ทำไมต้อง108isee

Translate

ด่วนไวรัส W32.Conficker.C หรือ W32.Downandup.C

ประกาศด่วน ระวังไวรัส วันที่ 1 เมษานี้

มีข่าวเกี่ยวกับ ไวรัส การแพร่กระจายของหนอน W32.Conficker.C หรือ W32.Downandup.C มาครับ ในวันที่ 1 เมษานี้ คงระวังกันหน่อยละครับด้วยความหวังดี

ในเนี้อหา มีดังนี้ครับ

เนื่องด้วยทีมงาน ThaiCERT ได้พบการแพร่กระจายของหนอน W32.Conficker.C หรือ
W32.Downandup.Cซึ่งเป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows
Server service (SVCHOST.EXE)ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ MS08-067
หรือในประกาศ CERT Advisory ที่


CA-2008-29ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัวหลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service)รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products) อีกด้วย

หนอนชนิดนี้ยังมีความสามารถในการหยุดการเข้าถึงบางเว็บไซต์โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัสรวมทั้งเว็บไซต์ของ CERT ต่างๆ

จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย)

พบว่าในวันที่ 1 เมษายน 2552หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้นโดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix)

วิธีการแพร่กระจาย


หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีผ่านช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ที่ MS08-067 ติดต่อผ่านไดร์ฟภายนอก (Removable Drive) ที่นำมาต่อ และการแชร์ไฟล์ที่ใช้รหัสผ่านที่อ่อนแอ


ผลกระทบที่เกิดขึ้น


เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและผลิตภัณฑ์การรักษาความปลอดภัยด้วย


เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะทำการเข้าถึงเว็บไซต์ต่างๆ ในวันที่ 1 เมษายน 2552 และเชื่อมต่อกับเครื่องอื่นที่เปิดให้บริการการแชร์ไฟล์ เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 139/TCP และ 445/TCP

วิธีกำจัดหนอนชนิดนี้ ของแต่ละระบบปฏิบัติการ Thai CERT


การกำจัดหนอนแบบอัตโนมัติ


ดาวน์โหลดไฟล์ FixSwen.exe จาก http://www.symantec.com/avcenter/FixSwen.exe

ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ1 ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการdisable System Restore ก่อน จากนั้นทำการรันไฟล์ FixSwen.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start


รีสตาร์ทเครื่อง แล้วรัน FixSwen.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ enable System Restore
ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ



สแกนหาไวรัสทั้งระบบดูอีกครั้ง



ถ้าต้องการข้อมูลรายละเอียดมากกว่านี้ เข้าไปดูที่นี่ดีกว่าครับ Thai CERT





อาการที่เกิดจากการติดไวรัส W32.Conficker.C หรือ W32.Downadup.Cเมื่อติดไวรัส W32.Conficker.C หรือ W32.Downadup.C เครื่องคอมพิวเตอร์จะมีอาการต่างๆ ดังนี้

1. เครื่องคอมพิวเตอร์ทำงานผิดพลาด เนื่องจากไวรัสได้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์มัลแวร์ รวมทั้งมีทำการหยุดการทำงานของบางเซอร์วิสของระบบและโปรแกรมรักษาความปลอดภัยด้วย
2. ไม่สามารถใช้งานอินเทอร์เน็ตได้ หรือใช้งานได้แต่ว่าช้าผิดปรกติ
3. ไม่สามารถใช้งานแชร์โฟลเดอร์บนระบบเครือข่าย (Shared Folder) ได้ตามปกติ
4. ไม่สามารถใช้งานเครื่องพิมพ์ที่แชร์บนระบบเครือข่าย (Shared Printer) ได้ตามปกตินอกจากอาการดังกล่าวด้านบนแล้ว จะมีการเชื่อมต่อด้วยโปรโตคอล TCP ที่พอร์ตหมายเลข 139 หรือ 445 มากผิดปกติ

  • ซึ่งสามารถตรวจสอบโดยการใช้คำสั่ง netstat -n ที่คอมมานด์พร้อมท์ ซึ่งมีการเชื่อมต่อผ่านทางพอร์ตหมาย445 ไปยังเครื่องอื่นมาก มีความเป็นไปได้สูงที่เครื่องจะติดไวรัส W32.Conficker.C หรือ W32.Downadup.C เข้าแล้ว