กรุงเทพฯ--11 ก.พ.--เพนเนอร์-แมดิสัน ชื่อไวรัส: Win32.Doomjuice.A (http://www3.ca.com/virusinfo/virus.aspx?ID=38238) Win32.Doomjuice.A เป็นไวรัสประเภทเวิร์มที่แพร่กระจายทาง backdoor ที่ไวรัส Win32.Mydoom สร้างไว้ โดยมีลักษณะเป็นไฟล์ไวรัสประเภท UPX-packed Win32ที่มีขนาด 36,864 ไบต์ วันที่ประกาศเตือน: 11 กุมภาพันธ์ พ.ศ. 2547 วิธีการแพร่กระจาย : โจมตีทางจุดอ่อนของระบบที่ถูกโจมตีโดย Win32.MyDoom ก่อนหน้านี้ Win32.Doomjuice.A จะสแกนหา พอร์ท TCP 3127 ที่เปิดทำงานอยู่เพราะติดเชื้อไวรัส Win32. Mydoom.A และไวรัส Win32.Mydoom.B และจะสั่งให้เซิร์ฟเวอร์ backdoor ที่ไวรัสเวิร์ม Mydoom สร้างไว้ให้ยอมรับและแพร่ไวรัสชนิดนี้ไปยังเครื่องที่เคยติดไวรัส Mydoom ประเภทต่างๆ มาก่อน วิธีการฝังตัว เมื่อไวรัสเวิร์มชนิดนี้จู่โจม จะสร้าง sync-z-mtx_133 ในโปรแกรม mutex เพื่อให้แน่ใจว่ามีไวรัสเวิร์มเพียงตัวเดียวที่กำลังแพร่กระจายอยู่ในขณะนั้น หลังจากนั้น ไวรัสชนิดนี้จะก๊อปปี้ตัวมันเองไว้ที่ System directory ในชื่อว่า internat.exe และเปิดไฟล์นี้ให้ทำงานและเปลี่ยนแปลง registry เพื่อที่จะทำงานเมื่อมีการรีสตาร์ทระบบครั้งต่อๆไป ตัวอย่างเช่น HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Gremlin = "%System%\internat.exe" หมายเหตุ: '%System%' เป็นตำแหน่งที่เปลี่ยนแปลงได้ ตัวไวรัสจะรู้ตำแหน่งในแฟ้มเอกสารของระบบโดยการซักถามตัวระบบปฏิบัติการ ตำแหน่งพื้นฐานของการติดตั้งไวรัสสำหรับวินโดวส์ 2000 และ NT ได้แก่ C:\Winnt\System32 สำหรับ 95,98 และ ME ได้แก่ C:\Windows\System และสำหรับ XP คือ C:\Windows\System32 Payload: Denial of Service ไวรัสจะโจมตี Microsoft.com เพื่อที่ Microsoft.com จะไม่สามารถให้บริการได้ หรือที่เรียกการจู่โจมแบบนี้ว่า DoS (Denial of Service) โดยที่ไวรัสตัวนี้จะเริ่มทำงานในวันที่ 8 กุมภาพันธ์ แต่ในช่วงวันที่ 8-11 กุมภาพันธ์ ไวรัสนี้จะรอเวลาในการจู่โจมเป็นช่วงวินาทีที่ต่างกัน และไวรัสจะทำการสุ่มเลือกหมายเลขของการทำงานเพิ่มเพื่อใช้ในการโจมตี ข้อมูลซิกเนเจอร์และเอ็นจินที่จะปกป้องการโจมตีจากไวรัส Win32.Doomjuice.A ได้ ผลิตภัณฑ์ / เอ็นจิน ข้อมูลซิกเนเจอร์และเอ็นจิน* คำแนะนำในการกำจัดไวรัส eTrust Antivirus6x/v7* 23.64.00 อัพเดทซอฟท์แวร์ป้องกันไวรัส (InoculateIT Engine) ด้วยซิกเนเจอร์ล่าสุดและสแกนทุก อุปกรณ์ที่ติดไวรัส พร้อม ซ่อมแซมส่วนที่ถูกโจมตี eTrust Antivirus 11.2x/8126 6x/v7* (Vet Engine) eTrust EZ Antivirus 6.1x 6.x/5215 อัพเดทซอฟท์แวร์ป้องกันไวรัส ด้วยซิกเนเจอร์ล่าสุดและสแกน ทุกอุปกรณ์ที่ติดไวรัส พร้อม ซ่อมแซมส่วนที่ถูกโจมตี InoculanteIT4.x 46.00 อัพเดทซอฟท์แวร์ป้องกันไวรัส ด้วยซิกเนเจอร์ล่าสุดและสแกน ทุกอุปกรณ์ที่ติดไวรัส พร้อม ซ่อมแซมส่วนที่ถูกโจมตี Vet Anti-Virus 10.5x 10.5x/5215 Vet Anti-Virus 10.6x 10.6x/8126 * ซิกเนเจอร์เวอร์ชั่นที่กล่าวถึงในตารางและเวอร์ชั่นหลังจากนี้สามารถป้องกันไวรัส Win32.Doomjuice.A ได้กรณีที่ไฟล์ซิกเนเจอร์ที่มีให้ดาวน์โหลดเป็นเวอร์ชั่นก่อนหน้าที่ระบุไว้ข้างต้น แสดงว่าซิกเนเจอร์นั้นๆ ยังอยู่ระหว่างกระบวนการทดสอบคุณภาพ ซึ่งจะสามารถให้ดาวน์โหลดได้เร็วๆ นี้ ต้องการรายละเอียดเพิ่มเติมกรุณาติดต่อ: คุณชิดชนก อุทัยกร, 0-2636-2467 ต่อ 122 หรือ
[email protected] คุณปริญดา นิลทจันทร์, 0-2711-6891 ต่อ 133 หรือ prinda_n@penner_madison.com--จบ---พห-