23 กรกฎาคม 2544 เวลา 00:00 น.
เพียงชั่วข้ามคืนที่ผ่านมา ไวรัส SCAM.A ได้ระบาดอย่างหนัก พบมีเครื่องคอมพิวเตอร์กว่าหมื่นเครื่องในเมืองไทยติดไวรัสตัวนี้แล้ว และยังกระจายไม่หยุดหย่อน
ไวรัส SCAM.A หรือ TROJ_SCAM.A หรือ W32.Sircam.Worm@mm เป็นไวรัส Trojan ที่แพร่กระจายผ่านทางอีเมล์ โดยมันจะส่งอีเมล์ที่มีก็อปปี้ของตัวมันไปยังทุกคนที่มีชื่อแอ็กเคาน์อยู่ใน แอดเดรสบุ๊กในเครื่องที่ติดไวรัส โดยอีเมล์ที่ส่งมานั้น ชื่อหัวเรื่องจะเป็นชื่อที่สุ่มขึ้นมา และมีไฟล์ที่แนบมาด้วยเป็นชื่อเดียวกัน ซึ่งดูแล้วไม่ใช่ไฟล์ที่น่าสงสัย
อีเมล์ที่เจ้าไวรัสตัวนี้ส่งมา เป็นดังนี้
Subject: (เป็นชื่อที่ได้จากการสุ่ม โดยจะเป็นชื่อเดียวกับไฟล์ที่แนบมาด้วย)
Message body: (ข้อความในจดหมายมีทั้งแบบที่เป็นภาษาอังกฤษและภาษาสเปน)
<เวอร์ชัน ภาษาอังกฤษ>
Hi! How are you?
I send you this file in order to have your advice OR
I hope you can help me with this file that I send OR
I hope you like the file that I send you OR
This is the file with the information that you ask for
See you later. Thanks
<เวอร์ชัน ภาษาสเปน>
Hola como estas ?
Te mando este archivo para que me des tu punto de vista OR
Espero me puedas ayudar con el archivo que te mando OR
Espero te guste este archivo que te mando OR
Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.
Attachment: (เป็นไฟล์ที่สุ่มได้จากในเครื่องที่ติดไวรัส จะมีชื่อไฟล์เป็นชื่อเดียวกับชื่อหัวเรื่อง)
ไฟล์ที่แนบมากับอีเมล์ เป็นไฟล์ที่ประกอบด้วยก็อปปี้ของตัวไวรัสรวมกับไฟล์ที่สุ่มได้จากเครื่องที่ ส่งอีเมล์ เมื่อมีการ execute ไวรัสจะก็อปปี้ตัวมันไปเป็นไฟล์ Scam32.EXE ในไดเร็กทอรี System แล้วแตกไฟล์ที่แนบมากับจดหมายเป็นไฟล์ SIRC32.EXE และ ไฟล์ที่มีชื่อเดิมไว้ในโฟลเดอร์ C:Recycled
ทุกครั้งที่มีการบูตเครื่อง มันจะถูก execute โดยมันจะสร้าง รีจิสทรี เอนทรี ดังต่อไปนี้
HKEY_LOCAL_MACHINESoftwareMicrosoft Windows
CurrentVersionRunServicesDriver32 = “C:WindowsSystemScam32.exe”
แล้วแก้ไข รีจิสทรี เอนทรี เป็น
HKEY_CLASSES_ROOTexefileshellopen command = “”%1”%*”
และ
HKEY_CLASSES_ROOTexefileshellopen
command = “”C:RecycledSirC32.exe” ”%1”%*”
ซึ่งเป็นคำสั่งที่อนุญาตให้ Trojan รัน เมื่อไฟล์ .EXE ถูก execute และมันจะสร้าง รีจิสทรี คีย์ ดังคำสั่งต่อไปนี้ เพื่อเก็บข้อมูล
HKEY_LOCAL_MACHINESoftwareSirCam
วิธีแก้ไขเมื่อติดไวรัส
ขั้นแรก ให้กำหนดค่าของระบบใหม่ผ่านทาง รีจิสทรี ซึ่งมีวิธีทำดังต่อไปนี้ ซึ่งถ้าคุณต่อเน็ตเวิร์กอยู่ให้ถอดสายเน็ตเวิร์กออกก่อน
# 1. คลิกที่ปุ่ม Start Menu เลือกเมนู Run แล้วพิมพ์คำว่า Regedit แล้วกด Enter
# 2. เลือก path HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunServices ทางด้านซ้ายของหน้าต่าง
# 3. จะปรากฎค่า รีจิสทรี ชื่อว่า Driver32 ทางด้านขวาของหน้าต่าง
# 4. คลิกที่ค่านั้นแล้วกดปุ่ม Delete
# 5. เลือก path HKEY_LOCAL_MACHINESoftwareSirCam
# 6. คลิก SirCam แล้วกดปุ่ม Delete
# 7. เลือก path HKEY_CLASSES_ROOTexefileshellopen command
# 8. คลิกขวาบน (Default) แล้วเลือก Modify
# 9. แก้ไขค่าเป็น “C:RecycledSirC32.exe””%1”%*” to “%1” %*. แล้วลบไฟล์ “C:RecycledSirC32.exe”.
ขั้นตอนที่ 7 ถึงขั้นตอนที่ 9 เป็นขั้นตอนที่สำคัญมากก่อนที่จะลบไฟล์ Trojan ซึ่งจะทำให้ไฟล์ต่างในเครื่องที่มีนามสกุล .exe ไม่สามารถ execute ได้ ถ้าไวรัส Trojan ถูกลบไปแล้ว จะทำให้ไฟล์ REGEDIT ไม่สามารถใช้งานได้ ซึ่งถ้าคุณข้ามขั้นตอน ขอแนะนำให้คุณเปลี่ยนไฟล์เป็น regedit.exe ไปเป็น regedit.com แล้วให้เรียกไฟล์ regedit ขึ้นมาใหม่ หลังจากนั้นให้ทำตามขั้นตอนที่ 1-9 แต่ถ้าคุณไม่อยากทำตามขั้นตอนที่ 1-9 คุณสามารถใช้ทูล fixsirc.com ลบ Trojan association ออกจาก รีจิสทรี
เมื่อรีจิสตรี้ที่เกี่ยวข้องถูกลบหมดแล้วให้บูตเครื่องใหม่ แล้วสแกนไวรัสอีกครั้ง โดยลบไฟล์ที่สแกนเจอไวรัส TROJ_SIRCAM.A. ทั้งหมด
