--วิธีกำจัดไวรัสW32.Opaserv@mm--


ข้อมูลทั่วไป

W32.Opaserv@mm เป็นหนอนที่สามารถกระจายตัวเองผ่านเครือข่ายซึ่งจะพยายามทำการจำลองตัวเองผ่านไปยังเครือข่ายที่ได้เปิดแชร์ไว้ หนอนตัวนี้จะคัดลอกตัวเองไปยังเครื่องอื่นๆ เป็นไฟล์ชื่อ Scrsvr.exe และพยายามที่จะอัพเดตตัวเองโดยการดาวน์โหลดจากเว็บไซต์ www.opasoft.com ถึงแม้ว่าเว็บไซต์ดังกล่าวจะไม่เปิดให้บริการแล้ว สิ่งที่บ่งบอกว่าเครื่องดังกล่าวติดหนอนชนิดนี้ประกอบด้วย

  • การที่มีไฟล์ Scrsin.dat และ Scrsout.dat ในไดเรกทอรี C:\ บ่งบอกว่ามีการติดเชื้อของหนอนชนิดนี้ภายในเครื่อง
  • การที่มีไฟล์ Tmp.ini ในไดเรกทอรี C:\ เป็นการบอกว่าเครื่องนี้มีการติดเชื้อของหนอนจากระบบเครือข่าย
  • ค่าคีย์ของเรจิสทรีย์ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run ที่เดิมนั้นมีค่า ScrSvr หรือ ScrSvrOld ถูกเปลี่ยนเป็น c:\tmp.ini

รายละเอียดเชิงเทคนิค

หนอน W32.Opaserv@mm มีการทำงานดังนี้

วิธีการแพร่ระบาด
หนอนชนิดนี้จะกระจายตัวผ่านทางการแชร์ไฟล์ในระบบเครือข่ายที่ไม่มีรหัสผ่านป้องกัน

วิธีกำจัด

  • สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
    1. ตัดการเชื่อมต่อกับเครือข่าย
    2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
    3. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 และลบทุกไฟล์ที่ติดหนอนชนิดนี้
    4. ลบค่าของ

      ScrSvr %windir%\ScrSvr.exe

      และ

      ScrSvrOld <original worm name>

      จากคีย์ของเรจิสทรีย์

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    5. สำหรับ Windows 95/98/Me ให้ลบบรรทัด

      run= c:\tmp.ini จากไฟล์ C:\Windows\Win.ini

    ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง

  • การกำจัดหนอนแบบอัตโนมัติ
    1. ดาวน์โหลดไฟล์ FixOpsrv.exe จาก http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
    2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
    3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
    4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน
    5. จากนั้นทำการรันไฟล์ FixOpsrv.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
    6. รีสตาร์ทเครื่อง แล้วรัน FixOpsrv.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
    7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
    8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
    9. เมื่อรัน Tools ดังกล่าวเรียบร้อยแล้ว ถ้าเครื่องนั้นติดไวรัสชนิดนี้ ผลลัพธ์ที่ได้จะมีรายละเอียดดังต่อไปนี้
      • จำนวนไฟล์ที่ถูกสแกน
      • จำนวนไฟล์ที่ถูกลบ
      • จำนวนโพรเซสของไวรัสที่ถูกหยุดการทำงาน
      • จำนวนเรจิสทรีย์ที่ถูกลบ โดยเรจิสทรีย์ดังกล่าวเป็นเรจิสทรีย์ที่ไวรัสทำการเพิ่มเข้าไป

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ Performance
  3. กดปุ่ม File System
  4. เลือกแถบ Troubleshooting
  5. ใส่เครื่องหมายเลือก "Disable System Restore"
  6. กดปุ่ม Apply
  7. กดปุ่ม Close
  8. กดปุ่ม Close อีกที
  9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
  11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้

    Internet Explorer 5.01 SP2
    IE 5.5 SP2
    IE 6.0 SP1

  6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high

    โดย:katatummo
    ที่มา:www.thaicert.or.th

ย้อนกลับ หน้าแรก