|
ใครๆ ที่เล่น MSN ต่างประสบปัญหากันทั่วหน้ากับเรื่อง ไวรัส Image.zip เพราะช่วงนี้ ต่างก็เจอว่า อยู่ๆเพื่อนใน msn ก็ส่งพวก images.zip มาให้ ถ้าน้องๆ เผลอกดรับไป แล้วอย่า at file นั้น ออกมานะจ๊ะ ถ้าเผลอละก็เพื่อนที่อยู่ใน contact จะได้รับไปด้วยหมดเลยนะจ๊ะ แต่หากพลาดไปแล้ว พี่ผึ้งก็มีวิธีแก้มาฝากน้องๆ กันจ๊ะ แต่อย่างที่บอกไปทางที่ดีไม่รับมาตั้งแต่จะดีที่สุดนะจ๊ะ
ก่อนอื่นขอแนะนำให้น้องๆ รู้จักเจ้าวายร้ายตัวนี้อย่างเป็นทางการก่อนจ๊ะ
ชื่อ : W32.MSN.Worm หรือ IM-Worm.Win32.Agent.f
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky], IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
ข้อมูลทั่วไป
W32.MSN.Worm หรือ IM-Worm.Win32.Agent.f เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ด้วย
หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security Center" และ "winvnc4"
ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip
- LOL, you look so ugly in this picture, no joke...
- Should I put this on facebook/myspace?
- Hey m8, who is this on the right, in this picture...
- Sup, seen the pictures from the other night?
ดังตัวอย่าง
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger
ผลกระทบที่เกิดขึ้น
- เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
- เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger
วิธีกำจัดหนอนชนิดนี้
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[-HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
@="\"%1\" %*"
[-HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
@="\"%1\" %*"
- ในฝั่งด้านขวามือ ลบค่าสุ่มที่หนอนสร้างขึ้นมา
- ออกจากโปรแกรม Registry Editor
ข้อควรระวัง:
การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด
และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง
-->
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- ห้ามรับหรือรันไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือ Pirch เป็นต้น จากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง
ส่วนอันนี้มาจากหน่วยเทคโนโลยีสารสเทศ คณะวิทยาศาสตร์ มหาวิทยาลัยเนรศวร
ชื่อไวรัส ::
ไวรัสMSN, image.zip (Worm.Win32.Agent.f)
|
| กลุ่มอาการ :: |
| เมือเปิดคอมพิวเตอร์ที่ติดแล้วจะ ไม่สามารถใช้โปรแกรมได้ หน้าdesktop ไฟล์งานและfloder จะหาย มีแต่icon โปรแกรม เล่นMSNแล้วค้างหรือเล่นไม่ได้เลย
การแพร่: เครื่องที่ติดจะทำการส่งไฟล์ images.zip และข้อความภาาาอังกฤษมาให้เรา (ส่งตามคนที่มีรายชื่ออยู่ใน List MSN ของคนที่ติด) บ้างที่คนนั้นไม่ได้ เล่น MSNเลย
รูปตัวอย่าง :
|
| ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: |
| วิธีแก้ไขและป้องกัน :: |
1. ctrl+alt+del แล้ว end process winlog32.exe
2. ที่ Start -> Run พิมพิ์ regedit แล้วไปลบ key ดังต่อไปน (ถ้าเจอ ที่อื่นให้ลบด้วยน่ะครับ)
3. Restart เครื่องcomputer set explorer ให้แสดง hidden file
4. set explorer ให้แสดง hidden file
5. ลบ file c:windowswinlog32.exe และ image.zip
6.ที่ Folder options เลือก restore defaults แล้ว OK
อีกวิธี ใช้ตัว Fix ของ NOD32
Download -> NOD32 VirusMSN-Fix
หรือโปรแกรม MSN_Worm_Remover.exe | | | |
|
|
|
| พี่ผึ้ง : ขอขอบคุณข้อมูลจาก http://www.thaicert.org และ www.sci.nu.ac.th | 
144 ความคิดเห็น
-0- ช๊อค
ขอบคุนมากกกกกกกกกค่ะ
เพิ่งโดนเมื่อวานเอง
มันไม่ยอมหายซักที ขนาดลบออกจากเครื่องแล้วนะ
ใช่ๆ องค์หญิงหมูปิ้ง ลบแล้วมันก็ไม่หาย
ยังไม่เจอ แต่ถ้าเจอไม่พลาดแน่
ขอบคุณอีกครั้งคร้าบ
ขอบคุ๊นค๊ะ สำหรับข้อคิดดีดี