ประกาศ : โปรดระวัง VIRUS ตัวใหม่ (W32.Sober.AG@mm)
วันที่
22 พ.ย. 48
รูปแบบของ VIRUS มีดังนี้
 
W32.Sober.AG@mm เป็นหนอนอินเทอร์เน็ตที่สามารถแพร่กระจายผ่านโพรโตคอล SMTP (Simple Mail
Transfer Protocol) ของหนอนเอง อี-เมล์ที่ส่งนั้นจะมีสองภาษาคือภาษาอังกฤษและภาษาเยอรมัน โดยเนื้อหาของอี-เมล์
จะหลอกลวงว่า FBI และ CIA เป็นผู้ส่งมา
 
  ลักษณะของอี-เมล์ มีดังนี้
 
 
 
ภาษาเยอรมัน
ภาษาอังกฤษ
ชื่อผู้ส่งอี-เมล์
ปลอมแปลงชื่อผู้ส่ง
ปลอมแปลงชื่อผู้ส่ง
หัวข้ออี-เมล์ Ihr Passwort
Account Information
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
Your Password
Registration Confirmation
smtp mail failed
Mail delivery failed
hi, ive a new mail address
You visit illegal websites
Your IP was logged
Paris Hilton & Nicole Richie
ไฟล์ที่แนบมากับอี-เมล์ [STRING 1].zip
[STRING 1]-TextInfo.zip
Email.zip
Email_text.zip
[STRING 2].zip
Akte[STRING 2].zip
[STRING 3].zip
[STRING 3]_Text.zip
Ebay.zip
Ebay-User_RegC.zip

ซึ่งค่า [STRING 1] แทนด้วย
Service
Webmaster
Postman
Info
Hostmaster
Postmaster
Admin

และค่า [STRING 2] แทนด้วย
Downloads
BKA
Internet
Post
Anzeige
BKA.Bund

และตัวแปร [STRING 3] แทนด้วย
Kandidat
WWM
Auslosung
Casting
Gewinn
Info
RTL-Admin
RTL
Webmaster
RTL-TV

reg_pass.zip
reg_pass-data.zip
mail.zip
mail_body.zip
mailtext.zip
list[RANDOM CHARACTERS].zip
question_list[RANDOM CHARACTERS].zip
downloadm.zip

ภายในไฟล์เหล่านี้จะบรรจุไฟล์ที่มีชื่อว่า

File-packed_dataInfo.exe

ข้อความในอี-เมล์ Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
*** [http://]www.[DOMAIN NAME OF SENDER]
*** E-Mail: PassAdmin

Bei uns wurde ein neues Benutzerkonto mit dem Namen
beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99

Account and Password Information are attached!
Protected message is attached!
=====dHSd9SZd;99zZ((EEEA
=====dw1W)6ZdzSL91WR
***** Go to: [http://]www.[DOMAIN NAME OF SENDER]
***** Email: postman

This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!

hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa

The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.

 
 
  ตัวอย่างอี-เมล์ที่หนอนชนิดนี้ส่งออกมา
 
 
 
วิธีการแพร่กระจาย
 
  หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ โดยเนื้อหาของอี-เมล์นั้นมีทั้งภาษาอังกฤษและเยอรมัน
 
ผลกระทบที่เกิดขึ้น
 
  • ส่งอี-เมล์ออกมาเป็นจำนวนมาก : หนอนจะส่งอี-เมล์โดยใช้ SMTP ของหนอนเอง
  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรีย์ ทำให้เครื่องทำงานผิดพลาดได้
  • ลดระดับความปลอดภัยของเครื่อง : เขียนทับไฟล์ที่ชื่อ luall.exe ซึ่งจะรันตัวหนอนทุกครั้งที่มีการเรียกโปรแกรม Live Update
 
วิธีกำจัดหนอนชนิดนี้
 
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
     http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
 
  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
 
วิธีป้องกันตัวเองจากหนอนชนิดนี้
 
  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้น
     เป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer
     และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
 
   
 
  6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
  7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่
     http://thaicert.nectec.or.th/paper/virus/zone.php
  8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่
     http://thaicert.nectec.or.th/mailinglist/register.php
  10. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ
     วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
 
ช้อมูลอ้างอิง
 
  1. http://thaicert.nectec.or.th/advisory/alert/sober_x.php
  2. http://www.outpost24.com/
  3. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSOBER%2EAG
  4. http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.x@mm.html
  5. http://vil.mcafee.com/dispVirus.asp?virus_k=137072
  6. http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=98110&sind=0
         

  สำนักงานกลางสารสนเทศบริการสุขภาพ (สกส.)