-- วิธีกำจัดไวรัส W32.Zafi.D@mm หรือ W32.Erkez.D@mm--


ข้อมูลทั่วไป

W32.Zafi.D@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านโพรโตคอลชื่อ Simple Mail Transfer Protocol (SMTP) ของตัวหนอนเอง โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก ซึ่งลักษณะอี-เมล์ที่แพร่กระจายนั้นจะมีเนื้อหาเกี่ยวกับอี-การ์ดสำหรับเทศกาลสำคัญต่างๆ ที่กำลังจะมาถึงในช่วงเดือนนี้ เช่น คริสต์มาส เป็นต้น การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์ ปลอมแปลงชื่อผู้ส่ง
หัวข้ออี-เมล์

Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!

ไฟล์ที่แนบมากับอี-เมล

ไฟล์แนบจะมีนามสกุลดังต่อไปนี้

.bat
.cmd
.com
.pif
.zip

ข้อความในอี-เมล์

Happy HollyDays!
:) [Sender]
Kellemes Unnepeket!
:) [Sender]
Feliz Navidad!
:) [Sender]
:) [Sender]
Glaedelig Jul!
:) [Sender]
God Jul!
:) [Sender]
Iloista Joulua!
:) [Sender]
Naulieji Metai!
:) [Sender]
Wesolych Swiat!
:) [Sender]
Fr?hliche Weihnachten!
:) [Sender]
Prettige Kerstdagen!
:) [Sender]
Vesel? V?noce!
:) [Sender]
Joyeux Noel!
:) [Sender]
Buon Natale!
:) [Sender]

ตัวอย่างอี-เมล์ของหนอน

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ได้ที่มีเนื้อหาเกี่ยวกับเทศกาลคริสต์มาส

ผลกระทบที่เกิดขึ้น

  • ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
  • ยุดการทำงานโปรแกรมป้องกันไวรัส : ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย อาจถูกหนอนชนิดอื่นแพร่กระจายเข้ามาได้

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Zafi.D@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

  1. ทำการสร้างไฟล์ต่อไปนี้ขึ้นมา:
    • %System%\Norton Update.exe
    • C:\s.cm (เป็นไฟล์ล็อก)

    หมายเหต%System% ซึ่งอ้างอิงเป็นโฟลเดอร์ของระบบโดยทั่วไปแล้วจะเป็น
    C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), หรือ
    C:\Windows\System32 (Windows XP).

  2. ทำการสำเนาตัวเองเป็นหลายๆ ไฟล์ ในโฟลเดอร์ %System% ด้วยรูปแบบของ .dll ไฟล์ ด้วยชื่อที่แตกต่างกันโดยการสุ่มจำนวนแปดตัวอักษร
  3. ทำการแก้ไขชื่อไฟล์ต่างๆ ที่พบโดยการเพิ่มตัวอักษรลงในชื่อที่มีอยู่เดิม
    • winamp 5.7 new!.exe
    • ICQ 2005a new!.exe
  4. สร้างค่ารีจีสทรีย์ชื่อ Wxp ในเครื่องที่หนอนแพร่กระจายอยู่
  5. ทำการเพิ่มค่าคีย์
    "Wxp4" = "%System%\Norton Update.exe"
    ในรีจิสทรีย์คีย์
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    ในทุกๆครั้งที่มีการรันหนอน
  6. สร้างรีจิสทรีย์คีย์
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
    ทุกๆ ครั้งที่มีการฝังตัว
  7. โดยเครื่องคอมพิวเตอร์จะมีการแจ้งเตือนดังนี้
    Title: CRC: 04F7Bh
    Message: Error in packed file!
  8. ทำการยกเลิกการทำงานของโพรเซส ต่อไปนี้
    • reged
    • msconfig
    • task
  9. มีการเรียกไปยังโดเมน microsoft.com
  10. เปิด back door ที่ TCP พอร์ต 8181 และรอการโจมตีของผู้ไม่ประสงค์ดี
  11. ทำการเปิดแชร์ ไฟล์.exe ในโฟลเดอร์ที่มี String ดังนี้อยู่
    • syman
    • viru
    • trend
    • secur
    • panda
    • cafee
    • sopho
    • kasper
      และทำการยกเลิกการทำงานของไฟล์ exe ทั้งหมดที่พบ
  12. ค้นหาอี-เมล์แอดเดรสจากโฟลเดอร์ระบบบนเครื่องที่ถูกหนอนชนิดนี้แพร่กระจาย
  13. ทำสำเนาตัวเองและส่งไปให้คอมพิวเตอร์เครื่องอื่นๆ โดยใช้รูปแบบ SMTP หรือผ่านทางอี-เมล์

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ

    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ้กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ Performance
  3. กดปุ่ม File System
  4. เลือกแถบ Troubleshooting
  5. ใส่เครื่องหมายเลือก "Disable System Restore"
  6. กดปุ่ม Apply
  7. กดปุ่ม Close
  8. กดปุ่ม Close อีกที
  9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  10. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ้กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ System Restore
  3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
  4. กดปุ่ม Apply
  5. กดปุ่ม Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

    1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
    2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
    3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
    4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
    5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
    6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ

      โดย:katatummo
      ที่่มา:www.thaicert.or.th


ย้อนกลับ หน้าแรก