Monday, July 9, 2007

Virus Alert: W32/Generic.e

แก้ไขล่าสุดเมื่อ: 8 ธันวาคม 2551

Virus: W32/Generic.e หรือ WORM_MUSIC.G
สืบเนื่องจากการแพร่ระบาดของไวรัส W32/Generic.e หรือ Generic.e (McAfee)หรือ WORM_MUSIC.G (Trend Micro) ในระบบคอมพิวเตอร์ เนื้อหาต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัสตัวนี้ วิธีการป้องกันและการแก้ไขในกรณีที่ติดไวรัส ข้อมูลต่างๆ นั้นจะอ้างอิงจากเว็บไซต์ Trend Micro System McAfee และ Symantec

รายละเอียดทั่วไป
W32/Generic.e หรือ Generic.e (McAfee)หรือ WORM_MUSIC.G มีการค้นพบเมื่อวันที่ 31 พฤษภาคม 2550 เป็นไวรัสที่แพร่ระบาดโดยการสำเนาตัวเองไปยังทุกๆ ไดรฟ์ บนเครื่องคอมพิวเตอร์ที่ติดไวรัส รวมถึงสื่อเก็บข้อมูลแบบพกพา เช่น floppy และ flash drive เป็นต้น

ระบบที่ได้รับผลกระทบ
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, NT, 2000, XP, Server 2003

ลักษณะของไวรัส
ไวรัส W32/Generic.e (McAfee)หรือ WORM_MUSIC.G นั้นมีลักษณะดังต่อไปนี้
File size: 36,864 bytes
MD5: 9F5367FD59FC4A8798AC08638C0F2854
CRC32: 8C44EAD3

เมื่อถูกรันไวรัส Generic.e จะทำการสร้างไฟล์ต่างๆ บนเครื่องดังนี้
C:\autorun.inf (1 KB)
C:\music.exe (36 KB) (เป็นสำเนาของไฟล์ไวรัส)
%WinDir%\backup.reg (1 KB)
%WinDir%\runreg.bat (1 KB)

โดยไวรัสนั้นจะทำการซ่อนไฟล์ autorun.inf" และ "music.exe" ในขณะที่ไฟล์ "backup.reg" นั้นจะเก็บค่า registry สำหรับใช้ในการแก้ไข registry ของระบบ และไฟล์ "runreg.bat" นั้นจะทำหน้าที่ในการนำเข้าไฟล์ "backup.reg"

ไวรัสจะทำการสร้าง registry key ในระบบเพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส music.exe เมื่อระบบสตาร์ทอัพดังนี้
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"music"="C:\music.exe"

จากนั้นไวรัสจะคอยตรวจสอบระบบ ถ้าหากตรวจพบสื่อเก็บข้อมูลต่างๆ ที่สามารถเขียนข้อมูลลงไปได้ เช่น floppy และ flash drive มันก็จะทำการสำเนาไฟล์ autorun.inf และ music.exe ไปยังสื่อดังกล่าว และเมื่อยูสเซอร์นำสื่อเก็บข้อมูลที่ติดไวรัส ไปใช้กับคอมพิวเตอร์เครื่องอื่นๆ ถ้าหากเครื่องคอมพิวเตอร์เหล่านั้นมีการเปิดใช้งาน Autorun ก็็จะทำให้เครื่องเหล่านั้นติดไวรัสในทันที

การสังเกตอาการ
1. มีการรันโพรเซส "music.exe" ใน Windows Task Manager ในชื่อโพรเซส "AccessDriveAndFile"
2. มีการใช้งาน สื่อแบบพกพา โดยที่ไม่ได้สั่งการ
3. มีไฟล์ต่างๆ และมี registry key ดังที่กล่าวมาในระบบ
4. มีไฟล์ music.exe" และ "autorun.inf" ในสื่อเก็บข้อมูลแบบพกพา โดยจะอยู่นอกสุดของโครงสร้าง เช่น F:\music.exe เป็นต้น

การแก้ไข
1. ทำการสแกนด้วยโปรแกรมป้องกันไวรัสที่มีอัพเดทฐานข้อมูลไวรัสล่าสุด แล้วทำการลบไฟล์ไวรัส
2. ทำการสแกนด้วย Virus Fix tool เช่น McAfee Stinger อ่านวิธีการใช้งาน McAfee Stinger หรือ Trend Micro Sysclean
3. ทำการลบไฟล์ registry ที่กล่าวถึงด้านบน

คำแนะนำในการป้องกัน
1. ปิดการใช้งาน Autorun
2. ใช้ Group Policy ป้องกันการรันไฟล์ music.exe
3. ทำการสแกน สื่อเก็บข้อมูลแบบพกพา ก่อนการใช้งาน

แหล่งอ้างอิง
McAfee
Symantec
Trend Micro

ลิงค์ที่เกี่ยวข้อง
วิธีการใช้งาน McAfee Stinger
ไวรัส PE_LOOKED.VH-O
W32/Generic.e หรือ WORM_MUSIC.G

W32/Generic.e WORM_MUSIC W32_Generic.e
© 2007Thai Windows Administrator, All Rights Reserved.

0 Comment: