ชื่อ : W32.Bugbear.B@mm
ค้นพบ​เมื่อ : 6 มิถุนายน 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่น​ที่รู้จัก : Win32.Bugbear.B, W32/Bugbear.b@MM, PE_BUGBEAR.B, W32/Bugbear-B, I-Worm.Tanatos.b, W32/Bugbear.B, Win32/Bugbear.B@mm
ระดับ​ความรุนแรง : สูง


---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​---​--

ข้อมูลทั่ว​ไป

W32.Bugbear.B@mm ​เป็นหนอนในตระกูลหรือสายพันธุ์ของ W32.Bugbear@mm ​ซึ่งจัดอยู่​ในประเภท Polymorphic (หนอน​ที่อาศัยการเปลี่ยนแปลงรูปแบบของหนอน มีการแบ่งรหัสของหนอน​เป็น​ส่วนย่อยแทรกอยู่​​ระหว่างไฟล์) ​และ​สามารถแพร่กระจายลง​ไปในไฟล์​ที่เอ็กซิคิวต์​ได้

หนอนชนิดนี้มีลักษณะการแพร่กระจายผ่านทางอี-เมล์​และการแชร์ไฟล์ รวม​ทั้งมี​ความ​สามารถในการเก็บข้อมูลของการกดคีย์บอร์ด (Keystroke-logger) ​และเปิดพอร์ตประตูลับ (พอร์ต 1080) ตลอดจนพยายาม​ที่​จะหยุดการทำงานของโปรแกรมป้องกันไวรัส​และไฟร์วอลล์

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้น​​จะอาศัยช่องโหว่ของโปรแกรม IE ​ที่เรียกว่า "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" กล่าว​คือ​เป็นช่องโหว่​ที่ให้โปรแกรม Internet Explorer รันไฟล์​ที่แนบมา​กับอี-เมล์​โดยอัตโนมัติ

นอกจากนี้หนอนชนิดยังมีจุดเด่นอีกอย่าง​คือการ flood ​ไปยังเครื่องพิมพ์​ที่เปิดการแชร์ไว้ ทำให้เครื่องพิมพ์ทำการพิมพ์ข้อมูล​ที่​เป็นขยะออกมามากมาย​

รูปแบบของหัวข้อของอี-เมล์ ​คือ

Subject: อี-เมล์​ที่หนอนส่งอาจ​จะ​เป็นอี-เมล์​ที่ส่ง​ต่อมาหรือตอบกลับ ​แต่หัวเรื่อง​​จะประกอบด้วยคำต่อ​ไปนี้
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...​
I need help about script!!!
Stats
Please Help...​
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re:
0 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!
Attachments: ชื่อไฟล์​ที่หนอนชนิดนี้​ใช้ส่งมา​พร้อม​กับอี-เมล์
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

นามสกุลของไฟล์มี 2 ชั้น ​โดยชั้นแรก​จะมีนามสกุลดังนี้
.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp

​และมีนามสกุลของไฟล์ในชั้น​ที่สอง​เป็น:
.scr
.pif
.exe

Message: อาจ​จะประกอบด้วยคำต่อ​ไปนี้

text/html
text/plain
application/octet-stream
image/jpeg
image/gif


วิธีกำจัดหนอนชนิดนี้

สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
​ถ้า​ใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัส​ที่ท่าน​ใช้ หรือ ติดต่อบริษัท​ที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode ​โดยในระบบ windows 95/2000/XP ให้กด F8 ​ระหว่างการบูตเครื่อง ​และ windows 98/ME ให้กดปุ่ม Ctrl
สแกนไวรัสด้วยโปรแกรมป้องกันไวรัส​ที่​ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อ​ที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัส​จะทำการลบไฟล์ตัวหนอนออกจากระบบ​ทั้งหมด​ที่กล่าวมาแล้ว​ในข้างต้น


การกำจัดหนอนแบบอัตโนมัติ
ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
ดาวน์โหลดไฟล์ pattern ชื่อ lpt559.zip จาก http://www.trendmicro.com/ftp/products/pattern/lpt559.zip
แตกไฟล์ lpt559.zip นำไฟล์ชื่อ lpt$vpn.559 เก็บไว้ในโฟลเดอร์เดียว​กับไฟล์ Sysclean.com ​ที่​ได้จากข้อ 1
ตัดการเชื่อมต่อเครือข่าย
หยุดการทำงานทุกโปรแกรม รวม​ทั้งโปรแกรมป้องกันไวรัสด้วย
จากนั้น​รันไฟล์ Sysclean.com ​จะปรากฏไดอะล็อกให้ทำการสแกน​โดยกดปุ่ม Scan
เริ่มต้นการ​ใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
ทำการปรับปรุงฐานข้อมูลไวรัส​ที่​ใช้อยู่​แล้ว​ทำการสแกนอีกครั้ง​เพื่อให้แน่ใจว่าเครื่อง​ที่​ใช้งานอยู่​ไม่มีไวรัส
ข้อมูลเพิ่มเติมสำหรับ Windows ME:

หมายเหตุ: Windows ME ​ใช้ backup utility สำหรับ backup ไฟล์​โดยอัตโนมัติไว้​ที่โฟลเดอร์ C:\_Restore ดังนั้น​ไฟล์​ที่ติดเชื้อ​สามารถถูกเก็บไว้​เป็นไฟล์ backup ​ได้ ​และ โปรแกรมป้องกันไวรัส​จะไม่​สามารถลบไฟล์เหล่านี้​ได้ จึง​ต้องทำการยกเลิกการ​ใช้งาน Restore Utility ตามขั้นตอนดังนี้

คลิ๊กขวา​ที่ไอคอน My Computer บน Desktop ​และ เลือก Properties
เลือกแถบ Performance
กดปุ่ม File System
เลือกแถบ Troubleshooting
ใส่เครื่องหมายเลือก "Disable System Restore"
กดปุ่ม Apply
กดปุ่ม Close
กดปุ่ม Close อีกที
​เมื่อมีหน้าต่างขึ้น​มาถามว่า​จะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว​
รีสตาร์ทเครื่องให้อยู่​ใน Safe Mode
เรียก​ใช้งานโปรแกรมป้องกันไวรัส​เพื่อลบไฟล์​ที่ติดเชื้อ​ทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้น​​ได้จากโฟลเดอร์ C:\_Restore ​และกำจัดออก
หลังจากกำจัดเรียบร้อย​แล้ว​ก็รีสตาร์ทเครื่องให้​ใช้งาน​ได้ตามปกติ
หมายเหตุ: การเปิด​ใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอน​ที่ 1-9 ​และในขั้นตอน​ที่ 5 ให้ยกเลิกเครื่องหมาย​ที่เลือก "Disable System Restore" ออก
วิธีป้องกันตัวเองจากไวรัส

ควรลบอี-เมล์​ที่น่าสงสัยว่ามีไวรัสแนบมา รวม​ทั้งอี-เมล์ขยะ​และอี-เมล์ลูกโซ่ทิ้งทันที
ห้ามรันไฟล์​ที่แนบมา​กับอี-เมล์​ซึ่งมาจากบุคคล​ที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่ง​เป็น​ใคร​และไม่ทราบว่าไฟล์ดังกล่าวนั้น​​เป็นไฟล์อะไร​ ตลอดจนไฟล์​ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ​ เช่น IRC, ICQ หรือ Pirch ​เป็นต้น
ติดตั้งโปรแกรมต่อต้านไวรัส ​และ​ต้องทำการปรับปรุงฐานข้อมูลไวรัส​เป็นตัวล่าสุดอยู่​เสมอ
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส ​และปรับปรุงฐานข้อมูลในแผ่นอยู่​เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่​เสมอ ​โดยเฉพาะ Internet Explorer ให้​เป็นเวอร์ชั่นใหม่​ที่สุด
IE 6.0 SP1

ตั้งค่า security zone ของ Internet Explorer ให้​เป็น high ดังคำแนะนำ​ที่ http://thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่​เสมอ ​และเตรียมหาวิธีการแก้ไข​เมื่อเกิดเหตุขัดข้องขึ้น​
ติดตามข่าวสารแจ้งเตือนเกี่ยว​กับไวรัสต่างๆ​ ​ซึ่ง​สามารถขอ​ใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ​ได้​ที่ http://thaicert.nectec.or.th/mailinglist/register.php

ช้อมูลอ้างอิง

http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.html
http://vil.mcafee.com/dispVirus.asp?virus_k=100358
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BUGBEAR.B
http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=44267
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=39823&sind=0
http://www.messagelabs.com/viruseye/info/default.asp?virusname=W32/BugBear.B-mm