Virus alert: WORM_SOHANAD

ชื่อไวรัส: WORM_SOHANAD, Generic Downloader.s (McAfee), W32.Imaut.AA (Symantec), Worm/VB.CK.7 (Avira), W32/VB-CXI (Sophos),
รายละเอียด:
มีรายงานการระบาดของไวรัส WORM_SOHANAD สายพันธ์ AG, AL AO และ DW เป็นจำนวนมาก โดยไวรัสตัวนี้จะแพร่ระบาดผ่านทางโปรแกรม instant messaging โดยเฉพาะ Yahoo! Messenger และ Windows Live Messenger/Windows Messenger เมื่อไวรัสตัวนี้เข้าไปติดเครื่องคอมพิวเตอร์ มันจะทำการดิสเอเบิล Registry Editor และ Task Manager ทำการเปลี่ยนแปลงการตั้งค่าของ Yahoo! Messenger และซ่อนคำสั่ง Run ใน Start Menu จากนั้นมันจะทำการดาวน์โหลดเวิร์ม WORM_SOHANAD.AG ซึ่งเวิร์มตัวนี้จะแพร่ระบาดผ่านทางสื่อเก็บข้อมูลแบบพกพา เช่น flash drive โดยการสำเนาไฟล์ Autorun.inf และ Boot.exe ลงใน flash drive โดยไฟล์ Autorun.inf นั้น จะทำหน้าที่ในการรันไฟล์ไวรัส (Boot.exe) และ ทำการแก้ไขรีจีสทรีเพื่อให้ทำการรันไวรัสเมื่อระบบเริ่มทำงาน

การทำงานของไวรัส
เมื่อไฟล์ไวรัสถูกรัน มันจะทำการสำเนาไฟล์ไวรัส ในชื่อไฟล์และตำแหน่งต่าง ดังนี้

%System%\blastclnnn.exe
%System%\scvshosts.exe
%Windows%\hinhem.scr
%Windows%\scvshosts.exe
%System%\nhatquanglan22.exe
%System%\setting.ini
%System%\test3.exe
%Windows%\Tasks\At1.job

หมายเหตุ
-เมื่อ %System% คือโฟลเดอร์ System ของ Windows ซึ่งโดยทั่วไปจะเป็น C:\Windows\System
-เมื่อ %Windows% คือโฟลเดอร์ Windows ซึ่งโดยทั่วไปจะเป็น C:\Windows หรือ C:\WINNT

จากนั้นมันจะทำการสร้างค่ารีจีสทรี เพื่อให้วินโดวส์ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = "%System%\scvshosts.exe"

และมันจะทำการแก้ไขค่ารีจีสทรี เพื่อให้วินโดวส์ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe scvshosts.exe"
(ค่าปกตินั้นจะเป็น EXPLORER.EXE)

ไวรัสยังคงทำการสร้าง cheduled task โดยใช้ Windows Task Scheduler ให้ทำการรันไฟล์ไวรัสอีกด้วย

ไวรัสยังคงทำการสร้างค่ารีจีสทรี เพื่อดิสเอเบิล Registry Editor และ Task Manager ดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "00000001"
DisableTaskMgr = "00000001"

ไวรัสทำการสร้างค่ารีจีสทรีเพื่อให้ทำงานด้านการติตตั้ง ดังนี้

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares
shared = "\New Folder.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NofolderOptions = "00000001"

ไฟล์ AUTORUN.INF ของไวรัส WORM_SOHANAD จะมีเนื้อหาดังนี้

[Autorun]
Open=scvshosts.exe
Shellexe cute=scvshosts.exe
Shell\Open\command=scvshosts.exe
Shell=Open

ไฟล์ไวรัส
ไวรัสตัวนี้ จะถูกตรวจพบในไฟล์ชื่อต่างๆ กันไป ตัวอย่างเช่น New Folder.exe, NMR.EXE, KEY.EXE, stat.EXE, RECYCLER.EXE, Flavonoids.EXE, Tannin.EXE, Tabernacles.EXE, Install.EXE, Patch Program.EXE, blastclnnn.EXE เป็นต้น

ระบบปฏิบัติการที่ได้รับผลกระทบ
ไวรัส WORM_FUBALCA นั้นจะระบาดบนเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 98, ME, NT, 2000, XP, และ Windows Server 2003 โดยเฉพาะ Yahoo! Messenger และ Windows Live Messenger/Windows Messenger

ไวรัสจะทำการดาวน์โหลด malicious files ซึ่งบางไฟล์อาจมีไวรัสมาด้วยจาก ULRs ต่างๆ ดังนี้
http://{BLOCKED}tting3.9999mb.com/setting.doc
http://{BLOCKED}tting3.9999mb.com/setting.xls
http://{BLOCKED}tting3.yeahost.com/setting.doc
http://{BLOCKED}tting3.yeahost.com/setting.xls
http://www.{BLOCKED}eewebs.com/setting3/setting.doc
http://www.{BLOCKED}eewebs.com/setting3/setting.xls

อาการเมื่อติดไวรัส WORM_SOHANAD
มื่อติดไวรัส WORM_SOHANAD จะมีอาการดังต่อไปนี้
- ไม่สามารรถ Task Manager ได้
- ไม่สามารถเปิดโปรแกรม Regedit ได้
- ในหน้าต่าง Windows Explorer จะไม่มีเมนู Tools\Folder Options
- มีไฟล์ชื่อ autorun.inf และ Boot.exe ใน flash drive

วิธีการป้องกัน
1. การป้องกันไวรัสด้วยโปรแกรม Trust No Exe อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/11/kb-112007-17.html
2. ปิดการใช้งาน Autoplay อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/turnoff-autoplay-on-all-drives-in.html
3. วิธีการป้องกันไวรัสจาก Flash drive อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/07/protect-computer-from-flash-drives.html
4. ป้องกันไม่ให้วินโดวส์รันโปรแกรมที่กำหนด อ่านรายละเอียดที่ http://thaiwinadmin.blogspot.com/2007/10/kb-102007-22.html
http://thaiwinadmin.blogspot.com
แหล่งข้อมูลอ้างอิง
• อ่านรายละเอียดเพิ่มเติมที่ Trend Micro (1)
• อ่านรายละเอียดเพิ่มเติมที่ Trend Micro (2)
http://thaiwinadmin.blogspot.com
WORM_SOHANAD.AG WORM_SOHANAD.AL WORM_SOHANAD.DW Generic Downloader.s W32.Imaut.AA Worm/VB.CK.7 W32/VB-CXI
© 2007 Thai Windows Administrator, All Rights Reserved.