กรุงเทพฯ--11 ก.พ.--เพนเนอร์-แมดิสัน
ชื่อไวรัส: Win32.Doomjuice.A (http://www3.ca.com/virusinfo/virus.aspx?ID=38238)
Win32.Doomjuice.A เป็นไวรัสประเภทเวิร์มที่แพร่กระจายทาง backdoor ที่ไวรัส Win32.Mydoom สร้างไว้ โดยมีลักษณะเป็นไฟล์ไวรัสประเภท UPX-packed Win32ที่มีขนาด 36,864 ไบต์
วันที่ประกาศเตือน: 11 กุมภาพันธ์ พ.ศ. 2547
วิธีการแพร่กระจาย : โจมตีทางจุดอ่อนของระบบที่ถูกโจมตีโดย Win32.MyDoom ก่อนหน้านี้
Win32.Doomjuice.A จะสแกนหา พอร์ท TCP 3127 ที่เปิดทำงานอยู่เพราะติดเชื้อไวรัส Win32. Mydoom.A และไวรัส Win32.Mydoom.B และจะสั่งให้เซิร์ฟเวอร์ backdoor ที่ไวรัสเวิร์ม Mydoom สร้างไว้ให้ยอมรับและแพร่ไวรัสชนิดนี้ไปยังเครื่องที่เคยติดไวรัส Mydoom ประเภทต่างๆ มาก่อน
วิธีการฝังตัว
เมื่อไวรัสเวิร์มชนิดนี้จู่โจม จะสร้าง sync-z-mtx_133 ในโปรแกรม mutex เพื่อให้แน่ใจว่ามีไวรัสเวิร์มเพียงตัวเดียวที่กำลังแพร่กระจายอยู่ในขณะนั้น หลังจากนั้น ไวรัสชนิดนี้จะก๊อปปี้ตัวมันเองไว้ที่ System directory ในชื่อว่า internat.exe และเปิดไฟล์นี้ให้ทำงานและเปลี่ยนแปลง registry เพื่อที่จะทำงานเมื่อมีการรีสตาร์ทระบบครั้งต่อๆไป ตัวอย่างเช่น
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Gremlin = "%System%\internat.exe"
หมายเหตุ: '%System%' เป็นตำแหน่งที่เปลี่ยนแปลงได้ ตัวไวรัสจะรู้ตำแหน่งในแฟ้มเอกสารของระบบโดยการซักถามตัวระบบปฏิบัติการ ตำแหน่งพื้นฐานของการติดตั้งไวรัสสำหรับวินโดวส์ 2000 และ NT ได้แก่ C:\Winnt\System32 สำหรับ 95,98 และ ME ได้แก่ C:\Windows\System และสำหรับ XP คือ C:\Windows\System32
Payload: Denial of Service
ไวรัสจะโจมตี Microsoft.com เพื่อที่ Microsoft.com จะไม่สามารถให้บริการได้ หรือที่เรียกการจู่โจมแบบนี้ว่า DoS (Denial of Service) โดยที่ไวรัสตัวนี้จะเริ่มทำงานในวันที่ 8 กุมภาพันธ์ แต่ในช่วงวันที่ 8-11 กุมภาพันธ์ ไวรัสนี้จะรอเวลาในการจู่โจมเป็นช่วงวินาทีที่ต่างกัน และไวรัสจะทำการสุ่มเลือกหมายเลขของการทำงานเพิ่มเพื่อใช้ในการโจมตี
ข้อมูลซิกเนเจอร์และเอ็นจินที่จะปกป้องการโจมตีจากไวรัส Win32.Doomjuice.A ได้
ผลิตภัณฑ์ / เอ็นจิน ข้อมูลซิกเนเจอร์และเอ็นจิน* คำแนะนำในการกำจัดไวรัส
eTrust Antivirus6x/v7* 23.64.00 อัพเดทซอฟท์แวร์ป้องกันไวรัส
(InoculateIT Engine) ด้วยซิกเนเจอร์ล่าสุดและสแกนทุก
อุปกรณ์ที่ติดไวรัส พร้อม
ซ่อมแซมส่วนที่ถูกโจมตี
eTrust Antivirus 11.2x/8126
6x/v7* (Vet Engine)
eTrust EZ Antivirus 6.1x 6.x/5215 อัพเดทซอฟท์แวร์ป้องกันไวรัส
ด้วยซิกเนเจอร์ล่าสุดและสแกน
ทุกอุปกรณ์ที่ติดไวรัส พร้อม
ซ่อมแซมส่วนที่ถูกโจมตี
InoculanteIT4.x 46.00 อัพเดทซอฟท์แวร์ป้องกันไวรัส
ด้วยซิกเนเจอร์ล่าสุดและสแกน
ทุกอุปกรณ์ที่ติดไวรัส พร้อม
ซ่อมแซมส่วนที่ถูกโจมตี
Vet Anti-Virus 10.5x 10.5x/5215
Vet Anti-Virus 10.6x 10.6x/8126
* ซิกเนเจอร์เวอร์ชั่นที่กล่าวถึงในตารางและเวอร์ชั่นหลังจากนี้สามารถป้องกันไวรัส Win32.Doomjuice.A ได้กรณีที่ไฟล์ซิกเนเจอร์ที่มีให้ดาวน์โหลดเป็นเวอร์ชั่นก่อนหน้าที่ระบุไว้ข้างต้น แสดงว่าซิกเนเจอร์นั้นๆ ยังอยู่ระหว่างกระบวนการทดสอบคุณภาพ ซึ่งจะสามารถให้ดาวน์โหลดได้เร็วๆ นี้
ต้องการรายละเอียดเพิ่มเติมกรุณาติดต่อ:
คุณชิดชนก อุทัยกร, 0-2636-2467 ต่อ 122 หรือ uthch01@ca.com
คุณปริญดา นิลทจันทร์, 0-2711-6891 ต่อ 133 หรือ prinda_n@penner_madison.com--จบ--
-พห-