ชื่อไวรัส: WORM_NETSKY.P
ประเภทไวรัส: Worm
ระบบปฏิบัติการที่ได้รับผลกระทบ:
ไวรัส ADW_TCENT.CB นั้นจะระบาดบนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 98, ME, 2000, XP, และ Windows Server 2003
รายละเอียด:
ไวรัส WORM_NETSKY.P จัดเป็นประเภท Worm แพร่กระจายผ่านทางอีเมลโดยจะเป็นไฟล์แนบขอลอีเมล โดยจะมี SMTP engine ของตัวเอง ไวรัส WORM_NETSKY.P จะรวบรายชื่อที่อยู่อีเมลจากที่พบภายในเครื่องที่ติดไวรัส จากนั้นก็จะทำการส่งอีเมลไวรัสของตัวมันเองออกไปยังที่อยู่ที่พบภายในเครื่อง โดยที่อีเมลที่ไวรัส WORM_NETSKY.P ส่งออกนั้นจะใช้ชื่อผู้ส่งเป็นชื่อปลอม
การทำงานของไวรัส
ไวรัส WORM_NETSKY.P สามารถแพร่ระบาดเข้าติดในเครื่องคอมพิวเตอร์ ได้ทั้งทางระบบอีเมลและแชร์โฟลเดอร์
เทคนิคการติดตั้งตัวเอง
ไวรัส WORM_NETSKY.P จะทำการติดตั้งตัวเองลงเครื่องคอมพิวเตอร์ตามวิธีการดังนี้
เมื่อผู้ใช้ทำการรันไฟล์ไวรัสของ WORM_NETSKY.P ไวรัสก็จะทำการสร้างสำเนาไฟล์ลงในโฟลเดอร์ Windows ดังนี้
FVPROTECT.EXE
USERCONFIG9X.DLL
และ zip1.tmp , zip2.tmp , zip3.tmp ไฟล์ .ZIP ของเวิร์มซึ่งเป็น เวอร์ชัน UUEncoded
base64.tmp (ไฟล์ของเวิร์มในเวอร์ชัน UUEncoded )
zipped.tmp (ไฟล์สำเนาของเวิร์มในรูปแบบ .ZIP)
เมื่อมีการรันไฟล์ .EXE ของเวิร์ม ก็จะทำการรันไฟล์ USERCONFIG9X.DLL ซึ่งทำหน้าที่แพร่กระจายไวรัสต่อไป เช่น การแพร่ผ่านทางระบบอีเมลและแชร์โฟลเดอร์ นอกจากนี้ไวรัสยังทำการสร้างไฟล์ต่างๆ ลงบนเครื่องอีกด้วย
เทคนิคการทำ Autostart
เวิร์มจะทำการแก้ไขรีจีสทรีเพื่อให้ทำการรันไฟล์ไวรัสเมื่อวินโดวส์สตาร์ท
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Norton Antivirus AV = "%Windows%\FVProtect.exe"
เมื่อ %Windows% คือโฟลเดอร์ Windows ซึ่งโดยทั่วไปจะเป็น "C:\Windows" สำหรับ Windows XP และ Windows Server 2003 หรือ "C:\WinNT" สำหรับ Windows NT หรือ "C:\Windows" สำหรับ Windows 98/ME
การแพร่ผ่านทางระบบอีเมล
ไวรัส WORM_NETSKY.P นั้น จะแพร่กระจายผ่านทางอีเมลโดยใช้ SMTP engine ของตัวเอง โดยอีเมลที่เวิร์มทำการส่งออกนั้นจะมีลักษณะหรือมีข้อสังเกตดังนี้
ไฟล์ที่แนบมากับอีเมลที่ไวรัส WORM_NETSKY.P ส่งมานั้นจะเป็นแบบ double extension โดยประกอบด้วยนาสกุลในชุดที่ 1กับนามสกุลชุดที่ 2
ชุดที่ 1
• txt
• doc
ชุดที่ 2
• pif
• exe
• scr
อาการเมื่อติดไวรัส
อาการเมื่อติดไวรัส WORM_NETSKY.P มีดังนี้
1. มีไฟล์ต่างๆ ดังกล่าวถึงด้านบนในระบบ
2. มีรีจีสทรีคีย์ต่างๆ ดังกล่าวถึงด้านบน
3. เครื่องคอมพิวเตอร์ทำงานช้าลง
วิธีการแก้ไข
วิธีการแก้ไขเมื่อเครื่องคอมพิวเตอร์ติดไวรัส ดังนี้
1. การแก้ไขแบบอัตโนมัติ โดยทำการสแกนด้วย Trend Micro Damage Cleanup Services ซึ่งสามารถดาวน์โหลดเวอร์ชันล่าสุดได้ที่เว็บไซต์http://www.trendmicro.com/download/dcs.asp หรือ Trend Micro Sysclean ซึ่งสามารถดาวน์โหลดเวอร์ชันล่าสุดได้ที่เว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. การแก้ไขแบบแมนนวล
การแก้ไขแบบแมนนวลนั้น ก่อนอื่นให้ทำการเทอร์มิเนตโปรเซสของไวรัสก่อนโดยใช้ Windows Task Manager จากนั้นทำการแก้ไขรีจีสทรี ดังนี้
1. เปิดโปรแกรม Registry Editor โดยคลิก Start คลิก Run พิมพ์ Regedit แล้วคลิก OK
2. ในพาเนลด้านซ้ายมือ ให้ดับเบิลคลิกที่ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3. ในพาเนลด้านขวามือ ให้หาและลบค่า Norton Antivirus AV = "%Windows%\FVProtect.exe" เมื่อ %Windows% คือดีฟอลต์โฟลเดอร์ของวินโดวส์ ทั่วไปจะเป็น C:\Windows หรือ C:\WINNT
4. ปิดโปรแกรม Registry Editor
ลิงค์ที่เกี่ยวข้อง
WORM_NETSKY.P (Trend Micro)
WORM_NETSKY.P WORM NETSKY.P NETSKY
© 2007 Thai Windows Administrator, All Rights Reserved.
0 Comment:
Post a Comment