Sunday, November 25, 2007

Home » » เตือนภัยไวรัส: Worm_Agent.SPS

เตือนภัยไวรัส: Worm_Agent.SPS

By  8:52:00 AM  No comments
ชื่อไวรัส: WORM_AGENT.SPS, Virus.Win32.AutoRun.k (Kaspersky), Generic BackDoor.u (McAfee), W32.SillyDC (Symantec), W32/AutoRun.K.5 (Avira), W32/Colit-A (Sophos)

ข้อมูลทั่วไปของไวรัส WORM_AGENT.SPS
ไวรัส WORM_AGENT.SPS นั้น อาจติดเครื่องคอมพิวเตอร์โดยการแฝงอยู่ในเว็บไซต์บนอินเทอร์เน็ต และลวงให้ผู้ใช้ทำการดาวน์โหลดและติดตั้งลงบนเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว หรือว่าอาจติดมากับไวรัสตัวอื่นๆ โดยไฟล์ไวรัสของไวรัส WORM_AGENT.SPS นั้นมีชื่อไฟล์ว่า mmc32.exe

เมื่อไวรัส WORM_AGENT.SPS เข้าไปติดเครื่องคอมพิวเตอร์ มันจะแพร่ระบาดผ่านทางสื่อเก็บข้อมูลแบบพกพา โดยการสำเนาไฟล์ Autorun.inf และ ไฟล์ไวรัส (ชื่อไฟล์ mmc32.exe)ลงในไดรว์เก็บข้อมูลแบบพกพาทุกๆ ไดรว์ ซึ่งไฟล์ Autorun.inf นั้น จะทำหน้าที่ในการรันไฟล์ไวรัสทุกครั้งที่มีการแอ็คเซสไดรว์เก็บข้อมูลแบบพกพา

การทำงานของไวรัส WORM_AGENT.SPS
หลังจากที่ไวรัส WORM_AGENT.SPS เข้าไปติดเครื่องคอมพิวเตอร์แล้ว มันจะทำการสร้างโฟลเดอร์ Recycler และทำการสำเนาไฟล์ crss.exe และ dnscon70.dll ลงในโฟลเดอร์ System ของวินโวส์ จากนั้นมันจะทำการสำเนาไฟล์ไวรัส (mmc32.exe) ลงโฟลเดอร์ %Temp%\_ISTMPI.DIR\ (เมื่อ %Temp% เป็นโฟลเดอร์ Temporary ของวินโดวส์ ซึ่งโดยทั่วไป คือ C:\Windows\Temp หรือ C:\WINNT\Temp)

จากนั้นไวรัส WORM_AGENT.SPS จะทำการแก้ไขรีจีสทรีของวินโดวส์ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetManager

การแพร่ระบาดผ่านทางสื่อเก็บข้อมูลแบบต่างๆ
ไวรัส WORM_AGENT.SPS นั้น จะทำการสำเนาไฟล์ Autorun.inf และ ไฟล์ไวรัส (ชื่อไฟล์ mmc32.exe) ลงในไดรว์เก็บข้อมูลแบบพกพาทุกๆ ไดรว์ เพื่อให้วินโดวส์ทำการเอ็กซีคิวท์ไฟล์ไวรัส เมื่อมีการเชื่อมต่อไดรว์เข้ากับเครื่องคอมพิวเตอร์หรือมีการดับเบิลคลิกไดรว์ โดยเนื้อหาในไฟล์ Autorun.inf จะมีลักษณะดังนี้

[AutoRun]
Open=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE
shellexecute=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE
shell\Auto\command=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE
shell\Browser\command=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE

นอกจากนั้น ไวรัส WORM_AGENT.SPS ยังทำการสำเนาไฟล์มัลแวร์ต่างๆ ดังนี้

%System%\NETMANAGE.DLL - WORM_AGENT.SPS
%System%\netused.dll - WORM_AGENT.SPS
%Temp%\_ISTMPI.DIR\autorun.inf
%Temp%\_ISTMPI.DIR\template.tmp
%Temp%\Del37.tmp

เมื่อ %System% คือโฟลเดอร์ System ของวินโดวส์ ซึ่งโดยทั่วไปจะเป็น "C:\Windows\System32" สำหรับ Windows XP และ Windows Server 2003 หรือ "C:\WinNT\System32" สำหรับ Windows NT หรือ "C:\Windows\System" สำหรับ Windows 98/ME

ระบบที่ได้รับผลกระทบจากไวรัส WORM_AGENT.SPS
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, 2000, XP, และ Windows Server 2003

อาการเมื่อติดไวรัส WORM_AGENT.SPS
- มีไฟล์ต่างๆ ที่ได้กล่าวถึงไปด้านบน
- มีรีจีสทรีคีย์ต่างๆ ที่ได้กล่าวถึงไปด้านบน

วิธีการแก้ไขเมื่อติดไวรัส WORM_AGENT.SPS
การแก้ไขเมื่อติดไวรัส นั้น ก่อนอื่นต้องทำการรีสตาร์ทเครื่องคอมพิวเตอร์ใน Save Mode แล้วทำการแก้ไขรีจีสทรีตามวิธีการด้านล่าง

แก้ไขรีจีสทรี
ทำการลบรีจีสทรีซึ่งเรียกรันไฟล์ mmc32.exe ตามขั้นตอนดังนี้
1. Start > Run พิมพ์คำสั่ง regedit กด Enter
2. ช่องด้านซ้ายให้คลิกที่ HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
3. ช่องด้านซ้ายให้ทำการลบรีจีสทรี Dnscon และ NetManager
4. ปิดโปรแกรม Registry Editor

ลบไฟล์และโฟลเดอร์ต่างๆ ที่ไวรัสสร้างขึ้นมา
1. ทำการลบไฟล์ชื่อ Del37.tmp และโฟลเดอร์ชื่อ _ISTMPI.DIR ให้กด SHIFT+DELETE เพื่อทำการลบโดยไม่ต้องเก็บใน Recycle Bin
2. ทำการสแกนไวรัสแบบเต็มรูปแบบเพื่อให้แน่ใจว่าไวรัสได้ถูกลบออกหมดแล้ว
3. ป้องกันการรันไฟล์ Flashy.EXE โดยใช้ GPEdit.msc

การแก้ไขไฟล์ AUTORUN.INF
ทำการแก้ไขไฟล์ AUTORUN.INF ซึ่งถูกไวรัสแก้ไขเปลี่ยนแปลงให้กลับไปเหมือนเดิมดังนี้

1. ต่อไดรว์เก็บข้อมูลแบบพกพาที่ติดไวรัส WORM_AGENT.SPS เข้ากับเครื่องคอมพิวเตอร์
2. ให้เลือกไฟล์ Autorun.INF แล้วทำการเปิดด้วยโปรแกรม Notepad
3. ทำการลบบรรทัดต่างๆ ดังนี้ (ถ้าหากมี)
[AutoRun]
Open=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE
shellexecute=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE
shell\Auto\command=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE
shell\Browser\command=RECYCLER\S-1-5-21-1078073611-1993962763-839522115-1003\mmc32.EXE

4. ถ้าหากมีไดรว์เก็บข้อมูลแบบพกพาตัวอื่นๆ ที่ติดไวรัส WORM_AGENT.SPS ให้ทำตามขั้นตอนที่ 1-3

วิธีการป้องกันไวรัส
สามารถอ่านคำแนะนำในการป้องกันไวรัสและมัลแวร์ ได้ที่
1. การป้องกันไวรัสด้วยโปรแกรม Trust No Exe http://thaiwinadmin.blogspot.com/2007/11/kb-112007-17.html
2. การปิดการใช้งาน Autoplay http://thaiwinadmin.blogspot.com/2007/07/turnoff-autoplay-on-all-drives-in.html
3. วิธีการป้องกันไวรัสจาก Flash drive http://thaiwinadmin.blogspot.com/2007/07/protect-computer-from-flash-drives.html
4. การป้องกันไม่ให้วินโดวส์รันโปรแกรมที่กำหนด http://thaiwinadmin.blogspot.com/2007/10/kb-102007-22.html

แหล่งข้อมูลอ้างอิง
เว็บไซต์ Trend Micro: WORM_AGENT.SPS

การป้องกัน การแก้ไข ไวรัส Virus
WORM_AGENT.SPS Virus.Win32.AutoRun.k Generic BackDoor.u
W32.SillyDC W32/AutoRun.K.5 W32/Colit-A
© 2007 Thai Windows Administrator, All Rights Reserved.

0 Comment:

Post a Comment