หน้าหลัก
หน้าหลัก
 เวปบอร์ด
 อัปเดท Windows
 ไวรัสและความปลอดภัย
ค้นหา files torrent
ราคาอุปกรณ์computer
ความรู้เกี่ยวกับ torrent
ทดสอบความปลอดภัย
Virus remove tool
Wallpaper
Download program
แนะนำโปรแกรมใหม่
 ข่าวสารเกี่ยวกับเทคโนโลยี
 ติดต่อเรา
บริการทางการเงิน
สมัครบัตรเครดิต
 สมัครสินเชื่อ
 สมัครวงเงินพิเศษส่วนบุคคล
 โอนหนี้บัตรเครดิต
 ประกันภัยรถยนต์
 สินเชื่อเคหะ
ลงทุน
Test Internet Speed
วงจรในประเท
วงจรต่างประเทศ แบบที่ 1
วงจรต่างประเทศ แบบที่ 2
 
 
ชื่อ : Trojan.Peacomm หรือ TROJ_SMALL_EDW
ชนิด : ม้าโทรจัน (Trojan Horse)
ชื่ออื่นที่รู้จัก : CME-711 [Common Malware Enumeration], Trojan.Peacomm [Symantec], TROJ_SMALL.EDW [Trend Micro], Small.DAM [F-Secure], Downloader-BAI [McAfee], Troj/Dorf-Fam [Sophos]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x

ข้อมูลทั่วไป

Trojan.Peacomm เป็นม้าโทรจันที่ถูกปล่อยโดยหนอนอินเทอร์เน็ตชื่อ WORM_NUWAR.CQ [Trend Micro] ซึ่งอาจถูกดาวน์โหลดจากเว็บไซต์ที่ประสงค์ร้ายโดยไม่ได้ตั้งใจหรือด้วยความเข้าใจผิด
นอกจากนี้ม้าโทรจันยังถูกแนบมาพร้อมกับอีเมลสแปมได้ด้วย

ไฟล์ของม้าโทรจันนั้นมีความสามารถของรูทคิท (Rootkit) กล่าวคือม้าโทรจันนั้นสามารถซ่อนไฟล์และฝังโพรเซสของตัวเองไว้ในโพรเซสของ services.exe ส่งผลให้ตรวจจับได้ยากมากขึ้น และม้าโทรจันเองจะหลอกล่อให้ผู้ใช้ทำการติดตั้งด้วยวิธีเดียวกันกับการติดตั้งไดร์เวอร์อุปกรณ์ใหม่ภายในเครื่อง

ความสามารถด้านระบบเครือข่ายของม้าโทรจันนี้คือสามารถดาวน์โหลดม้าโทรจันชนิดอื่นจากเว็บไซต์ต่างๆ รวมทั้งการส่งแพ็กเก็ตแบบ UDP ไปยังเครื่องที่ถูกม้าโทรจันนี้คุกคาม เพื่อใช้ประโยชน์ในการแพร่กระจายตัวโทรจันเอง

ลักษณะของอีเมลมีดังนี้

 

หัวข้ออีเมล * A killer at 11, he's free at 21 and kill again!
* U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
* British Muslims Genocide
* Naked teens attack home director.
* 230 dead as storm batters Europe.
* Re: Your text
* Radical Muslim drinking enemies's blood.
* Chinese missile shot down Russian satellite
* Chinese missile shot down Russian aircraft
* Chinese missile shot down USA aircraft
* Chinese missile shot down USA satellite
* Russian missile shot down USA aircraft
* Russian missile shot down USA satellite
* Russian missile shot down Chinese aircraft
* Russian missile shot down Chinese satellite
* Saddam Hussein safe and sound!
* Saddam Hussein alive!
* Venezuelan leader: "Let's the War beginning".
* Fidel Castro dead.
ไฟล์ที่แนบมากับอีเมล * FullVideo.exe
* Full Story.exe
* Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
* MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
* ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
* FullNews.exe

ตัวอย่างอีเมลที่หนอนชนิดนี้ส่งออกมา

วิธีการแพร่กระจาย

ม้าโทรจันชนิดนี้สามารถแพร่กระจายโดยหนอนอินเทอร์เน็ตปล่อยออกมา หรือผ่านอีเมลสแปมที่ม้าโทรจันส่งออกมา

ผลกระทบที่เกิดขึ้น

  • ส่งอีเมลออกมาเป็นจำนวนมาก : ม้าโทรจันจะส่งอีเมลสแปมที่มีไฟล์โทรจันแนบออกไป
  • เครื่องอาจทำงานผิดพลาด : เนื่องจากม้าโทรจันจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
  • เปิดการเชื่อมต่อที่ผิดปกติ : ม้าโทรจันชนิดนี้เปิดการเชื่อมต่อไปยังพอร์ต 4000/UDP และ 7871/UDP

รายละเอียดทางเทคนิค

เมื่อม้าโทรจัน Trojan.Peacomm ถูกเอ็กซิคิวต์ ม้าโทรจันจะมีกระบวนการดังนี้

 

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ (หมายเหตุ เนื่องจากม้าโทรจันชนิดนี้เป็นรูทคิทด้วย ดังนั้นจึงต้องทำการลบรูทคิทออกก่อน)
     
    1. ดาวน์โหลดโปรแกรมกำจัดรูทคิทที่ชื่อ Trend Micro Rootkit Bluster (http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1049.zip) จากนั้นทำการแตกไฟล์บีบอัด พร้อมกับเอ็กซิคิวต์
    2. กดปุ่ม Scan ในหน้าต่างหลักของโปรแกรมที่ดาวน์โหลดได้จากข้อ 1. เพื่อเริ่มทำการค้นหารูทคิทที่แอบฝังในเครื่อง
    3. เลือกไฟล์ดังต่อไปนี้ โดยการกดปุ่ม Shift ที่คีย์บอร์ดค้างไว้แล้วใช้เม้าส์คลิ๊กเลือกที่โปรแกรม
      • PEERS.INI
      • WINCOM32
      • WINCOM32.INI
      • WINCOM32.SYS
    4. จากนั้นกดปุ่ม Delete Selected Items เมื่อเสร็จสิ้นกระบวนการกำจัดรูทคิทแล้วจะปรากฏไดอะล็อกเพื่อถามให้รีสตาร์ทเครื่อง ในขั้นนี้ให้ตอบ Yes
    5. เริ่มต้นส่วนของการกำจัดไฟล์ของม้าโทรจันด้วยการดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    6. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    7. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 5.
    8. ตัดการเชื่อมต่อเครือข่าย
    9. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    10. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    11. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    12. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
  5. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
  6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
  7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
  9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ข้อมูลอ้างอิง
 
 
This site is copyright 2006 © thai2click.com