ชื่อ : W32.Sobig.A@mm
ค้นพบเมื่อ : 9 มกราคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : I-Worm.Sobig, W32/Sobig, W32/Sobig-A,Win32.Sobig , WORM_SOBIG.A
ระดับความรุนแรง : ปานกลาง
ลักษณะทั่วไป
W32.Sobig.A@mm สามารถกระจายตัวเองผ่านทางอี-เมล์ ซึ่งจะส่งไปยังอี-เมล์แอดเดรสที่ค้นหาได้จากไฟล์ที่มีนามสกุล .txt .eml .html .htm .dbx และ .wab ภายในเครื่อง อี-เมล์ที่หนอนชนิดนี้ส่งมีลักษณะดังนี้
- Subject. หัวเรื่องดังต่อไปนี้
- Re: Movies
- Re: Sample
- Re: Document
- Re: Here is that sample
- Attachment. ไฟล์ที่แนบมาดังต่อไปนี้
- Movie_0074.mpeg.pif
- Document003.pif
- Untitled1.pif
- Sample.pif
- From. big@boss.com
ก่อนที่หนอนจะส่งอี-เมล์ไปยังรายชื่อผู้รับที่ค้นหาได้ข้างต้น หนอนจะทำการส่งข้อความไปหาผู้รับที่อยู่ในโฮสต์ pagers.icq.com ด้วย
หนอนพยายามที่จะคัดลอกตัวเองไปยังโฟลเดอร์ต่อไปนี้ของเครื่องที่เปิดแชร์
\Windows\All Users\Start Menu\Programs\StartUp\ \Documents and Settings\All Users\Start Menu\Programs\Startup\
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Sobig.A@mm เริ่มทำงาน
-
หนอนจะคัดลอกไฟล์ Winmgm32.exe ไปเก็บไว้ยัง %Windir%\
หมายเหตุ %Windir% เป็นตัวแปรแทนโฟลเดอร์ของระบบปฏิบัติการวินโดวส์ซึ่งมีค่าเป็น C:\Windows หรือ C:\Winnt
- สร้างโพรเซส %Windir%\Winmgm32.exe ซึ่งโพรเซสดังกล่าวจะทำดังต่อไปนี้
- สร้าง Mutex ด้วยชื่อ Worm.X
- สร้าง thread ที่จะส่งข้อความไปยังผู้รับที่มีชื่ออยู่ใน pagers.icq.com
- สร้าง thread ที่จะดาวน์โหลดเนื้อหาจากเว็บไซต์บางประเภท
- สร้าง thread ที่จะค้นหาเครื่องที่ทำการเปิดแชร์ในเครือข่าย และคัดลอกหนอนไปยังโฟล์เดอร์ต่อไปนี้ที่อยู่บนเครื่องที่เปิดแชร์
- \Windows\All Users\Start Menu\Programs\StartUp\
- \Documents and Settings\All Users\Start Menu\Programs\Startup\
- \Windows\All Users\Start Menu\Programs\StartUp\
- สร้าง thread ที่จะส่งอี-เมล์ไปยังรายชื่อที่ค้นพบในไฟล์ที่มีนามสกุลต่อไปนี้
- .txt
- .eml
- .html
- .htm
- .dbx
- .wab
- ปรับแต่งตัวเองให้เริ่มต้นทำงานเมื่อมีการเริ่มต้นใช้งานวินโดวส์ โดยเพิ่มค่า
WindowsMGM %Windir%\Winmgm32.exe
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
รายละเอียดของส่วนที่ทำการส่งอี-เมล์
หนอนจะทำการส่งอี-เมล์ที่มีค่าต่อไปนี้
- Subject. หัวเรื่องดังต่อไปนี้
- Re: Movies
- Re: Sample
- Re: Document
- Re: Here is that sample
- Attachment. ไฟล์ที่แนบมาดังต่อไปนี้
- Movie_0074.mpeg.pif
- Document003.pif
- Untitled1.pif
- Sample.pif
- From. big@boss.com
คำแนะนำในการกำจัดหนอนชนิดนี้ :
- ทำการปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ท่านใช้
- สแกนหาไวรัสทั้งระบบและลบทุกไฟล์ที่ติดหนอนชนิดนี้
วิธีป้องกันตัวเองจากไวรัส
- ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
- ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
ความคิดเห็น