ชื่อ : W32.Yaha.F@mm, W32.Yaha.K@mm
ค้นพบเมื่อ : 17 มิถุนายน 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : WORM_YAHA.E, Worm/Lentin.F, W32/Yaha.g@MM
ระดับความรุนแรง : ปานกลาง
ลักษณะทั่วไป
W32.Yaha.F@mm จะมีการทำงานดังนี้
หนอนชนิดนี้พยายามที่จะส่งตัวเองไปทางอี-เมล์ไปยังรายชื่อผู้ใช้ทุกคนที่อยู่บน Address book ของ Microsoft Windows รายชื่อในโปรแกรมส่งข้อความ MSN Messenger Yahoo ICQ และยังแนบตัวเองลงในไฟล์ที่มีนามสกุลของไฟล์ประกอบด้วยตัวอักษร ht จากนั้นจะเก็บอี-เมล์ แอดเดรสไว้ที่ \%Windows%\<ตัวอักษรที่ถูกสุ่ม 4 ตัว>b.dll
ตัวอย่าง ถ้าตัวอักษรที่ถูกสุ่มคือ efgh แล้วไฟล์ที่เก็บอี-เมล์ แอดเดรสชื่อ \%Windows%\Efghb.dll
วิธีสังเกต หนอนชนิดนี้จะแสดงข้อความมากมาย และเป็นผลให้เดสก์ทอปของ Windows สั่น เหมือนมี screen saver ข้อความที่หนอนชนิดนี้แสดงเช่น
- U r so cute today #!#!
- No Configuration is availabile Now
- Config
- madd
- U r so cute today #!#!
- True Love never ends
- I like U very much!!!
- U r My Best Friend
Screen saver ดังรูปต่อไปนี้ที่แสดงว่าเครื่องคุณอาจจะติดหนอนชนิดนี้แล้ว
W32.Yaha.K@mm จะมีลักษณะการทำงานเหมือนกับหนอน yaha ทั่วไป แต่จะเพิ่มส่วนของการหยุดการทำงานของโปรแกรมป้องกันไวรัสต่าง และหัวเรื่องของอี-เมล์ที่ส่งก็จะมีรูปแบบมากกว่าแบบก่อนๆมาก แต่หัวเรื่องดังกล่าวส่วนใหญ่ยังคงมีเนื้อหาเกี่ยวกับ screensaver
ซึ่งมีกระบวนการทำงานดังนี้
-
คัดลอกตัวเองไปที่ไฟล์ต่อไปนี้ และแก้ไข attribute ให้เป็นไฟล์ซ่อน (hidden)
C:\%System%\WinServices.exe.
C:\%System%\Nav32_loader.exe
C:\%System%\Tcpsvs32.exe - เพิ่มค่า
WinServices C:\%System%\WinServices.exe
ลงในเรจิสทรีย์
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesแล้วหนอนชนิดนี้จะทำการเรียกใช้งานวินโดวส์ขึ้นมา
-
หนอนชนิดนี้จะปรับตัวเองโดยการแก้ไขค่าเรจิสทรีย์ต่อไปนี้ เมื่อมีการเรียกใช้งานไฟล์ .exe
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
เป็น
C:\%System%\Nav32_loader.exe"%1 %*
- หนอนยังจะคัดลอกตัวเองไปยังโฟล์เดอร์ \Windows\System เป็นชื่อใดชื่อหนึ่งต่อไปนี้
- Hotmail_hack.exe
- Friendship.scr
- World_of_friendship.scr
- Shake.scr
- Sweet.scr
- Be_happy.scr
- Friend_finder.exe
- I_like_you.scr
- Love.scr
- Dance.scr
- Gc_messenger.exe
- True_love.scr
- Friend_happy.scr
- Best_friend.scr
- Life.scr
- Colour_of_life.scr
- Friendship_funny.scr
- Funny.scr
- ซึ่งโปรแกรมป้องกันไวรัสที่หนอนชนิดนี้หยุดทำงานนั้นจะมีดังนี้
-
REGEDIT
-
ACKWIN32
-
F-AGNT95
-
SWEEP95
-
VET95
-
N32SCANW
-
_AVPM
-
LOCKDOWNADVANCED
-
NSPLUGIN
-
NSCHEDNT
-
NRESQ32
-
NPSSVC
- NOD32
- _AVPCC
- _AVP32
- NORTON
- NVC95
- FP-WIN
- IOMON98
- PCCWIN98
- F-PROT95
- F-STOPW
- PVIEW95
- NAVWNT
- NAVRUNR
- NAVLU32
- NAVAPSVC
- NISUM
- SYMPROXYSVC
- RESCUE32
- NISSERV
- VSECOMR
- VETTRAY
- TDS2-NT
- TDS2-98
- SCAN32
- PCFWALLICON
- NSCHED32
- IAMSERV.EXE
- FRW.EXE
- MCAFEE
- ATRACK
- IAMAPP
- LUCOMSERVER
- LUALL
- NMAIN
- NAVW32
- NAVAPW32
- VSSTAT
- VSHWIN32
- AVSYNMGR
- AVCONSOL
- WEBTRAP
- POP3TRAP
- PCCMAIN
- PCCIOMON
- ESAFE.EXE
- AVPM.EXE
- AVPCC.EXE
- AMON.EXE
- ALERTSVC
- ZONEALARM
- AVP32
- LOCKDOWN2000
- AVP.EXE
- CFINET32
- CFINET
- ICMON
- RMVTRJANSAFEWEB
- WEBSCANX
- PVIEW
- ANTIVIR
-
ตัวอย่างรูปแบบของอี-เมล์ที่หนอนชนิดนี้ส่ง
Subject: เจ้าของฯ
Message:
สิ่งหนึ่งที่เธอยังคงไม่รู้ เก็บอยู่ในใจคนเดียวไม่กล้าบอกใคร ไม่มีเหตุผลใดๆที่ฟังดูแล้วดี เจ็บปวดที่มีบางคนไว้แล้ว แต่กลับมีใจลึกซึ้งกับเธอครั้งนี้ ไม่ได้อยากรักเธอเลย แต่จะทำตัวเช่นไร ฉันมันไม่ดีใช่ไหม ห้ามใจตัวเองไม่อยู่ ก็มันรู้ทั้งรู้ว่าฉันไม่ควรรักเธอไม่ควรฝัน ฉันมันไม่ดีใช่ไหม ห้ามใจ
.
.
Attachment: เจ้าของฯ.jpg.batและ
Subject: Send This to everybody u like !
Message:<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from www.lovegreetings.org to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you'll know you
have a circle of friends.* To remove yourself from this mailing list, point your browser to:
http://lovegreetings.org/remove?freescreensaver
* Enter your email address (thaicert@nectec.or.th) in the field provided and click "Unsubscribe".OR...
* Reply to this message with the word "REMOVE" in the subject line.
This message was sent to address thaicert@nectec.or.th
X-PMG-Recipient: thaicert@nectec.or.th
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
Attachment: screensave.scr
หมายเหตุ : เนื่องจากหนอนชนิดนี้จะทำการสุ่มชื่อผู้ส่ง หัวเรื่อง และเนื้อหาของอี-เมล์ ทำให้ไม่มีรูปแบบที่แน่นอน ดังนั้นผู้รับอาจจะได้รับจดหมายที่แตกต่างจากนี้
คำแนะนำในการกำจัดหนอนชนิดนี้ :
วิธีการกำจัดด้วย Removal tool
- ดาวน์โหลด FixYaha.com จาก http://securityresponse.symantec.com/avcenter/FixYaha.com
- หยุดการใช้งานโปรแกรมต่างๆ ในเครื่องให้หมดก่อนทำการรันไฟล์ที่ดาวน์โหลด
- ทำการตัดการเชื่อมต่อเครือข่ายออก
- ถ้าใช้ระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน รายละเอียดเพิ่มเติม
- จากนั้นทำการรันไฟล์ FixYaha.com โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
- รีสตาร์ทเครื่อง แล้วรัน FixYaha.com อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
- ถ้าใช้ระบบปฎิบัติการ Windows ME หรือ XP ให้ทำการ enable System Restore
- ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
วิธีการกำจัดด้วยมือ
ถ้าหากว่าหนอนชนิดนี้ได้รันอยู่บนเครื่องแล้ว ให้ทำการแก้ไขค่าของเรจิสทรีย์ที่หนอนได้แก้ไขไว้ และหากว่าหนอนชนิดนี้ยังไม่ได้ถูกรันให้ข้ามไปทำในขั้นตอนที่ 2
- ปรับแต่งให้ Windows แสดงไฟล์ทุกไฟล์
- คัดลอก Regedit.exe ไปยัง Regedit.com
- แก้ไขค่าเรจิสทรีย์กลับคืนจากการแก้ไขของหนอนชนิดนี้
- ทำการปรับปรุงฐานข้อมูลไวรัสของ Antivirus software ที่ท่านใช้อยู่ให้ทันสมัย (update antivirus software) แล้วทำการ scan ทั้งระบบ
ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง
- เปิดโปรแกรมชื่อ Regedit เพื่อทำการแก้ไขค่าเรจิสทรีย์ โดยเลือกที่ Start -> Run และพิมพ์คำว่า regedit แล้วกดปุ่ม Enter
- ค้นหาคีย์ :
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
ข้อควรระวัง : การเปลี่ยนแปลงค่าคีย์ใดๆ ภายใต้คีย์ HKEY_LOCAL_MACHINE\Software\Classes ต้องใช้ความระมัดระวังและการแก้ไขค่านี้ต้องมั่นใจว่าอยู่ที่ path ที่ถูกต้อง ดังรูปข้างล่าง
<<=== หมายเหตุ : เปลี่ยนแปลงค่านี้
- ที่ฝั่งด้านขวา ให้ทำการดับเบิ้ลคลิ้กที่ค่า Default
- ลบค่าของ Value data แล้วทำการพิมพ์ค่า "%1" %* ( quote-percent-one-quote-space-percent-asterisk )
- รีสตาร์ทเครื่อง
- ทำการปรับปรุงฐานข้อมูลไวรัสของ Antivirus software แล้วทำการ scan ทั้งระบบอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับ Windows ME:
หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
- เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
วิธีป้องกันตัวเองจากไวรัส
- ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
- ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
ความคิดเห็น