สร้างเว็บEngine by iGetWeb.com
Cart รายการสินค้า (0)

เมนู

ตะกร้าสินค้า

  • 0 รายการ
  • 0 ฿

สินค้า

สินค้ามาใหม่
สินค้าขายดี

ลิงค์

บทความ

สถิติ

  • 28/03/2008
  • 07/01/2021
  • 20,445,339
  • 25,990,032
  • 62

W32.Yaha.F@mm

02/04/2008 View: 3,264

ชื่อ : W32.Yaha.F@mm, W32.Yaha.K@mm
ค้นพบเมื่อ : 17 มิถุนายน 2545
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : WORM_YAHA.E, Worm/Lentin.F, W32/Yaha.g@MM
ระดับความรุนแรง : ปานกลาง

ลักษณะทั่วไป

W32.Yaha.F@mm จะมีการทำงานดังนี้

หนอนชนิดนี้พยายามที่จะส่งตัวเองไปทางอี-เมล์ไปยังรายชื่อผู้ใช้ทุกคนที่อยู่บน Address book ของ Microsoft Windows รายชื่อในโปรแกรมส่งข้อความ MSN Messenger Yahoo ICQ และยังแนบตัวเองลงในไฟล์ที่มีนามสกุลของไฟล์ประกอบด้วยตัวอักษร ht จากนั้นจะเก็บอี-เมล์ แอดเดรสไว้ที่ \%Windows%\<ตัวอักษรที่ถูกสุ่ม 4 ตัว>b.dll

ตัวอย่าง ถ้าตัวอักษรที่ถูกสุ่มคือ efgh แล้วไฟล์ที่เก็บอี-เมล์ แอดเดรสชื่อ \%Windows%\Efghb.dll

วิธีสังเกต หนอนชนิดนี้จะแสดงข้อความมากมาย และเป็นผลให้เดสก์ทอปของ Windows สั่น เหมือนมี screen saver ข้อความที่หนอนชนิดนี้แสดงเช่น

  • U r so cute today #!#!
  • No Configuration is availabile Now
  • Config
  • madd
  • U r so cute today #!#!
  • True Love never ends
  • I like U very much!!!
  • U r My Best Friend

Screen saver ดังรูปต่อไปนี้ที่แสดงว่าเครื่องคุณอาจจะติดหนอนชนิดนี้แล้ว

W32.Yaha.K@mm จะมีลักษณะการทำงานเหมือนกับหนอน yaha ทั่วไป แต่จะเพิ่มส่วนของการหยุดการทำงานของโปรแกรมป้องกันไวรัสต่าง และหัวเรื่องของอี-เมล์ที่ส่งก็จะมีรูปแบบมากกว่าแบบก่อนๆมาก แต่หัวเรื่องดังกล่าวส่วนใหญ่ยังคงมีเนื้อหาเกี่ยวกับ screensaver

ซึ่งมีกระบวนการทำงานดังนี้

  1. คัดลอกตัวเองไปที่ไฟล์ต่อไปนี้ และแก้ไข attribute ให้เป็นไฟล์ซ่อน (hidden)

    C:\%System%\WinServices.exe.
    C:\%System%\Nav32_loader.exe
    C:\%System%\Tcpsvs32.exe

  2. เพิ่มค่า

    WinServices C:\%System%\WinServices.exe

    ลงในเรจิสทรีย์

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

    แล้วหนอนชนิดนี้จะทำการเรียกใช้งานวินโดวส์ขึ้นมา

  3. หนอนชนิดนี้จะปรับตัวเองโดยการแก้ไขค่าเรจิสทรีย์ต่อไปนี้ เมื่อมีการเรียกใช้งานไฟล์ .exe

    HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

    เป็น

    C:\%System%\Nav32_loader.exe"%1 %*

  4. หนอนยังจะคัดลอกตัวเองไปยังโฟล์เดอร์ \Windows\System เป็นชื่อใดชื่อหนึ่งต่อไปนี้

    • Hotmail_hack.exe
    • Friendship.scr
    • World_of_friendship.scr
    • Shake.scr
    • Sweet.scr
    • Be_happy.scr
    • Friend_finder.exe
    • I_like_you.scr
    • Love.scr
    • Dance.scr
    • Gc_messenger.exe
    • True_love.scr
    • Friend_happy.scr
    • Best_friend.scr
    • Life.scr
    • Colour_of_life.scr
    • Friendship_funny.scr
    • Funny.scr

  5. ซึ่งโปรแกรมป้องกันไวรัสที่หนอนชนิดนี้หยุดทำงานนั้นจะมีดังนี้

    • REGEDIT
    • ACKWIN32
    • F-AGNT95
    • SWEEP95
    • VET95
    • N32SCANW
    • _AVPM
    • LOCKDOWNADVANCED
    • NSPLUGIN
    • NSCHEDNT
    • NRESQ32
    • NPSSVC
    • NOD32
    • _AVPCC
    • _AVP32
    • NORTON
    • NVC95
    • FP-WIN
    • IOMON98
    • PCCWIN98
    • F-PROT95
    • F-STOPW
    • PVIEW95
    • NAVWNT
    • NAVRUNR
    • NAVLU32
    • NAVAPSVC
    • NISUM
    • SYMPROXYSVC
    • RESCUE32
    • NISSERV
    • VSECOMR
    • VETTRAY
    • TDS2-NT
    • TDS2-98
    • SCAN32
    • PCFWALLICON
    • NSCHED32
    • IAMSERV.EXE
    • FRW.EXE
    • MCAFEE
    • ATRACK
    • IAMAPP
    • LUCOMSERVER
    • LUALL
    • NMAIN
    • NAVW32
    • NAVAPW32
    • VSSTAT
    • VSHWIN32
    • AVSYNMGR
    • AVCONSOL
    • WEBTRAP
    • POP3TRAP
    • PCCMAIN
    • PCCIOMON
    • ESAFE.EXE
    • AVPM.EXE
    • AVPCC.EXE
    • AMON.EXE
    • ALERTSVC
    • ZONEALARM
    • AVP32
    • LOCKDOWN2000
    • AVP.EXE
    • CFINET32
    • CFINET
    • ICMON
    • RMVTRJANSAFEWEB
    • WEBSCANX
    • PVIEW
    • ANTIVIR

 

ตัวอย่างรูปแบบของอี-เมล์ที่หนอนชนิดนี้ส่ง

Subject: เจ้าของฯ
Message:

 

สิ่งหนึ่งที่เธอยังคงไม่รู้ เก็บอยู่ในใจคนเดียวไม่กล้าบอกใคร ไม่มีเหตุผลใดๆที่ฟังดูแล้วดี เจ็บปวดที่มีบางคนไว้แล้ว แต่กลับมีใจลึกซึ้งกับเธอครั้งนี้ ไม่ได้อยากรักเธอเลย แต่จะทำตัวเช่นไร ฉันมันไม่ดีใช่ไหม ห้ามใจตัวเองไม่อยู่ ก็มันรู้ทั้งรู้ว่าฉันไม่ควรรักเธอไม่ควรฝัน ฉันมันไม่ดีใช่ไหม ห้ามใจ
.
.
Attachment: เจ้าของฯ.jpg.bat

และ

Subject: Send This to everybody u like !
Message:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www.lovegreetings.org to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you'll know you
have a circle of friends.

* To remove yourself from this mailing list, point your browser to:
http://lovegreetings.org/remove?freescreensaver
* Enter your email address (thaicert@nectec.or.th) in the field provided and click "Unsubscribe".

OR...

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address thaicert@nectec.or.th
X-PMG-Recipient: thaicert@nectec.or.th
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
Attachment: screensave.scr

หมายเหตุ : เนื่องจากหนอนชนิดนี้จะทำการสุ่มชื่อผู้ส่ง หัวเรื่อง และเนื้อหาของอี-เมล์ ทำให้ไม่มีรูปแบบที่แน่นอน ดังนั้นผู้รับอาจจะได้รับจดหมายที่แตกต่างจากนี้

คำแนะนำในการกำจัดหนอนชนิดนี้ :

วิธีการกำจัดด้วย Removal tool

  1. ดาวน์โหลด FixYaha.com จาก http://securityresponse.symantec.com/avcenter/FixYaha.com
  2. หยุดการใช้งานโปรแกรมต่างๆ ในเครื่องให้หมดก่อนทำการรันไฟล์ที่ดาวน์โหลด
  3. ทำการตัดการเชื่อมต่อเครือข่ายออก
  4. ถ้าใช้ระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน รายละเอียดเพิ่มเติม
  5. จากนั้นทำการรันไฟล์ FixYaha.com โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
  6. รีสตาร์ทเครื่อง แล้วรัน FixYaha.com อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
  7. ถ้าใช้ระบบปฎิบัติการ Windows ME หรือ XP ให้ทำการ enable System Restore
  8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ

วิธีการกำจัดด้วยมือ

  1. ถ้าหากว่าหนอนชนิดนี้ได้รันอยู่บนเครื่องแล้ว ให้ทำการแก้ไขค่าของเรจิสทรีย์ที่หนอนได้แก้ไขไว้ และหากว่าหนอนชนิดนี้ยังไม่ได้ถูกรันให้ข้ามไปทำในขั้นตอนที่ 2
    • ปรับแต่งให้ Windows แสดงไฟล์ทุกไฟล์
    • คัดลอก Regedit.exe ไปยัง Regedit.com
    • แก้ไขค่าเรจิสทรีย์กลับคืนจากการแก้ไขของหนอนชนิดนี้
  2. ทำการปรับปรุงฐานข้อมูลไวรัสของ Antivirus software ที่ท่านใช้อยู่ให้ทันสมัย (update antivirus software) แล้วทำการ scan ทั้งระบบ
การแก้ไขค่าเรจิสทรีย์กลับคืนหลังจากที่หนอนชนิดนี้แก้ไขแล้ว
ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง
    1. เปิดโปรแกรมชื่อ Regedit เพื่อทำการแก้ไขค่าเรจิสทรีย์ โดยเลือกที่ Start -> Run และพิมพ์คำว่า regedit แล้วกดปุ่ม Enter
    2. ค้นหาคีย์ :

      HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

      ข้อควรระวัง : การเปลี่ยนแปลงค่าคีย์ใดๆ ภายใต้คีย์ HKEY_LOCAL_MACHINE\Software\Classes ต้องใช้ความระมัดระวังและการแก้ไขค่านี้ต้องมั่นใจว่าอยู่ที่ path ที่ถูกต้อง ดังรูปข้างล่าง

      <<=== หมายเหตุ : เปลี่ยนแปลงค่านี้

    3. ที่ฝั่งด้านขวา ให้ทำการดับเบิ้ลคลิ้กที่ค่า Default
    4. ลบค่าของ Value data แล้วทำการพิมพ์ค่า "%1" %* ( quote-percent-one-quote-space-percent-asterisk )
    5. รีสตาร์ทเครื่อง
    6. ทำการปรับปรุงฐานข้อมูลไวรัสของ Antivirus software แล้วทำการ scan ทั้งระบบอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ Performance
  3. กดปุ่ม File System
  4. เลือกแถบ Troubleshooting
  5. ใส่เครื่องหมายเลือก "Disable System Restore"
  6. กดปุ่ม Apply
  7. กดปุ่ม Close
  8. กดปุ่ม Close อีกที
  9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  10. รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
  11. เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

วิธีป้องกันตัวเองจากไวรัส

  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้

    Internet Explorer 5.01 SP2
    IE 5.5 SP2
    IE 6.0 SP1

  6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
  7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ

ความคิดเห็น

แสดงความคิดเห็น

* *

 

*

view