กรุงเทพฯ--1 มี.ค.--เพนเนอร์-แมดิสัน ชื่อไวรัส: Win32.Netsky.C (http://www.3.ca.com/virusinfo/virus.aspx?ID=38460) Win32.Netsky.C เป็นไวรัสตัวหนอนที่แพร่กระจายทางอีเมล์และเครือข่ายแบบ Peer-to-peer ไวรัส ดังกล่าวเป็น Win32 executable ไฟล์ซึ่งมีขนาด 28,160 ไบต์ (ตามมาตรฐาน ASPack) หรือ 25,353 ไบต์ (ตามมาตรฐาน PEtitie) โดยจะแฝงตัวเข้ามาในรูปของไอคอนไมโครซอฟต์ เวิร์ด แพด และอาจพบใน zip file เช่นกัน วันที่ประกาศเตือน: 27 กุมภาพันธ์ พ.ศ. 2547 วิธีการแพร่กระจาย : ทางอีเมล์ (กรุณาตรวจสอบจาก URL ที่กล่าวถึงด้านบนหากต้องการตัวอย่างมากกว่านี้) เช่น document.txt.exe, associal.rtf.scr การแนบไฟล์อาจส่งมาในรูปแบบ Zip ไฟล์ เช่น document.zip, associal.zip ไวรัสดังกล่าวมี 25 IP addresses ในเซิร์ฟเวอร์ DNS เฉพาะซึ่งใช้เข้าสู่ mail server address โดยมีเป้าหมายเข้าสู่ e-mail ต่างๆ ทางการแชร์ข้อมูล P2P ไฟล์ (กรุณาเช็ค URL ข้างบนหากต้องการตัวอย่างมากว่านี้) ไวรัสนี้จะเข้าสู่ไดร์ฟ C จนถึง Z แต่ไม่พยายามเข้าไดร์ฟซีดีรอม ผ่านทางการติดตั้งเมื่อเครื่องทำงาน ไวรัสนี้จะสร้าง mutex ชื่อว่า "[SkyNet.cz]SystemsMutex" เพื่อหลีกเลี่ยงการทำงานที่ซ้ำซ้อน มันจะก็อปปี้ตัวเองไปที่ %Windows%\WINLOGON.EXE ไวรัสจะเพิ่มค่า Registry ของ Windows เพื่อรับประกันได้ว่ามันจะทำงานทุกครั้งที่เริ่มใช้ Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ICQ Net = "%Windows%\winlogo.exe-stealth"ข้อควรจำ : 'Windows%' เป็นตำแหน่งติดตั้งที่สามารถเปลี่ยนแปลงได้ ไวรัสนี้จะหาตำแหน่งของโฟลเดอร์วินโดว์ปัจจุบันโดยการถามระบบปฏิบัติการ ตำแหน่งการติดตั้งที่ถูกกำหนดไว้ตั้งแต่แรกของวินโดวส์สำหรับวินโดว์ 2000 และ NT คือ C:\Winnt; for 95, 98 และ Me คือ C:\Windows; และสำหรับ XP คือ C:\Windows Payload: ไวรัสลบค่าของ Registry เหล่านี้ซึ่งบางส่วนเกี่ยวพันกับไวรัสตัวอื่นๆ : HKLM\SOFTWARE\Microsoft\CurrentVersion\Run\Taskmon HKCU\SOFTWARE\Microsoft\CurrentVersion\Run\Taskmon HKLM\SOFTWARE\Microsoft\CurrentVersion\Run\Explorer มันยังลบ Registry Key เหล่านี้ด้วย รวมทั้งค่าอื่นๆภายใน : HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 เสียงเจ้าปัญหา ถ้าวันระบบคือวันที่ 27 กุมภาพันธ์ 2547, และตามชั่วโมงของวัน คือ 6, 7 หรือ 8 ไวรัสดังกล่าวจะส่งเสียงบี๊บๆผ่านลำโพงของเครื่องอย่างต่อเนื่องทุกๆ 0.05 วินาที ข้อมูลซิกเนเจอร์และเอ็นจินที่จะปกป้องการโจมตีจากไวรัส Win32.Netsky.C ได้ ผลิตภัณฑ์ / เอ็นจิน ข้อมูลซิกเนเจอร์และเอ็นจิน* คำแนะนำในการกำจัดไวรัส eTrust Antivirus 23.64.15 อัพเดทซอฟท์แวร์ป้องกันไวรัสด้วยซิกเนเจอร์ 6x/v7* (InoculateIT Engine) ล่าสุดและสแกนทุกอุปกรณ์ที่ติดไวรัส พร้อมซ่อมแซมส่วนที่ถูกโจมตี eTrust Antivirus 11.x/8165 6x/v7* (Vet Engine) eTrust EZ Antivirus 6.1x/5259 อัพเดทซอฟท์แวร์ป้องกันไวรัสด้วยซิกเนเจอร์ 6.1x ล่าสุดและสแกนทุกอุปกรณ์ที่ติดไวรัส พร้อมซ่อมแซม ส่วนที่ถูกโจมตี InoculanteIT4.x 46.15อัพเดทซอฟท์แวร์ป้องกันไวรัสด้วยซิกเนเจอร์ ล่าสุดและสแกนทุกอุปกรณ์ที่ติดไวรัส พร้อมซ่อมแซม ส่วนที่ถูกโจมตี Vet Anti-Virus 10.5x 10.5x/5259 Vet Anti-Virus 10.6x 10.6x/8165 * ซิกเนเจอร์เวอร์ชั่นที่กล่าวถึงในตารางและเวอร์ชั่นหลังจากนี้สามารถป้องกันไวรัส Win32.Netsky.C ได้กรณีที่ไฟล์ซิกเนเจอร์ที่มีให้ดาวน์โหลดเป็นเวอร์ชั่นก่อนหน้าที่ระบุไว้ข้างต้น แสดงว่าซิกเนเจอร์นั้นๆ ยังอยู่ระหว่างกระบวนการทดสอบคุณภาพ ซึ่งจะสามารถให้ดาวน์โหลดได้เร็วๆ นี้ ต้องการรายละเอียดเพิ่มเติมกรุณาติดต่อ: คุณชิดชนก อุทัยกร, 0-2636-2467 ต่อ 122 หรือ [email protected] คุณปริญดา นิลทจันทร์, 0-2711-6891 ต่อ 133 หรือ prinda_n@penner_madison.com--จบ---พห-