นิตยสารรายสะดวก  Articles  ๒๘ มกราคม ๒๕๔๗
วิธีการกำจัดกับไวรัส Hi
ซัดดัม
... วิธีการกำจัด​​กับไวรัส Hi จาก​​ที่ในช่วงนี้​​กำลังมีไวรัส​​ที่มา​​กับเมล์​​ที่มี Subject ว่า Hi ​​ซึ่งเกิดจา...
วิธีการกำจัด​กับไวรัส Hi


จาก​ที่ในช่วงนี้​กำลังมีไวรัส​ที่มา​กับเมล์​ที่มี Subject ว่า Hi ​ซึ่งเกิดจาก หนอนอินเตอร์เน็ต​ที่​กำลังระบาด ชื่อ W32.Bagle.A@mm
​เป็นหนอนอินเทอร์เน็ต​ที่​สามารถทำงาน​ได้จนกระทั่งวัน​ที่ของเครื่องผ่านวัน​ที่ 28 มกราคม

นอกจากนี้หนอนชนิดนี้ยังแก้ไขไฟล์หลายไฟล์รวม​ทั้งค่าเรจิสทรีย์ด้วยหนอนชนิดนี้​สามารถแพร่กระจายตัวผ่านอี-เมล์​โดยปลอมชื่อผู้ส่ง​และส่งด้วยหัวเรื่อง​ว่า "Hi"

​ส่วนข้อ​ความในอี-เมล์

"Test =)

- --
Test, yep. "

ผลกระทบ​เนื่องจากหนอนชนิดนี้
1. ส่งอี-เมล์ออกมา​เป็นจำนวนมาก : หนอน​จะส่งอี-เมล์​โดย​ใช้ SMTP ของหนอนเอง
ทำให้ระบบเครือข่าย​ที่ท่าน​ใช้งานอยู่​มีปัญหา​ได้
2. เครื่องอาจทำงานผิดพลาด : ​เนื่องจากหนอน​จะแก้ไขไฟล์​และเรจิสทรีย์
ทำให้เครื่องทำงานผิดพลาด​ได้
3. เปิดการเชื่อมต่อ​ที่ผิดปกติ : หนอน​จะพยายามติดต่อ​ไปยังเว็บไซต์ ผ่านพอร์ต 6667
​เพื่อทำการอัพเดตตัวหนอนเอง
4. มีผลกระทบต่อระบบปฏิบัติการวินโดวส์ทุกเวอร์ชั่น

หนอน​จะพยายามทำการเชื่อมต่อ​ไปยังเว็บไซต์ดังต่อ​ไปนี้​เพื่อ อัพเดตตัวหนอนเองผ่านพอร์ต 6777
http://www.elrahop.de/1.php
http://www.itmsc.de/1.php
http://www.getorfree.net/1.php
http://www.dmsign.de/1.php
http://64.1.228.13/1.php
http://www.leonzenitsky.com/1.php
http://216.98.6.248/1.php
http://216.98.4.247/1.php
http://www.cdroma.com/1.php
http://www.kunstin-templin.de/1.php
http://vipwe.ru/1.php
http://antolco.ru/1.php
http://www.bagsdostavka.mags.ru/1.php
http://www.512.ru/1.php
http://boseaudio.net/1.php
http://www.stngdata.de/1.php
http://wh9.tudresden.de/1.php
http://www.mionuke.net/1.php
http://www.stahagen.org/1.php
http://www.beastycars.de/1.php
http://www.poloexe.de/1.php
http://www.bi88.de/1.php
http://www.grefathpaenz.de/1.php
http://www.bhaidy.de/1.php
http://www.mystivws.de/1.php
http://www.autohobby-essen.de/1.php
http://www.pozicke.de/1.php
http://www.twrmusic.de/1.php
http://www.scerbendorf.de/1.php
http://www.montia.de/1.php
http://www.medmartin.de/1.php
http://vvgn.de/1.php
http://www.ballonoto.com/1.php
http://www.mardergmbh.de/1.php
http://www.dvdfilme.com/1.php
http://www.seangol.com/1.php


ชื่อ : W32.Bagle.A@mm
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่น​ที่รู้จัก : I-Worm.Bagle, WORM_BAGLE.A, W32/Bagle@MM,
ระดับ​ความรุนแรง : ปานกลาง
ระบบปฏิบัติการ​ที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
ระบบปฏิบัติการ​ที่ไม่มีผลกระทบ : Linux, Macintosh, Microsoft IIS, OS/2, UNIX

ผลกระทบ​ที่เกิดขึ้น​

ส่งอี-เมล์ออกมา​เป็นจำนวนมาก : หนอน​จะส่งอี-เมล์​โดย​ใช้ SMTP ของหนอนเอง
เครื่องอาจทำงานผิดพลาด : ​เนื่องจากหนอน​จะแก้ไขไฟล์​และเรจิสทรีย์ ทำให้เครื่องทำงานผิดพลาด​ได้
เปิดการเชื่อมต่อ​ที่ผิดปกติ : หนอน​จะพยายามติดต่อ​ไปยังเว็บไซต์ ผ่านพอร์ต 6777 ​เพื่อทำการอัพเดตตัวหนอนเอง

​เมื่อหนอน W32.Bagle.A@mm ถูกเอ็กซิคิวต์ หนอน​จะมีกระบวนการดังนี้




หาก​ใครเปิดไฟล์​ที่แนบ​ไปแล้ว​หรือไม่แน่ใจว่าเครื่องตนเอง​จะติดไวรัสตัวนี้อยู่​หรือเปล่า ลองทำตามขั้นตอนนี้ดูนะครับ​

1. ค้นหาไฟล์​ที่ชื่อ bbeagle.exe นี้ดูก่อน หากพบว่ามีไฟล์นี้อยู่​ให้ทำตามขั้นตอนต่อ​ไปนี้ (ไฟล์ตัวนี้​จะ​เป็นเครื่องคิดเลขครับ​)
2. คลิก​ที่ปุ่ม Start > Run แล้ว​พิมพ์คำว่า Regedit แล้ว​กด Enter
3. ในช่องทางด้านซ้ายมือให้ double-click ตาม Path นี้ตามลำดับ

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

4. ​เมื่อเข้ามาตามขั้นตอนข้างบนแล้ว​ กล่องทางด้านขวามือ ให้สังเกตดูว่ามีบรรทัดนี้ d3dupdate.exe = "%System%\bbeagle.exe" อยู่​หรือไม่ ​ถ้าพบว่ามีบรรทัดนี้อยู่​ให้ทำการลบบรรทัดนี้​ไปเลย​
5. หลังจากนั้น​กลับ​ไปลบไฟล์ bbeagle.exe ​ที่อยู่​ในเครื่องด้วยนะครับ​(ไฟล์​จะ​เป็นรูปเครื่องคิดเลข) ​และอย่าลืมหลังจากลบไฟล์ดังกล่าวแล้ว​ลบในถังขยะด้วยนะครับ​...​

วิธีกำจัดหนอนชนิดนี้​โดยละเอียดครับ​

การกำจัดหนอนแบบอัตโนมัติ วิธี​ที่ 1

1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียว​กับไฟล์ Sysclean.com ​ที่​ได้จากข้อ 1
4. ตัดการเชื่อมต่อเครือข่าย
5. หยุดการทำงานทุกโปรแกรม รวม​ทั้งโปรแกรมป้องกันไวรัสด้วย
6. จากนั้น​รันไฟล์ Sysclean.com ​จะปรากฏไดอะล็อกให้ทำการสแกน​โดยกดปุ่ม Scan
7. เริ่มต้นการ​ใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8. ทำการปรับปรุงฐานข้อมูลไวรัส​ที่​ใช้อยู่​แล้ว​ทำการสแกนอีกครั้ง​เพื่อให้แน่ใจว่าเครื่อง​ที่​ใช้งานอยู่​ไม่มีไวรัส

การกำจัดหนอนแบบอัตโนมัติ วิธี​ที่ 2

1. ดาวน์โหลดไฟล์ FxBeagle.exe จาก http://securityresponse.symantec.com/avcenter/FxBeagle.exe
2. ปิดทุกโปรแกรม​ที่​กำลัง​ใช้งานอยู่​ก่อนรันไฟล์​ที่ดาวน์โหลดจากข้อ 1
3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
4. ​ถ้า​ใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติม​ที่​ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP ​และ ME)
5. จากนั้น​ทำการรันไฟล์ FxBeagle.exe ​โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้ว​กดปุ่ม start
6. รีสตาร์ทเครื่อง แล้ว​รัน FxBeagle.exe อีกครั้ง​เพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
7. ​ถ้า​ใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
8. ปรับปรุงฐานข้อมูลไวรัสให้​กับโปรแกรมป้องกันไวรัส​ที่ติดตั้งอยู่​ในระบบ
9. สแกนหาไวรัส​ทั้งระบบดูอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับ วินโดวส์ ME

หมายเหตุ : ระบบปฏิบัติการวินโดวส์ ME ​ใช้ backup utility สำหรับ backup ไฟล์​โดยอัตโนมัติไว้​ที่โฟลเดอร์ C:\_Restore ดังนั้น​ไฟล์​ที่ติดเชื้อ​สามารถถูกเก็บไว้​เป็นไฟล์ backup ​ได้ ​และ โปรแกรมป้องกันไวรัส​จะไม่​สามารถลบไฟล์เหล่านี้​ได้ จึง​ต้องทำการยกเลิกการ​ใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวา​ที่ไอคอน My Computer บน Desktop ​และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. ​เมื่อมีหน้าต่างขึ้น​มาถามว่า​จะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes

หมายเหตุ : ตอนนี้ Restore Utility ถูกยกเลิกแล้ว​ หลังจากเรียก​ใช้งาน Fix tools เรียบร้อย​แล้ว​ เปิดหาตำแหน่งของไฟล์เหล่านั้น​​ได้จากโฟลเดอร์ C:\_Restore ​และกำจัดออก

10. หลังจากกำจัดเรียบร้อย​แล้ว​ก็รีสตาร์ทเครื่องให้​ใช้งาน​ได้ตามปกติ
หมายเหตุ : การเปิด​ใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอน​ที่ 1-9 ​และในขั้นตอน​ที่ 5 ให้ยกเลิกเครื่องหมาย​ที่เลือก "Disable System Restore" ออก

ข้อมูลเพิ่มเติมสำหรับ วินโดวส์ XP

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ​ใช้ backup utility สำหรับ backup ไฟล์​โดยอัตโนมัติไว้​ที่โฟลเดอร์ C:\_Restore ดังนั้น​ไฟล์​ที่ติดเชื้อ​สามารถถูกเก็บไว้​เป็นไฟล์ backup ​ได้ ​และ โปรแกรมป้องกันไวรัส​จะไม่​สามารถลบไฟล์เหล่านี้​ได้ จึง​ต้องทำการยกเลิกการ​ใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวา​ที่ไอคอน My Computer บน Desktop ​และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives" (แนะนำให้เลือกอันนี้ครับ​)
4. กดปุ่ม Apply
5. กดปุ่ม Yes

หมายเหตุ : ตอนนี้ Restore Utility ถูกยกเลิกแล้ว​

6. หลังจากเรียก​ใช้งาน Fix tools เรียบร้อย​แล้ว​ เปิดหาตำแหน่งของไฟล์เหล่านั้น​​ได้จากโฟลเดอร์ C:\_Restore ​และกำจัดออก หลังจากกำจัดเรียบร้อย​แล้ว​ก็รีสตาร์ทเครื่องให้​ใช้งาน​ได้ตามปกติ

หมายเหตุ : การเปิด​ใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอน​ที่ 1-5 ​และในขั้นตอน​ที่ 5 ให้ยกเลิกเครื่องหมาย​ที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ควรลบอี-เมล์​ที่น่าสงสัยว่ามีไวรัสแนบมา รวม​ทั้งอี-เมล์ขยะ​และอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์​ที่แนบมา​กับอี-เมล์​ซึ่งมาจากบุคคล​ที่ไม่รู้จัก หรือไม่มั่นใจว่าผู้ส่ง​เป็น​ใคร​และไม่ทราบว่าไฟล์ดังกล่าวนั้น​​เป็นไฟล์อะไร​ ตลอดจนไฟล์​ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ​ เช่น IRC, ICQ หรือ Pirch ​เป็นต้น
3. ติดตั้งโปรแกรมต่อต้านไวรัส ​และ​ต้องทำการปรับปรุงฐานข้อมูลไวรัส​เป็นตัวล่าสุดอยู่​เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส ​และปรับปรุงฐานข้อมูลในแผ่นอยู่​เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่​เสมอ ​โดยเฉพาะ Internet Explorer ​และระบบปฏิบัติการ ให้​เป็นเวอร์ชั่นใหม่​ที่สุด

IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a

6. ติดตั้งโปรแกรมป้องกันไวรัส ​และ​ต้องทำการปรับปรุงฐานข้อมูลไวรัส​เป็นตัวล่าสุดอยู่​เสมอ
7. ตั้งค่า security zone ของ Internet Explorer ให้​เป็น high
8. ทำการสำรองข้อมูลในเครื่องอยู่​เสมอ ​และเตรียมหาวิธีการแก้ไข​เมื่อเกิดเหตุขัดข้องขึ้น​
9. ติดตามข่าวสารแจ้งเตือนเกี่ยว​กับไวรัสต่างๆ​ อยู่​เสมอ
10. ​สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยว​กับวิธีป้องกันตัวเองจากไวรัสทั่ว​ไป​ได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์


 

F a c t   C a r d
Article ID A-360 Article's Rate 14 votes
ชื่อเรื่อง วิธีการกำจัดกับไวรัส Hi
ผู้แต่ง ซัดดัม
ตีพิมพ์เมื่อ ๒๘ มกราคม ๒๕๔๗
ตีพิมพ์ในคอลัมน์ เกี่ยวกับคอมพิวเตอร์
จำนวนผู้เปิดอ่าน ๑๙๔๖ ครั้ง
จำนวนความเห็น ๒ ความเห็น
จำนวนดอกไม้รวม ๕๖
| | | |
เชิญโหวตให้เรตติ้งดอกไม้แก่ข้อเขียนนี้  
R e a d e r ' s   C o m m e n t
ความเห็นที่ ๑ : นกกระจาบ [C-1073 ], [161.246.1.34]
เมื่อวันที่ : 28 ม.ค. 2547, 09.20 น.

ขอบคุณซัดดัมมากๆ​ครับ​ ทุกวันนี้เจอเมล​ที่มีหัวข้อ Hi, Test, Hello ​และมีไฟล์แนบมาด้วย วันละนับร้อยฉบับ​ ตามลบ​กับไม่หวาดไหว เยอะจริงๆ​ บท​ความเรื่อง​นี้คงช่วยเยียวยา​ได้ดีครับ​

ชื่อซัดดัม เหมือนใจร้าย ​แต่บท​ความ​ที่เขียนออกมา ล้วน​แต่ให้ประโยชน์​กับคน​เป็นจำนวนมากเสมอๆ​ ขอมอบ​กำลังใจให้ครับ​

แจ้งลบข้อความ


ความเห็นที่ ๒ : butterfly [C-7983 ], [61.19.172.236]
เมื่อวันที่ : 12 มิ.ย. 2549, 02.37 น.

สวัสดีครับ​พี่ซัดดัม
ผมเห็น​ความสำคัญ​กับไวรัส Hi ก็​เมื่อตอน​ที่คอมพ์ ฯ ตัวเก่าผมพัง​ไปแล้ว​ มิน่าเล่า ระบบเครื่องมันถึง​ได้รวน​ไปหมดเลย​ ​เนื่องจากการ​ที่ผมส่ง - รับ อีเมล์เล่น​ไปทั่ว ​และมีอีเมล์​ที่ตอบกลับมา​เป็นคำว่า Hi เขียนมาในรูปแบบภาษาอังกฤษ​ที่เหมือนกันทุกฉบับ​ ผมก็เปิดดูมันทุกฉบับ​ ผมยังเคยเมล์มาถามลุงเปี๊ยกเลย​ว่าคอมพ์ ฯ ผม​เป็นอะไร​ ทำไมถึงเปิดมาเว็บนกน้อยไม่​ได้ นี่​ถ้าหากพบพี่ซัดดัมก่อน เหตุการณ์คงไม่บานปลายจนถึงขั้น​ต้อง​ไปหาซี้อคอมพ์มาใหม่หรอกครับ​ ...​...​...​.ขอบคุณ​ที่ให้​ความรู้ กว่า​จะรู้ตัวก็สาย​ไปเสียแล้ว​ ขอบคุณ ขอบคุณมากๆ​ครับ​ ​เป็นบท​ความ​ที่ดีมากเลย​ครับ​

แจ้งลบข้อความ


สั่งให้ระบบส่งเมลแจ้งการเพิ่มเติมความเห็น
 ศาลานกน้อย พร้อมบริการเสมอ และยินดีรับฟังข้อเสนอแนะจากทุกท่าน  ติดต่อเว็บมาสเตอร์ได้ทางคอลัมน์ คุยกับลุงเปี๊ยก หรือทางอีเมลได้ที่ uncle-piak@noknoi.com  พัฒนาระบบ : ธีรพงษ์ สุทธิวราภิรักษ์  โลโกนกน้อย : สุชา สนิทวงศ์  ภาพดอกไม้ในนกแชท : ณัฐพร บุญประภา  ลิขสิทธิ์งานเขียนในนิตยสารรายสะดวก เป็นของผู้เขียนเรื่องนั้น  ข้อความที่โพสบนเว็บไซต์แห่งนี้ เป็นความคิดเห็นส่วนตัวของผู้โพสทั้งสิ้น