Subject: Fwd: [is12_2] Virus Warning
Date: Wed, 30 Jan 2002 08:51:38 +0000


ประกาศเตือนไวรัส Myparty !!
ได้มีการแพร่ระบาดของไวรัส Myparty ซึ่งมีรูปแบบดังนี้
Subject: new photos from my party!
Body:Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos.
Thanks!

Attachement: www.myparty.yahoo.com
ห้ามมิให้เปิดไฟล์(double click) ที่แนบมาโดยเด็ดขาด
อ่านรายละเอียดเพิ่มเติมของไวรัสได้ที่นี่


ชื่อ : W32.Myparty@mm
ค้นพบเมื่อ : 28 มกราคม 2545
ชนิด : หนอนอินเตอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : n/a
ระดับความรุนแรง : ปานกลาง
ข้อมูลทั่วไป
หนอนอินเตอร์เน็ต W32.Myparty@mm ถูกพัฒนาขึ้นโดยภาษา C++
แพร่กระจายโดยอาศัยที่อยู่ของจดหมายจาก Windows Address Book
เครื่องเป้าหมาย

จดหมายที่ถูกส่งโดยหนอนร้ายตัวนี้
นอกจากนี้หัวข้อจดหมายถูกทำให้มีความน่าเชื่อถือสูงมีชื่อเรื่องดังต่อไปนี้
Subject: new photos from my party!
Body:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Attachement: www.myparty.yahoo.com

วิธีป้องกันตัวเองจากไวรัส
1.. ให้ลบอี-เมล์ที่มีรูปแบบดังกล่าวทิ้งทันที
2.. ห้ามรัน (double click)
ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ โดยเฉพาะไฟล์
www.myparty.yahoo.com โดยเด็ดขาด
นอกจากนี้ยังไม่ควรรันไฟล์ที่มีนามสกุลเป็น .exe, .pif, .com, .bat,
ที่ถูกส่งมาทางอี-เมล์ icq, irc หรือทางอื่นใดก็ตาม
3.. ทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุด
ความเสียหายต่อระบบ
หนอนจะทำงานโดยการที่ผู้ใช้คลิกไฟล์ที่แนบมา
โดยการเข้าใจผิดคิดว่าเป็น link สำหรับการดูข้อมูลผ่านอินเทอร์เน็ต
และหนอนจะทำการส่งจดหมายที่มีสำเนาของตัวเองไปยังที่อยู่ที่เก็บในสมุดที่อยู่
Windows Address Book ที่ใช้งานโดยโปรแกรม Microsoft Outlook Express
และสามารถค้นหาไฟล์ที่มีส่วนขยาย .DBX ซึ่งเก็บที่อยู่ไว้ในไดเรกทรอรี่
Inbox ของโปรแกรม Microsoft Outlook Express
นอกจากนี้มันยังส่งจดหมายไปยังผู้ที่สร้างหนอนนี้ขึ้นมา
ซึ่งทำให้ผู้สร้างทราบถึงการกระจายตัวของหนอนนี้ได

บน Windows NT/2000/XP ตัวหนอนจะสร้างโทรจันไว้ในระบบ
เพื่ออนุญาตให้แฮ็เกอร์สามารถควบคุมระบบได้
โดยซอฟแวร์ป้องกันไวรัสสามารถตรวจสอบโทรจันชนิดนี้ได้

รายละเอียดทางเทคนิค
เมื่อไฟล์ .com ถูกรัน
Windows 9x/Me
หากพบว่าวันที่ปัจจุบันอยู่ระหว่าง 25 -29 มกราคม 2545
มันจะคัดลอกตัวเองไปยัง C:\Recycled\regctrl.exe และรันไฟล์ดังกล่าว

Windows NT/2000/XP
หากพบว่าวันที่ปัจจุบันไม่อยู่ระหว่าง 25 -29 มกราคม 2545 มันจะคัดลอกตัวเองไปยัง
C:\Recycled-F-<RANDOM digits>-<RANDOM digits>-<RANDOM DIV <>>digits>
โดยไม่มีนามสกุล

หากพบว่าวันที่ปัจจุบันอยู่ระหว่าง 25 -29 มกราคม 2545
มันจะคัดลอกตัวเองไปยัง C:\regctrl.exe และรันไฟล์ดังกล่าว
หมายเหตุ ไฟล์ regctrl.exe นี้จะสามารถเห็นได้จาก DOS prompt
เท่านั้นจะไม่สามารถมองเห็นโดยวินโดว์


ไฟล์ .exe ถูกรัน เช่น Regctrl.exe
;ตัวหนอนจะเริ่มกระบวนการกระจายตัวดังนี้
มันจะค้นหา Windows address book ที่ใช้โดย Microsoft
Outlook และ Outlook Express รวมทั้งค้นหาไฟล์ .dbx ใน Microsoft Outlook Express folder เพื่อหารายชื่ออี-เมล์
มันจะส่งอี-เมล์ออกไปยังรายชื่ออี-เมล์ที่ได้รับมา โดยใช้ จาก HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\00000001 และในส่วน From:
ก็จะใช้เป็นชื่ออี-เมล์ของผู้ใช้เครื่องดังกล่าว
สำหรับ Windows NT/2000/XP ตัวหนอนจะสร้างไฟล์โทรจันชื่อ
MSSTASK.EXE ไว้ใน
%Windows%\Start Menu\Programs\Startup\msstask.exe
ดังนั้นเมื่อรีสตาร์ทวินโดวส์ใหม่ไฟล์ดังกล่าวจะถูกรัน
ซึ่งมันจะเรียกไปยังเว็บเพจที่ 209.151.250.170
ซึ่งจะทำให้ผู้ที่สร้างหนอนร้ายนี้ขึ้นมาสามารถเข้ามาควบคุมเครื่องนี้ได้
ซึ่งสิ่งที่ backdoor trojan
นี้จะกระทำก็ขึ้นอยู่กับเนื้อหาในเว็บเพจนั้น
วิธีการแก้ไข
การกำจัดหนอนทำได้โดยการสเกนโดยโปรแกรมป้องกันไวรัส
คำแนะนำในการกำจัด
ในกรณีที่ใช้โปรแกรมป้องกันไวรัส
ทำการอัพเดพฐานข้อมูลไวรัสเป็นตัวล่าสุด และสแกนทั้งระบบ
หากเจอไฟล์หนอนให้ลบไฟล์ดังกล่าวทิ้งทันที
คำแนะนำเพิ่มเติมสำหรับวินโดว์ ME
ข้อสังเกต : วินโดว์ ME จะมีการสำรองข้อมูลโดยอัตโนมัติ
โดยโปรแกรม backup utility
;ซึ่งโปรแกรมตัวนี้จะสำเนาไฟล์เก็บโดยอัตโนมัติ ในโฟลเดอร์ C:\_Restore
ซึ่งไฟล์ที่ติดหนอนร้ายมาจะสามารถถูกเก็บในไดเรกทรอรี่นี้ได้เช่นกัน
และบางครั้งโปรแกรมป้องกันไวรัสจะไม่สามารถลบหรือกำจัด
หรือซ่อมแซมไฟล์ได้ในโฟลเดอร์

<DIV></DIV>> วิธีการยกเลิกการใช้โปรแกรมเรียกคืนข้อมูล
<DIV></DIV>>
1.. คลิกขวาที่ไอคอน My Computer บนเดสก์ทอป
2.. เลือก Performance Tab
3.. คลิกปุ่ม File System
4.. คลิก Troubleshooting Tab
5.. ทำเครื่องหมายที่กล่องหน้าช่อง "Disable System Restore".
6.. คลิกปุ่ม Apply
7.. คลิกปุ่ม Close
8..คลิกปุ่ม Close อีกครั้งหนึ่ง
ตอบตกลงในการบูตระบบใหม่
หมายเหตุ : เมื่อถึงขั้นตอนนี้ Restore Utility จะถูกยกเลิก
9..เริ่มต้นระบบอีกครั้งใน Safe Mode.
รันโปรแกรมป้องกันไวรัส และลบไฟล์ของหนอนร้ายออกจาก
โฟล์เดอร์ C:\_Restore
เริ่มต้นระบบใหม่อีกครั้งตามปกติ
หมายเหตุ : หากต้องการเปิดการทำงานของ Restore Utility
ทำซ้ำตามขั้นตอนที่ 1-9 อีกครั้งและที่ขั้นตอนที่ 5
เอาเครื่องหมายหน้ากล่อง "Disable System Restore" ออก

*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น
;และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***
เผยแพร่โดย ThaiCERT เมื่อ 28 มกราคม 2544 18.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 29 มกราคม 2544 10.00

ขอบคุณคะ

อันเดียวกะที่เจอวันก่อนเลยนิ