ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : Win32.Bagle.AQ, Win32.Bagle.AP, Bagle.AT, WORM_BAGLE.AT, Bagle.BC, W32/Bagle.bb@mm, Worm/Bagle.AQ
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Microsoft IIS, OS/2, UNIX
W32.Bagle.AZ@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านโพรโตคอลชื่อ Simple Mail Transfer Protocol (SMTP) ของตัวหนอนเอง โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก
หนอนชนิดนี้ยังสามารถแพร่กระจายตัวผ่านการแชร์ไฟล์แบบ P2P ได้เช่นกัน ซึ่งก็ยังคงใช้วิธีเหมือนสายพันธุ์ก่อนหน้านี้คือค้นหาโฟลเดอร์ที่มีชื่อประกอบด้วยคำว่า "Shared" แล้วจึงคัดลอกตัวเองไปยังโฟลเดอร์ดังกล่าวนอกจากนี้หนอนชนิดนี้ยังหยุดการทำงานของโปรแกรมป้องกันไวรัสและไฟร์วอลล์ส่วนบุคคลอีกด้วย
การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้
ชื่อผู้ส่งอี-เมล์ ปลอมแปลงชื่อผู้ส่ง หัวข้ออี-เมล์ Re Hello
Re Hi
Re Thank you!
Re Thanks :)ไฟล์ที่แนบมากับอี-เมล์ PRICE.CPL
PRICE.EXE
PRICE.SCR
PRICE.COM
JOKE.CPL
JOKE.COM
JOKE.EXEข้อความในอี-เมล์ A smiley of these variants:
:))
:)ตัวอย่างอี-เมล์ของหนอน
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ได้ นอกจากนี้หนอนชนิดนี้ยังสามารถแพร่กระจายผ่านการแชร์ไฟล์อีกด้วย
- ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
- เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
- เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะทำการติดต่อไปยังเว็บไซต์ต่างๆ
- หยุดการทำงานโปรแกรมป้องกันไวรัส : ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย อาจถูกหนอนชนิดอื่นแพร่กระจายได้
เมื่อหนอน W32.Bagle.AZ@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
- ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
- ตัดการเชื่อมต่อเครือข่าย
- หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
- จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
- เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
- ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ System Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
- ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 2 - ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ความคิดเห็น