ป้องกันด่วน!!! W32.Mydoom.O@MM
จากการที่บริษัทผู้ผลิตซอฟท์แวร์ระบบรักษาความปลอดภัยชั้นแนวหน้าของโลกหลายบริษัทได้ออกมาเตือนผู้ใช้งานอินเทอร์เน็ตถึงมหันตภัยที่ร้ายกาจของหนอนไวรัสตระกูล MyDoom ชื่อ W32.Mydoom.O@MM ซึ่งได้สร้างความแตกตื่นให้กับผู้ใช้งานอินเตอร์ทุกระดับตั้งแต่ ผู้ใช้งานอย่างเราๆ ไปจนถึงระดับ Enterprise เลยทีเดียว โปรแกรมระบบปฏิบัติการเจ้าเก่าที่ได้รับผลกระทบไปเต็มๆ ก็คือ Windows 95, Windows 98, Windows NT, Windows Me, Windows 2000, Windows Server 2003, Windows XP ผลิตภัณฑ์จาก Microsoft นั่นเองครับ
W32.Mydoom.O@MM มีความร้ายกาจอย่างไร และมีวิธีใดบ้างที่จะป้องกัน และกำจัดไวรัสชนิดนี้
ความร้ายกาจของ W32.Mydoom.O@MM
บอกได้เลยครับว่าวิวัฒนาการของหนอนไวรัส (Worm Virus) ได้ก้าวขึ้นไปอีกขั้น ซึ่งจะว่าไปแล้วในบรรดาสายพันธุ์หนอนไวรัสทั้งหมด Mydoom ถือได้ว่าเป็นไวรัสที่ขยายพันธุ์ได้อย่างรวดเร็วที่สุด และมากที่สุดซะด้วยสิครับ
วิธีแพร่พันธุ์และขยายพันธุ์หลักๆ ก็จะใช้ชื่ออีเมล์ที่เราๆ ท่านๆ ใช้กันนี่แหละ ที่ผ่านมา Mydoom รุ่นก่อนๆ ขยายพันธุ์โดยส่งเมล์ไวรัสไปยังรายชื่ออีเมล์ที่อยู่ Address Book ของผู้ที่ติดไวรัสซึ่งก็หมายความว่าเพื่อนพ้อง ญาติโยม และพ่อค้าลูกค้าของเราที่มีรายชื่อในนั้นก็โดนหมดแหละครับ วันดีคืนดี มันก็จะส่งตัวมันเองโดยใช้ชื่อเมล์ของเราไปยังบุคคลเหล่านั้น และแจ็คพอทก็แตกเมื่อผู้รับปลายทางเปิดไฟลแนบที่มากับอีเมล์ จะอะไรซะอีกล่ะครับถ้ารางวัลที่ได้รับคือติดไวรัส Mydoom ด้วยอีกคน
W32.Mydoom.O@MM โหดกว่าพี่ๆของมันเยอะครับ กล่าวคือ คุณสมบัติที่พี่ๆ มันมี ก็ยังคงไว้อยู่ในความสามารถปกติของมันครับ พัฒนาการที่มากกว่านั้นก็คือ เครื่องใดหรืออีเมล์ใดที่ติดไวรัส มันก็จะใช้เสิร์ชเอนจิ้นชั้นนำของโลกอย่าง Lycos ,Altavista, Yahoo หรือแม้แต่ google เว็บเสิร์ชเอนจิ้นอันดับหนึ่งของโลกทำการค้นเว็บโดเมนของอีเมลแอดเดรสนั้นเพื่อหาอีเมลแอดเดรสอื่นๆที่มีโดเมนเดียวกันกับผู้ที่ติดไวรัสเพิ่มเติมอีกด้วย จะยกตัวอย่างง่ายๆครับ คือ สมมติอีเมล์ผม nongsom@aaa.com ติดไวรัส คนที่มีอีเมล์เดียวกันคือ somchai@aaa.com ,somporn@aaa.com ,somkane@aaa.com หรือ somxxx@aaa.com ก็มีสิทธิโดนได้ครับแม้จะไม่มีชื่ออีเมล์เหล่านี้ใน Address Book ของอีเมล์ผม nongsom@aaa.com ก็ตาม เพราะหากเสิร์ชเอนจิ้นค้าเจอ คนเหล่านั้นก็จะโดยแจ็คพอททันทีครับ เฮ้อ....ฟังดูราวกับว่าคนทั้งโลกที่มีอีเมล์ อาจจะโดนทั้งหมดครับ
ความเสียหายและผลกระทบจากการถูกหนอนไวรัส W32.Mydoom.O@MM โจมตี
- อยู่ๆ เครื่องเราส่งอีเมล์ออกไปเองเป็นจำนวนมาก ส่งไปหาใครบ้างก็ไม่รู้ ถ้าเป็นคนสำคัญล่ะ? !!!
- เปิดช่องการเชื่อมต่อ (Port) ที่ผิดปกติทำให้ผู้ที่ไม่ประสงค์ดีเข้ามาล้วงข้อมูลและควบคุมเครื่องของเราได้
- แน่นอนเครื่องอาจทำงานผิดพลาด ทำงานช้า ทั้งนี้ก็เนื่องจากเจ้าหนอนไวรัสจะทำการแก้ไขไฟล์และรีจิสทรีในเครื่องของเรานั่นเอง
ทราบได้อย่างไรว่านี่คืออีเมล์ไวรัส W32.Mydoom.O@MM
:: หากพบว่าได้รับอีเมล์ที่มีหัวข้อต่อไปนี้ต้องระวัง
say helo to my litl friend
click me baby, one more time
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
:: หากอีเมล์ที่ได้รับมีไฟล์แนบมากับอีเมล์ดังรายชื่อต่อไปนี้ต้องระวัง
readme
instruction
transcript
mail
letter
file
text
attachment
document
message
:: หากอีเมล์ที่ได้รับมีไฟล์แนบมากับอีเมล์เป็นไฟล์ที่มีนามสกุลต่อไปนี้ต้องระวัง
cmd
bat
com
exe
pif
scr
การกำจัดหนอนไวรัส MyDoom
สามารถทำตามขั้นตอนได้ดังต่อไปนี้ครับ
1. ให้ผู้ใช้งานทำการดาวน์โหลดไฟล์ FxMydoom.exe จาก http://securityresponse.symantec.com/avcenter/FxMydoom.exe
2. ปิดโปรแกรมทุกโปรแกรม ที่กำลังใช้งานอยู่ในขณะนั้นก่อน ที่จะทำการเปิดไฟล์ที่ดาวน์โหลดจากข้อ 1
3. ตัดการเชื่อมต่อจากเครือข่ายทุกช่องทาง ไม่จะเป็น ปิดModemที่ต่ออินเทอร์เน็ต, ถอดสาย LAN หรือยกเลิกการใช้ Wireless เป็นต้น
4. หากผู้ใช้งานใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน ดังนี้ครับ
:: Disable System Restore ใน Windows XP ::
- คลิกขวา ที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ System Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
ตอนนี้ Restore Utility ถูกยกเลิกเรียบร้อยแล้วครับ
:: Disable System Restore ใน Windows ME ::
- คลิกขวา ที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ Performance
- กดปุ่ม File System
- เลือกแถบ Troubleshooting
- ใส่เครื่องหมายเลือก "Disable System Restore"
- กดปุ่ม Apply
- กดปุ่ม Close
- กดปุ่ม Close อีกที
- เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
5. จากนั้นทำการเปิดไฟล์ FxMydoom.exe โดยการดับเบิลคลิกไฟล์ดังกล่าวแล้วกดปุ่ม start ดังรูป
6. ทำการรีสตาร์ทเครื่อง แล้วทำการเปิดไฟล์ FxMydoom.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
7. ในขั้นตอนสุดท้ายหากผู้ใช้งานใช้ระบบปฏิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore โดยทำตามขั้นตอนในข้อที่ 4 อีกครั้งครับ
โดยผู้ใช้งานจะต้องทำการ Enable System Restore ดังนี้ครับ
- Windows XP ให้เอาเครื่องหมายเลือกออกจาก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
- Windows ME ให้เอาเครื่องหมายเลือกออกจาก "Disable System Restore"
ป้องกันไวรัส W32.Mydoom.O@MM
1.ติดตั้งโปรแกรม Antivirus และหมั่นอัพเดตโปรแกรมให้ทันสมัยอยู่เสมอ
2.หมั่นอัพเดตโปรแกรมปรับปรุง(Pacth) เพื่อทำการปิดช่องโหว่ให้หนอนไวรัสโจมตีได้ อันได้แก่
- IE 6.0 Service Pack 1 (สำหรับปรับปรุง IE 6 ของเราครับ)
- Windows 2000 Service Pack 4 (อันนี้สำหรับนักดูแลระบบ Windows 2000 ครับ)
- Windows XP Service Pack 1a (ผู้ใช้งาน Windows XP ครับ)
ข้อมูลอ้างอิง
- http://www.microsoft.com/thailand/security/mydoom.asp
- http://thaicert.nectec.or.th/advisory/alert/mydoom_m.php
เรียบเรียงโดย
นเรศ เดชผล
| 
