ผลิตภัณฑ์
แหล่งข้อมูลต่างๆ
ข้อมูลข่าวสารเฉพาะกลุ่ม
ข้อมูลเกี่ยวกับลิขสิทธิ์
สนใจซื้อ


สิ่งที่คุณควรรู้เกี่ยวกับเวิร์ม Mydoom.A, Mydoom.B และ Mydoom.C (Doomjuice)
Updated: February 19, 2004

Link to Mydoom (A,B) Worm Removal Toolคลิ๊กที่นี่เพื่อตรวจสอบและกำจัดเวิร์ม Mydoom ที่อาจจะอยู่ในเครื่องของคุณ

ระดับความรุนแรง

Moderate Severity

ผลกระทบจากการโจมตี

  • อีเมลจำนวนมากถูกส่งไปยังคอมพิวเตอร์ลูกข่าย

เว็บไซท์ที่เกี่ยวข้อง

 
เนื้อหาในหน้านี้
ทำไมเราถึงออกประกาศเตือนฉบับนี้
คุณจะป้องกันเวิร์มชนิดนี้ได้อย่างไร
คุณจะทราบได้อย่างไรว่าคอมพิวเตอร์ของคุณติดเวิร์ม Mydoom.A Mydoom.B หรือ Mydoom.C
คุณควรจะทำอย่างถ้าคอมพิวเตอร์ของคุณติด Mydoom.B
คุณควรจะทำอย่างถ้าคอมพิวเตอร์ของคุณติด Mydoom.C
ข้อมูลเพิ่มเติมจากเว็บไซท์ของผู้ผลิตซอฟท์แวร์ป้องกันไวรัส
ความเป็นไปได้ในใช้ Denial of Service (DoS) เพื่อโจมตีเว็บไซท์ของไมโครซอฟท์
ความรุนแรงแต่ละระดับมีความหมายอย่างไร


ทำไมเราถึงออกประกาศเตือนฉบับนี้

เวิร์ม Mydoom.A และ Mydoom.B กำลังแพร่ระบาดอย่างรุนแรงผ่านทางอีเมล ลักษณะของข้อความในอีเมลจะเชิญชวนให้เจ้าของอีเมลอ่านและเปิดไฟล์ที่แนบมาด้วย (file attachment) ซึ่งไฟล์เหล่านั้นส่วนมากจะอยู่ในรูปของ .zip ถ้าไฟล์เหล่านั้นถูกเปิด เวิร์มจะทำการติดตั้งโค๊ดในการแพร่กระจายตัวมันเอง และส่งอีเมลพร้อมโค๊ดชุดนี้ไปยังคอมพิวเตอร์ของผู้ใช้รายอื่นๆซึ่งมีชื่ออีเมลจัดเก็บอยู่ในสมุดรายชื่อ (address book) ของ Outlook ผลกระทบคือเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อเหล่านั้นมี่ความเป็นไปได้ที่บรรดาแฮ็คเกอร์ะเข้ามาควบคุม ขโมยข้อมูลสำคัญๆ หรือโจมตีจากระยะไกล นอกจากนี้เวิร์มทั้งสองตัวนี้ยังสามารถห้ามมิให้ผู้ใช้เข้าไปยังเว็บไซท์ของผู้ผลิตซอฟท์แวร์ป้องกันไวรัส รวมไปถึงเว็บไซท์ของไมโครซอฟท์

เราจะทำการแจ้งข้อมูลเพิ่มเติมให้คุณรับทราบเป็นระยะๆ

ผลิตภัณฑ์ที่เกี่ยวข้อง
  • Microsoft Outlook
  • Microsoft Outlook Express

กลับไปด้านบน

คุณจะป้องกันเวิร์มชนิดนี้ได้อย่างไร


  1. หากคูณได้รบอีเมลซึ่งมีไฟล์แนบมาด้วย โดยเฉพาะอย่างยิ่งไฟล์ที่มีนามสกุล .zip และคุณไม่ทราบว่าใครคือผู้ส่งหรือจุดประสงค์ของอีเมลฉบับนั้น อย่าเปิดอีเมลและไฟล์นั้นๆ โดยเด็ดขาด ให้ลบอีเมลฉบับนั้นทันที หรือถ้าอีเมลฉบับนั้นอ้างว่ามาจากไมโครซอฟท์ โปรดทราบไว้ว่าไมโครซอฟท์จะไม่ส่ง Attachment ประเภทใดๆออกไปทางอีเมล.
  2. อัพเดทซอฟท์แวร์ Outlook และ Outlook Express โดยการทำตามคำแนะนำดังนี้:


กลับไปด้านบน

คุณจะทราบได้อย่างไรว่าคอมพิวเตอร์ของคุณติดเวิร์ม Mydoom.A, Mydoom.B หรือ Mydoom.C
 

หากต้องการทราบว่าคอมพิวเตอร์ของคุณติดเวิร์มชนิดนี้หรือไม่ สิ่งแรกที่คุณต้องทราบคือ เวอร์ชั่นของไมโครซอฟท์วินโดวส์ที่คุณใช้อยู่ หากคุณไม่ทราบ คลิ๊กที่นี่ ถ้าคุณทราบแล้ว กรุณาทำตามขั้นตอนดังนี้

ถ้าคุณใช้ Windows XP, Windows 2000, หรือ Windows NT 4.0
คุณสามารถตรวจสอบและกำจัดเวิร์ม
Mydoom ได้ที่นี่ หรือทำตามขั้นตอนนี้

  1. คลิ๊กปุ่ม  Start, และเลือก Run
  2. ในช่องข้อความ Open, พิมพ์: cmd
  3. คลิ๊กปุ่ม OK วินโดวส์จะเปิดหน้าจอสีดำและ C:\...>
  4. พิมพ์ cd \ และกด ENTER เพื่อย้ายไปที่ C:\
  5. พิมพ์คำสั่งดังนี้ dir shimgapi.dll /a /s
  6. กด ENTER.
  7. รอสักครู่เพื่อให้เครื่องค้นหาไฟล์นั้นๆ:
    • ถ้าวินโดวส์แจ้งว่า File not found, เครื่องของคุณไม่ติด Mydoom.A
    • แตถ้าวินโดวส์รายงาน Total files listed (ดูรูป Figure 1) และบอกขนาดของไฟล์, เครื่องของคุณติด Mydoom.A
    • สิ่งที่คุณต้องทำคือติดต่อบริษัทผู้ผลิตซอฟท์แวร์ป้องกันไวรัส
  8. หากคุณต้องการตรวจสอบว่าเครื่องคุณติด Mydoom.B หรือไม่, ทำตามขั้นตอน 1-4 และพิมพ์คำสั่งที่ c:\> ดังนี้:
    dir ctfmon.dll /a /s
  9. Wait a few moments:
    • ถ้าวินโดวส์แจ้งว่า File not found, เครื่องของคุณไม่ติด Mydoom.B
    • แตถ้าวินโดวส์รายงาน Total files listed (ดูรูป Figure 2) และบอกขนาดของไฟล์, เครื่องของคุณติด Mydoom.B
    • ทำตาม ขั้นตอนดังนี้.
Command Prompt window on a Windows Millennium-based computer infected with Mydoom.A
รูปที่ 1: หน้าจอของ Windows Millennium ที่ติด Mydoom.A จะพบไฟล์ชื่อ SHIMGAPI.DLL ในเครื่อง
Command Prompt window on a Windows Millennium-based computer infected with Mydoom.B
รูปที่ 2: หน้าจอของ Windows Millennium ที่ติด Mydoom.B จะพบไฟล์ชื่อ CTFMON.DLL ในเครื่อง

 

  1. คลิ๊กปุ่ม  Start, และเลือก Run
  2. ในช่องข้อความ Open, พิมพ์: command
  3. คลิ๊กปุ่ม OK วินโดวส์จะเปิดหน้าจอสีดำและ C:\...>
  4. พิมพ์ cd \ และกด ENTER เพื่อย้ายไปที่ C:\
  5. พิมพ์คำสั่งดังนี้ dir shimgapi.dll /a /s
  6. กด ENTER.
  7. รอสักครู่เพื่อให้เครื่องค้นหาไฟล์นั้นๆ:
    • ถ้าวินโดวส์แจ้งว่า File not found, เครื่องของคุณไม่ติด Mydoom.A
    • แต่ถ้าวินโดวส์รายงาน Total files listed (ดูรูปที่ 1) และบอกขนาดของไฟล์, เครื่องของคุณติด Mydoom.A
    • สิ่งที่คุณต้องทำคือติดต่อบริษัทผู้ผลิตซอฟท์แวร์ป้องกันไวรัส
  8. หากคุณต้องการตรวจสอบว่าเครื่องคุณติด Mydoom.B หรือไม่, ทำตามขั้นตอน 1-4 และพิมพ์คำสั่งที่ c:\> ดังนี้:
    dir ctfmon.dll /a /s
  9. Wait a few moments:
    • ถ้าวินโดวส์แจ้งว่า File not found, เครื่องของคุณไม่ติด Mydoom.B
    • แต่ถ้าวินโดวส์รายงาน Total files listed (ดูรูปที่ 2) และบอกขนาดของไฟล์, เครื่องของคุณติด Mydoom.B
    • ทำตาม ขั้นตอนดังนี้.


กลับไปด้านบน

คุณควรจะทำอย่างถ้าคอมพิวเตอร์ของคุณติด Mydoom.B
 

หากคอมพิวเตอร์ของคุณติดเวิร์ม Mydoom.B เราขอแนะนำให้คุณดาวน์โหลดโปรแกรมกำจัดไวรัสมาใช้จากเว็บไซท์ผู้ผลิตซอฟท์แวร์ป้องกันไวรัส แต่ในกรณีที่คุณไม่สามารถเข้าไปที่เว็บไซท์เหล่านั้นได้เนื่องจาก Mydoom ห้ามมิให้เครื่องของคุณติดต่อกับเว็บไซท์ดังกล่าว กรุณาทำตามขั้นตอนดังนี้

  1. คลิ๊กปุ่ม  Start, และเลือก Run
  2. ในช่องข้อความ Open, พิมพ์: cmd
  3. คลิ๊กปุ่ม OK วินโดวส์จะเปิดหน้าจอสีดำและ C:\...>
  4. พิมพ์ cd \ และกด ENTER เพื่อย้ายไปที่ C:\
  5. ทำตามขั้นตอนดังนี้:
    1. พิมพ์:
      del /F %systemroot%\system32\drivers\etc\hosts
    2. กด ENTER.
    3. พิมพ์:
      echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hosts
    4. กด ENTER.
    5. พิมพ์:
      attrib +R %systemroot%\system32\drivers\etc\hosts
    6. กด ENTER.
  6. หลังจากนั้น ให้เลือกทำหนึ่งในขั้นตอนนี้:
    • ถ้าคุณใช้ Windows NT 4.0, รีบูทเครื่องใหม่
    • ถ้าคุณใช้ Windows XP หรือ Windows 2000, อย่ารีบูท ให้ทำตามขั้นตอนนี้แทน:
      1. พิมพ์:
        ipconfig /flushdns
      2. กด ENTER.

  1. คลิ๊กปุ่ม  Start, และเลือก Run
  2. ในช่องข้อความ Open, พิมพ์: cmd
  3. คลิ๊กปุ่ม OK วินโดวส์จะเปิดหน้าจอสีดำและ C:\...>
  4. พิมพ์ cd \ และกด ENTER เพื่อย้ายไปที่ C:\
  5. ทำตามขั้นตอนดังนี้:
    1. พิมพ์:
      del c:\windows\hosts
    2. กด ENTER.

กลับไปด้านบน


คุณควรจะทำอย่างถ้าคอมพิวเตอร์ของคุณติด Mydoom.C
 
คุณสามารถใช้ Windows Update เพื่อตรวจสอบระบบของคุณว่ามีเวิร์ม Mydoom.C หรือไม่

Link to Mydoom (A,B) Worm Removal Toolตรวจสอบและกำจัดเวิร์ม Mydoom ที่อาจจะอยู่ในเครื่องของคุณ

คำเตือน:

  1. การปรับเปลี่ยนค่า registry ของวินโดวส์โดยผิดวิธีอาจจะทำให้วินโดวส์ของคุณไม่ทำงานและต้องติดตั้งวินโดวส์ใหม่ ไมโครซอฟท์ไม่สามารถรับรองได้ว่าการแก้ไข registry อย่างไม่ถูกวิธีจะแก้ปัญหา Mydoom.C ได้
  2. หากคุณได้กำจัด Mydoom.A ออกไปแล้ว เครื่องของคุณก็จะปลอดภัยจาก Mydoom.C

สำหรับผู้ใช้ที่มีความชำนาญคุณสามารถใช้ Registry Editor ในกำจัดเวิร์ม Mydoom.C

ขั้นตอนในการแก้ไข Registry

  1. ใช้ Task Manager เพื่อหยุดการทำงานของโปรแกรม intrenat.exe ที่กำลังรันอยู่
  2. ลบไฟล์ intrenat.exe จาก %windir%\system32 (for Windows NT, Windows 2000, Windows XP) หรือ %windir%\system (Windows 95/98/ME)
  3. ใน Registry Editor, ลบ registry key:
    HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin
  4. ลบไฟล์ sync-src-1.00.tbz ในทุกๆ root ของทุกฮาร์ดไดรว์ และทุกไดเร็คทอรีหลักของ user profile

 

กลับไปด้านบน

ข้อมูลเพิ่มเติมจากเว็บไซท์ของผู้ผลิตซอฟท์แวร์แอนตี้ไวรัส


หากคอมพิวเตอร์ของคุณติดเวิร์ม Mydoom.A หรือ Mydoom.B และคุณต้องการความช่วยเหลือทางเทคนิค กรุณาติดต่อผู้ผลิตซอฟท์แวร์ป้องกันไวรัส หรือ Microsoft Product Support Services เพื่อที่จะกำจัดเวิร์มออกไปจากเครื่องของคุณ

  • สำหรับ Microsoft Product Support Services ในอเมริกาและแคนดา ติดต่อเบอร์โทรฟรีที่ (866) PCSAFETY (727-2338)
  • สำหรับ Microsoft Product Support Services นอกอเมริกาและแคนดา ให้ไปที่เว็บของ Product Support Services

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับไวร้ส/เวิร์มชนิดต่างๆ คุณสามารถค้นหาได้ที่ Microsoft Virus Information Alliance:


กลับไปด้านบน

ความเป็นไปได้ในการใช้ Denial of Service (DoS) เพื่อโจมตีเว็บไซท์ของไมโครซอฟท์

ไมโครซอฟท์ได้ตระหนักว่าคอมพิวเตอร์ที่ติดเวิร์ม Mydoom.B อาจจะถูกติดตั้งโค๊ดบางอย่างเพื่อมิให้ผู้ใช้สามารถติดต่อกับเว็บไซท์หรือรับบริการอัพเกรดซอฟท์แวร์จากไมโครซอฟท์ได้ หรือที่เรียกว่า Denial of Service (DoS) ถึงแม้ว่าไมโครซอฟท์จะยังไม่สามารถให้รายละเอียดไปได้มากกว่านี้ แต่เราได้รับรายงานว่ามีการโจมตีในลักษณะนี้เกิดขึ้น ทั้งนี้และทั้งนั้นไมโครซอฟท์ก็ไม่ได้นิ่งนอนใจและจะทำทุกวิถีทางเพื่อให้ผู้ใช้สามารถติดต่อและดาวน์โหลด security patch ได้ ขณะนี้ไมโครซอฟท์กำลังประสานงานกับ Virus Information Alliance เพื่อที่จะช่วยผู้ใช้จากวิกฤตการณ์ในครั้งนี้

หากคุณหรือคนที่คุณรู้จักมีเครื่องคอมพิวเตอร์ที่ติดเวิร์ม Mydoom และไม่สามารถติดต่อกับเว็บไซท์ของไมโครซอฟท์ได้ เราได้จัดเตรียมเว็บไซท์ซึ่งนำเสนอข้อมูลและให้บริการแบบเดียวกันนี้ที่:

https://information.microsoft.com/security/antivirus/mydoom.asp

คำเตือน หากคุณกำลังอ่านหน้านี้และพบหน้าต่างแสดงข้อความ: This page contains both secure and nonsecure items. Do you want to display the nonsecure items? ในหน้านี้ให้ตอบ No.

กลับไปด้านบน

ความรุนแรงแต่ละระดับมีความหมายอย่างไร

Critical (รุนแรง)

  • จุดบกพร่องของซอฟท์แวร์ไมโครซอฟท์ได้ถูกค้นพบ หรือยังไม่มีอัพเดทสำหรับจุดบกพร่องนั้น
  • วิธีในการติดไวรัส/เวิร์มเป็นไปได้มากกว่า 2 ทาง
  • วิธีการติดไวรัส/เวิร์มแบบใหม่ๆมีความเป็นไปได้
  • มีอัตราการแพร่กระจายของไวรัส/เวิร์มสูง
  • การโจมตีมีรูปแบบการทำลายข้อมูลแบบเฉพาะตัว
  • มีการแทรกแซงและยับยั้งการให้บริการป้องกันและกำจัดไวรัส/เวิร์ม

Moderate (ปานกลาง)

  • จุดบกพร่องของซอฟท์แวร์ไมโครซอฟท์ได้ถูกค้นพบ
  • วิธีในการติดไวรัส/เวิร์มเป็นไปได้ 2 ทางหรือน้อยกว่า
  • วิธีการติดไวรัส/เวิร์มแบบใหม่ๆมีความเป็นไปได้
  • มีอัตราการแพร่กระจายของไวรัส/เวิร์มปานกลาง-สูง
  • การโจมตียังไม่มีมีรูปแบบการทำลายข้อมูลที่ชัดเจน
  • ยังไม่มีมีการแทรกแซงและยับยั้งการให้บริการป้องกันและกำจัดไวรัส/เวิร์ม

Low (ต่ำ)

  • ไม่พบจุดบกพร่องของซอฟท์แวร์ไมโครซอฟท์
  • วิธีในการติดไวรัส/เวิร์มเป็นไปได้แค่ทางเดียวเท่านั้น
  • ยังไม่พบวิธีการติดไวรัส/เวิร์มแบบใหม่ๆ
  • มีอัตราการแพร่กระจายของไวรัส/เวิร์มต่ำ
  • ไม่มีการทำลายข้อมูล
  • ไม่มีมีการแทรกแซงและยับยั้งการให้บริการป้องกันและกำจัดไวรัส/เวิร์ม
กลับไปด้านบน