ชื่อ : W32.Netsky.B@mm ,W32.Netsky.C@mm และ W32.Netsky.D@mm
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Netsky.b@MM, W32/Netsky.B.worm, WORM_NETSKY.B, Moodown.B, I-Worm.Moodown.b
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Microsoft IIS, OS/2, UNIX

---

เปรียบเทียบลักษณะเด่นของหนอนตระกูล Netsky

W32.Netsky.B@mm หนอนชนิดนี้มีลักษณะเด่นคือ เมื่อรันไฟล์หนอนครั้งแรกจะปรากฎไดอะล็อกบ็อกซ์ว่า "The file could not be opened!" W32.Netsky.C@mm หนอนชนิดนี้ไม่มีลักษณะพิเศษที่สามารถสังเกตได้ง่าย แต่หนอนชนิดนี้มีความสามารถในการแพร่กระจายมาก ทั้งผ่านทางอี-เมล์และการแชร์ไฟล์ W32.Netsky.D@mm หนอนชนิดนี้มีลักษณะเด่นคือ เมื่อเปิดเครื่องขึ้นมาจะมีเสียงบี๊บ (ตัวอย่างของเสียงสามารถดาวน์โหลดได้จากที่นี่) หมายเหตุ วิธีการกำจัดหนอนเหล่านี้สามารถใช้วิธีเดียวกันได้

---

หมายเหตุ W32.Netsky.C@mm มีลักษณะการทำงานเหมือนกับ W32.Netsky.B@mm แต่แตกต่างกันชื่อไฟล์และรีจิสทรีที่หนอนชนิดนี้ติด ซึ่งจะเปรียบเทียบได้ดังในตารางข้างล่าง และจะเห็นได้ว่าหนอน W32.Netsky.C@mm นั้นมีความหลากหลายในการแพร่กระจายมากกว่า W32.Netsky.B@mm ส่วนวิธีการแก้ไขนั้นสามารถใช้วิธีเดียวกันได้

สรุปความแตกต่างของหนอนทั้งสองชนิด

1. ลักษณะการแพร่กระจายนั้น หัวข้ออี-เมล์ ไฟล์แนบ รวมทั้งเนื้อหาในอี-เมล์นั้น มีหลากหลายรูปแบบมาก ทำให้มีโอกาสสร้างความสับสนให้กับผู้ใช้งานได้มาก
2. การแพร่กระจายผ่านการแชร์ไฟล์ต่างๆ ทั้งผ่านโปรแกรม P2P ต่างๆ และใช้วินโดว์สเองนั้นก็เช่นกัน และชื่อไฟล์ที่หนอน W32.Netsky.C@mm ใช้ในการแพร่กระจายนั้นก็มีความหลากหลายกว่าและดูน่าสนใจ ดึงดูดให้ดาวน์โหลดอย่างยิ่ง
3. การค้นหาไดร์ฟที่จะไปฝังตัวนั้น ก็ยังใช้วิธีค้นหาตั้งแต่ C ถึง Z เหมือนเดิมและเหมือนกัน แต่ที่แตกต่างกันคือหนอน W32.Netsky.C@mm จะค้นหาโฟล์เดอร์ที่ประกอบด้วยคำว่า "Shar" ซึ่งแน่นอนว่าโอกาสจะเจอไดร์ฟหรือโฟลเดอร์ที่เปิดแชร์มีสูงมากขึ้นกว่า W32.Netsky.B@mm ที่ใช้การค้นหาว่า "Share" หรือ "Sharing"
4. หนอนทั้งสองชนิดจะพยายามลบหรือแก้ไขรีจิสทรีหรือไฟล์ที่ถูกสร้างหรือแก้ไขโดยหนอนชนิดอื่นๆ เช่น W32.Mydoom.A@mm W32.Mydoom.B@mm และ W32.Mimail.T@mm
5. หนอน W32.Netsky.C@mm ไม่แสดงไดอะล็อกบ็อกซ์เหมือน W32.Netsky.B@mm
6. ไฟล์และรีจิสทรีที่หนอนทั้งสองชนิดนี้ไปทำการแก้ไขนั้นก็แตกต่างกัน

ลักษณะ	W32.Netsky.B@mm	W32.Netsky.C@mm	W32.Netsky.D@mm
ไฟล์ของหนอน	%Windows%\services.exe	%Windows%\winlogon.exe	%Windows%\winlogon.exe
ค่ารีจิสทรีที่แก้ไข	"service" = "%Windir%\services.exe -serv"	"ICQ Net" = "%Windir%\winlogon.exe -stealth"	"ICQ Net" = "%Windir%\winlogon.exe -stealth"
ชื่อผู้ส่งอี-เมล์	หนอนจะปลอมแปลงชื่อผู้ส่ง	หนอนจะปลอมแปลงชื่อผู้ส่ง	หนอนจะปลอมแปลงชื่อผู้ส่ง
หัวข้ออี-เมล์	hi hello read it immediately something for you warning information stolen fake unknown	Delivery Failed Status report question trust me hey Re: excuse me read it immediatelly hi Re: does it? Yep important hello dear Re: unknown fake? warning moin what's up? info Re: information Here is it stolen private? good morning illegal... error take it re: Re: Re: Re: Re: you? something for you exception Re: hey excuse me Re: hi Re: does it? Re: important Re: hello believe me Question denied! notification Re: <5664ddff?$???2> lol last chance! I'm back! its me notice!	Re: Your website Re: Your product Re: Your letter Re: Your archive Re: Your text Re: Your bill Re: Your details Re: My details Re: Word file Re: Excel file Re: Details Re: Approved Re: Your software Re: Your music Re: Here Re: Re: Re: Your document Re: Hello Re: Hi Re: Re: Message Re: Your picture Re: Here is the document Re: Your document Re: Thanks! Re: Re: Thanks! Re: Re: Document Re: Document
ไฟล์ที่แนบมากับอี-เมล์	ชื่อไฟล์มีดังนี้ document msg doc talk message creditcard details attachment me stuff posting textfile concert information note bill swimmingpool product topseller ps shower aboutyou nomoney found story mails website friend jokes location final release dinner ranking object mail2 part2 disco party misc นามสกุลของไฟล์แนบได้แก่ .exe .scr .com .pif	document associal msg yours doc wife talk message response creditcard description details attachment pic me trash card stuff poster posting portmoney textfile moonlight concert sexy information news note number_phone bill mydate swimmingpool class_photos product old_photos topseller ps important shower myaunt aboutyou yours nomoney birth found death story worker mails letter more website regards regid friend unfolds jokes doc_ang your_stuff location 454543403 final schock release webcam dinner intimate stuff sexual ranking object secrets mail2 attach2 part2 msg2 disco freaky visa party material misc nothing transfer auction warez undefinied violence update masturbation injection naked1 naked2 tear music paypal id privacy word_doc image incest นามสกุลของไฟล์แนบได้แก่ .txt .rtf .doc .htm นามสกุลที่สองต่อจากนามสกุลแรกได้แก่ .exe .scr .com .pif	your_website.pif your_product.pif your_letter.pif your_archive.pif your_text.pif your_bill.pif your_details.pif document_word.pif document_excel.pif my_details.pif all_document.pif application.pif mp3music.pif yours.pif document_4351.pif your_file.pif message_details.pif your_picture.pif document_full.pif message_part2.pif document.pif your_document.pif
ข้อความในอี-เมล์	anything ok? what does it mean? ok i'm waiting read the details. here is the document. read it immediately! my hero here is that true? is that your name? is that your account? i wait for a reply! is that from you? you are a bad writer I have your password! something about you! kill the writer of this document! i hope it is not true! your name is wrong i found this document about you yes, really? that is bad here it is see you greetings stuff about you? something is going wrong! information about you about me from the chatter here, the serials here, the introduction here, the cheats that's funny do you? reply take it easy why? thats wrong misc you earn money you feel the same you try to steal you are bad something is going wrong something is fool	<Deliver Error> <Message Error> <Server Error> what means that? help attached <...> ok... <Attachment from Poland> that is interesting... i wait for your comment about it. such as yours? read the details. gonna? here is the document. *lol* read it immediately! i found that about you! your hero in the picture? yours? here is it. illegal st. of you? is that true? account? is that your name? picture? message? is that your account? pwd? I wait for an answer! abuse? is that yours? you are a bad writer I don't know your document! <Mail failed> I have your password! you won the rk! something about you! classroom test of you? kill the writer of this document! old photos about you? i hope thats not true! your name is wrong! does it match? i found this document about you. time to fear? really? do you know this???? i know your document! did you sent it to me? this file is bad! why should I? pages? her. another pic, have fun! ... :-> test it child porn? greetings xxx ? stuff about you? your document is not good something is going wrong! your photo is poor information about you? the information is wrong! doc about me? kill him on the picture! from the chatter (my photo!) from your lover ;-) love letter? here, the serials are you a teacherin the picture? here, the introduction is that criminal? here, the cheats i like your doc! what do you think about it? that's a funny text. that's not the truth? do you have? instruct me about this! i lost that i am speachless about your document! is that the reality? reply msg your design is not good! important? your TAN number? take it easy! why? you are naked in this document! thats wrong! your icq number? i am desperate modifications? your personal record? yes. misc. and so on. see you! your attachment? verify it. you earn money, see the attachment! is that your attachment? is that your website? you feel the same. meaning of that? possible? you have tried to steal! did you ask me for that? you are bad your job? (I found that!) is that possible? something is going ... something is not ok did you know from this document? wrong calculation! (see the attachment!... never! poor quality! good work! excellent! great! i don't think so. pretty pic about you? docs? schoolfriend? <Warning from the Government> <09580985869gj> <?} i want more... here is the next one! attachi# did you see her already? is that your wife? is that your creditcard? is that your photo? do you think so? do you have the bug also? already? forgotten? drugs? ... does it matter? i have received this. best? the truth? your body? your eyes? your face? File is self-decryting. File is damaged. File is bad. i saw you last week! xxx service your account is expired! you cannot hide yourself! (see photo) copyright? what still? who? how? <bad gateway> only encrypted! personal message! my advice.... i've found it about you <<<Failure>>> <Attached Msg> <scanned by norton antivirus> great xxx! man or women? child or adult? here is yours! a crazy doc about you xxx about you? i don't want your xxx pics! <Failed message available> <Automailer> doc? trial? what? ;-) i need you! correct it! see this! it's a secret! this is nothing for kids! it's so similar as yours! is that your car? do not give up! great job! here is the $%%454$ you are sexy in this doc! incest? let it! you look like an ape! you look like an rat? be mad? are you cranky? bob the builder did you know that? money? is that your car? is this information about you? is that your privacy? is that your TAN? is that your message? is that your cd? is that your finger? your are naked? is that your porn pic? is that your work? is that your family? is that your beast? is that your account? is that your slip? is that your domain? are you the naked one? are you the naked person! are you the one? does it belong to you? do you have sex in the picture? you have a sexy body in the pic! your lie is going around the world! <Transfer complete> <Antispam complete> lets talk about it! do you know the thief? are you a photographer? you have done a mistake in the document... its private from me do not show this anyone! new patch is available! this is an attachment message! in your mind? Microsoft fast food... Your bill. try this patch! do you have an orgasm in the picture? <Click the attachment to decrypt> <Attachment Signature 34933920> Transaction failed. Show the doc! I 've found your bill! see your name! You are infected. Read the details! here is my advice. here is my photo! here is the <censored> feel free to use it. does it belong to you? Login required! Read the attachment! your document is silly! is the pic a fake? Antispam is turned off. See file! Authentification required. Read the att... solve the problem! <null> do not use my document! do not open the attachment! do not visit the pages on the list I se... explain! tell me more about your document! Your provider will be disabled! Instant patches.	Your file is attached. Please read the attached file. Please have a look at the attached file. See the attached file for details. Here is the file. Your document is attached.
ไฟล์ที่ใช้ในการแพร่กระจาย ตัวหนอนเองผ่านการแชร์ไฟล์	doom2.doc.pif sex sex sex sex.doc.exe rfc compilation.doc.exe dictionary.doc.exe win longhorn.doc.exe e.book.doc.exe programming basics.doc.exe how to hack.doc.exe max payne 2.crack.exe e-book.archive.doc.exe virii.scr nero.7.exe eminem - lick my pussy.mp3.pif cool screensaver.scr serial.txt.exe office_crack.exe hardcore porn.jpg.exe angels.pif porno.scr matrix.scr photoshop 9 crack.exe strippoker.exe dolly_buster.jpg.pif winxp_crack.exe	Microsoft WinXP Crack.exe Teen Porn 16.jpg.pif Adobe Premiere 9.exe Adobe Photoshop 9 full.exe Best Matrix Screensaver.scr Porno Screensaver.scr Dark Angels.pif XXX hardcore pic.jpg.exe Microsoft Office 2003 Crack.exe Serials.txt.exe Screensaver.scr Full album.mp3.pif Ahead Nero 7.exe Virii Sourcecode.scr E-Book Archive.rtf.exe Doom 3 Beta.exe How to hack.doc.exe Learn Programming.doc.exe WinXP eBook.doc.exe Win Longhorn Beta.exe Dictionary English - France.doc.exe RFC Basics Full Edition.doc.exe 1000 Sex and more.rtf.exe 3D Studio Max 3dsmax.exe Keygen 4 all appz.exe Windows Sourcecode.doc.exe Norton Antivirus 2004.exe Gimp 1.5 Full with Key.exe Partitionsmagic 9.0.exe Star Office 8.exe Magix Video Deluxe 4.exe Clone DVD 5.exe MS Service Pack 5.exe ACDSee 9.exe Visual Studio Net Crack.exe Cracks & Warez Archive.exe WinAmp 12 full.exe DivX 7.0 final.exe Opera.exe IE58.1 full setup.exe Smashing the stack.rtf.exe Ulead Keygen.exe Lightwave SE Update.exe The Sims 3 crack.exe	-

ข้อมูลทั่วไป

W32.Netsky.B@mm สามารถแพร่กระจายผ่านทางอี-เมล์ด้วยคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และอี-เมล์แอดเดรสที่ส่งไปนั้นหนอนจะสแกนหาในไฟล์ต่างๆ นอกจากนี้หนอนชนิดนี้ยังมีความสามารถในการแพร่กระจายตัวผ่านทางการแชร์ไฟล์ โดยหนอนจะทำการค้นหาตั้งแต่ไดร์ฟ C: จนกระทั่งไดร์ฟ Z: ถ้าพบโฟลเดอร์ใดก็ตามที่มีชื่อประกอบด้วยคำว่า "Share" หรือ "Sharing" หนอนก็จะคัดลอกตัวหนอนเองไปยังโฟลเดอร์นั้นๆ

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์จะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์	หนอนจะปลอมแปลงชื่อผู้ส่ง
หัวข้ออี-เมล์	hi hello read it immediately something for you warning information stolen fake unknown
ไฟล์ที่แนบมากับอี-เมล์	ชื่อไฟล์มีดังนี้ document msg doc talk message creditcard details attachment me stuff posting textfile concert information note bill swimmingpool product topseller ps shower aboutyou nomoney found story mails website friend jokes location final release dinner ranking object mail2 part2 disco party misc นามสกุลของไฟล์แนบได้แก่ .exe .scr .com .pif
ข้อความในอี-เมล์	anything ok? what does it mean? ok i'm waiting read the details. here is the document. read it immediately! my hero here is that true? is that your name? is that your account? i wait for a reply! is that from you? you are a bad writer I have your password! something about you! kill the writer of this document! i hope it is not true! your name is wrong i found this document about you yes, really? that is bad here it is see you greetings stuff about you? something is going wrong! information about you about me from the chatter here, the serials here, the introduction here, the cheats that's funny do you? reply take it easy why? thats wrong misc you earn money you feel the same you try to steal you are bad something is going wrong something is fool

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี SMTP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง โดยอี-เมล์ที่หนอนทำการส่งนั้นจะปลอมแปลงชื่อผู้ส่งเพื่อหลอกล่อให้ผู้รับรันไฟล์ที่แนบมาได้

นอกจากนี้หนอนชนิดนี้ยังมีความสามารถในการแพร่กระจายผ่านการแชร์ไฟล์ โดยจะแพร่กระจายผ่านโฟลเดอร์ที่มีชื่อประกอบด้วยคำว่า "Share" หรือ "Sharing" ซึ่งส่วนใหญ่จะเป็นโฟลเดอร์ที่ใช้ในการแชร์ไฟล์ของโปรแกรมประเภท P2P (เช่น C:\Program Files\My Shared Folder\Kazaa)

ผลกระทบที่เกิดขึ้น

• ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
• เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
• มีความคับคั่งของข้อมูลในปริมาณมาก : หนอนจะทำการแพร่กระจายตัวหนอนเองผ่านการแชร์ไฟล์

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Netsky.B@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

     หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
     
     
• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
  1. ดาวน์โหลดไฟล์ FxNesky.exe จาก http://securityresponse.symantec.com/avcenter/FxNetsky.exe
  2. ปิดโปรแกรมทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
     
  3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
     
  4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)
     
  5. จากนั้นทำการรันไฟล์ FxNesky.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
     
  6. รีสตาร์ทเครื่อง แล้วรัน FxNesky.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
     
  7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
     
  8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
     
  9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
10. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4. กดปุ่ม Apply
5. กดปุ่ม Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
   หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
   
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
   
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
   
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด

   IE 6.0 Service Pack 1
   Windows 2000 Service Pack 4
   Windows XP Service Pack 1a

6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
10. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์