ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Bagle.Q@MM, W32/Bagle-Q, WORM_BAGLE.Q, Win32.Bagle.Q, W32.Beagle.O@mm
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Microsoft IIS, OS/2, UNIX
W32.Bagle.Q@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านโพรโตคอลชื่อ Simple Mail Transfer Protocol (SMTP) ของตัวหนอนเอง โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก ซึ่งลักษณะการแพร่กระจายตัวผ่านทางอี-เมล์ของหนอนชนิดนี้แบ่งได้ 2 รูปแบบคือ
- แพร่กระจายตัวผ่านอี-เมล์ โดยการโจมตีผ่านช่องโหว่ของโปรแกรม Internet Explorer (IE) ที่ชื่อ Microsoft Internet Explorer Object Tag Vulnerability ภายใต้ Bulletin MS03-032 และ MS03-040 ซึ่งช่องโหว่ดังกล่าวนี้จะอนุญาตให้อี-เมล์ที่มีลักษณะเป็น HTML ที่หนอนส่งนั้นปล่อยสคริปต์ของ VBS (q.vbs) เพื่อรอทำการดาวน์โหลดไฟล์หนอน (sm.exe) และสามารถเอ็กซิคิวต์ไฟล์ sm.exe ได้อีกด้วย จะเห็นว่าวิธีนี้ไม่จำเป็นต้องมีไฟล์ของหนอนแนบมากับอี-เมล์ ก็สามารถแพร่กระจายสู่เครื่องคอมพิวเตอร์ที่ใช้งานอยู่ได้
- แพร่กระจายตัวผ่านอี-เมล์ โดยใช้ไฟล์แนบที่มีลักษณะเป็นไฟล์ที่มีนามสกุล .exe บรรจุในไฟล์ประเภท .zip .rar หรือ .pif ถ้าไฟล์ที่แนบนั้นมีนามสกุล .zip และ .rar จะมีการป้องกันด้วยรหัสผ่านด้วย ซึ่งการแพร่กระจายในลักษณะนี้ปรากฎตั้งแต่ W32.Bagle.H@mm แล้ว
หนอนชนิดนี้ยังสามารถแพร่กระจายตัวผ่านการแชร์ไฟล์ได้เช่นกัน ซึ่งก็ยังคงใช้วิธีเหมือนสายพันธุ์ก่อนหน้านี้คือค้นหาโฟลเดอร์ที่มีชื่อประกอบด้วยคำว่า "Shar" แล้วจึงคัดลอกตัวเองไปยังโฟลเดอร์ดังกล่าว ความสามารถเปิดประตูลับที่พอร์ต 2556/TCP และเปิดให้บริการเว็บเซิร์ฟเวอร์ผ่านทางพอร์ต 81 เพื่อใช้ในการแพร่กระจายหนอนอีกด้วย นอกจากนี้หนอนชนิดนี้ยังหยุดการทำงานของโปรแกรมป้องกันไวรัสและไฟร์วอลล์ส่วนบุคคลอีกด้วย
การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้
ชื่อผู้ส่งอี-เมล์ management@<recipient domain>
administration@<recipient domain>
staff@<recipient domain>
antivirus@<recipient domain>
antispam@<recipient domain>
noreply@<recipient domain>
support@<recipient domain>หัวข้ออี-เมล์ Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks :)
Re: Yahoo!
Request response
Site changes
Warning about your e-mail accountไฟล์ที่แนบมากับอี-เมล์ นามสกุลของไฟล์แนบอาจเป็น .zip .rar หรือ .pif
Attach
Details
Document
Encrypted
Gift
Info
Information
Message
MoreInfo
Readme
Text
TextDocument
details
first_part
pub_document
text_documentข้อความในอี-เมล์ เลือกเพียง 1 หัวข้อ
Dear user of <domain>,
Dear user of "<domain>" mailing server,
Dear user of "<domain>" mailing domain,
Dear user of <domain> gateway e-mail server gateway,
Dear user of e-mail server "<domain>",
Hello user of <domain> e-mail server,
Dear user of "<domain>" mailing system,
Dear user, the management of <domain> mailing system wants to let you know that,ตามด้วยข้อความเหล่านี้ (เลือก 1 ข้อความ)
Your e-mail account has been temporary disabled because of unauthorized access.
Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.
Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.
Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.ตามด้วยข้อความเหล่านี้ (เลือก 1 ข้อความ)
For more information see the attached file.
Further details can be obtained from attached file.
Advanced details can be found in attached file.
For details see the attach.
For details see the attached file.
For further details see the attach.
Please, read the attach for further details.
Pay attention on attached file.Read the attach.
Your file is attached.
More info in attach
See attach.
Follow the wabbit.
Find the white rabbit.
Please, have a look at the attached file.
See the attached file for details.
Message is in attach
Here is the file.
Read the attach.ตามด้วยข้อความนี้
The <domain> team http:/ /www.<domain>ตามด้วยข้อความเหล่านี้ (เลือก 1 ข้อความ)
The Management,
Sincerely,
Best wishes,
Have a good day,
Cheers,
Kind regards,
Yours,ถ้าไฟล์แนบเป็น .zip หรือ .rar จะตามด้วยข้อความเหล่านี้ (เลือก 1 ข้อความ)
For security reasons attached file is password protected. The password is <image of password>
For security purposes the attached file is password protected. Password -- <image of password>
Note: Use password <image of password> to open archive.
Attached file is protected with the password for security reasons. Password is <image of password>
In order to read the attach you have to use the following password: <image of password>
Archive password: <image of password>
Password - <image of password>
Password: <image of password>
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ได้ 2 วิธี ซึ่งวิธีแรกคือการอาศัยช่องโหว่ของโปรแกรม Internet Explorer (IE) ที่ชื่อ Microsoft Internet Explorer Object Tag Vulnerability หมายเลข MS03-032 และ MS03-040 วิธีที่สองคือการส่งไฟล์ของหนอนแนบมาพร้อมกับอี-เมล์ นอกจากนี้หนอนชนิดนี้ยังสามารถแพร่กระจายผ่านการแชร์ไฟล์อีกด้วย
- ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
- เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
- เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะเปิดพอร์ต 2556/TCP และเปิดบริการเว็บเซิร์ฟเวอร์ที่พอร์ต 81/TCP
- หยุดการทำงานโปรแกรมป้องกันไวรัส : ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย อาจถูกหนอนชนิดอื่นแพร่กระจายได้
เมื่อหนอน W32.Bagle.Q@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
- ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
- ตัดการเชื่อมต่อเครือข่าย
- หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
- จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
- เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
- ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
- ดาวน์โหลดไฟล์ FxBgleMO.exe จาก http://securityresponse.symantec.com/avcenter/FxBgleMO.exe
- ปิดโปรแกรมทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
- ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
- ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)
- จากนั้นทำการรันไฟล์ FxBgleMO.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
- รีสตาร์ทเครื่อง แล้วรัน FxBgleMO.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
- ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
- ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
- สแกนหาไวรัสทั้งระบบดูอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP
หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ System Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
- ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
- ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a - ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php รวมถึงติดตั้งแพตซ์หมายเลข MS03-032 และ MS03-040 ด้วย
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ความคิดเห็น