Saturday, August 23, 2008

ไวรัส PE_LOOKED.BF

ชื่อไวรัส: PE_LOOKED.BF
ชื่ออื่นๆ : Worm.Win32.Viking.y (Kaspersky), W32/HLLP.Philis.at (McAfee), W32.Looked.O (Symantec), W32/Looked-M (Sophos), Virus:Win32/Viking.IT (Microsoft)
วันที่เริ่มระบาด: สิงหาคม 2549
ลักษณะของไวรัส PE_LOOKED.BF
ลักษณะไวรัส PE_LOOKED.BF นั้นมีลักษณะดังต่อไปนี้
File type: PE (Portable Execute)
File size: 32,127 Bytes (compressed)

รายละเอียด
PE_LOOKED.BF เป็นไวรัสประเภท PE (Portable Execute) แพร่ระบาดผ่านทางการดาวน์โหลดจากอินเทอร์เน็ตหรือผ่านทางไฟล์ที่แนบมากับอีเมล เมื่อไฟล์ไวรัสถูกรัน มันจะทำการรันไฟล์ RUNDL132.EXE และดร็อปไฟล์ดังกล่าวนี้ลงในโฟลเดอร์ Windows และดร็อปไฟล์ .dll (ไฟลฺ .dll นี้จะตรวจพบในชื่อโทรจัน TROJ_LOOKED.BF) ลงในโฟลเดอร์ที่รันไฟล์ไวรัส ซึ่งโทรจันนี้จะทำหน้าที่แพร่กระจายไวรัส ผ่านทางการ inject เข้าในโปรเซสของ Internet Explorer

จากนั้นจะทำการสร้าง registry key ดังนี้

HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
Auto = "1"

จากนั้นจะทำการค้นหาไฟล์ .exe ทั้งหมดในที่อยู่ในไดร์ฟ C-Z เสร็จแล้วจะทำการสร้างโค้ดเพื่อทำการติดไฟล์ต่างๆ ดังนี้
• ACDSee4.exe
• ACDSee5.exe
• ACDSee6.exe
• AgzNew.exe
• Archlord.exe
• AutoUpdate.exe
• autoupdate.exe
• BNUpdate.exe
• Datang.exe
• editplus.exe
• EXCEL.EXE
• flashget.exe
• foxmail.exe
• FSOnline.exe
• GameClient.exe
• install.exe
• jxonline_t.exe
• launcher.exe
• lineage.exe
• LineageII.exe
• MHAutoPatch.exe
• Mir.exe
• msimn.exe
• msnmsgr.exe
• Mu.exe
• my.exe
• NATEON.exe
• NSStarter.exe
• Patcher.exe
• patchupdate.exe
• QQ.exe
• Ragnarok.exe
• realplay.exe
• run.exe
• setup.exe
• Silkroad.exe
• Thunder.exe
• ThunderShell.exe
• TTPlayer.exe
• Uedit32.exe
• Winrar.exe
• WINWORD.EXE
• woool.exe
• zfs.exe

การแพร่ระบาดผ่านระบบเครือข่าย
ไวรัส PE_LOOKED.BF แพร่ระบาดผ่านระบบเครือข่าย โดยการเปิดแชร์โฟลเดอร์ชื่อ ADMIN$ และ IPC$ ด้วยยูสเซอร์ administrator หรือ guest หากสามารถเปิดได้มันจะทำการสำเนาตัวมันเองไปยังแชร์โฟลเดอร์ดังที่กล่าวมา

นอกจากนี้ ไวรัส PE_LOOKED.BF ยังทำการปิดโปรเซส MCSHIELD.EXE, REGSVC.EXE ที่รันอยู่บนระบบ

ระบบปฏิบัติการที่ได้รับผลกระทบ
ไวรัส PE_LOOKED.BF นั้นจะระบาดบนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 95, 98, ME, NT, 2000, XP, Server 2003

วิธีการแก้ไขเมื่อติดไวรัส PE_LOOKED.BF
ในกรณีที่ได้รับข้อความว่ามีการตรวจพบไวรัส PE_LOOKED.BF ให้ทำการสแกนเครื่องด้วยโปรแกรมป้องกันไวรัส และทำการลบไฟล์ไวรัสออกจากเครื่อง

วิธีการป้องกัน
วิธีการป้องกันไวรัสโดยทั่วไปนั้น ทำได้โดยการติดตั้งโปรแกรมป้องกันไวรัสและอัพเดทอย่างสม่ำเสมอ นอกจากนี้ไม่ควรรันหรือทำการติดตั้งโปรแกรมที่ดาวน์โหลดมาจากเว็บไซต์ที่ไม่น่าเชื่อถือ สำหรับวิธีการอื่นๆ ซึ่งจะช่อวยเพิ่มระดับการป้องกันไวรัสนั้น มีดังนี้
1. การป้องกันไวรัสด้วยโปรแกรม Trust No Exe อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/11/kb-112007-17.html
2. ปิดการใช้งาน Autoplay อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/turnoff-autoplay-on-all-drives-in.html
3. วิธีการป้องกันไวรัสจาก Flash drive อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/protect-computer-from-flash-drives.html
4. ป้องกันไม่ให้วินโดวส์รันโปรแกรมที่กำหนด อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/10/kb-102007-22.html

ลิงค์ที่เกี่ยวข้อง
• อ่านรายละเอียดเพิ่มเติมเกี่ยวกับไวรัส PE_LOOKED.BF ได้ที่เว็บไซต์ Trend Micro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_LOOKED.BF&VSect=P
Trend Micro Virus Map

PE_LOOKED.BF
© 2008 Thai Windows Administrator, All Rights Reserved.

0 Comment: