Tuesday, January 26, 2010

Malware Alert: Win32.Worm.Zimuse.A

ระวังเวิร์ม Win32.Worm.Zimuse.A ติดแล้วอาจจะทำให้ข้อมูลบนฮาร์ดดิสก์เสียหายได้
บทความโดย: Thai Windows Administrator Blog

Bitdefender และ Eset (ผู้พัฒนาโปรแกรมแอนตี้ไวรัส NOD32) บริษัทผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสและสปายแวร์ชื่อดัง ได้ประกาศเตือนให้ผู้ใช้คอมพิวเตอร์ระวังการโจมตีของเวิร์มตัวใหม่ชื่อ Win32.Worm.Zimuse.A ซึ่งสามารถทำให้ข้อมูลบนฮาร์ดดิสก์เสียหายได้

รายละเอียดเวิร์ใ Win32.Worm.Zimuse.A
Virus Name: Win32.Worm.Zimuse.A
Aliases: Trojan.Startpage.G (Symantec), Trojan.Generic.1729691 (BitDefender), W32/Threat-SysVenFakP-based!Maximus (F-Prot)
Type of infiltration: Worm
Size: 195072 B
Affected platforms: Microsoft Windows

ผลกระทบ
Win32.Worm.Zimuse.A นั้นจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้

วิธีการแพร่ระบาด
Win32.Worm.Zimuse.A สามารถแพร่ระบาดได้ทางการดาวน์โหลดจากอินเทอร์เน็ตและผ่านสื่อเก็บข้อมูลแบบพกพา โดยมันจะแฝงตัวอยู่ในไฟล์บีบอัดที่สามารถรันได้ด้วยตัวเอง (PECompact) โดยจะหลอกผู้ใช้ว่าเป็นในโปรแกรมทดสอบไอคิว (IQ Test) ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มก็จะทำการสำเนาตัวเองในชื่อไฟล์ zipsetup.exe มีขนาด 195072 B ลงใรรูทโฟลเดอร์ของไดรฟ์ A:\, B:\, C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\

การทำงาน
เมื่อผู้ใช้ทำการรันไฟล์ zipsetup.exe (ด้วยความเข้าใจว่าเป็นโปรแกรมธรรมดา) เวิร์มก็จะทำการสำเนาไฟล์ autorun.inf ลงเครื่องคอมพิวเตอร์ (ไดเร็กตอรี่ที่เก็บไฟล์ zipsetup.exe) จากนั้นจะทำการสำเนาตัวเองลงในโฟลเดอร์ระบบของวินโดวส์จำนวนระหว่าง 5-11 ไฟล์แล้วแต่กรณี ดังนี้

%system%\drivers\Mstart.sys (13100 B)
%system%\drivers\Mseu.sys (18188 B)
%system%\mseus.exe (69632 B)
%system%\tokset.dll (195072 B)
%system%\ainf.inf (41 B)

จากนั้นจะแสดงหน้าไดอะล็อกบอกซ์ดังรูปด้านล่าง


(Credit: Eset.eu)

ทำการติดตั้งตัวเองในโฟลเดอร์ไดรเวอร์ของระบบ ดังนี้
%system%\drivers\Mstart.sys, MSTART
%system%\drivers\Mseu.sys, MSEU

ทำการแก้ไขรีจีสทรี่เพื่อให้ทำงานโดยอัตโนมัติพร้อมระบบวินโดวส์ ดังนี้
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dump" = "%programfiles%\Dump\Dump.exe"

นอกจากนี้ ยังทำการแก้ไขสร้างรีจีสทรี่เพิ่มขึ้นอีกหลายตัว โดยบางส่วนดังนี้
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "MSTART"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000]

ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ และจะแสดงไดอะล็อกบ็อกซ์ ดังรูปด้านล่าง


Click to enlarge (Credit: Eset.eu)

โดยเวิร์มอาจจะทำการลบไฟล์ต่างๆ ดังนี้
- C:\BOOT.INI
- C:\NTDETECT.COM
- C:\NTLDR
- C:\HYBERFILE.SYS
- C:\BOOTMGR

วิธีการป้องกัน
สำหรับวิีธีการป้องกันนั้นแนะนำว่า อย่าดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และ ทำการติดตั้งโปรแกรมป้องกันไวรัสและฐานข้อมูลอัพเดทไวรัส (Virus Definition) ให้เป็นปัจจุบันตลอดเวลา

วิธีการกำจัดไวรัส
สามารถกำจัดไวรัส Win32.Worm.Zimuse.A โดยใช้เครื่องมือจาก Eset โดยดาวน์โหลดได้ที่ Download Win32.Worm.Zimuse.A Remover

แหล่งข้อมูลอ้างอิง
Bitdefender
Eset

© 2010 TWA Blog. All Rights Reserved.

0 Comment: