Home

 
Advertisingpublic relationWeb development
 

 

ไวรัสอันตรายล่าสุด W32/Mydoom@MM

ชื่อ : W32.Mydoom@MM
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32.Novarg.A@mm , WORM_MIMAIL.R, W32/Mydoom@MM ,Mydoom, Win32.Mydoom.A, Win32/Shimg
ระดับความรุนแรง : สูง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x

ข้อมูลทั่วไป

ข้อมูลในการกำจัดหนอนอย่างรวดเร็ว (สำหรับผู้ใช้ทั่วไป)

ผู้ใช้ทั่วไปควรปฎิบัติตามดังนี้

  • ห้ามเปิดไฟล์ที่แนบมาพร้อมกับอี-เมล์ ที่ไม่สามารถยืนยันว่าใครเป็นผู้ส่ง รวมทั้งไม่ควรเปิดอี-เมล์ที่น่าสงสัยที่มีหัวข้อของอี-เมล์ดังตัวอย่าง
  • ปรับปรุงฐานข้อมูลของโปรแกรมไวรัสที่ท่านใช้งานอยู่ให้ทันสมัย
คำแนะนำในการป้องกันหนอนชนิดนี้ภายในองค์กร (สำหรับผู้ดูแลระบบ)
ผู้ดูแลระบบเครือข่ายควรดำเนินการดังนี้
  • ปิดกั้นข้อมูลที่เข้าและออกมาผ่านพอร์ต 3127/TCP ถึง 3198/TCP
  • ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ดังนี้
  • ปรับปรุงฐานข้อมูลไวรัสในโปรแกรมป้องกันไวรัสที่องค์กรนั้นๆ ใช้อยู่ในเครื่องของผู้ใช้งานให้ทันสมัย

W32.Mydoom@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้จะมากับอีเมล์โดยมีหัวข้ออี-เมล์และเนื้อความที่หลากหลายจากการสุ่มขึ้นมา แต่สิ่งที่สามารถสังเกตได้คือ

  1. ข้อความในอี-เมล์จะไม่สามารถแสดงด้วยการแสดงผลแบบ 7 บิต และจะมีไฟล์แนบประเภทไบนารี ได้แก่ .exe .pif .cmd .scr รวมทั้ง .zip ด้วย
  2. ข้อความในอี-เมล์ประกอบด้วยตัวอักษรที่ใช้การแสดงผลแบบ Unicode และจะมีไฟล์แนบประเภทไบนารีเช่นเดียวกัน
  3. อี-เมล์ที่ได้รับเข้ามาอาจจะมีข้อความแค่เพียงบางส่วน และอาจส่งผลให้ไม่สามารถใช้งานระบบอี-เมล์ได้

เมื่อทำการรันไฟล์แนบที่มากับหนอน จะทำให้หนอนติดเข้าไปในเครื่องและเมื่อทำการรีบูตเครื่อง
หนอนก็จะสามารถทำงานได้ทันที รวมทั้งจะทำการเปิดพอร์ตแบบสุ่มในช่วง 3127/TCP ถึง 3198 /TCP ด้วย

พอร์ตที่ถูกเปิดโดยหนอนจะถูกใช้เป็นช่องทางเข้าสู่ระบบของ Hacker เพื่อเข้าถึงทรัพยากรของระบบได้ รวมถึงการดาวน์โหลดไฟล์ หรือเข้าถึงไฟล์โดยไม่เหมาะสมจากภายนอกด้วย ดังนั้นผู้ดูแลระบบควรจะทำการป้องกันพอร์ตระหว่าง 3127/TCP ถึง 3198/TCP ไม่ให้มีการเข้าถึงจากภายนอกได้

นอกจากนี้ หนอนจะเริ่มทำการโจมตีแบบ Denial of Service ไปยัง www.sco.com ในช่วงวันที่ 1 ถึง 12 กุมภาพันธ์ 2547 อีกด้วย

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์ เกิดจากการสุ่มชื่ออี-เมล์ขึ้นมา
หัวข้ออี-เมล์ Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test
Mail Transaction Failed
Server Request
Error
ไฟล์ที่แนบมากับอี-เมล์

ไฟล์ที่สุ่มจากหนอน เป็นไปได้ในหลายลักษณะ
ดังตัวอย่างไฟล์ต่อไปนี้

doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
ข้อความในอี-เมล์

ข้อความในอี-เมล์อาจจะเป็นไปได้ในลักษณะนี้

• The message contains Unicode characters and has been sent as a binary attachment.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.
• test

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์โดยไฟล์ที่แนบมากับอี-เมล์นั้นมีรูปแบบไม่แน่นอน และระบบ KaZaa ซึ่งเป็นระบบแชร์ไฟล์ผ่านอินเทอร์เน็ต

ผลกระทบที่เกิดขึ้น

  • ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
  • เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะทำการเปิดพอร์ต TCP แบบสุ่มในช่วง 3127 ถึง 3198
  • เกิดการโจมตีแบบ Denial of Service : หนอนจะเริ่มทำการโจมตีเว็บไซต์ http://www.sco.com ช่วงวันที่ 1 ถึง 12 กุมภาพันธ์ 2547

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Mydoom@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    1. ดาวน์โหลดไฟล์ ClnShimg.zip จาก http://www3.ca.com/Files/VirusInformation AndPrevention/clnshimg.zip
    2. ปิดโปรแกรมทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลด จากข้อ 1
    3. ทำการแตกไฟล์ ClnShimg.zip ซึ่งจะได้ไฟล์ ClnShimg.com
    4. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
    5. ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME และ ข้อมูลเพิ่มเติมสำหรับ Windows XP)
    6. จากนั้นทำการรันไฟล์ ClnShimg.com โดยการดับเบิลคลิ้กไฟล์ ดังกล่าว
    7. รีสตาร์ทเครื่อง แล้วรัน ClnShimg.com อีกครั้งเพื่อให้แน่ใจว่า ไม่มีหนอนตัวนี้หลงเหลือในระบบ
    8. ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ enable System Restore
    9. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัส ที่ติดตั้งอยู่ในระบบ
    10. สแกนหาไวรัสทั้งระบบดูอีกครั้ง
  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
    1. ดาวน์โหลดไฟล์ FxNovarg.exe จาก http://securityresponse.symantec.com/ avcenter/FxNovarg.exe
    2. ปิดโปรแกรมทุกโปรแกรมที่กำลังใช้งานอยู่ ก่อนรันไฟล์ที่ดาวน์โหลด จากข้อ 1
    3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
    4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของข้อมูล เพิ่มเติมสำหรับ Windows XP และ ME)
    5. จากนั้นทำการรันไฟล์ FxNovarg.exe โดยการดับเบิลคลิ้กไฟล์ ดังกล่าวแล้วกดปุ่ม start
    6. รีสตาร์ทเครื่อง แล้วรัน FxNovarg.exe อีกครั้งเพื่อให้แน่ใจว่า ไม่มีหนอนตัวนี้หลงเหลือในระบบ
    7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
    8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
    9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง

    • ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:

    หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และโปรแกรมป้องกันไวรัส จะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

    1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
    2. เลือกแถบ Performance
    3. กดปุ่ม File System
    4. เลือกแถบ Troubleshooting
    5. ใส่เครื่องหมายเลือก "Disable System Restore"
    6. กดปุ่ม Apply
    7. กดปุ่ม Close
    8. กดปุ่ม Close อีกที
    9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
      หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
    10. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้ว ก็รีสตาร์ทเครื่องให้ใช้งาน ได้ตามปกติ

    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

    ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP

    หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

    1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
    2. เลือกแถบ System Restore
    3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
    4. กดปุ่ม Apply
    5. กดปุ่ม Yes
      หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
    6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ

    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

    วิธีป้องกันตัวเองจากหนอนชนิดนี้

    1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ ลูกโซ่ทิ้งทันที
    2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่งเป็นใคร และไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
    3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัส เป็นตัวล่าสุดอยู่เสมอ
    4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
    5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

      IE 6.0 Service Pack 1
      Windows 2000 Service Pack 4
      Windows XP Service Pack 1a

    6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
    7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
    8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
    9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ

    ช้อมูลอ้างอิง

  • http://www.outpost24.com/
  • http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=54593%20
  • http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
  • http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100983
  • http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
  • http://www.auscert.org.au/

    • *** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

    เผยแพร่โดย ThaiCERT เมื่อ 27 มกราคม 2547 09.00น.
    ปรับปรุงล่าสุดโดย     ThaiCERT เมื่อ 28 มกราคม 2547 13.03น

    .

    		  

    Copyright © 2000 - 2005 Dinsor Advertising. All rights reserved.
    Privacy Policy | Terms of Use | Site Map