| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| a-squared | 4.5.0.50 | 2010.01.28 | Trojan.Win32.SuspectCRC!IK |
| AhnLab-V3 | 5.0.0.2 | 2010.01.28 | Win32/Zimuse.worm.228352 |
| AntiVir | 7.9.1.154 | 2010.01.28 | Worm/Zimuse.A |
| Antiy-AVL | 2.0.3.7 | 2010.01.28 | Worm/Win32.Mseus.gen |
| Authentium | 5.2.0.5 | 2010.01.28 | W32/Zimuse.D |
| Avast | 4.8.1351.0 | 2010.01.28 | Win32:Zimuse-B |
| AVG | 9.0.0.730 | 2010.01.28 | SHeur2.CGGM |
| BitDefender | 7.2 | 2010.01.28 | Dropped:Worm.Zimuse.A |
| CAT-QuickHeal | 10.00 | 2010.01.28 | (Suspicious) - DNAScan |
| ClamAV | 0.94.1 | 2010.01.28 | - |
| Comodo | 3737 | 2010.01.28 | Heur.Suspicious |
| DrWeb | 5.0.1.12222 | 2010.01.28 | Win32.HLLW.Mseus.1 |
| eSafe | 7.0.17.0 | 2010.01.27 | Win32.Zimuse.B |
| eTrust-Vet | 35.2.7264 | 2010.01.27 | Win32/Zimuse.A |
| F-Prot | 4.5.1.85 | 2010.01.28 | W32/Zimuse.D |
| F-Secure | 9.0.15370.0 | 2010.01.28 | Dropped:Worm.Zimuse.A |
| Fortinet | 4.0.14.0 | 2010.01.28 | - |
| GData | 19 | 2010.01.28 | Dropped:Worm.Zimuse.A |
| Ikarus | T3.1.1.80.0 | 2010.01.28 | Trojan.Win32.SuspectCRC |
| Jiangmin | 13.0.900 | 2010.01.28 | - |
| K7AntiVirus | 7.10.957 | 2010.01.26 | Trojan.Win32.Malware.1 |
| Kaspersky | 7.0.0.125 | 2010.01.28 | Worm.Win32.Mseus.a |
| McAfee | 5874 | 2010.01.27 | Generic.dx!lpy |
| McAfee+Artemis | 5874 | 2010.01.27 | Generic.dx!lpy |
| McAfee-GW-Edition | 6.8.5 | 2010.01.27 | Worm.Zimuse.A |
| Microsoft | 1.5406 | 2010.01.28 | Worm:Win32/Zumes.A!sys |
| NOD32 | 4813 | 2010.01.28 | Win32/Zimuse.B |
| Norman | 6.04.03 | 2010.01.27 | - |
| nProtect | 2009.1.8.0 | 2010.01.28 | Worm/W32.Mseus.228352 |
| Panda | 10.0.2.2 | 2010.01.28 | W32/Mseus.A |
| PCTools | 7.0.3.5 | 2010.01.28 | Malware.Zimuse |
| Prevx | 3.0 | 2010.01.28 | Medium Risk Malware |
| Rising | 22.32.03.04 | 2010.01.28 | Trojan.Win32.Generic.51F84B19 |
| Sophos | 4.50.0 | 2010.01.28 | W32/Mseus-A |
| Sunbelt | 3.2.1858.2 | 2010.01.28 | Win32.Malware!Drop |
| Symantec | 20091.2.0.41 | 2010.01.28 | W32.Zimuse |
| TheHacker | 6.5.0.9.167 | 2010.01.28 | - |
| TrendMicro | 9.120.0.1004 | 2010.01.28 | WORM_ZIMUS.B |
| VBA32 | 3.12.12.1 | 2010.01.28 | - |
| ViRobot | 2010.1.28.2160 | 2010.01.28 | Worm.Win32.S.Zimuse.228352 |
| VirusBuster | 5.0.21.0 | 2010.01.27 | Worm.Mseus.A |
-------------------------------------------------------------------------------
Threat Encyclopaedia (ESET)
http://www.eset.eu/encyclopaedia/win32-zimuse-a-trojan-startpage-g-generic-1729691-threat-sysvenfakp-based-maximus
Bitdefender
http://www.malwarecity.com/blog/malware-alert-win32wormzimusea-the-hard-disk-wrecker-736.html
http://www.malwarecity.com/blog/zimuse-removal-tool-739.html
Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2010-012301-1138-99&tabid=2
TrendMicro
http://150.70.93.10/vinfo/virusencyclo/default5.asp?VName=WORM_ZIMUS.B&VSect=P
-----------------------------------------------------------------------
ผลกระทบ
Win32.Worm.Zimuse.A นั้นจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้
วิธีการแพร่ระบาด
Win32.Worm.Zimuse.A สามารถแพร่ระบาดได้ทางการดาวน์โหลดจากอินเทอร์เน็ตและผ่านสื่อเก็บข้อมูลแบบพกพา โดยมันจะแฝงตัวอยู่ในไฟล์บีบอัดที่สามารถรันได้ด้วยตัวเอง (PECompact) โดยจะหลอกผู้ใช้ว่าเป็นในโปรแกรมทดสอบไอคิว (IQ Test) ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มก็จะทำการสำเนาตัวเองในชื่อไฟล์ zipsetup.exe มีขนาด 195072 B ลงใรรูทโฟลเดอร์ของไดรฟ์
----------------------------------------------------------------------
นักวิจัยจากบริษัทผู้ผลิตซอฟต์แวร์แอนตี้มัลแวร์เปิดเผยว่า พบหนอนไวรัสสายพันธุ์ใหม่ที่สามารถเขียนทับ (overwirte) ข้อมูลส่วนทีเรียกว่า master boot records (MBRs) ของทุกไดรฟ์ในฮาร์ดดิสก์ด้วยข้อมูลของมันเอง ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้
นักวิจัยยังให้ข้อมูลเพิ่มเติมอีกด้วยว่า การกู้ข้อมูลให้คอมพิวเตอร์ที่โดนหนอนไวรัสตัวนี้โจมตีจะมีขั้นตอนที่ค่อนข้างซับซ้อน และต้องใช้ซอฟต์แวร์เฉพาะ ตลอดจนอาจถึงกับต้องเรียกใช้ผู้ให้บริการที่มีความเขี่ยวชาญ สำหรับหนอนไวรัสดังกล่าวจะมี 2 สายพันธุ์ด้วยกันคือ Win32/Zimuse A และ Win32/Zmuse B โดยทาง ESET บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยระบุว่า หนอนไวรัสทั้งสองกำลังแพร่ระบาดในกลุ่มผู้ใช้คอมพิวเตอร์ในสโลวาเกีย ซึ่งคิดเป็นอัตราส่วนมากกว่า 90% ของผู้ที่ตกเป็นเหยื่อ นอกจากนี้ ยังพบอีกด้วยว่า คอมพิวเตอร์ที่กำลังโดนโจมตีจากหนอนไวรัสตัวนี้ได้เพิ่มจำนวนอย่างรวดเร็ว ไม่ว่าจะเป็นในสหรัฐ ตามมาด้วยสโลวาเกีย "ประเทศไทย" และสเปน
สำหรับการแพร่กระจายของหนอนทั้งสองสายพันธุ์จะมี 2 วิธีด้วยกัน วิธีแรกพวกมันจะฝังตัวอยู่ในเว็บไซต์ทั่วไป โดยจะอยู่ในรูปของไฟล์บีบอัด ZIP ที่สามารถคลายไฟล์ได้ในตัว หรือโปรแกรมทดสอบ IQ กับสื่อบันทึกข้อมูลพกพาอย่างเช่น USB Drive ซึ่งความสามารถในการแพร่กระจายผ่านสื่อพกพาได้ จะทำให้หนอนไวรัสพันธุ์นี้แพร่กระจายตัวเองได้เร็วยิ่งขึ้น
นอกจากคุณสมบัติในการแพร่กระจายแล้ว หนอนทั้งสองตัวยังมีความแตกต่างกันในเรื่องของช่วงเวลาฟักตัวก่อนการแพร่กระจายอีกด้วย โดย Win32/Zimuse.A จะต้องใช้เวลา 10 วันก่อนที่จะเริ่มแพร่กระจายจากไดร์ฟ USB ในขณะที Win32/Zimuse.B จะใช้เวลาแค่ 7 วันเท่านั้น หลังจากที่พวกเมันเข้าไปอยู่ในแฟลชไดรฟ์ นอกจากนี้ มันยังมีการตั้งเวลาทำงานอีกด้วย โดยส่วนของโปรแกรมเขียนทับ MBR ของสายพันธุ์ B จะเร็วกว่าจาก 40 วันเป็น 20 วันหลังจากที่มันติดเข้าไปในเครื่องคอมพิวเตอร์ของเหยื่อแล้ว
หากไม่ได้รับการกำจัดอย่างถูกต้อง หนอนจะยกระดับการทำลายที่รุนแรงขึ้นไปอีก จนอาจจะทำให้ใช้งานคอมพิวเตอร์ไม่ได้เลย ผู้สังเกตการณ์เชื่อว่า หนอนตัวนี้มีวัตถุประสงค์ต้องการแพร่กระจายตัวเองไปยังคอมพิวเตอร์ของกลุ่มแฟนคลับมอเตอร์ไบค์ในสโลวาเกีย แต่เมื่อมันหลุดเข้าไปในเครือข่ายคอมพิวเตอร์ของบริษัท การโจมตีจึงแผ่ขยายวงกว้างออกไป
อย่างไรก็ตาม ทาง ESET ได้แจกจ่ายชุดซอฟต์แวร์กำจัดหนอน Zimuse ไว้บนเว็บไซต์แล้ว ผู้สนใจสามารถดาวน์โหลดได้แล้ว (คลิปข้างล่างนี้แสดงให้พิษสงของหนอนดังกล่าว หลังจากที่ทดลองให้ติดตั้ง และแก้ไขวันทีให้มันทำงาน)
ข้อมูลจาก: ARiP, pr-inside
-----------------------------------------------------------------------
Files Created
C:\IQTEST\Iqtest.exe
C:\IQTEST\Readme.txt
%ProgramFiles%\Dump\Dump.exe
%System%\ainf.inf
%System%\drivers\Mseu.sys
%System%\drivers\Mstart.sys
%System%\mseus.exe
%System%\tokset.dll
%System% = C:\Windows\System32
Registry Modifications
Keys Added
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000\Control
HKLM\SYSTEM\ControlSet001\Services\Mseu
HKLM\SYSTEM\ControlSet001\Services\MSTART
HKLM\SYSTEM\ControlSet001\Services\MSTART\Security
HKLM\SYSTEM\ControlSet001\Services\MSTART\Enum
HKLM\SYSTEM\ControlSet001\Services\UnzipService
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control
HKLM\SYSTEM\CurrentControlSet\Services\Mseu
HKLM\SYSTEM\CurrentControlSet\Services\MSTART
HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Security
HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Enum
HKLM\SYSTEM\CurrentControlSet\Services\UnzipService
Values Added
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Dump = "%ProgramFiles%\Dump\Dump.exe"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000\Control\
*NewlyCreated* = 0x00000000
ActiveService = "MSTART"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\0000\
Service = "MSTART"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "MSTART"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSTART\
NextInstance = 0x00000001
HKLM\SYSTEM\ControlSet001\Services\Mseu\
Type = 0x00000001
Start = 0x00000002
ErrorControl = 0x00000001
Tag = 0x00000001
Group = "Extended base"
HKLM\SYSTEM\ControlSet001\Services\MSTART\Enum\
0 = "Root\LEGACY_MSTART\0000"
Count = 0x00000001
NextInstance = 0x00000001
HKLM\SYSTEM\ControlSet001\Services\MSTART\Security\
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
HKLM\SYSTEM\ControlSet001\Services\MSTART\
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "%System%\Drivers\MSTART.SYS"
DisplayName = "MSTART"
HKLM\SYSTEM\ControlSet001\Services\UnzipService\
Type = 0x00000110
Start = 0x00000002
ImagePath = "System32\Mseus.exe"
ErrorControl = 0x00000000
DisplayName = "Self extract service"
ObjectName = "LocalSystem"
Description = "Self extract archive decrypt"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control\
*NewlyCreated* = 0x00000000
ActiveService = "MSTART"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\
Service = "MSTART"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "MSTART"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\
NextInstance = 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\Mseu\
Type = 0x00000001
Start = 0x00000002
ErrorControl = 0x00000001
Tag = 0x00000001
Group = "Extended base"
HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Enum\
0 = "Root\LEGACY_MSTART\0000"
Count = 0x00000001
NextInstance = 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\MSTART\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSTART\
Type = 0x00000001
Start = 0x00000003
ErrorControl = 0x00000001
ImagePath = "%System%\Drivers\MSTART.SYS"
DisplayName = "MSTART"
HKLM\SYSTEM\CurrentControlSet\Services\UnzipService\
Type = 0x00000110
Start = 0x00000002
ImagePath = "System32\Mseus.exe"
ErrorControl = 0x00000000
DisplayName = "Self extract service"
ObjectName = "LocalSystem"
Description = "Self extract archive decrypt"
วิธีกำจ้ด Worm : Win32/Zimuse.A
=================================================
Download Fix Tool
ESET Ezimuse Remover
http://www.eset.eu/download/ezimuse-remover
or
http://www.mediafire.com/?adzmjonjnyx
Zimuse Remove Tool (Bidefender)
http://www.zimuse.com/download/zimuse-removal-tool.exe
No comments:
Post a Comment