แจ้งชำระเงิน
ชื่อ : W32.Lirva.C@mm
ค้นพบเมื่อ : 8 มกราคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/Lirva.B, W32.Arvil.A, W32.Naith.A, Avril, Avron
ระดับความรุนแรง : ปานกลาง
ลักษณะทั่วไป
W32.Lirva.C@mm สามารถกระจายตัวเองผ่านทางอี-เมล์, ICQ, KaZaA และทางการเปิดแชร์ไฟล์ด้วย ซึ่งเป็นสายพันธุ์ของ W32.Lirva.A@mm หนอนชนิดนี้พยายามที่จะหยุดการทำงานของโปรแกรมป้องกันไวรัสและไฟร์วอลล์ และส่งอี-เมล์ที่มีรหัสผ่านสำหรับเชื่อมต่อเครือข่ายแบบ dial-up ซึ่งถูกเก็บไว้ในเครื่องที่เป็น Windows 95/98/Me ไปยังผู้พัฒนาไวรัสด้วย
หนอนจะทำการเชื่อมต่อไปยังเว็บไซต์ web.host.kz และดาวน์โหลด BackOrifice ที่หนอนใช้ในการรัน
ในวันที่ 7, 11, หรือ 24 ของแต่ละเดือน หนอนจะเรียกใช้งานโปรแกรมเว็บเบราเซอร์ที่เหยื่อใช้ เพื่อเรียกเว็บ www.avril-lavigne.com และแสดงภาพกราฟิกแอนิเมชันบนหน้าเดสก์ท็อป
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Lirva.C@mm เริ่มทำงาน
-
หนอนจะหยุดการทำงานทุกโพรเซสที่มีชื่อต่อไปนี้
- KPF.EXE
- KPFW32.EXE
- _AVPM.EXE
- AUTODOWN.EXE
- AVKSERV.EXE
- AVPUPD.EXE
- BLACKD.EXE
- CFIND.EXE
- CLEANER.EXE
- ECENGINE.EXE
- F-PROT.EXE
- FP-WIN.EXE
- IAMSERV.EXE
- ICLOADNT.EXE
- IFACE.EXE
- LOOKOUT.EXE
- N32SCAN.EXE
- NAVW32.EXE
- NORMIST.EXE
- PADMIN.EXE
- PCCWIN98.EXE
- RAV7WIN.EXE
- SCAN95.EXE
- SMC.EXE
- TCA.EXE
- VETTRAY.EXE
- VSSTAT.EXE
- ACKWIN32.EXE
- AVCONSOL.EXE
- AVPNT.EXE
- AVPDOS32.EXE
- AVSCHED32.EXE
- BLACKICE.EXE
- EFINET32.EXE
- CLEANER3.EXE
- ESAFE.EXE
- F-PROT95.EXE
- FPROT.EXE
- IBMASN.EXE
- ICMOON.EXE
- IOMON98.EXE
- LUALL.EXE
- NAVAPW32.EXE
- NAVWNT.EXE
- NUPGRADE.EXE
- PAVCL.EXE
- PCFWALLICON.EXE
- RESCUE.EXE
- SCANPM.EXE
- SPHINX.EXE
- TDS2-98.EXE
- VSSCAN40.EXE
- WEBSCANX.EXE
- WEBSCAN.EXE
- ANTI-TROJAN.EXE
- AVE32.EXE
- AVP.EXE
- AVPM.EXE
- AVWIN95.EXE
- CFIADMIN.EXE
- CLAW95.EXE
- DVP95.EXE
- ESPWATCH.EXE
- F-STOPW.EXE
- FRW.EXE
- IBMAVSP.EXE
- ICSUPP95.EXE
- JED.EXE
- MOOLIVE.EXE
- NAVLU32.EXE
- NISUM.EXE
- NVC95.EXE
- NAVSCHED.EXE
- PERSFW.EXE
- SAFEWEB.EXE
- SCRSCAN.EXE
- SWEEP95.EXE
- TDS2-NT.EXE
- VSECOMR.EXE
- WFINDV32.EXE
- AVPCC.EXE
- _AVPCC.EXE
- APVXDWIN.EXE
- AVGCTRL.EXE
- _AVP32.EXE
- AVPTC32.EXE
- AVWUPD32.EXE
- CFIAUDIT.EXE
- CLAW95CT.EXE
- DV95_O.EXE
- DV95.EXE
- F-AGNT95.EXE
- FINDVIRU.EXE
- IAMAPP.EXE
- ICLOAD95.EXE
- ICSSUPPNT.EXE
- LOCKDOWN2000.EXE
- MPFTRAY.EXE
- NAVNT.EXE
- NMAIN.EXE
- OUTPOST.EXE
- NAVW.EXE
- RAV7.EXE
- SCAN32.EXE
- SERV95.EXE
- TBSCAN.EXE
- VET95.EXE
- VSHWIN32.EXE
- ZONEALARM.EXE
- AVPMON.EXE
- AVP32.EXE
- KPF.EXE
- หยุดการทำงานของโพรเซสที่คำต่อไปนี้ปรากฏอยู่บน Title bar ของวินโดวส์
- virus
- anti
- McAfee
- Virus
- Anti
- AVP
- Norton
- virus
- คัดลอกตัวเองไปเป็นไฟล์ซ่อนต่อไปนี้
- %Temporary%\<random string>
- %Temporary%\<random string>.tft
- %System%\<random string>.exe
- %All Drives%\Recycled\<random string>.exe
- %Kazaa Downloads%\<random string>.exe
- %Temporary%\<random string>
- คัดลอกตัวเองโดยใช้ชื่อที่ถูกสุ่มและนำไปเก็บไว้ยังโฟลเดอร์ต่างๆ
- สร้างไฟล์ HTML ต่อไปนี้ในโฟลเดอร์เดียวกันกับไฟล์ไวรัส
- Index.html
- Default.html
- Index.htm
- Default.htm
- Index.html
- เพิ่มค่า
Avril Lavigne - Muse
ในเรจิสทีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
แล้วจะทำการรันทุกครั้งที่เริ่มต้นใช้งานวินโดวส์ ถ้าเป็นระบบปฏิบัติการวินโดวส์ NT/2000/XP หนอนจะรันตัวเองเป็นเซอร์วิส
- สร้างเรจิสทีย์คีย์
HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne
และ subkey ต่างๆ ที่หนอนใช้ในการติดตามกระบวนการการติดเชื้อหนอนชนิดนี้
- สร้างไฟล์ .txt ชื่อ %Temporary%\Avril-ii.inf และไฟล์ชั่วคราวอื่นๆ ในโฟลเดอร์ %Temporary% ของระบบปฏิบัติการวินโดวส์
- ตรวจสอบดูว่าเครื่องของผู้ติดหนอนชนิดนี้ทำการเชื่อมต่อเครือข่ายหรือไม่ ถ้าไม่ หนอนจะทำการ dial-up ให้ โดยใช้ค่า profile ที่เป็นค่า default
- ค้นหารายชื่ออี-เมล์แอดเดรสในแอดเดรสบุ๊คของวินโดวส์และไฟล์ที่มีนามสกุล .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch และ idx แล้วหนอนก็ทำการส่งอี-เมล์ที่มีค่าต่อไปนี้
- Subject. หัวเรื่องดังต่อไปนี้
- Fw: Redirection error notification
- Re: Brigada Ocho Free membership
- Re: According to Purge's Statement
- Fw: Avril Lavigne - CHART ATTACK!
- Re: Reply on account for IIS-Security Breach (TFTP)
- Re: ACTR/ACCELS Transcriptions
- Re: IREX admits you to take in FSAU 2003
- Fwd: Re: Have U requested Avril Lavigne bio?
- Re: Reply on account for IFRAME-Security breach
- Fwd: Re: Reply on account for Incorrect MIME-header
- Re: Vote seniors masters - don't miss it!
- Fwd: RFC-0245 Specification requested...
- Fwd: RFC-0841 Specification requested...
- Fw: F. M. Dostoyevsky "Crime and Punishment"
- Re: Junior Achievement
- Re: Ha perduto qualque cosa signora?
- Message. เนื้อความดังต่อไปนี้
- Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
- Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
- Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
- Chart attack active list: Vote fo4r I'm with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!AVRIL LAVIGNE - THE CHART ATTACK!
- AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity increases:> SO: First, Vote on TRL for I'm With U! Next, Update your pics database! Chart attack active list .>.>
- Orginal Message:
- Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
- Attachment. ไฟล์ที่แนบมาดังต่อไปนี้
- Resume.exe
- ADialer.exe
- MSO-Patch-0071.exe
- MSO-Patch-0035.exe
- Two-Up-Secretly.exe
- Transcripts.exe
- Readme.exe
- AvrilSmiles.exe
- AvrilLavigne.exe
- Complicated.exe
- TrickerTape.exe
- Singles.exe
- Sophos.exe
- Cogito_Ergo_Sum.exe
- CERT-Vuln-Info.exe
- Sk8erBoi.exe
- IAmWiThYoU.exe
- Phantom.exe
- EntradoDePer.exe
- SiamoDiTe.exe
- BioData.exe
- ALavigne.exe
- <random>.TXT
- <random>.DOC
- Resume.exe
- From. ชื่อผู้ฝากนั้นจะเอามาจากเซิร์ฟเวอร์ SMTP ที่เป็นค่า default
- Subject. หัวเรื่องดังต่อไปนี้
- หนอนร้ายเริ่มทำการสร้างไฟล์ชั่วคราวชื่อ %Temporary%\NewBoot.sys ซึ่งเป็นส่วนหนึ่งของการทำงานปกติของอี-เมล์ โดยที่มันจะลบไฟล์นี้ออกในตอนนี้ด้วย
- ค้นหาไฟล์ Icqmapi.dll โดยหาจาก path ของโปรแกรม ICQ ถ้าพบหนอนจะทำการคัดลอกตัวเองไปยังโฟลเดอร์ \Windows\System และส่งตัวเองไปยังทุกรายชื่อที่อยู่ใน Contact list ของโปรแรกม ICQ
- สร้างไฟล์ Script.ini ในโฟลเดอร์ของโปรแกรม mIRC ไฟล์นี้จะทำการติดต่อไปยังห้อง #avrillavigne และส่งตัวหนอนเองไปยังคนอื่นที่อยู่ในห้องสนทนาเดียวกับผู้ที่ติดหนอน
- ค้นหาเครื่องในเครือข่ายเดียวกันที่เปิดแชร์ไดร์ฟ C ถ้าหนอนพบจะทำการคัดลอกตัวเองไปไว้ในโฟลเดอร์ \Recycled\<random string>.exe ในเครื่องที่หนอนพบว่ามีการแชร์ และแก้ไขไฟล์ Autoexec.bat ในเครื่องดังกล่าวด้วย เพื่อให้ทำการโหลดหนอนชนิดนี้เมื่อเปิดเครื่อง โดยเพิ่มบรรทัดนี้ลงไปในไฟล์
@win <random string>.exe
- คัดลอกตัวเองไปยัง \Recycled\<random string>.exe ในเครื่องที่ติดหนอนและแก้ไขไฟล์ Autoexec.bat (เพิ่มบรรทัดที่กล่าวถึงในข้อที่แล้ว) แล้วหนอนจะทำการรันตัวเองเมื่อสตาร์ทวินโดวส์ (สำหรับระบบปฏิบัติการวินโดวส์ 95/98/Me)
- คัดลอกตัวหนอนเองเป็นไฟล์ที่มีชื่อสุ่มขึ้นมาและเก็บไว้ในโฟลเดอร์ที่ใช้สำหรับดาวน์โหลดของโปรแกรม KaZaA
- ทำการติดต่อเว็บไซต์ http://web.host.kz/ และดาวน์โหลด BackOrifice นำไปเก็บเป็นไฟล์ %System%\Bo2k.exe และสร้างค่า
SocketListner
ภายใต้เรจิสทรีย์คีย์:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ทำการติดต่อไปยัง http://web.host.kz/ และดาวน์โหลดไฟล์ที่สามารถเอ็กซิคิวต์ได้ และเก็บไว้ในไฟล์ที่ชื่อ %Temporary%\uploaded.tft
- ถ้าเป็นวันที่ 7, 11, และ 24 ของเดือน หนอนจะเรียกใช้งานโปรแกรมเว็บเบราเซอร์ที่เหยื่อใช้ เพื่อเรียกเว็บ http://www.avril-lavigne.com และแสดงภาพกราฟิกแอนิเมชันบนหน้าเดสก์ท็อป
คำแนะนำในการกำจัดหนอนชนิดนี้ :
วิธีการกำจัดด้วยมือ
- ลบค่าเรจิสทีย์คีย์ที่หนอนทำการเพิ่มเข้าไป กล่าวคือลบค่า
Avril Lavigne - Muse
ในเรจิสทีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
และทำการลบคีย์ที่ชื่อ
HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne รวมทั้ง subkeys ด้วย
จากนั้นก็รีสตาร์ทเข้าสู่ระบบปกติ
- ทำการปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ท่านใช้
- สแกนหาไวรัสทั้งระบบและลบทุกไฟล์ที่ติดหนอนชนิดนี้
ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้งการกำจัดหนอนแบบอัตโนมัติ
- ดาวน์โหลดไฟล์ FixLirva.exe จาก http://securityresponse.symantec.com/avcenter/FixLirva.exe
- ปิดเครื่อง และเปิดเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
- ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
- ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
- ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
- จากนั้นทำการรันไฟล์ FixLirva.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
- รีสตาร์ทเครื่อง แล้วรัน FixLirva.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
- ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
- ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
- สแกนหาไวรัสทั้งระบบดูอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับ Windows ME:
หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
- เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
วิธีป้องกันตัวเองจากไวรัส
- ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
- ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
ความคิดเห็น