows 95/98/ME
      • ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE->System->CurrentControlSet->Services สำหรับ windows 2000/XP
    4. ลบค่า Task Bar ในช่องขวามือของเรจิสทรีย์ออก

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และโปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Compute r บน Desktop และ เลือก Properties
  2. เลือกแถบ Performance
  3. กดปุ่ม File System
  4. เลือกแถบ Troubleshooting
  5. ใส่เครื่องหมายเลือก "Disable System Restore"
  6. กดปุ่ม Apply
  7. กดปุ่ม Close
  8. กดปุ่ม Close อีกที
  9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
  11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

  1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
  2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
  3. ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด
  4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของ Internet Explorer ดังลิงค์ด้านล่างนี้

    Internet Explorer 5.01 SP2
    IE 5.5 SP2
    IE 6.0

  5. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high

    โดย:katatummo
    ที่มา:www.thaicert.or.th


ย้อนกลับ หน้าแรก