กรุงเทพฯ--1 มี.ค.--เพนเนอร์-แมดิสัน
ชื่อไวรัส: Win32.Netsky.C (http://www.3.ca.com/virusinfo/virus.aspx?ID=38460) Win32.Netsky.C เป็นไวรัสตัวหนอนที่แพร่กระจายทางอีเมล์และเครือข่ายแบบ Peer-to-peer ไวรัส ดังกล่าวเป็น Win32 executable ไฟล์ซึ่งมีขนาด 28,160 ไบต์ (ตามมาตรฐาน ASPack) หรือ 25,353 ไบต์ (ตามมาตรฐาน PEtitie) โดยจะแฝงตัวเข้ามาในรูปของไอคอนไมโครซอฟต์ เวิร์ด แพด และอาจพบใน zip file เช่นกัน
วันที่ประกาศเตือน: 27 กุมภาพันธ์ พ.ศ. 2547
วิธีการแพร่กระจาย : ทางอีเมล์ (กรุณาตรวจสอบจาก URL ที่กล่าวถึงด้านบนหากต้องการตัวอย่างมากกว่านี้) เช่น document.txt.exe, associal.rtf.scr การแนบไฟล์อาจส่งมาในรูปแบบ Zip ไฟล์ เช่น document.zip, associal.zip ไวรัสดังกล่าวมี 25 IP addresses ในเซิร์ฟเวอร์ DNS เฉพาะซึ่งใช้เข้าสู่ mail server address โดยมีเป้าหมายเข้าสู่ e-mail ต่างๆ
ทางการแชร์ข้อมูล P2P ไฟล์ (กรุณาเช็ค URL ข้างบนหากต้องการตัวอย่างมากว่านี้)
ไวรัสนี้จะเข้าสู่ไดร์ฟ C จนถึง Z แต่ไม่พยายามเข้าไดร์ฟซีดีรอม ผ่านทางการติดตั้งเมื่อเครื่องทำงาน ไวรัสนี้จะสร้าง mutex ชื่อว่า "[SkyNet.cz
]SystemsMutex" เพื่อหลีกเลี่ยงการทำงานที่ซ้ำซ้อน มันจะก็อปปี้ตัวเองไปที่ %Windows%\WINLOGON.EXE ไวรัสจะเพิ่มค่า Registry ของ Windows เพื่อรับประกันได้ว่ามันจะทำงานทุกครั้งที่เริ่มใช้ Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ICQ Net = "%Windows%\winlogo.exe-stealth"ข้อควรจำ : 'Windows%' เป็นตำแหน่งติดตั้งที่สามารถเปลี่ยนแปลงได้ ไวรัสนี้จะหาตำแหน่งของโฟลเดอร์วินโดว์ปัจจุบันโดยการถามระบบปฏิบัติการ ตำแหน่งการติดตั้งที่ถูกกำหนดไว้ตั้งแต่แรกของวินโดวส์สำหรับวินโดว์ 2000 และ NT คือ C:\Winnt; for 95, 98 และ Me คือ C:\Windows; และสำหรับ XP คือ C:\Windows
Payload:
ไวรัสลบค่าของ Registry เหล่านี้ซึ่งบางส่วนเกี่ยวพันกับไวรัสตัวอื่นๆ :
HKLM\SOFTWARE\Microsoft\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\CurrentVersion\Run\Taskmon
HKLM\SOFTWARE\Microsoft\CurrentVersion\Run\Explorer
มันยังลบ Registry Key เหล่านี้ด้วย รวมทั้งค่าอื่นๆภายใน :
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
เสียงเจ้าปัญหา
ถ้าวันระบบคือวันที่ 27 กุมภาพันธ์ 2547, และตามชั่วโมงของวัน คือ 6, 7 หรือ 8 ไวรัสดังกล่าวจะส่งเสียงบี๊บๆผ่านลำโพงของเครื่องอย่างต่อเนื่องทุกๆ 0.05 วินาที
ข้อมูลซิกเนเจอร์และเอ็นจินที่จะปกป้องการโจมตีจากไวรัส Win32.Netsky.C ได้
ผลิตภัณฑ์ / เอ็นจิน ข้อมูลซิกเนเจอร์และเอ็นจิน* คำแนะนำในการกำจัดไวรัส
eTrust Antivirus 23.64.15 อัพเดทซอฟท์แวร์ป้องกันไวรัสด้วยซิกเนเจอร์
6x/v7* (InoculateIT Engine) ล่าสุดและสแกนทุกอุปกรณ์ที่ติดไวรัส
พร้อมซ่อมแซมส่วนที่ถูกโจมตี
eTrust Antivirus 11.x/8165
6x/v7* (Vet Engine)
eTrust EZ Antivirus 6.1x/5259 อัพเดทซอฟท์แวร์ป้องกันไวรัสด้วยซิกเนเจอร์
6.1x ล่าสุดและสแกนทุกอุปกรณ์ที่ติดไวรัส พร้อมซ่อมแซม
ส่วนที่ถูกโจมตี
InoculanteIT4.x 46.15อัพเดทซอฟท์แวร์ป้องกันไวรัสด้วยซิกเนเจอร์
ล่าสุดและสแกนทุกอุปกรณ์ที่ติดไวรัส พร้อมซ่อมแซม
ส่วนที่ถูกโจมตี
Vet Anti-Virus 10.5x 10.5x/5259
Vet Anti-Virus 10.6x 10.6x/8165
* ซิกเนเจอร์เวอร์ชั่นที่กล่าวถึงในตารางและเวอร์ชั่นหลังจากนี้สามารถป้องกันไวรัส Win32.Netsky.C ได้กรณีที่ไฟล์ซิกเนเจอร์ที่มีให้ดาวน์โหลดเป็นเวอร์ชั่นก่อนหน้าที่ระบุไว้ข้างต้น แสดงว่าซิกเนเจอร์นั้นๆ ยังอยู่ระหว่างกระบวนการทดสอบคุณภาพ ซึ่งจะสามารถให้ดาวน์โหลดได้เร็วๆ นี้
ต้องการรายละเอียดเพิ่มเติมกรุณาติดต่อ:
คุณชิดชนก อุทัยกร, 0-2636-2467 ต่อ 122 หรือ uthch01@ca.com
คุณปริญดา นิลทจันทร์, 0-2711-6891 ต่อ 133 หรือ prinda_n@penner_madison.com--จบ--
-พห-