ชื่อ :
W32.Bropia
ชนิด :
หนอนอินเทอร์เน็ต
(worm)
ชื่ออื่นที่รู้จัก
: W32.Bropia
ระดับความรุนแรง
: ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ
: Windows
2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows
Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ
: Linux,
Macintosh, OS/2, UNIX
ตัวหนอนนี้จะแพร่กระจายผ่านโพรโตคอล(พอร์ต 1863/tcp) ที่ให้บริการจากโปรแกรม MSN Messenger โดยจะอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งไฟล์ไปยัง ผู้ที่มีรายชื่ออยู่ใน contact list ของผู้รับและหากผู้รับ รับไฟล์และเปิดใช้งานจะทำให้ติดตัวหนอนชนิดนี้ได้ การแพร่กระจายของหนอนชนิดนี้ผ่านไฟล์ในชื่อที่แตกต่างกัน เช่น
ไฟล์ชื่อ
: love_me.pif
sexy_bedroom.pif
drunk_lol.pif
naked_party.pif
web_cam.pif
drunk_lol.pif
webcam_004.pif
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายผ่านโปรแกรม
MSN
เป็นหลัก
ผลกระทบที่เกิดขึ้น
·
ส่งไฟล์แนบให้กับผู้ที่มีรายชื่ออยู่ใน
contact
list ของผู้รับ
:
หนอนจะส่งไฟล์
ผ่านโปรแกรม MSN
โดยอัตโนมัติ
·
เครื่องอาจทำงานผิดพลาด
:
เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี
ทำให้เครื่องทำงานผิดพลาดได้
• หยุดการทำงานโปรแกรมป้องกันไวรัส
:
ส่งผลทำให้เครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้แพร่กระจาย
อาจถูกหนอนชนิดอื่นแพร่กระจายเข้ามาได้
รายละเอียดทางเทคนิค
ลักษณะที่อาจจะบ่งให้เห็นว่าติดตัวหนอน
1.
ไม่สามารถทำการ
click
ขวาได้
2.
ไม่สามารถใช้งาน
task
manager ได้
โดยการกด Ctrl-Alt-Del
3.
ตัวหนอนสร้างไฟล์ในเครื่องผู้เสียหายดังนี้
C:<ชื่อไฟล์ของหนอน>.pif
C:\omc.com
C:\windows\system32\lexplore.exe
4.
เครื่องจะพยายามติดต่อ
MSN
5.
ตัวหนอนจะติดตั้งโปรแกรมโทรจันในเครื่องโดยเปิดพอร์ตชนิด
udp
ที่มีหมายเลขที่สูงกว่า
1024
เช่น
44802/udp
9943/udp
2268/udp เป็นต้น
6.
เครื่องทำงานช้าลง
วิธีกำจัดหนอนชนิดนี้
·
การกำจัดหนอนแบบอัตโนมัติ
วิธีที่ 1
1.
ดาวน์โหลดโปรแกรม
Sysclean.com
จากเว็บไซต์
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2.
ดาวน์โหลดไฟล์
pattern
ชื่อ
lptxxx.zip
จาก
http://www.trendmicro.com/download/pattern.asp
หมายเหตุ
xxx
แทนตัวเลขเวอร์ชันล่าสุดของไฟล์
pattern
3.
แตกไฟล์
lptxxx.zip
นำไฟล์ชื่อ
lpt$vpn.xxx
เก็บไว้ในโฟลเดอร์เดียวกับไฟล์
Sysclean.com
ที่ได้จากข้อ
1
4.
ตัดการเชื่อมต่อเครือข่าย
5.
หยุดการทำงานทุกโปรแกรม
รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6.
จากนั้นรันไฟล์
Sysclean.com
จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม
Scan
7.
เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8.
ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
·
สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
1.
ถ้าใช้งานระบบปฏิบัติการวินโดวส์
ME
หรือ
XP
ให้ทำการ
disable
System Restore ก่อน
(อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ
Windows
XP และ
ME)
2.
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้
หรือ
ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
3.
รีสตาร์ทเครื่องให้เข้าในระบบแบบ
Safe
Mode โดยในระบบปฏิบัติการวินโดวส์
95/2000/XP
ให้กด
F8
ระหว่างการบูตเครื่อง
4.
สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่
2
หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมด
ที่กล่าวมาแล้วในข้างต้น
ข้อมูลเพิ่มเติมสำหรับวินโดวส์
ME: หมายเหตุ:
ระบบปฏิบัติการวินโดวส์ ME
ใช้
backup
utility สำหรับ
backup
ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์
C:_Restore
ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์
backup
ได้
และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้
จึงต้องทำการยกเลิกการใช้งาน Restore
Utility ตามขั้นตอนดังนี้
1.
คลิ๊กขวาที่ไอคอน
My
Computer บน
Desktop
และ
เลือก Properties
2.
เลือกแถบ
Performance
3.
กดปุ่ม
File
System
4.
เลือกแถบ
Troubleshooting
5.
ใส่เครื่องหมายเลือก
"Disable
System Restore"
6.
กดปุ่ม
Apply
7.
กดปุ่ม
Close
8.
กดปุ่ม
Close
อีกที
9.
เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่
ให้กด Yes
หมายเหตุ:
ตอนนี้ Restore
Utility ถูกยกเลิกแล้ว
10.
หลังจากเรียกใช้งาน
Fix
tools เรียบร้อยแล้ว
เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์
C:_Restore
และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ:
การเปิดใช้
Restore
Utility อีกครั้ง
ให้ทำตามขั้นตอนที่ 1-9
และในขั้นตอนที่
5
ให้ยกเลิกเครื่องหมายที่เลือก
"Disable
System Restore" ออก
ข้อมูลเพิ่มเติมสำหรับวินโดวส์
XP หมายเหตุ:
ระบบปฏิบัติการวินโดวส์ XP
ใช้
backup
utility สำหรับ
backup
ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์
C:_Restore
ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์
backup
ได้
และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้
จึงต้องทำการยกเลิกการใช้งาน Restore
Utility ตามขั้นตอนดังนี้
1.
คลิ๊กขวาที่ไอคอน
My
Computer บน
Desktop
และ
เลือก Properties
2.
เลือกแถบ
System
Restore
3.
ใส่เครื่องหมายเลือก
"Turn off
System Restore" หรือ
"Turn off
System Restore on all drives"
4.
กดปุ่ม
Apply
5.
กดปุ่ม
Yes
หมายเหตุ:
ตอนนี้ Restore
Utility ถูกยกเลิกแล้ว
6.
หลังจากเรียกใช้งาน
Fix
tools เรียบร้อยแล้ว
เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์
C:_Restore
และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ:
การเปิดใช้
Restore
Utility อีกครั้ง
ให้ทำตามขั้นตอนที่ 1-5
และในขั้นตอนที่
5
ให้ยกเลิกเครื่องหมายที่เลือก
"Turn off
System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
1.
ห้ามรับไฟล์
หรือเปิดใช้งานไฟล์ที่ได้รับจากโปรแกรม MSN
2.
สำหรับผู้ดูแลระบบท่านควรปิดการใช้งานของพอร์ต
1863/tcp
เพื่อระงับการแพร่กระจายของตัวหนอนชนิดนี้
3.
ติดตั้งโปรแกรมต่อต้านไวรัส
และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4.
สร้างแผ่นกู้ระบบฉุกเฉิน
(Emergency
disk) ของโปรแกรมป้องกันไวรัส
และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5.
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ
และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
6.
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน
ThaiCERT
ได้ที่
http://thaicert.nectec.or.th/mailinglist/register.php
<a href=http://plagiarism.edublogs.org>plagiarism checker</a> <a href=http://plagiarism.edublogs.org>plagiarism detector</a> <a href=http://plagiarism.edublogs.org>check for plagiarism</a>