Wednesday, July 4, 2007

เตือนภัยไวรัส: WORM_NETSKY.P

ชื่อไวรัส: WORM_NETSKY.P
ประเภทไวรัส: Worm
ระบบปฏิบัติการที่ได้รับผลกระทบ:
ไวรัส ADW_TCENT.CB นั้นจะระบาดบนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 98, ME, 2000, XP, และ Windows Server 2003
รายละเอียด:
ไวรัส WORM_NETSKY.P จัดเป็นประเภท Worm แพร่กระจายผ่านทางอีเมลโดยจะเป็นไฟล์แนบขอลอีเมล โดยจะมี SMTP engine ของตัวเอง ไวรัส WORM_NETSKY.P จะรวบรายชื่อที่อยู่อีเมลจากที่พบภายในเครื่องที่ติดไวรัส จากนั้นก็จะทำการส่งอีเมลไวรัสของตัวมันเองออกไปยังที่อยู่ที่พบภายในเครื่อง โดยที่อีเมลที่ไวรัส WORM_NETSKY.P ส่งออกนั้นจะใช้ชื่อผู้ส่งเป็นชื่อปลอม

การทำงานของไวรัส
ไวรัส WORM_NETSKY.P สามารถแพร่ระบาดเข้าติดในเครื่องคอมพิวเตอร์ ได้ทั้งทางระบบอีเมลและแชร์โฟลเดอร์

เทคนิคการติดตั้งตัวเอง
ไวรัส WORM_NETSKY.P จะทำการติดตั้งตัวเองลงเครื่องคอมพิวเตอร์ตามวิธีการดังนี้

เมื่อผู้ใช้ทำการรันไฟล์ไวรัสของ WORM_NETSKY.P ไวรัสก็จะทำการสร้างสำเนาไฟล์ลงในโฟลเดอร์ Windows ดังนี้
FVPROTECT.EXE
USERCONFIG9X.DLL
และ zip1.tmp , zip2.tmp , zip3.tmp ไฟล์ .ZIP ของเวิร์มซึ่งเป็น เวอร์ชัน UUEncoded
base64.tmp (ไฟล์ของเวิร์มในเวอร์ชัน UUEncoded )
zipped.tmp (ไฟล์สำเนาของเวิร์มในรูปแบบ .ZIP)

เมื่อมีการรันไฟล์ .EXE ของเวิร์ม ก็จะทำการรันไฟล์ USERCONFIG9X.DLL ซึ่งทำหน้าที่แพร่กระจายไวรัสต่อไป เช่น การแพร่ผ่านทางระบบอีเมลและแชร์โฟลเดอร์ นอกจากนี้ไวรัสยังทำการสร้างไฟล์ต่างๆ ลงบนเครื่องอีกด้วย

เทคนิคการทำ Autostart
เวิร์มจะทำการแก้ไขรีจีสทรีเพื่อให้ทำการรันไฟล์ไวรัสเมื่อวินโดวส์สตาร์ท

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Norton Antivirus AV = "%Windows%\FVProtect.exe"


เมื่อ %Windows% คือโฟลเดอร์ Windows ซึ่งโดยทั่วไปจะเป็น "C:\Windows" สำหรับ Windows XP และ Windows Server 2003 หรือ "C:\WinNT" สำหรับ Windows NT หรือ "C:\Windows" สำหรับ Windows 98/ME

การแพร่ผ่านทางระบบอีเมล
ไวรัส WORM_NETSKY.P นั้น จะแพร่กระจายผ่านทางอีเมลโดยใช้ SMTP engine ของตัวเอง โดยอีเมลที่เวิร์มทำการส่งออกนั้นจะมีลักษณะหรือมีข้อสังเกตดังนี้

ไฟล์ที่แนบมากับอีเมลที่ไวรัส WORM_NETSKY.P ส่งมานั้นจะเป็นแบบ double extension โดยประกอบด้วยนาสกุลในชุดที่ 1กับนามสกุลชุดที่ 2
ชุดที่ 1
• txt
• doc


ชุดที่ 2
• pif
• exe
• scr


อาการเมื่อติดไวรัส
อาการเมื่อติดไวรัส WORM_NETSKY.P มีดังนี้
1. มีไฟล์ต่างๆ ดังกล่าวถึงด้านบนในระบบ
2. มีรีจีสทรีคีย์ต่างๆ ดังกล่าวถึงด้านบน
3. เครื่องคอมพิวเตอร์ทำงานช้าลง

วิธีการแก้ไข
วิธีการแก้ไขเมื่อเครื่องคอมพิวเตอร์ติดไวรัส ดังนี้
1. การแก้ไขแบบอัตโนมัติ โดยทำการสแกนด้วย Trend Micro Damage Cleanup Services ซึ่งสามารถดาวน์โหลดเวอร์ชันล่าสุดได้ที่เว็บไซต์http://www.trendmicro.com/download/dcs.asp หรือ Trend Micro Sysclean ซึ่งสามารถดาวน์โหลดเวอร์ชันล่าสุดได้ที่เว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com

2. การแก้ไขแบบแมนนวล
การแก้ไขแบบแมนนวลนั้น ก่อนอื่นให้ทำการเทอร์มิเนตโปรเซสของไวรัสก่อนโดยใช้ Windows Task Manager จากนั้นทำการแก้ไขรีจีสทรี ดังนี้

1. เปิดโปรแกรม Registry Editor โดยคลิก Start คลิก Run พิมพ์ Regedit แล้วคลิก OK
2. ในพาเนลด้านซ้ายมือ ให้ดับเบิลคลิกที่ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3. ในพาเนลด้านขวามือ ให้หาและลบค่า Norton Antivirus AV = "%Windows%\FVProtect.exe" เมื่อ %Windows% คือดีฟอลต์โฟลเดอร์ของวินโดวส์ ทั่วไปจะเป็น C:\Windows หรือ C:\WINNT
4. ปิดโปรแกรม Registry Editor

ลิงค์ที่เกี่ยวข้อง
WORM_NETSKY.P (Trend Micro)

WORM_NETSKY.P WORM NETSKY.P NETSKY

© 2007 Thai Windows Administrator, All Rights Reserved.

Related Posts:

  • 10 อันดับ Virus Computer ที่ระบาดทั่วโลก (ก.ย. 52)10 อันดับ Virus Computer ที่ระบาดทั่วโลกเดือนกันยายน 2552 บทความโดย: Thai Windows Administrator Blog รายงานสรุปรายชื่อไวรัสคอมพิวเตอร์ที่ระบาดทั่วโลก 10 อันดับแรกในระหว่างเดือนกันยายน 2552 ซึ่งรายงานนี้อ้างอิงตามข้อมูลการตรว… Read More
  • Virus Win32/FakeReanระวังไวรัส Win32/FakeReanบทความโดย: Thai Windows Administrator Blogไมโครซอฟท์เตือนผู้ใช้วินโดวส์ให้ระวังไวรัส Win32/FakeRean ซึ่งปลอมตัวเป็นโปรแกรมป้องกันไวรัส โดยมีรายละเอียดดังนี้ชื่อไวรัส: Win32/FakeReanวันที่ออกระบาด: 11 … Read More
  • Virus Alert: Trojan-Win32/Winwebsecระวังโทรจัน Win32/Winwebsecบทความโดย: Thai Windows Administrator Blogชื่อไวรัส: Trojan-Win32/Winwebsecวันที่ออกระบาด: 21 เมษายน 2552ชื่ออื่นๆ:System Security (other)Winweb Security (other)FakeAlert-WinwebSecurity.gen (McAfee)… Read More
  • 10 อันดับ Virus Computer ที่ระบาดทั่วโลก (ส.ค. 52)10 อันดับ Virus Computer ที่ระบาดทั่วโลกเดือนสิงหาคม 2552 บทความโดย: Thai Windows Administrator Blog นำมารายงานให้ทราบเพื่อเป็นข้อมูลอ้างอิงเช่นเคยครับ สำหรับสรุปไวรัสคอมพิวเตอร์ที่ระบาดทั่วโลก 10 อันดับแรกในระหว่างเดือนสิงห… Read More
  • ระวังไวรัสที่มากับ Windows 7 RC เถื่อนที่ดาวน์โหลดจาก P2Pพบโทรจันใน Windows 7 RC เถื่อนที่ดาวน์โหลดจาก P2P บทความโดย: Thai Windows Administrator Blog มีรายงานบนอินเทอร์เน็ตจากบริษัทผู้พัฒนาโปรแกรมด้านซีเคียวริตี้ว่า มีการตรวจพบโทรจันใน Windows 7 RC เวอร์ชันเถื่อน ที่เปิดดาวน์โหลดต… Read More

0 Comment: