ข้อมูลทั่วไป

VBS.VBSWG.AQ@mm เป็นหนอนอินเทอร์เน็ตที่ถูกพัฒนาด้วย VBScript ให้ทำการส่งตัวเองไปยังผู้ใช้ Microsoft Outlook หรือโปรแกรม mIRC ในรูปของไฟล์ชื่อ ShakiraPics.jpg.vbs หนอนชนิดนี้จะทำการเขียนโค้ดตัวเองทับทุกไฟล์ที่มีนามสกุล .vbs และ .vbe

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้ มีลักษณะดังต่อไปนี้

Subject : Shakira's Pictures
Message :
Hi :
i have sent the photos via attachment
have funn...
Attachment : ShakiraPics.jpg.vbs

รายละเอียดเชิงเทคนิค

หนอนถูกสร้างขึ้นด้วยชุดคิทในการพัฒนา VBScript ในชื่อ VBSWG ซึ่งอนุญาตให้สามารถเลือกวิธีการในการแพร่กระจายไฟล์และเลือกชื่อไฟล์ได้ พบว่าผู้สร้างหนอนได้เลือก Microsoft Outlook และ mIRC เป็นโปรแกรมที่ใช้ในการแพร่กระจาย และยังพบด้วยว่าผู้สร้างหนอนได้เลือกชื่อของหนอนเป็น VBS.Shakira เห็นได้จากคอมเมนต์ในสคริปต์ว่า

'Vbs.ShakiraPics Created by TGK
If VBS.VBSWG.AQ@mm is executed, it does the following:
It copies itself into the \%Windows% folder as ShakiraPics.jpg.vbs.

โดย %Windows% ซึ่งเป็นตัวแปรในระบบของระบบปฏิบัติการวินโดวส์ (ปกติจะเป็น C:\Windows หรือ C:\Winnt) ที่หนอน VBS.VBSWG.AQ@mm จะทำการสำเนาตัวเองไปยังตำแหน่งที่ตัวแปรนี้ระบุอยู่

จากนั้นหนอนจะทำการเพิ่มค่าลงในเรจิสทรีย์
Registry wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
ในตำแหน่งของเรจิสทรีย์คีย์คือ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

และจะทำการค้นหาไฟล์ที่มีนามสกุล .vbs และ .vbe ในทุกไดรฟ์ที่เข้าถึงได้ (ซึ่งอาจจะรวมไปถึงฟลอปปี้ดิสก์ และอุปกรณ์บันทึกข้อมูลทั้งหมด) และพยายามที่จะเขียนทับด้วยโค้ดของตัวหนอนเองทั้งหมด

สุดท้ายจะใช้โปรแกรม Microsoft Outlook ส่งตัวหนอนไปยังผู้ใช้บนเครื่อง โดยอี-เมล์มีลักษณะดังต่อไปนี้

Subject : Shakira's Pictures
Message:
Hi :
i have sent the photos via attachment
have funn...
Attachment: ShakiraPics.jpg.vbs

นอกจากนี้ยังทำการเขียนทับไฟล์คอมฟิกเจอเรชันของโปรแกรม mIRC (Script.ini) ดังนั้นเมื่อมีการใช้โปรแกรม mIRC ติดต่อไปยังเซิร์ฟเวอร์ หนอนก็จะสามารถแพร่กระจายตัวเองผ่านทาง mIRC ได้

ถ้าหนอนใช้วิธีการในแพร่ผ่าน Microsoft Outlook จะมีข้อความในเรจิสทรีย์ซึ่งใช้ในการส่งเมล์อยู่ที่
HKEY_CURRENT_USER\Software\ShakiraPics โดยมีค่าเป็น
"mailed" = "1"

ถ้าหนอนได้แก้ไข mIRC เพื่อให้สามารถใช้วิธีการในการแพร่กระจายผ่านทาง mIRC จะมีข้อความในเรจิสทรีย์ในตำแหน่ง
HKEY_CURRENT_USER\Software\ShakiraPics โดยมีค่าเป็น
"mirqued" = "1"

เมื่อหนอนทำกระบวนการทั้งหมดเสร็จสิ้น จะแสดงข้อความว่า

วิธีการแพร่ระบาด
หนอน VBS.VBSWG.AQ@mm ใช้วิธีการในการแพร่กระจายได้สองวิธี วิธีแรกโดยทำการส่งอี-เมล์ ไปยังรายชื่อผู้ใช้ทุกคนที่อยู่บน Address book ของ Microsoft Outlook วิธีที่สองคือผ่านทาง mIRC โดยใช้
โปรแกรม mIRC script.ini ในการแพร่กระจายไปยัง IRC เซิร์ฟเวอร์ และอาจจะเขียนทับไฟล์นามสกุล .vbs และ .vbe ทั้งหมด

การแก้ไขเรจิสทรีย์เมื่อติดไวรัสตัวนี้

ข้อควรระวัง : การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง

1. คลิกที่ปุ่ม Start -->Run -->Regedit และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2. ในช่องทางด้านขวามือ ให้ลบค่าของคีย์ต่อไปนี้
   Registry wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
3. จากนั้นคลิกที่เมนู Registry เลือก Exit
4. จากนั้นทำการ restart เครื่องคอมพิวเตอร์ และทำการ scan virus โดยใช้ antivirus software ของท่าน

วิธีป้องกันตัวเองจากไวรัสชนิดนี้

1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที (โดยเฉพาะที่มี Subject : Shakira's Pictures)
2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม (ไวรัสตัวนี้แพร่กระจายทางIRC ด้วย ดังนั้นควรระวังการแลกเปลี่ยนไฟล์ทาง IRC )
3. ทำการปรับปรุงฐานข้อมูลไวรัสของ Antivirus software ที่ท่านใช้อยู่ให้ทันสมัยอยู่เสมอ (update antivirus software)
4. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high
   
   โดย:katatummo
   ที่มา:www.thaicert.or.th