รูปแบบของ VIRUS มีดังนี้

	W32.Zotob.E หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Microsoft Windows Plug
and Play Vulnerability หรือ MS05-039 ผ่านพอร์ต 445/TCP เฉพาะบนระบบปฏิบัติการวินโดวส์ NT และ 2000 เท่านั้น
ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า wintbp.exe ในส่วนของระบบปฏิบัติการอื่นจะไม่ถูกโจมตี แต่ก็มีโอกาสที่จะได้รับไฟล์หนอน
และทำการติดตั้งให้โจมตีไปยังเครื่องที่ใช้ระบบปฏิบัติการวินโดวส์ NT หรือ 2000 ได้
	นอกจากนี้ หนอนยังทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC เพื่อทำการส่งข้อความออกไปอีกด้วย

วิธีการแพร่กระจาย

	หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากการค้นหาเครื่องคอมพิวเตอร์ตามหมายเลข IP ที่หนอนสร้างขึ้นมา หากพบว่า
เครื่องเหล่านี้ยังไม่ได้ทำการติดตั้งโปรแกรมซ่อมแซมช่องโหว่ของ Microsoft Windows Plug and Play Vulnerability
หรือ MS05-039 หนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้หน่วยความจำล้น (Buffer Overflow) ส่งผลทำให้
มีการเปิดพอร์ต 7778/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ [0-9].bat ในโฟลเดอร์ Temp ของวินโดว์ ใช้ในการดาวน์โหลด
และเอ็กซิคิวต์ไฟล์ของหนอนเอง

ผลกระทบที่เกิดขึ้น

เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้ เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 445/TCP และ 7778/TCP รบกวนการทำงานของระบบเครือข่าย : หนอนจะทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC ที่ IP 72.20.27.115

วิธีกำจัดหนอนชนิดนี้

	1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
	http://www.trendmicro.com/ftp/products/tsc/sysclean.com
	2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
	3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
	4. ตัดการเชื่อมต่อเครือข่าย
	5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
	6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
	7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
	8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

	หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

วิธีป้องกันตัวเองจากหนอนชนิดนี้

	1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
	2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้น
	เป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
	3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
	4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
	5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer
	และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด

	IE 6.0 Service Pack 1 Windows 2000 Service Pack 4 Windows XP Service Pack 2

	6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่
	http://www.thaicert.nectec.or.th/paper/virus/zone.php
	7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
	8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่
	http://thaicert.nectec.or.th/mailinglist/register.php
	9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ
	วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ช้อมูลอ้างอิง

	1. http://www.thaicert.nectec.or.th/advisory/alert/zotob_e.php
	2. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM% 5FRBOT%2ECBQ&VSect=T
	3. http://www.outpost24.com/
	4. http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.e.html
	5. http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=135491
	6. http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=43416

สำนักงานกลางสารสนเทศบริการสุขภาพ (สกส.)