สร้างเว็บEngine by iGetWeb.com
Cart รายการสินค้า (0)

W32.Swen.A@mm

ชื่อ : W32.Swen.A@mm
ค้นพบเมื่อ : 19 กันยายน 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Swen.A@MM, W32/Gibe-F, Worm Swen.A, Swen
ระดับความรุนแรง : ปานกลาง
ข้อมูลทั่วไป

W32.Swen.A@mm สามารถแพร่กระจายผ่านทางอี-เมล์ด้วยคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลที่ใช้ในการส่งอี-เมล์ชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และแพร่กระจายผ่าน newsgroup (NNTP) รวมทั้งยังสามารถแพร่กระจายผ่านการแชร์ไฟล์ เช่นโปรแกรม KaZaA และ IRC เป็นต้น นอกจากนี้ยังพยายามหยุดการทำงานของโปรแกรมป้องกันไวรัสและโปรแกรมไฟร์วอลล์ส่วนบุคคล (Personal Firewall)

นอกจากนี้ หนอนชนิดนี้แพร่กระจายมากับไฟล์แนบมากับอี-เมล์ที่มีลักษณะว่าเป็นการให้อัพเดต patch โปรแกรม Internet Explorer ของบริษัทไมโครซอฟต์ หรือแจ้งการส่งอี-เมล์ที่ผิดพลาด เป็นต้น

หมายเหตุ ก่อนหน้านี้หนอนชนิดนี้ถูกตรวจพบเป็นหนอนชื่อ Worm.Automat.AHB

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์

ชื่อที่หนอนปลอมในการส่ง

MS
Microsoft
Corporation
Program
Internet
Network
Security
Division
Section
Department
Center
Technical
Public
Customer
Bulletin
Services
Assistance
Support

ชื่อของโดเมนย่อยที่ใช้ (Sub Domain)

news
bulletin
confidence
advisor
updates
technet
support
newsletters

ชื่อโดเมนหลัก (Domain)

ms
msn
msdn
microsoft

และตามด้วย

.com
.net

 

หัวข้ออี-เมล์ Current
Newest
Last
New
Latest
Net
Network
Microsoft
Internet
Critical
Security
Patch
Update
Pack
Upgrade
ไฟล์ที่แนบมากับอี-เมล์

upgrade<xxx>.exe
update
<xxx>.exe
patch<
xxx>.exe
q
<xxx>.exe
install
<xxx>.exe
installer
<xxx>.exe
installation<
xxx>.exe

หมายเหตุ <xxx> เป็นเลขที่หนอนสุ่มขึ้นมา

ข้อความในอี-เมล์ Hi.
This is the qmail program
Message from
I'm sorry
I'm sorry to have to inform you that
I'm afraid
I wasn't able to deliver your message
the message returned below could not be delivered
to the following addresses:
to one or more destinations.
Undeliverable
Undelivered
message
mail
Message follows:

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี STMP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง และยังสามารถแพร่กระจายผ่านการแชร์ไฟล์ด้วย ตัวอย่างของเนื้อหาในอี-เมล์ที่ได้รับนั้น เหมือนกับว่าไมโครซอฟต์เป็นผู้ส่งมาให้

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Swen.A@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

    IE 6.0 Service Pack 1
    Windows 2000 Service Pack 4
    Windows XP Service Pack 1a

  6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
  8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
  10. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ความคิดเห็น

แสดงความคิดเห็น

* *

 

*