สร้างเว็บEngine by iGetWeb.com
Cart รายการสินค้า (0)

W32.Bagle.W@mm

ชื่อ : W32.Bagle.W@mm, W32.Bagle.X@mm, W32.Bagle.Y@mm หรือ W32.Bagle.Z@mm
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Bagle.z@MM, W32/Bagle-W, Win32.Bagle.W, WORM_BAGLE.X, I-Worm.Bagle.y, Bagle.Y
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ
: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ
: Linux, Macintosh, Microsoft IIS, OS/2, UNIX

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง


ข้อมูลทั่วไป

W32.Bagle.W@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านโพรโตคอลชื่อ Simple Mail Transfer Protocol (SMTP) ของตัวหนอนเอง โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก

หนอนชนิดนี้ยังสามารถแพร่กระจายตัวผ่านการแชร์ไฟล์ได้เช่นกัน ซึ่งก็ยังคงใช้วิธีเหมือนสายพันธุ์ก่อนหน้านี้คือค้นหาโฟลเดอร์ที่มีชื่อประกอบด้วยคำว่า "Shar" แล้วจึงคัดลอกตัวเองไปยังโฟลเดอร์ดังกล่าว ความสามารถเปิดประตูลับที่พอร์ต 2535/TCP นอกจากนี้หนอนชนิดนี้ยังหยุดการทำงานของโปรแกรมป้องกันไวรัสและไฟร์วอลล์ส่วนบุคคลอีกด้วย

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์ lizie@
annie@
ann@
christina@
secretGurl@
jessie@
christy@
หัวข้ออี-เมล์ Hello!
Hey!
Let's socialize, my friend!
Let's talk, my friend!
I'm bored with this life
Notify from a known person ;-)
I like you
I just need a friend
I'm a sad girl...
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document
Hello <ชื่อ>,
Dear
<ชื่อ>,
Dear
<ชื่อ>, It's me ;-)
Hi
<ชื่อ>,
Hey
<ชื่อ>, It's me ->
Hi<!--
<ชื่อ>-->, It's me
<ชื่อ>,
Hey
<ชื่อ>,
Hey<!--
<ชื่อ>-->,
Hello<!--
<ชื่อ>-->,
Hi<!--
<ชื่อ>-->,
I Like You!
Don't you remember me?
Kewl :-)
I need a friend...
I just want to talk with someone...
I like reading the books and socializing, let me talk with you...
It's time to find a friend!
Ready to accept a new friend? :-)
Like me, odore me! ;-)
ไฟล์ที่แนบมากับอี-เมล์

ไฟล์แนบมีชื่อว่า

Information
Details
Readme
Document
Info
Details
MoreInfo
Message


ตามด้วยนามสกุล

.exe
.com
.scr
.cpl

และก็มีโอกาสที่จะเป็นไฟล์ที่มีนามสกุล .zip ที่ติดรหัสผ่านด้วย

ข้อความในอี-เมล์

ประกอบไปด้วยส่วนต่างๆ ต่อไปนี้

ส่วนที่ 1:
I study at school, I like to spend time cheerfully even if not all so well, I hompe and trust, that all bad when nibud will pass and necessarily nastanet there would be a desire.
I like to feel protected, to understand, that near to me the man, which both in sex, and in life knows what to do. It is possible to fall in love with such the man for ever.
Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love!
I am kind, fair, careful, gentle also want to create family. I love animal (cats, dogs), the literature, theatre, cinema, music, walks in park
I very much love productive leisure, to prepare for new exotic dishes, at leisure to leave with friends on the nature, to float, I like to go for a drive on mountain skiing, to visit excursions, travel. Very easy going.
I have recently got demobilize from army and also I am going to act in a higher educational institution
Searching for the right person,for real man, who will really cares and love me.
I am a honest, kind,loving,with good sense of humor...etc.,looking for true love... or maybe for pen friend.I like cats
I am looking for a serious relationship. I am NOT interested in flirt and short-term love adventure.
I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love.
I like an active life... and interesting people..
i am honest, responsible, romantic person. iwould like to find my only love,to find my destiny.
I'm a young lady of 20 years old i'd like to find my second part!!!
I am simple girl who are looking for serious relation with responsible and confident man. I am ready to give all my love and carering for a right person who is going to love and respect me
I am a beautiful, sexual girl with very big ambitions and dreams. I can make happy anyone man...
I am a student. I'm studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs.
I love productive leisure, to travel, communicate with friends.
I very much love new acquaintances, I love music, meetings with friends. I go on night clubs, except for parties I sometimes visit theatres and I love cinema. In general I only shall be glad to new acquaintance and class dialogue...
I'm so bored, let me talk with you...
You are my prince :-)
You are cool :-)

ส่วนที่ 2
Read the attach.
Your file is attached.
More info is in attach
See attach.
Please, have a look at the attached file.
See the attached file for details.
Message is in attach
Here is the file.
For more information see the attached file.
Attached file will tell you everything.
For details see the attach.
Attached file tells everything.
Further details are in attach.

ส่วนที่ 3
Sincerely, <ชื่อ>
Best wishes, <ชื่อ>
Yours, <ชื่อ>
Have a good day, <ชื่อ>
Cheers, <ชื่อ>
Kind regards, <ชื่อ>
.

ถ้าไฟล์แนบเป็น .zip จะตามด้วยข้อความเหล่านี้ (เลือก 1 ข้อความ)
For security reasons attached file is password protected. The password is [reference to image file]
For security purposes the attached file is password protected. Password -- [reference to image file]
Note: Use password [reference to image file] to open archive.
Attached file is protected with the password for security reasons. Password is [reference to image file]
In order to read the attach you have to use the following password: [reference to image file]
Archive password: [reference to image file]
Password - [reference to image file]
Password: [reference to image file]

 

ตัวอย่างอี-เมล์ของหนอน

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ได้ นอกจากนี้หนอนชนิดนี้ยังสามารถแพร่กระจายผ่านการแชร์ไฟล์อีกด้วย

ผลกระทบที่เกิดขึ้น

  • ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
  • เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะเปิดพอร์ต 2535/TCP
  • หยุดการทำงานโปรแกรมป้องกันไวรัส : ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย อาจถูกหนอนชนิดอื่นแพร่กระจายได้

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Bagle.W@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ Performance
  3. กดปุ่ม File System
  4. เลือกแถบ Troubleshooting
  5. ใส่เครื่องหมายเลือก "Disable System Restore"
  6. กดปุ่ม Apply
  7. กดปุ่ม Close
  8. กดปุ่ม Close อีกที
  9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  10. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ System Restore
  3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
  4. กดปุ่ม Apply
  5. กดปุ่ม Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด

    IE 6.0 Service Pack 1
    Windows 2000 Service Pack 4
    Windows XP Service Pack 2

  6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php รวมถึงติดตั้งแพตซ์หมายเลข MS03-032 และ MS03-040 ด้วย
  8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
  10. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ความคิดเห็น

แสดงความคิดเห็น

* *

 

*

view