Text Size
Wednesday, September 08, 2010
Our Service
News latest ไวรัส MSN ระบาด อย่ารับไฟล์ หรือ ลิงค์ มั่วน่ะครับ

ไวรัส MSN ระบาด อย่ารับไฟล์ หรือ ลิงค์ มั่วน่ะครับ

ตัวอย่าง ลิงค์จากเพื่อนที่ติดไวรัส



จะมีคำนำหน้าว่า foto ตามด้วย http://kurci.info/image.php?= ตามด้วยชื่อเมลล์เพื่อนเราที่ติดไวรัสครับ
ห้ามรับเด็ดขาด ตามรูปด้านบนน่ะครับ

อีกตัวอย่างน่ะครับ




มันเอาอีกแล้วครับพี่น้อง

ที่ วงๆ ไว้นั้นล่ะครับ   mail ที่ติด แล้วตามด้วยข้อความ

ด้านหลังนั้นล่ะครับ ห้ามคลิ๊กเด็ดขาด....


ข้อมูลเพิ่มเติ่มได้ที่ ::
http://www.thaicert.org/advisory/alert/msnworm.php

ชื่อ : W32.IRCBot.AJY และ W32.CeeInject
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : Troj/DwnLdr-HLF [Sophos], Win32/IRCBot .AJY[Nod32], Win32/CeeInject.gen!J [Microsoft]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3


ข้อมูลทั่วไป

W32.IRCBot.AJY หรือ W32.CeeInject เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger และ Windows Live Messenger ด้วยการส่งลิงค์ให้ดาวน์โหลดโดยลักษณะลิงค์เป็นดังนี้

http://.info/viewimage.php?=

ข้อมูลเบื้องต้นของไฟล์หนอนมีดังนี้

ขนาดของไฟล์ : 102912 bytes
MD5 : cfb4f48afbf0613c3a9dfc9e1d8ca1a8
SHA1..: 8748c565b03dfc4f262bd121a5a5747bb4c58f9e
SHA256: 898c2b555956da53611a39ebf8b902387cf92539535f99013abecaedb6f959a1
SHA512: 205d747fa2e2f0446bbad9d0b9f08364b44c285a378074e55d33e60a9f5d26dc ca50415539e3b1807fb10c4a65fc405f6f9850bdf0762eac4f8a246fcdbe8764
ssdeep: 1536:e5neEhlcTW5sk1jtf2XvWINndIcN6JcNs5gJbY1mlR/V3q4xbpCZI00:Enj 9jtfU+INndIc0JcK5AY1eV6TI00

ตัวอย่างการแพร่กระจายของหนอนชนิดนี้

หากคลิกลิงค์จะเป็นการดาวน์โหลดดังรูป

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger และ Windows Live Messenger

ผลกระทบที่เกิดขึ้น

  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
  • เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งลิงค์ให้ดาวน์โหลดไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger และ Windows Live Messenger รวมทั้งสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ที่ให้บริการ IRC อีกด้วย
  • เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 1033/TCP และ 1034/TCP

รายละเอียดทางเทคนิค

เมื่อหนอน W32.IRCBot.AJY ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1.
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ห้ามรับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
  2. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  3. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
  4. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
  5. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
  6. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  7. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่อง




 ข้อมูลทั่วไป

W32.MSN.Worm หรือ IM-Worm.Win32.Agent.f เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ด้วย

หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security Center" และ "winvnc4"

ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip

  • LOL, you look so ugly in this picture, no joke...
  • Should I put this on facebook/myspace?
  • Hey m8, who is this on the right, in this picture...
  • Sup, seen the pictures from the other night?

ส่วน W32.MSN2.Worm นั้นมีกระบวนการที่คล้ายกับเวอร์ชั่นก่อน เพียงแต่อาศัยไฟล์ที่ชื่อ pic.zip ในการแพร่กระจายผ่าน MSN และสร้างไฟล์ชื่อ %windir%msnmsg.exe

ดังตัวอย่าง

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger

ผลกระทบที่เกิดขึ้น

  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
  • เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger

รายละเอียดทางเทคนิค

เมื่อหนอน W32.MSN.Worm และ W32.MSN2.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp

      3. หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1.
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ห้าม รับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดัง กล่าวนั้นเป็นไฟล์อะไร
  2. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  3. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
  4. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
  5. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
  6. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  7. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
  8. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

iDesignMagazine on Facebook
Bottom Tab Content

Six Preset Styles

An array of 6 stunning, unique, and professionally designed style variations, in 18 combinations of Low, Medium & High levels.

Read More

Custom Typography

An assortment of custom, integrated typography to allow for diversity in your content, perfect textual enhancements.

Read More

CSS Menu

Equipped with styling for a CSS based dropdown menu, simply assign a Joomla menu module to a header position.

Read More