Virus Alert : ระวังไวรัส สำหรับ Windows XP ( เครื่องผมก็โดนแล้ว)
เรียน ท่านผู้ดูแลระบบทุกท่าน
ขณะนี้ถ้าท่านพบว่าเครื่องคอมพิวเตอร์ในระบบเครือข่ายของท่าน มีอาการ Reboot เครื่องเอง โดยไม่ทราบสาเหตุ
แสดงว่าเครื่องคอมพิวเตอร์เครื่องนั่นโดนโจมตีจาก Worm ท่านสามารถทำการแก้ไขปัญหาเบื้องต้นได้ดังนี้
- ถอดสาย Lan ที่คอมพิวเตอร์เครื่องดังกล่าว ออกจากเครือข่ายคอมพิวเตอร์
- ทำการ Download แฟ้มข้อมูลตรวจสอบไวรัสจาก
ftp://ftp.pharmacy.psu.ac.th/Blaster-Worm-Symantec/FixBlast.exe
- ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน
(อ่านเอกสารเพิ่มเติมเอกสารข้างล่าง)
- ทำการรันไฟล์ FixBlast.exe ในเครื่องคอมพิวเตอร์
- อัพเดต XP patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่ง
ftp://ftp.pharmacy.psu.ac.th/Blaster-Worm-XP-Patch32bits/WindowsXP-KB823980-x86-ENU.exe
- วิธีป้องกันอื่น ๆ
ทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
พอร์ต TCP และ UDP 135 ของ DCOM RPC
พอร์ต UDP 69 ของ TFTP
พอร์ต TCP และ UDP 139 ของ NetBIOS
พอร์ต TCP และ UDP 445
พอร์ต TCP 4444
ติดตั้ง Internet Explorer 6 SP1
ด้วยความปรารถนาดี
ศิริพงษ์
--------------------------------------------------------------------------------
ชื่อ : W32.Blaster.Worm
ค้นพบเมื่อ : 12 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_MSBLATER.A, W32/Lovsan.worm, W32/Blaster-A, W32/Lovsan.worm,
Win32.Poza, WORM_MSBLAST.A, W32/Blaster.A, Worm/Lovsan.A, msblast.exe, tftp, Lovsan,
Win32.Msblast.A, W32/Blaster
ระดับความรุนแรง : สูง
--------------------------------------------------------------------------------
ข้อมูลทั่วไป
W32.Blaster.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ DCOM RPC (Windows
Distributed Component Object Model Remote Procedure Call) หรือ MS03-026 โดยผ่านพอร์ต TCP 135 และ
หนอนยังสามารถดาวน์โหลดและรันตัวเอง ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า msblast.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ DCOM RPC หรือ MS03-026 ดังนั้นจึงควรที่จะทำการอัพเดต patch เพื่อ
อุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของ
เครือข่าย
พอร์ต TCP และ UDP 135 ของ DCOM RPC
พอร์ต UDP 69 ของ TFTP
พอร์ต TCP และ UDP 139 ของ NetBIOS
พอร์ต TCP และ UDP 445
พอร์ต TCP 4444
จากนั้นหนอนก็จะพยายามทำการปฏิเสธการให้บริการ (Denial Of Service) windowsupdate.com เพื่อไม่ให้ผู้ใช้
งานสามารถดาวน์โหลด patch มาอุดช่องโหว่นี้
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมาย
เลข IP ที่เปิดพอร์ต 135 เมื่อค้นพบหนอนจะทำการส่งโค้ดที่ใช้โจมตีเพื่อสั่งให้ดาวน์โหลดและรันไฟล์ที่ชื่อ
msblast.exe โดยใช้โปรแกรม TFTP
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Blaster.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
สร้าง Mutex ชื่อ "BILLY." ถ้ามี Mutex นี้แล้วจะหยุดการทำงาน
เพิ่มค่า
"windows auto update"="msblast.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
ขณะนี้หนอนจะถูกรันทุกครั้งเมื่อระบบปฏิบัติการวินโดวส์เริ่มทำงาน
คำนวณหาหมายเลข IP เป้าหมาย โดยใช้อัลกอริทึมต่อไปนี้ และจะใช้เวลาประมาณ 40% ของเวลาที่ใช้ในการ
คำนวณทั้งหมด
โฮสต์ที่หมายเลข IP เป็น A.B.C.D
ตั้งค่า D เท่ากับ 0
ถ้า C มากกว่า 20 จะทำการลบด้วยค่าที่น้อยกว่า 20
เมื่อได้ค่าแล้ว หนอนจะได้เครือข่ายที่จะทำการรัน Exploit คือ A.B.C.0 และจะนับเพิ่มขึ้นด้วย
หมายเหตุ ขณะนี้ในเครือข่ายย่อยจะถูกหนอนสร้างการร้องขอการใช้พอร์ต 135 จำนวนมาก ก่อนที่จะออกเครือข่าย
ย่อยนี้
คำนวณหาหมายเลข IP เป้าหมายต่อ โดยใช้วิธีการสุ่มตัวเลข และใช้ 60% ของเวลาในการคำนวณทั้งหมด
A.B.C.D
ตั้งค่า D เท่ากับ 0
ตั้งค่า A B และ C ให้สุ่มค่าในช่วง 0 ถึง 255
หนอนจะพยายามส่งข้อมูลผ่านพอร์ต TCP 135 ซึ่งเป็นการโจมตีช่องโหว่ DCOM RPC และสร้าง Remote shell รอ
รับการติดต่อที่พอร์ต TCP 4444
รอการติดต่อผ่านพอร์ต UDP 69 เมื่อหนอนได้รับการร้องขอ หนอนจะทำการส่งไฟล์ Msblast.exe กลับออกมา
ส่งคำสั่งให้เครื่องคอมพิวเตอร์อื่นๆ ทำการติดต่อซ้ำอีกครั้งแล้วทำการดาวน์โหลดและรันไฟล์ Msblast.exe จาก
เครื่องที่ถูกหนอนชนิดนี้ฝังตัวอยู่
ตั้งแต่วันที่ 16 สิงหาคม เป็นต้นไปจนถึงสิ้นปี หนอนชนิดนี้จะทำการ DoS ไปยัง windowsupdate.com
หนอนชนิดนี้จะมีข้อความแฝงอยู่และจะไม่แสดงให้เห็น ข้อความมีอยู่ว่า
" I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! "
วิธีกำจัดหนอนชนิดนี้
สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่
ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่าง
การบูตเครื่อง และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรม
ป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
ตัดการเชื่อมต่อเครือข่าย
หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
ดาวน์โหลดไฟล์ FixBlast.exe จาก http://securityresponse.symantec.com/avcenter/FixBlast.exe
ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่
ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
จากนั้นทำการรันไฟล์ FixBlast.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
หมายเหตุ ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe Mode ก่อน โดยในระบบปฏิบัติการวินโดวส์
95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
รีสตาร์ทเครื่อง แล้วรัน FixBlast.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
สแกนหาไวรัสทั้งระบบดูอีกครั้ง
================================================================
ข้อมูลเพิ่มเติมสำหรับ Windows ME:
หมายเหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้น
ไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึง
ต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
เลือกแถบ Performance
กดปุ่ม File System
เลือกแถบ Troubleshooting
ใส่เครื่องหมายเลือก "Disable System Restore"
กดปุ่ม Apply
กดปุ่ม Close
กดปุ่ม Close อีกที
เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
เรียกใช้งานโปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จาก
โฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่
เลือก "Disable System Restore" ออก
วิธีป้องกันตัวเองจากไวรัส
ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้น
เป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ให้เป็นเวอร์ชั่น
ใหม่ที่สุด
IE 6.0 SP1
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่
http://thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน
ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัส
คอมพิวเตอร์
ช้อมูลอ้างอิง
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://vil.mcafee.com/dispVirus.asp?virus_k=100547
http://www.f-secure.fi/v-descs/msblast.shtml
http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=48952
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100%
ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง
Posted by : Superman , Date : 2003-08-13 , Time : 16:46:01 , From IP : 172.29.1.228
|
