ชื่อ : W32.Sircam.Worm@mm
ค้นพบเมื่อ : 17 กรกฏาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/Sircam@mm, Backdoor.Sircam
|
คำแนะนำในกำจัด Sircam
** ก่อนรันเครื่องมือใดๆ ให้ลบ temp file ที่มีอยู่ทั้งหมด รวมทั้ง Internet Temporary Files ของ browser ที่มีอยู่ทั้งหมดในเครื่องของท่านออกเสียก่อน เพราะเครื่องมือบางตัวนั้นจะ scan ทุกไฟล์ที่อยู่ใน drive C: ของท่าน ซึ่งจะทำให้เสียเวลามาก
** ให้ดึงสาย LAN ของท่านออก หรือยกเลิกการใช้โมเด็ม เพื่อป้องกันไม่ให้ไวรัสส่งเมล์ออกไปได้อีก
** ให้ Disable network sharing มีอยู่ในเครื่องของท่าน ทั้งนี้เพราะภายหลังการกำจัดไวรัสตัวนี้แล้ว ท่านอาจจะติดใหม่ได้อีกครั้งผ่านทาง network sharing ที่อยู่ในเครื่องของท่าน
วิธีกำจัด Sircam ออกจากระบบโดยใช้เครื่องมือจาก symantec.com <recommended>
1. download เครื่องมือนี้จากเว็บไซต์ http://www.symantec.com/avcenter/FixSirc.com หรือจากที่นี่ (68 KB)
2. รันไฟล์ FixSirc.com ที่ได้ download มาแล้ว
3. จากนั้นโปรแกรมก็จะทำการ scan และลบไฟล์ที่เป็นไวรัส พร้อมทั้งแก้ไข registry และแก้ไข autoexec.bat ให้
วิธีกำจัด Sircam ออกจากระบบโดยใช้เครื่องมือจาก pandasoftware.com
1. download เครื่องมือจากเว็บไซต์ของ pandasoftware.com ที่ http://www.pandasoftware.com/library/pqremove.com หรือจากที่นี่ (1.99 MB)
2. จากนั้นก็รันไฟล์ pqremove.com เพื่อกำจัด Sircam
3. จากนั้นโปรแกรมก็จะทำการ scan และลบไฟล์ที่เป็นไวรัส พร้อมทั้งแก้ไข registry
สำหรับผู้ใช้ที่ติดตั้ง Mcafee Virus Scan ไว้ในเครื่องที่ติดไวรัสแล้ว
- ทางทีมงานได้ทดลอง download SuperDat ตัวล่าสุดจากเว็บไซต์ของ mcafee.com และทดลองรันไฟล์ .exe ชนิดนั้น ปรากฏว่าไม่สามารถรันได้ เนื่องจากไวรัสตัวนี้ได้ไปแก้ไขใน registry ในส่วนของ HKEY_CLASSES_ROOT\Exefile\Shell\open\command ซึ่งทุกครั้งที่เรารันไฟล์ exe ก็จะเป็นการรันไวรัสนี้ทุกครั้ง และภายหลังจากการแก้ไข registry เพื่อให้สามารถรัน SuperDat ได้ จากนั้นได้ทดลองรัน Mcafee Virus Scan ซึ่งสามารถพบไฟล์ไวรัสและผู้ใช้จำเป็นต้องเลือกที่จะลบไฟล์นั้นเอง และจากการตรวจสอบภายหลังการ scan เสร็จสิ้นพบว่า Mcafee ไม่ได้แก้ไข registry ให้ ดังนั้นจึงแนะนำให้ใช้เครื่องมือกำจัดไวรัสชนิดนี้จาก symantec.com และ pandasoftware.com แทน
ความเสียหายที่เกิดขึ้น
การกระจายตัวผ่านทางอี-เมล์
Spanish Version
First line : Hola como estas ?
Last line : Nos vemos pronto, gracias.English Version
First line : Hi! How are you?
Last line : See you later. Thanksสำหรับข้อความบรรทัดกลางจะสุ่มจากข้อความดังต่อไปนี้
Spanish Version
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci=n que me pedisteEnglish Version
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User
1. ไวรัสชนิดนี้สามารถติดต่อได้ 2 ทาง คือ ผ่านทางอี-เมล์ และผ่านทาง network sharing ซึ่งการกำจัดไวรัสที่ติดต่อผ่านทางอี-เมล์โดยใช้โปรแกรมด้านบนช่วยนั้นส่วนใหญ่จะสามารถกำจัดได้ตามปกติ แต่การกำจัดไวรัสที่ติดมาทั้งจากอี-เมล์และ network sharing นั้น บางครั้งเครื่องมือด้านบนอาจจะไม่สามารถแก้ไขได้
2. ข้อสำคัญคือ การป้องกันไม่ให้เครื่องในองค์กรที่ได้กำจัดไวรัสไปแล้ว กลับมาติดไวรัสอีกครั้ง ไม่ว่าจะเป็นทางอี-เมล์และทาง network โดยการป้องกันการติดไวรัสผ่านทาง network นั้น ควรงดการ share โฟลเดอร์ และควรแจ้งข่าวให้ผู้ใช้ในองค์กรของท่านพึงระวังในการรับอี-เมล์
3. ท่านสามารถแก้ไขโดยวิธี manual ได้ ในกรณีที่โปรแกรมช่วยด้านบนไม่สามารถแก้ไขได้สมบูรณ์ดังนี้
สิ่งที่เกิดขึ้นเมื่อรันไฟล์ attachment ที่มากับอี-เมล์
1. มันจะสร้างตัวมันเองขึ้น โดยการ copy attachment file ไปไว้ที่ %TEMP%\<filename> และ c:\Recycled\<filename> จากนั้นมันก็จะรันไฟล์ application ที่รีจิสเตอร์เพื่อรองรับ document ชนิดนั้น เช่น กรณีที่เป็น .doc ก็จะรัน Microsoft Word หรือ Wordpad กรณีที่เป็น .xls ก็จะรัน Microsoft Excel หรือกรณีที่เป็น .zip ก็จะรัน WinZip
** %TEMP% หมายถึงตัวแปร Temp ซึ่งปกติแล้วจะอยู่ที่ c:\windows\temp
** <filename> คือชื่อไฟล์ document ที่ส่งแนบมากับอี-เมล์
2. มันจะ copy ตัวมันเองไปยัง c:\Recycled\Sirc32.exe และ %System%\Scam32.exe
** %System% หมายถึงตัวแปร เช่น c:\windows\system
3. มันจะแก้ไข registry โดยการเพิ่มค่า Driver32=%System%\scam32.exe ที่ key ของ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
4. จากนั้นก็จะสร้าง key ขึ้นมาใหม่ที่ HKEY_LOCAL_MACHINE\Software\Sircam โดยมีค่าดังนี้
- FB1B : ใช้เก็บชื่อไฟล์ของมันเองที่เก็บไว้ใน Recycled directory
- FB1BA : เก็บค่า IP address ของ SMTP server
- FB1BB : ใช้เก็บค่า email address ของผู้ส่ง
- FC0 : ใช้เก็บค่าจำนวนครั้งที่มันถูกรัน
- FC1 : ใช้เก็บค่า version number ของมันเอง
- FD1 : ใช้เก็บค่าชื่อไฟล์ที่ถูกรัน โดยไม่รวมค่า suffix หลังสุดของ extension
5. ทำการเปลี่ยนแปลงค่า default value ของ HKEY_CLASSES_ROOT\exefile\shell\open\command ไปเป็น c:\recycled\sirc32.ex "%1" %* ซึ่งหมายความว่าทุกครั้งที่เรารัน exe ไฟล์ ก็จะเป็นการรันตัวมันเองทุกครั้ง
6. มันจะตรวจสอบหา network resource ที่ share ไว้ ในกรณีที่พบมันจะ
- copy ตัวมันเองไปยัง <Computer>\Recycled\Sirc32.exe
- เพิ่มคำสั่ง "@win \recycled\sirc32.exe" ไปที่ไฟล์ <Computer>\Autoexec.bat
- copy <Computer>\Windows\Rundll32.exe ไปที่ <Computer>\Windows\Run32.exe
- แทนที่ไฟล์ <Computer>\Windows\Rundll32.exe ด้วย c:\Recycled\Sirc32.exe
7. มีโอกาส 1 ใน 33 ที่เหตุการณ์ดังนี้จะเกิดขึ้น
- copy ตัวมันเองจาก c:\Recycled\Sirc32.exe ไปยัง %Windows%\Scmx32.exe
- copy ตัวมันเองไปเป็น "Microsoft Internet Office.exe" ไปยังโฟลเดอร์ที่ระบุใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
8. ถ้ามันสามารถทำได้ในข้อที่ 7 มันจะสร้างไฟล์ c:\recycled\Sircam.sys ขึ้นมาเพื่อทำให้ฮาร์ดดิสก์เต็ม และเพิ่มข้อมูลไปเรื่อยๆ จนกระทั่งฮาร์ดดิสก์เต็ม โดยข้อมูลใน sircam.sys นั้น เป็น string 1 ใน 2 อย่างนี้คือ
- [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
- หรือ [SirCam Version 1.0 Copyright 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
9. มีโอกาส 1 ใน 20 ที่มันจะลบไฟล์และโฟลเดอร์ทั้งหมดในไดรฟ์ C: ซึ่งจะเกิดขึ้นเมื่อเครื่องที่ติดเชื้อนั้นตั้งค่า date format เป็น D/M/Y (เกิดขึ้นในวันที่ 16 ตุลาคม ของทุกปี)
10. ขั้นตอนนี้คือการค้นหา email address โดยจะใช้ 2 วิธีคือ
- ค้นหาจากโฟลเดอร์ที่ปรากฏใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Cache โดยจะค้นหาไฟล์ sho*., get*., hot*., *.htm จากนั้นก็จะ copy email address ที่พบไปไว้ยัง %Windows%\s??.dll (? คือ random letter & number)
- ค้นหาไฟล์ *.wab (Windows Address Books) ภายในไดรฟ์ และจะ copy addresses จากไฟล์นั้นๆ
11. จากนั้นก็จะค้นหาโฟลเดอร์ที่ปรากฏใน HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal
และHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\shell Folders\Startup\Desktop โดยจะค้นหาไฟล์ .doc,.xls, .zip, .exe จากนั้นก็จะนำไฟล์นั้นๆ ไปต่อท้ายไฟล์ execute ของตัวของมันและแนบไปกับอี-เมล์
ได้รู้จักไวสตัวใหม่ๆ และรู้จักวิธี้องกันด้วยค่ะ
ไวรัสเยอะดีเนอะ
ไดสาระดีมากเลยนะ
ดีจัง
เดี่ยวลองทำตาม
ขอบคุณมากจ้า
เพื่อนสาว
อานะ ไวรัสอาราย ทำไมมันเยอะจังเยย ไม่เปิดก็ไม่เปิด ไม่แน่นะเผื่อมีคนขอเบอร์จาเปิดมั้ยหละ เอิ้กๆๆๆๆๆๆๆๆๆๆๆ
ข้อมูลดีมั่กมาก ความรู้เพียบ