วิธีำกำจัดไวรัส W32/Klez.g@MM, .h@MM, .k@MM และ PE

--วิธีกำจัดไวรัส W32/Klez.g@MM, .h@MM, .k@MM และ PE_ElKern.A--

ข้อมูลทั่วไป

หนอนอินเทอร์เน็ตชนิดนี้ถูกพัฒนามาจาก W32/Klez.e@MM โดยอาศัยช่องโหว่เดิมของส่วนหัวของ MIME ที่ผิดซึ่งทำให้ IE เรียกใช้งานไฟล์ที่แนบมากับอีเมล์ ( MIME Header Can Cause IE to Execute E-mail Attachment vulnerability in Microsoft Internet Explorer ver 5.01 or 5.5 without SP2 )

รูปแบบของหัวข้อ และเนื้อหาของอีเมล์ จะไม่แน่นอน โดยอาจจะมีหัวข้อของอีเมล์ ดังต่อไปนี้

Undeliverable mail--"คำที่สุ่ม"
Returned mail--"คำที่สุ่ม"
a คำที่สุ่ม คำที่สุ่ม game
a คำที่สุ่ม คำที่สุ่ม tool
a คำที่สุ่ม คำที่สุ่ม website
a คำที่สุ่ม คำที่สุ่ม patch
คำที่สุ่ม removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

ตัวอักษรที่สุ่มอาจจะคำดังต่อไปนี้

new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky

ส่วนของเนิ้อหา และไฟล์ที่แนบนั้นจะไม่แน่นอนเช่นกัน บางครั้งจะเป็นกับอีเมล์ที่ว่างเปล่าไม่มีหัวข้อและเนื้อความเลย และสามารถหยุดการทำงานของโปรแกรมป้องกันไวรัสจากหน่วยความจำของเครื่องได้อีกด้วย

สิ่งที่ชี้ให้เห็นว่าเครื่องติดหนอนร้ายชนิดนี้:

หนอนร้ายสุ่มข้อมูลของหัวข้อ เนื้อหา และไฟล์ที่แทรกมากับอีเมล์ ดังตัวอย่างข้างต้น
หลังจากที่เครื่องติดหนอนชนิดนี้ ตัวหนอนจะสร้างไฟล์ที่มีชื่อเป็น WINKxxx.EXE ในโฟลเดอร์ \WINDOWS\SYSTEM (เช่น WINKIDT.EXE หรือ WINKKR.EXE)
มีการอ้างถึงไฟล์ WINKxxx.EXE ใน registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
หรือ
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winkxxx
ตัวหนอนจะค้นหารายชื่อที่อยู่ของจดหมายในไฟล์ Windows Address Book (WAB) ตัวหนอนจะแพร่กระจายผ่านรายชื่อดังกล่าว โดยใช้ SMTP server ของตัวมันเอง
ตัวหนอนจะแทรกและฝังตัวในโปรแกรมต่างๆ ของเครื่อง ได้แก่ไฟล์ที่มีนามสกุลต่อไปนี้
- MP8
- EXE
- SCR
- PIF
- BAT
- TXT
- HTM
- HTML
- WAB
- DOC
- XLS
- CPP
- C
- PAS
- MPQ
- MPEG
- BAK
- MP3
หากในเครื่องมีโปรแกรมป้องกันไวรัสทำงาน หรือติดตั้งอยู่ เพื่อหยุดการทำงานของโปรแกรมป้องกันไวรัส ตัวหนอนจะพยายามค้นหาโปแกรมป้องกันไวรัสตามรูปแบบของชื่อของโปรแกรมดังต่อไปนี้
- _AVP32_AVPCC
- NOD32
- NPSSVC
- NRESQ32
- NSCHED32
- NSCHEDNT
- NSPLUGIN
- NAV
- NAVAPSVC
- NAVAPW32
- NAVLU32
- NAVRUNR
- NAVW32
- _AVPM
- ALERTSVC
- AMON
- AVP32
- AVPCC
- AVPM
- N32SCANW
- NAVWNT
- ANTIVIR
- AVPUPD
- AVGCTRL
- AVWIN95
- SCAN32
- VSHWIN32
- F-STOPW
- F-PROT95
- ACKWIN32
- VETTRAY
- VET95
- SWEEP95
- PCCWIN98
- IOMON98
- AVPTC
- AVE32
- AVCONSOL
- FP-WIN
- DVP95
- F-AGNT95
- CLAW95
- NVC95
- LOCKDOWN2000
- Norton
- Mcafee
- Antivir
- TASKMGR
รวมทั้งฐานข้อมูลของไวรัสในแต่ละโปรแกรม ตัวหนอนจะค้นหาไฟล์ที่มีชื่อดังต่อไปนี้
- ANTI-VIR.DAT
- CHKLIST.DAT
- CHKLIST.MS
- CHKLIST.CPS
- CHKLIST.TAV
- IVB.NTZ
- SMARTCHK.MS
- SMARTCHK.CPS
- AVGQT.DAT
- AGUARD.DAT
ตัวหนอนจะทำงานทุกครั้งเมื่อระบบปฎิบัติการเริ่มทำงาน
หนอนร้ายชนิดนี้ยังส่งผลทำให้ประสิทธิภาพการทำงานของระบบลดลงและหยุดการทำงานของโปรแกรมบางอย่างบนเครื่องด้วย

วิธีการแพร่ระบาด

เมื่ออีเมล์ที่มีหนอนร้ายนี้อยู่ถูกเปิดขึ้น หนอนร้ายจะเรียกใช้ช่องโหว่ที่กล่าวถึงนั้น (หรือถ้าเครื่องของคุณไม่ได้ติดตั้ง patch ไว้ เพียงแค่ preview อีเมล์ หนอนร้ายก็ทำงานได้) หนอนร้ายจะทำสำเนาตัวมันเองโดยมีชื่อ WINKxxx.EXT (xxx คือตัวอักษรที่สุ่มมา) ไว้ในโฟลเดอร์ WINDOWS\SYSTEM และไฟล์นี้ถูกตั้งให้เริ่มทำงานทุกครั้งที่เปิดเครื่อง ตัวหนอนจะส่งเมล์ที่สุ่มข้อมูลของหัวข้อ เนื้อหา และ ไฟล์ที่แทรกไปยังรายชื่อที่อยู่ของอีเมล์ในเครื่องทั้งหมด นอกจากนี้ ตัวหนอนยังสามารถกระจายผ่านระบบเครือข่ายที่มีการแชร์ทรัพยากรในระบบเครือข่ายที่ใช้สิทธิของการอ่านและเขียน

วิธีกำจัด

วิธีกำจัดแบบอัตโนมัติ

ดาวน์โหลดและใช้ fix tool จาก antivirus.com ( fix_klez.com ) ก่อนการใช้งานควรอ่านเอกสาร readme_klez.txt ซึ่งเป็นเวอร์ชันใหม่ล่าสุด สามารถที่จะแก้ไขหนอนตระกูล Klez และ รวมทั้งไวรัส PE_ElKern.A
หรือ ดาวน์โหลดและใช้ fix tool จาก symantec.com ( FixKlez.com ) ก่อนการใช้งานควรอ่าน เอกสารประกอบ ด้วย (fix tool ตัวนี้สามารถกำจัดไวรัส W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587, และ W32.ElKern.4926. )
ปรับปรุงไฟล์ dat ของโปรแกรมป้องกันไวรัสและสแกนระบบด้วยโปรแกรมป้องกันไวรัสและลบไฟล์ทั้งหมดที่ติดเชื้อของหนอนร้ายชนิดนี้

หมายเหตุ
ในกรณีที่ซอฟต์แวร์ป้องกันไวรัสแจ้งว่า เครื่องของท่านติดไวรัส Klez.gen@mm แล้ว หมายความว่าเครื่องของท่านอาจจะติดไวรัส Klez.E หรือ Klez.H หรือทั้งสองตัว ซึ่งสามารถใช้ fix tool จาก symantec.com กำจัดได้เช่นเดียวกัน

วิธีกำจัดด้วยมือ

เนืองจากตัวหนอนจะหยุดการทำงานของโปรแกรมป้องกันไวรัสทั้งหมดที่อยู่ในเครื่อง ดังนั้นอาจจะต้องมีการติดตั้งโปรแกรมป้องกันไวรัสใหม่ในขณะทำการกำจัดตัวหนอน

ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
เลือก Start ->Run, พิมพ์ regedit และกด Enter
- ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE ->Software ->Microsoft>Windows->CurrentVersion->Run สำหรับ windows 95/98/ME
- ดับเบิ้ลคลิ๊กที่ HKEY_LOCAL_MACHINE->System->CurrentControlSet->Services สำหรับ windows 2000/XP
ลบไฟล์ WINKxxx, "WINKxxx.exe" ในช่องขวามือของ registry ออก
ลบไฟล์ WINKxxx.exe ในไดเรกทอรี่ C:\Windows\System โดยตั้งค่าให้ windows ให้เห็นไฟล์ที่ซ่อนทั้งหมดก่อน
ลบไฟล์ทั้งหมดใน recycle bin
ดาวน์โหลดข้อมูลของไวรัสใหม่ล่าสุดตามประเภทของโปรแกรมป้องกันไวรัส และติดตั้งในเครื่อง
ตรวจสอบไวรัสโดยใช้โปรแกรมป้องกันไวรัส
- หากเป็นโปรแกรม norton antivirus ให้ใช้คำสั่งแทนการใช้โปรแกรม โดยทำดังนี้คือ
  - คลิ้ก Start -> Run
  - พิมพ์คำสั่ง และกด OK
    NAVW32.EXE /L /VISIBLE
  - คำสั่งนี้จะทำการลบและป้องกันการทำงานของตัวหนอน
เนื่องจากตัวหนอนชนิดนี้ได้สร้างความเสียหายโดยการลบโปรแกรม และฐานข้อมูลไวรัสในเครื่อง ดังนั้นจำเป็นต้องติดตั้งโปรแกรมป้องกันไวรัสในเครื่องใหม่อีกครั้ง
หนอนร้ายนี้ใช้ช่องโหว่ของโปรแกรมอ่านเมล์ที่มีรูปแบบของอีเมล์เป็น HTML เช่น Microsoft Outlook และ Outlook Express ดังนั้นต้องปรับปรุงโปรแกรมช่วย (patch) ดังนี้:
Internet Explorer 5.01 SP2
IE 5.5 SP2
IE 6.0

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
เลือกแถบ Performance
กดปุ่ม File System
เลือกแถบ Troubleshooting
ใส่เครื่องหมายเลือก "Disable System Restore"
กดปุ่ม Apply
กดปุ่ม Close
กดปุ่ม Close อีกที
เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของ Internet Explorer ดังลิ้งค์ด้านล่างนี้
Internet Explorer 5.01 SP2
IE 5.5 SP2
IE 6.0
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high

โดย:katatummo
ที่มา:www.thaicert.or.th

ย้อนกลับ หน้าแรก