มายดูมภัยคุกคามที่พร้อมถล่มเครือข่ายอินเทอร์เน็ต

ประเทศไทย,– บริษัท เทรนด์ไมโคร จำกัด (TSE: 4704, NASDAQ: TMIC) ผู้นำการบริการและซอฟต์แวร์การป้องกันไวรัสบนเครือข่าย และรักษาความปลอดภัยให้กับข้อมูลบนอินเทอร์เน็ต กล่าวถึงหนอนไวรัสสายพันธุ์ใหม่ล่าสุดมายดูมเอ WORM_MYDOOM.A (ถูกเปลี่ยนชื่อมาจาก WORM_MIMAIL.R) ซึ่งพบในวันที่ 28 มกราคม 2547 (24:00 น. GMT-800) และหนอนไวรัสมายดูมบี (WORM_MYDOOM.B) หลังจากที่ไวรัสมายดูมตัวแรกออกอาละวาดและถูกตรวจพบเพียงแค่สองวัน

โดยสายพันธุ์ใหม่นี้นอกจากส่งอีเมล์ในปริมาณมหาศาล โดยใช้วิธีการปฏิเสธการใช้งานหรือ DoS (Denial of service) ไปยังเว็บไซต์www.microsoft.com และ www.sco.com ซึ่งไวรัสจะสร้างแบ็คดอร์ (backdoor) ไว้ในเครื่องที่ติดเชื้อ เพื่อเปิดโอกาสให้บรรดาเหล่าแฮกเกอร์สามารถเข้าไปจัดการกับเครื่องได้ ไม่ว่าจะเป็นการดาวน์โหลดหรือเรียกใช้โปรแกรมต่างๆ ได้จากระยะไกล และยังคอยขัดขวางไม่ให้ผู้ใช้ได้เข้าไปใช้งานเว็บไซต์ต่างๆ ในรายการได้

หนอนไวรัสมายดูมบี คล้ายกับหนอนไวรัสมายดูมเอยังคงใช้การแพร่กระจายจากหัวข้อของอีเมล์ ข้อความภายใน และไฟล์ที่แนบมาพร้อมกับอีเมล์ และยังรวมถึงการแอคเซสผ่านทางไฟล์แชร์ริ่งแบบ Peer-to-peer อย่าง Kazaa โดยจะก๊อบปี้ตัวเองลงในเครื่องแบบสุ่ม IP แอดเดรส โดยรายละเอียดของข้อความมีดังนี้ :

Subject: (any of the following)

– Mail Transaction Failed
– Unable to deliver the message
– Status
– Delivery Error
– Mail Delivery System
– hello
– hi
– Error
– Server Report

Message Body: (any of the following)

– The message contains Unicode characters and has been sent as a binary attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– Error #804 occured during SMTP session. Partial message has been received.
– The message contains MIME-encoded graphics and has been sent as a binary attachment.
– test
– sendmail daemon reported:Error #804 occured during SMTP session. Partial message has been received.
– blank message body
– garbage strings

Attachment: (any of the following file names)

– body
– doc
– test
– document
– data
– file
– readme
– message

(plus any of the following extensions)

– ZIP
– EXE
– PIF
– SCR

ส่วนไฟล์ที่แนบมาพร้อมกับอีเมล์ อาจจะบีบอัดหรือไม่ได้เป็นไฟล์บีบอัดก็ได้ ซึ่งหากเป็นไฟล์บีบอัดภายในก็จะบรรจุหนอนไวรัสที่สามารถทำงานได้ด้วยตัวเอง ซึ่งอาจจะมีชื่อไฟล์เหมือนกันแต่แตกต่างกันตรงนามสกุลเท่านั้น เช่น

– EXE
– PIF
– SCR
– CMD
– BAT

หากไม่ได้เป็นไฟล์บีบอัด ไฟล์บีบอัดเหล่านี้ ก็จะมีนามสกุลดังต่อไปนี้คือ SCR, PIF หรือว่า EXE

ในส่วนของการโจมตีที่เพิ่มเติ่มมาจากการโจมตีเว็บไซต์ www.sco.comในวันที่ 1 กุมภาพันธ์ 2547 ไวรัสสายพันธ์ใหม่ได้เพิ่มการโจมตีไปยังเว็บไซต์ของไมโครซอฟท์ที่ www.microsoft.com ในวันที่ 3 กุมภาพันธ์ 2547 ซึ่งระหว่างที่โจมตีแบบ DoS บนเว็บไซต์ของไมโครซอฟท์ หนอนไวรัสจะสร้างภัยคุกคาม 13 แบบที่ทำงานต่อเนื่องกันบนหน้าเมนของเว็บไซต์ไมโครซอฟท์ ซึ่งการโจมตีทั้งหมดผ่านทาง DoS นั้นจะเกิดขึ้นในวันที่ 1 มีนาคม 2547 นี่เอง

ภัยคุกคามรายใหม่นี้จะขัดขวางไม่ให้ผู้ใช้สามารถเข้าไปยังเว็บไซต์ต่างๆ ดังต่อไปนี้:

ad.doubleclick.net, ad.fastclick.net, ads.fastclick.net, ar.atwola.com, atdmt.com, avp.ch, avp.com, avp.ru, awaps.net, banner.fastclick.net, banners.fastclick.net, ca.com, click.atdmt.com, clicks.atdmt.com, dispatch.mcafee.com,

download.mcafee.com, download.microsoft.com, downloads.microsoft.com, engine.awaps.net, fastclick.net, f-secure.com, ftp.f-secure.com, ftp.sophos.com, go.microsoft.com, liveupdate.symantec.com, mast.mcafee.com, mcafee.com, media.fastclick.net, msdn.microsoft.com, my-etrust.com, nai.com,

networkassociates.com, office.microsoft.com, phx.corporate-ir.net, secure.nai.com, securityresponse.symantec.com, service1.symantec.com, sophos.com, spd.atdmt.com, support.microsoft.com, symantec.com, update.symantec.com, updates.symantec.com, us.mcafee.com, vil.nai.com,

viruslist.ru, windowsupdate.microsoft.com, www.avp.ch, www.avp.com, www.avp.ru, www.awaps.net, www.ca.com, www.fastclick.net, www.f-secure.com, www.kaspersky.ru, www.mcafee.com, www.microsoft.com,

www.my-etrust.com, www.nai.com, www.networkassociates.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.ru, www3.ca.com

นายอัง อา ซิน ผู้จัดการฝ่ายการตลาด ภาคพื้นภาคเอเชีย บริษัท เทรนด์ไมโคร ได้เตือนว่า “สิ่งที่เราให้ความสำคัญก็คือการพัฒนาซอฟต์แวร์สำหรับต่อต้านภัยคุกคามให้เร็วขึ้น เพราะมันเป็นสิ่งที่สำคัญมากสำหรับผู้ใช้พีซีทุกๆ คน ในการที่จะอัพเดทข้อมูลให้เร็วที่สุด เท่าที่ผู้ให้บริการจะสามารถทำได้ เพราะซอฟต์แวร์ป้องกันไวรัส จะไม่มีประสิทธิภาพเลย หากว่าผู้ใช้ไม่ได้มีการอัพเดทสม่ำเสมอ และนอกจากนั้นสิ่งที่ผู้ใช้ควรจะนึกถึงเอาไว้ตลอดเวลาก็คือไม่ควรที่จะคลิ้กเพื่อเรียกไฟล์ที่แนบมาพร้อมกับอีเมล์ให้ทำงานขึ้นมา เพราะไม่มีความมั่นใจได้ว่าไฟล์ที่มานั้น จะเป็นหนอนไวรัสแฝงตัวมาหรือไม่ และใครเป็นผู้ส่ง”

ขั้นตอนการขจัดไวรัส

คุณสามารถที่จะกำจัดไวรัสไห้ออกไปจากเครื่องโดยอัตโนมัตินั้น ให้เข้าเว็บไซต์ไปที่
http://www.trendmicro.com/download/pettern.asp

ซึ่งมีการกำจัดไวรัสแบบออนไลน์ฟรีจากบริการของ HouseCall หรือที่
http://www.housecall.trendmicro.com

ในการตรวจสอบและกำจัดไวรัสให้ออกไปจากคอมพิวเตอร์ของคุณ

หมายเหตุ

Webcast- การเรียนรู้จาก MyDoom : จะทำให้คุณป้องกันองค์กรจากมหันภัยการแพร่ระบาดของไวรัสในคราวต่อไป

เทรนด์ ไมโคร ได้นำเสนอ Webcast ในวันที่ 30 มกราคม 2547 เวลา 10.00 น. PST /01.00 น. EST วันที่ 31 มกราคม 2547 เวลา 02.00 น. เวลาประเทศสิงคโปร์

สามารถดู Webcast กรุณาลงทะเบียนที่ http://www.trendmicro.com/en/about/news/events/overview.htm

เกี่ยวกับเทรนด์ไมโคร

เทรนด์ ไมโคร เป็นผู้นำการบริการและซอฟต์แวร์การป้องกันไวรัสบนเครือข่าย และการรักษาความปลอดภัยให้กับข้อมูลบนอินเทอร์เน็ต สำนักงานใหญ่ตั้งอยู่ที่กรุงโตเกียว โดยมีหน่วยงานธุรกิจทั่วโลก ผลิตภัณฑ์ของเทรนด์ไมโครได้จำหน่ายไปยังองค์กร และผู้จำหน่ายแบบมูลค่าเพิ่ม รวมทั้งผู้ให้บริการทางด้านการจัดการและบริการ สำหรับข้อมูลเพิ่มเติมและชุดทดลองใช้งานของผลิตภัณฑ์เทรนด์ ไมโคร สามารถเข้าไปได้ที่ http://www.trendmicro.com

สำหรับข้อมูลที่เกี่ยวข้องกับ WORM_MYDOOM.B สามารถเข้าไปตรวจสอบเพิ่มเติมได้ที่

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYD…