ชื่อ : W32.MSN.Worm และ W32.MSN2.Worm
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)ชื่ออื่นที่รู้จัก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky], IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32]ระดับความรุนแรง : ต่ำระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vistaระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x ----------------------------------------------
ข้อมูลทั่วไปW32.MSN.Worm หรือ IM-Worm.Win32.Agent.f เป็นหนอนที่แพร่กระจายตัวเองผ่านโปรแกรมสนทนา MSN Messenger ด้วยไฟล์ที่มีชื่อว่า Image.zip เมื่อหนอนชนิดนี้คุกคามภายในเครื่องคอมพิวเตอร์แล้ว หนอนจะสร้างไฟล์ %windir%winlog32.exe และจะพยายามส่งตัวเองไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ด้วย
หนอนชนิดนี้สามารถหยุดการทำงานของเซอร์วิส "Security Center" และ "winvnc4"
ลักษณะที่หนอนใช้ส่งจะประกอบไปด้วยข้อความต่างๆ แล้วตามด้วยไฟล์ Image.zip
เวิร์มตัวนี้แพร่กระจายตัวเองผ่านทาง MSN ทันทีที่มันติดเชื้อเครื่องของเหยื่อแล้ว ไวรัสจะสร้างไฟล์ pic.zip ซึ่งในไฟล์สกุล zip จะมีไฟล์ ชื่อ IMG34814.pif ซึ่งคือเวิร์ม(ไม่ได้บบีบอัดไฟล์)ลงในโฟลเดอร์ของระบบและจะส่งไฟล์ไวรัสนี้ ไปยังรายชื่อผู้ติดต่อที่อยู่ใน MSN โดยอาศัยเทคนิคลากแล้ววาง เหมือนผู้ใช้ส่งไฟล์ทั่วไป ชื่อที่ใช้ส่ง คือ pic.zip มีข้อความดังนี้ (วิเคราะห์โดย trackerx90)
"Hey :-), I just took this picture, sexy isnt it :-P?"
"What do you think of my photo editing skills?"
"Which one do you like in this pic, the black one or the blue one?"
"This is what happens when you eat to many chips :-P"
"Look what i made out of cans!! haah :-P!"
":-p this was halarious at that party a while back"
"Hey I have a new pic, what do ya think?"
"Check this out this pic is so freaking cool"
"Hahahaha, do you remember this picture?"
":-O Check this out! Nearly laughed my ass off!!"
"hey wats up.. have you seen this pic of harry potter?"
ส่วน W32.MSN2.Worm นั้นมีกระบวนการที่คล้ายกับเวอร์ชั่นก่อน เพียงแต่อาศัยไฟล์ที่ชื่อ pic.zip ในการแพร่กระจายผ่าน MSN และสร้างไฟล์ชื่อ %windir%msnmsg.exe
วิธีการแพร่กระจายหนอนชนิดนี้สามารถแพร่กระจายผ่านทางโปรแกรมสนทนา MSN Messenger
ผลกระทบที่เกิดขึ้นเครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการด้วย
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะส่งไฟล์ของหนอนไปยังบัญชีรายชื่ออื่นๆ ที่อยู่ในลิสต์ของโปรแกรมสนทนา MSN Messenger
รายละเอียดทางเทคนิค
เมื่อหนอน W32.MSN.Worm และ W32.MSN2.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
วิธีแก้ไขเมื่อดาว์นโหลดแล้วจะมีหน้าตาไฟล์แบบนี้ ดังภาพ (1) แบบใช้ WinRAR (2) แบบใช้ WinZIP (3) แบบที่ไม่มีทั้ง WinRAR และ WinZIP WinRAR : ให้แตกซิบออก โดยคลิกขวา คลิก Extract Here WinZip : คลิกขวา > เลือก winZIP > เลือก Extract to HereZip ของ Windows : คลิกขวา Open ได้เลยครับ เมื่อแตกไฟล์เรียบร้อยแล้วจะเป็นเหมือนในภาพนะครับ ผมแตกทั้ง 2 ไฟล์เลย จากนั้น Double Click เลยครับ ทดลองจากไฟล์ด้านบนก่อนเลย จะขึ้นหน้าจก command สีดำๆ และมีข้อความแจ้งเตือน ดังภาพ จากนั้น เมื่อทำการลบเสร็จสิ้น จะมีหน้าต่างเตือนขึ้นมาอีกที มาดูผลของการคลิกไฟล์ด้านล่างกันบ้าง แค่นี้ก็เป็นอันว่าเรียบร้อยแล้ว สำหรับการจำกัดเจ้า worm ตัวนี้ ออกไปจากเครื่องของเรา วิธีที่ป้องกันได้ดี คือ ควรติดตั้งตัว scan virus และ ควรมีสติตั้งมั่นอยู่ตลอดเวลา
สงสัยมั้ยว่า ปกติเวลาเพื่อนเรามันส่งไฟล์ภาพมาให้ มันไม่เคยใส่ zip มาเลยนะ ไฟล์มันก็เล็กนิดเดียว จะใส่ Zip มาทำไม แถมมีการทักทายเป็นภาษาอังกฤษ ซึ่งถ้ามันผิดวิสัยเพื่อนเรา ก็คิดไว้ได้เลยว่า ไม่ใช่เพื่อนเราแน่ๆ :aiwebs_011:
อันนี้ขอเอาลิ้งของเซียนเอ็ม มาแปะแล้วกัน
ใครที่ชื่อไวรัสนอกเหนือจากนี้หรือ ทำแล้วไม่หายลองไปอ่านต่อที่
http://msgmixlive.spaces.live.com/blog/cns!553F522E1A7BAB05!654.entry