--วิธีกำจัดไวรัส W32.FBOUND.B@MM, W32.Dotjaypee@mm--
ข้อมูลทั่วไป

หนอนอินเทอร์เน็ต W32.Fbound@mm แพร่กระจายโดยอาศัยชื่อที่อยู่ของจดหมายจากโปรแกรม Microsoft Outlook โดยการใช้ SMTP Engine ของเครื่องที่ติดเชื้อจากหนอนร้าย นอกจากนี้หนอนร้ายตัวนี้จะแนบตัวเองมากับอี-เมล์ โดยใช้ชื่อหัวจดหมายว่าเป็นโปรแกรมอัพเดตที่สำคัญ และแนบไฟล์ชื่อ Patch.exe

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้ มีชื่อเรื่องดังต่อไปนี้

From: Any place .JP
Subject: "Important" หรือเป็นข้อความภาษาญี่ปุ่น
Body: [empty]

.
.
.

Attachement: patch.exe เมื่อไฟล์ Patch.exe, ที่แนบมาทำงาน หนอนร้ายจะทำการส่งจดหมายออกไปยังที่อยู่ต่างๆ ตามที่เก็บ Windows Address Book และปกติหนอนร้ายตัวนี้จะไม่สามารถทำงานด้วยตนเองได้ จนกว่าจะมีการ Double Click ไฟล์ที่แนบมา ให้ทำงาน

วิธีป้องกันตัวเองจากไวรัส
  1. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
  2. ห้ามรัน (double click) ไฟล์ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ โดยเฉพาะไฟล์ patch.exe โดยเด็ดขาด นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat, .vbs ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
  3. ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด
ความเสียหายต่อระบบ

หนอนจะทำงานหลังจากที่ผู้ใช้คลิกไฟล์ที่แนบมาให้ทำงาน โดยอาจเข้าใจผิดว่าไฟล์ที่แนบมาเป็นไฟล์สำหรับปรับปรุงระบบการทำงาน (Patch) จากนั้นหนอนจะทำการส่งจดหมายที่มีสำเนาของตัวเองไปยังที่อยู่ที่เก็บในสมุดที่อยู่ Windows Address Book

รายละเอียดทางเทคนิค

หนอนอินเตอร์เน็ต W32.Fbound@mm แพร่กระจายโดยอาศัยชื่อที่อยู่ของจดหมายจากโปรแกรม Microsoft Outlook โดยการใช้ SMTP Engine ของเครื่องที่ติดเชื้อจากหนอนร้าย โดยตัวอย่างจดหมายที่แพร่กระจายจะมีลักษณะใดลักษณะหนึ่งดังนี้


วิธีการแก้ไข

การกำจัดหนอนทำได้โดยการสแกนโดยโปรแกรมป้องกันไวรัส ที่ปรับปรุงฐานข้อมูลไวรัสล่าสุด

คำแนะนำในการกำจัด

ในกรณีที่ใช้โปรแกรมป้องกันไวรัส ทำการอัพเดพฐานข้อมูลไวรัสเป็นตัวล่าสุด และสแกนทั้งระบบ หากเจอไฟล์หนอนให้ลบไฟล์ดังกล่าวทิ้งทันที และติดตามข้อมูลข่าวสารไวรัส

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Uitility ตามขั้นตอนดังนี้
  1. คลิ๊กขวาที่ไอคอน My Computer บน Destop และ เลือก Properties
  2. เลือกแถบ Performance
  3. กดปุ่ม File System
  4. เลือกแถบ Troubleshooting
  5. ใส่เครื่องหมายเลือก "Disable System Restore"
  6. กดปุ่ม Apply
  7. กดปุ่ม Close
  8. กดปุ่ม Close อีกที
  9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  10. รีสตาร์ทเครื่องให้อยู่ใน Sefe Mode
  11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

    โดย:katatummo
    ที่มา:www.thaicert.or.th


ย้อนกลับ หน้าแรก