ประกาศ : โปรดระวัง VIRUS ตัวใหม่ (W32.Sober.R@mm)
วันที่
7 ต.ค. 48
รูปแบบของ VIRUS มีดังนี้
 
  W32.Sober.R@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านโพรโตคอล SMTP (Simple Mail
Transfer Protocol) ของหนอนเองโดยจะส่งอี-เมล์ไปยังแอดเดรสที่ถูกค้นพบในเครื่องคอมพิวเตอร์ที่ถูกหนอนชนิดนี้คุกคาม
และอี-เมล์ ที่ส่งนั้นจะมีสองภาษาคือภาษาอังกฤษและภาษาเยอรมัน พร้อมกับแนบไฟล์บีบอัดที่ภายในมีไฟล์ชื่อ
PW_Klass.Pic.packed-bitmap.exe หรือ Screen_Photo.jpeg-graphic1.exe ซึ่งเป็นไฟล์ของหนอน
 
  ลักษณะของอี-เมล์ (ภาษาเยอรมัน) มีดังนี้
 
 
Subject: Fwd: Klassentreffen

Message body:
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehngt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurck!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry fr die belstigung ;)

liebe gr
(any of the following:)
. Rita
. Sandra
. Nicole
. Hannelore
. Kerstin
. Elke

Attachment: KlassenFoto.zip

 
 
Subject: Bcc: Ich habe Ihre Mail erhalten!

Message body:
Danke fu"r Ihre Mail ....
Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, na"mlich an mich. Ich kenne sie aber nicht!
Oder Ihr Provider hat die Mail falsch weiter geleitet!?
Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zuru"ck.

Attachment: Privat-Foto.zip

 
  ลักษณะของอี-เมล์ที่หนอนส่งออกมาเป็น (ภาษาอังกฤษ) มีดังนี้
 
 
Subject: Your new Password

Message body:
Your password was successfully changed!
Please see the attached file for detailed information.

Attachment: pword_change.zip

 
 
Subject: FwD: or I've got your mail on my account!

Message body:
hello,

First I must say, my English is very very bad! Sorry about this.

Ok, I've got an email in my box, but this email is not for me, because,,, I'm not the recipient! The recipient are YOU !!!

This must be an email provider error, but I don't know!
I have made a Screenshot about this mail and saved in a zipped jpeg graphic file for you.

ok then,
bye

Attachment: screen_photo.zip

 
 
  โดยชื่อผู้ส่งจะถูกปลอมเป็นแอดเดรสที่หนอนหาได้จากในเครื่อง
 
  ตัวอย่างอี-เมล์ที่หนอนชนิดนี้ส่งออกมา
 
 
 
วิธีการแพร่กระจาย
 
  หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ โดยเนื้อหาของอี-เมล์นั้นมีทั้งภาษาอังกฤษและเยอรมัน
 
ผลกระทบที่เกิดขึ้น
 
  • ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรีย์ ทำให้เครื่องทำงานผิดพลาดได้
  • ลดระดับความปลอดภัยของเครื่อง : หยุดโปรเซสของโปรแกรมกำจัดไวรัส คือ stinger.exe [McAfee], MRT.EXE [Microsoft] และโปรแกรมอัพเดตฐานข้อมูลไวรัส Live Update [Symantec]
 
วิธีกำจัดหนอนชนิดนี้
 
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
     http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
 
  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
 
วิธีป้องกันตัวเองจากหนอนชนิดนี้
 
  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้น
     เป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer
     และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
 
   
 
  6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
  7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่
     http://www.thaicert.nectec.or.th/paper/virus/zone.php
  8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่
     http://thaicert.nectec.or.th/mailinglist/register.php
  10. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ
     วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
 
ช้อมูลอ้างอิง
 
  1. http://thaicert.nectec.or.th/advisory/alert/sober_r.php
  2. http://www.outpost24.com/
  3. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSOBER%
   2EAC&VSect=T
  4. http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.q@mm.html
  5. http://vil.nai.com/vil/content/v_136390.htm
  6. http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=47434
         

  สำนักงานกลางสารสนเทศบริการสุขภาพ (สกส.)