ชื่อ : W32.Vote.A@mmค้นพบเมื่อ : 24 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ระดับความรุนแรง: ต่ำ- ปานกลาง
ภาพโดยรวม:W32.Vote.A@mm เป็นหนอนที่แพร่กระจายทางเมล์ถูกเขียนขึ้นด้วยภาษา Visual Basic เมื่อ execute แล้วมันจะพยายามส่งอีเมล์ด้วยตัวเองไปยังรายชื่อทั้งหมดใน Microsoft address book มันจะนำไฟล์ที่มีนามสกุล .vbs จำนวน 2 ไฟล์ลงไว้ในระบบ และจะพยายามลบไฟล์จากผลิตภัณฑ์ antivirus ชนิดต่างๆ
ความเสียหาย: * การส่งอีเมล์ออกจำนวนมาก: มีการส่งอีเมล์ถึงทุกคนที่มีรายชื่ออยู่ใน address book ของโปรแกรม Microsoft Outlook
* การลบไฟล์: หลังจากการรีบูตเครื่อง หนอนตัวนี้จะพยายามลบทุกไฟล์ในโฟลเดอร์ Windows
* การแก้ไขไฟล์: ทุกๆไฟล์ที่มีนามสกุล .htm หรือ .html จะถูกเขียนทับ
* การทำลายระบบความปลอดภัย: ถ้าเป็นมีการดาวน์โหลดและติดตั้ง Backdoor.Trojan สำเร็จ ผู้อื่นก็จะมีสิทธิ์ในการเข้าถึงเครื่องได้อย่างเต็มที่
การแพร่กระจาย: * หัวเรื่องของอีเมล์: Fwd:Peace BeTweeN AmeriCa and IsLaM!
* ชื่อไฟล์แนบ: WTC.exe
* ขนาดของไฟล์แนบ: 55808 Bytes
รายละเอียดทางเทคนิค:W32.Vote.A@mm เป็นหนอนที่แพร่กระจายทางเมล์ ถูกเขียนขึ้นด้วยภาษา Visual Basic โดยอาศัยไฟล์ Msvbvm50.dll ในการ execute
เมื่อ execute แล้วหนอนจะพยายามส่งอีเมล์ด้วยตัวเองไปยังรายชื่อทั้งหมดใน Microsoft address book โดยอีเมล์ดังกล่าวมีลักษณะดังต่อไปนี้
จากนั้นหนอนก็จะใส่ไฟล์ 2 ไฟล์ที่มีนามสกุล .vbs ลงในระบบดังนี้:
* \<Windows folder>\ZaCker.vbs
* \<Windows\System folder>\MixDaLaL.vbs
นอกจากนั้นหนอนจะพยายามดาวน์โหลดและ execute ไฟล์หนึ่งซึ่ง Norton Antivirus ตรวจพบว่าเป็น Backdoor.Trojan
และสุดท้าย หนอนก็จะพยายามลบไฟล์ทั้งหมดออกจากหลายๆโฟลเดอร์ โดยโฟลเดอร์เหล่านี้เป็นโฟลเดอร์ default สำหรับติดตั้งผลิตภัณฑ์ antivirus ทั้งหลาย สำหรับ Norton AntiVirus หนอนจะพยายามลบไฟล์ถ้า Norton Antivirus ถูกติดตั้งไว้ในโฟลเดอร์ C:\Program Files\Norton Antivirus
สิ่งที่ไฟล์ที่ถูกใส่ไว้ในระบบทำ * MixDaLaL.vbs
MixDaLaL.vbs เป็นไฟล์สคริปต์ที่ถูกเขียนด้วยภาษา Visual Basic ซึ่งถูกใส่ไว้ในโฟลเดอร์ \Windows\System เมื่อหนอนทำการ execute ไฟล์นี้ ก็จะทำให้สคริปต์ทำงานโดยเข้าไปตรวจสอบในทุกๆโฟลเดอร์บนไดร์ฟทั้งหมดและเน็ตเวิร์คไดรฟ์ด้วย ถ้าหากพบไฟล์ที่มีนามสกุล .htm หรือ .html มันก็จะทำการเขียนทับไฟล์เหล่านั้นด้วยข้อความต่อไปนี้
AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You
*
ZaCker.vbs
ไฟล์นี้ถูกนำไปใส่ไว้ในโฟลเดอร์ \Windows\System เช่นกัน แต่มันไม่ได้ถูก execute ด้วยหนอนตัวนี้ หากแต่ถูกนำค่า Norton.Thar \Windows\System\ZaCker.vbs ไปใส่ไว้ใน registry key
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
ดังนั้นมันจะถูก execute ทุกครั้งที่เปิดเครื่อง
เมื่อมันถูก execute ตอนที่เครื่อง restart ครั้งต่อไป ไฟล์นี้จะพยายามลบไฟล์ทั้งหมดในโฟลเดอร์ \Windows และจากนั้นมันก็จะสร้างหรือเขียนทับไฟล์ชื่อ C:\Autoexec.bat โดยที่ในไฟล์นี้จะมีคำสั่งในการ format ไดร์ฟ C ด้วย สำหรับไฟล์ Autoexec.bat นี้ ปกติจะถูก execute บนระบบ Windows 95/98/Me และ Dos เมื่อเปิดเครื่อง
สุดท้าย หนอนก็จะแสดงข้อความดังนี้
*
โดยหนอนจะพยายาม shut down เครื่อง หลังจากที่มีข้อความปรากฎ อย่างไรก็ตามไฟล์ที่ต้องใช้ในการทำให้เครื่อง shut down นั้นได้ถูกลบออกจากโฟลเดอร์ \Windows ไปแล้ว เหตุการณ์ดังกล่าวจึงไม่สามารถเกิดขึ้นได้
คำแนะนำในการกำจัด: 1. ทำการ run LiveUpdate เพื่อให้แน่ใจว่าเครื่องของคุณมี virus definition ล่าสุดแล้ว
2. ทำการ start Norton Antivirus (NAV) และต้องแน่ใจว่าได้ตั้งค่าให้โปรแกรมทำการ scan ทุกไฟล์แล้ว สำหรับคำแนะนำสามารถอ่านได้จากเอกสาร How to configure Norton AntiVirus to scan all files
3. ทำการ scan ทั้งระบบ
4. ลบทุกไฟล์ที่ถูกตรวจพบว่าเป็นหนอน W32.Vote@mm ถ้าหนอนตัวนี้ได้แพร่กระจายแล้วและโปรแกรม Norton Antivirus ถูกติดตั้งไว้ในโฟลเดอร์ C:\Program Files\Norton AntiVirus คุณควรจะทำการติดตั้ง Norton Antivirus ใหม่อีกครั้ง
5. ถ้าเครื่องถูก reboot หลังจากติดไวรัสหรือหนอนตัวนี้แล้ว หรือเครื่องมีสักษณะไม่เสถียรแล้ว ขอแนะนำให้ทำการติดตั้งระบบปฏิบัติการใหม่
ข้อมูลเพิ่มเติม:ถ้า Backdoor.Trojan ถูกติดตั้งบนเครื่องสำเร็จ ก็มีความเป็นไปได้ที่ระบบของคุณจะถูกเข้าถึงจากระยะไกลโดยผู้ที่ไม่ได้รับอนุญาต ดังนั้นเครื่องที่ติดไวรัสหรือหนอนตัวนี้แล้วจึงถือได้ว่าระบบไม่มีความสมบูรณ์แล้ว ซึ่งผู้ที่เข้าถึงระบบของคุณสามารถทำการเปลี่ยนแปลระบบของคุณได้ เช่น:
* ขโมยหรือเปลี่ยนแปลงรหัสผ่านหรือไฟล์รหัสผ่าน
* ติดตั้งประตูหลังเพื่อใช้เชื่อมต่อเข้ามาที่ระบบได้อีกในภายหลัง
* ติดตั้ง keystroke logging software
* แก้ไขการตั้งค่ากฎของ Firewall
* ขโมยหมายเลขบัตรเครดิต ข้อมูลของธนาคาร ข้อมูลส่วนบุคคล และข้อมูลอื่นๆ
* ลบหรือแก้ไขไฟล์ต่างๆ
* ส่งข้อความที่ไม่เหมาะสมหรือใส่ร้ายผู้อื่น
* แก้ไขสิทธิในการเข้าถึงไฟล์หรือ user accounts
* ลบข้อมูลจากไฟล์ที่เก็บล็อก เพื่อปิดบังการกระทำของตัวเอง
ถ้าต้องการให้แน่ใจว่าองค์กรของคุณปลอดภัยจากไวรัสจริงๆนั้น คุณควรต้องทำการติดตั้งระบบปฏิบัติการใหม่และนำไฟล์ที่ทำการสำรองไว้ก่อนติดไวรัสมาใช้ รวมทั้งทำการเปลี่ยนรหัสผ่านทั้งหมดที่อยู่บนเครื่องหรือที่ใช้ผ่านเครื่องดังกล่าวด้วย
เครดิต :
http://www.thaicert.nectec.or.th
