ขออนุญาต คุณ.คุณพ่อตัวดี แจ้งเตือนเพื่อนสมาชิก เกี่ยวกับไวรัสตัวใหม่ที่แพร่กระจายอยู่ตอนนี้
ระวังหนอนไวรัสชื่อ Zimuse
รายละเอียดเวิร์ใ Win32.Worm.Zimuse.A
Virus Name: Win32.Worm.Zimuse.A
Aliases: Trojan.Startpage.G (Symantec), Trojan.Generic.1729691 (BitDefender), W32/Threat-SysVenFakP-based!Maximus (F-Prot)
Type of infiltration: Worm
Size: 195072 B
Affected platforms: Microsoft Windows
ผลกระทบ
Win32.Worm.Zimuse.A นั้นจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้
วิธีการแพร่ระบาด
Win32.Worm.Zimuse.A สามารถแพร่ระบาดได้ทางการดาวน์โหลดจากอินเทอร์เน็ตและผ่านสื่อเก็บข้อมูลแบบพกพา โดยมันจะแฝงตัวอยู่ในไฟล์บีบอัดที่สามารถรันได้ด้วยตัวเอง (PECompact) โดยจะหลอกผู้ใช้ว่าเป็นในโปรแกรมทดสอบไอคิว (IQ Test) ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มก็จะทำการสำเนาตัวเองในชื่อไฟล์ zipsetup.exe มีขนาด 195072 B ลงใรรูทโฟลเดอร์ของไดรฟ์ A:\, B:\, C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\
การทำงาน
เมื่อผู้ใช้ทำการรันไฟล์ zipsetup.exe (ด้วยความเข้าใจว่าเป็นโปรแกรมธรรมดา) เวิร์มก็จะทำการสำเนาไฟล์ autorun.inf ลงเครื่องคอมพิวเตอร์ (ไดเร็กตอรี่ที่เก็บไฟล์ zipsetup.exe) จากนั้นจะทำการสำเนาตัวเองลงในโฟลเดอร์ระบบของวินโดวส์จำนวนระหว่าง 5-11 ไฟล์แล้วแต่กรณี ดังนี้
%system%\drivers\Mstart.sys (13100 B)
%system%\drivers\Mseu.sys (18188 B)
%system%\mseus.exe (69632 B)
%system%\tokset.dll (195072 B)
%system%\ainf.inf (41 B)
จากนั้นจะแสดงหน้าไดอะล็อกบอกซ์ดังรูปด้านล่าง
ทำการติดตั้งตัวเองในโฟลเดอร์ไดรเวอร์ของระบบ ดังนี้
%system%\drivers\Mstart.sys, MSTART
%system%\drivers\Mseu.sys, MSEU
ทำการแก้ไขรีจีสทรี่เพื่อให้ทำงานโดยอัตโนมัติพร้อมระบบวินโดวส์ ดังนี้
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dump" = "%programfiles%\Dump\Dump.exe"
นอกจากนี้ ยังทำการแก้ไขสร้างรีจีสทรี่เพิ่มขึ้นอีกหลายตัว โดยบางส่วนดังนี้
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "MSTART"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000]
ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ และจะแสดงไดอะล็อกบ็อกซ์ ดังรูปด้านล่าง
โดยเวิร์มอาจจะทำการลบไฟล์ต่างๆ ดังนี้
- C:\BOOT.INI
- C:\NTDETECT.COM
- C:\NTLDR
- C:\HYBERFILE.SYS
- C:\BOOTMGR
Malware Alert - Win32.Worm.Zimuse.A - The Hard-Disk Wreckerวิธีการป้องกัน
สำหรับวิีธีการป้องกันนั้นแนะนำว่า อย่าดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และ ทำการติดตั้งโปรแกรมป้องกันไวรัสและฐานข้อมูลอัพเดทไวรัส (Virus Definition) ให้เป็นปัจจุบันตลอดเวลา
วิธีการกำจัดไวรัส
สามารถกำจัดไวรัส Win32.Worm.Zimuse.A โดยใช้เครื่องมือจาก Eset โดยดาวน์โหลดได้ที่
http://www.eset.eu/download/ezimuse-removerขนาดไฟล์เพียง 32.7 KB (เล็กมากๆ)
วิธีการใช้งาน ESET Ezimuse Remover
1. download จากลิงค์ด้านบน จะได้ไฟล์ EZimuse_remover.exe
2. แนะนำให้ปิดโปรแกรมอื่นๆ ก่อน (เพราะหลังจากรันโปรแกรมนี้ จะมีคำแนะนำให้ Restart Windows)
3. ดับเบิลคลิกที่ไฟล์ เพียงสั่งรันโปรแกรม
4. รอสักครู่ โปรแกรมจะเริ่มตรวจสอบ และกำจัดหนอนไวรัส Zimuse
5. โปรแกรมจะแนะนำให้ Restart Windows โดยการใส่ "Y" เพียงยืนยัน
คำแนะนำ ถึงแม้ว่าไม่ได้ติดไวรัสตัวนี้ ก็สามารถสั่งรัน เพื่อตรวจสอบไวรัสได้อย่างไม่มีปัญหาครับ