วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่ กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต 135 เมื่อค้นพบหนอนจะทำการส่งโค้ดที่ใช้โจมตีเพื่อสั่งให้ดาวน์โหลดและรันไฟล์ ที่ชื่อ msblast.exe โดยใช้โปรแกรม TFTP
หนอนชนิดนี้สามารถแพร่ กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต 135 เมื่อค้นพบหนอนจะทำการส่งโค้ดที่ใช้โจมตีเพื่อสั่งให้ดาวน์โหลดและรันไฟล์ ที่ชื่อ msblast.exe โดยใช้โปรแกรม TFTP
เมื่อ หนอน W32.Blaster.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
สร้าง Mutex ชื่อ "BILLY." ถ้ามี Mutex นี้แล้วจะหยุดการทำงาน
เพิ่มค่า
"windows auto update"="msblast.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ขณะ นี้หนอนจะถูกรันทุกครั้งเมื่อระบบปฏิบัติการวินโดวส์เริ่มทำงาน
คำนวณ หาหมายเลข IP เป้าหมาย โดยใช้อัลกอริทึมต่อไปนี้ และจะใช้เวลาประมาณ 40% ของเวลาที่ใช้ในการคำนวณทั้งหมด
โฮสต์ที่หมายเลข IP เป็น A.B.C.D
ตั้ง ค่า D เท่ากับ 0
ถ้า C มากกว่า 20 จะทำการลบด้วยค่าที่น้อยกว่า 20
เมื่อ ได้ค่าแล้ว หนอนจะได้เครือข่ายที่จะทำการรัน Exploit คือ A.B.C.0 และจะนับเพิ่มขึ้นด้วย
หมายเหตุ ขณะนี้ในเครือข่ายย่อยจะถูกหนอนสร้างการร้องขอการใช้พอร์ต 135 จำนวนมาก ก่อนที่จะออกเครือข่ายย่อยนี้
สร้าง Mutex ชื่อ "BILLY." ถ้ามี Mutex นี้แล้วจะหยุดการทำงาน
เพิ่มค่า
"windows auto update"="msblast.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ขณะ นี้หนอนจะถูกรันทุกครั้งเมื่อระบบปฏิบัติการวินโดวส์เริ่มทำงาน
คำนวณ หาหมายเลข IP เป้าหมาย โดยใช้อัลกอริทึมต่อไปนี้ และจะใช้เวลาประมาณ 40% ของเวลาที่ใช้ในการคำนวณทั้งหมด
โฮสต์ที่หมายเลข IP เป็น A.B.C.D
ตั้ง ค่า D เท่ากับ 0
ถ้า C มากกว่า 20 จะทำการลบด้วยค่าที่น้อยกว่า 20
เมื่อ ได้ค่าแล้ว หนอนจะได้เครือข่ายที่จะทำการรัน Exploit คือ A.B.C.0 และจะนับเพิ่มขึ้นด้วย
หมายเหตุ ขณะนี้ในเครือข่ายย่อยจะถูกหนอนสร้างการร้องขอการใช้พอร์ต 135 จำนวนมาก ก่อนที่จะออกเครือข่ายย่อยนี้
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
1. ดาวน์โหลด โปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
1. ดาวน์โหลด โปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จาก
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จาก
ข้อ 1
4. ตัดการเชื่อมต่อเครือข่าย หยุดการทำ งานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
4. ตัดการเชื่อมต่อเครือข่าย หยุดการทำ งานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
5. รันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
6. เริ่มต้นการ ใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
7. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้ อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่า
เครื่องที่ใช้งานอยู่ไม่มีไวรัส
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
1. ดาวน์โหลด ไฟล์ FixBlast.exe จาก http://securityresponse.symantec.com/avcenter/FixBlast.exe
2. ปิด ทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
3. ตัดขาด การเชื่อมต่อจากเครือข่ายทุกทาง
4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
5. ทำการรันไฟล์ FixBlast.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
1. ดาวน์โหลด ไฟล์ FixBlast.exe จาก http://securityresponse.symantec.com/avcenter/FixBlast.exe
2. ปิด ทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
3. ตัดขาด การเชื่อมต่อจากเครือข่ายทุกทาง
4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME)
5. ทำการรันไฟล์ FixBlast.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
หมายเหตุ ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe Mode ก่อน โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
6. รี สตาร์ทเครื่อง แล้วรัน FixBlast.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
ถ้าใช้ระบบปฎิ บัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
ปรับปรุง ฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
สแกนหา ไวรัสทั้งระบบดูอีกครั้ง
6. รี สตาร์ทเครื่อง แล้วรัน FixBlast.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
ถ้าใช้ระบบปฎิ บัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
ปรับปรุง ฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
สแกนหา ไวรัสทั้งระบบดูอีกครั้ง
ข้อมูลเพิ่มเติมสำหรับ Windows ME:
หมาย เหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
คลิ๊ก ขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
เลือกแถบ Performance
กดปุ่ม File System
เลือกแถบ Troubleshooting
ใส่ เครื่องหมายเลือก "Disable System Restore"
กดปุ่ม Apply
กดปุ่ม Close
กดปุ่ม Close อีกที
เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ท เครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
เรียกใช้งาน โปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลัง จากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
หมาย เหตุ: Windows ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
คลิ๊ก ขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
เลือกแถบ Performance
กดปุ่ม File System
เลือกแถบ Troubleshooting
ใส่ เครื่องหมายเลือก "Disable System Restore"
กดปุ่ม Apply
กดปุ่ม Close
กดปุ่ม Close อีกที
เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ท เครื่องหรือไม่ ให้กด Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
รีสตาร์ทเครื่องให้อยู่ใน Safe Mode
เรียกใช้งาน โปรแกรมป้องกันไวรัสเพื่อลบไฟล์ที่ติดเชื้อทั้งหมด หรือเปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลัง จากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก
วิธีป้องกันตัวเองจากไวรัส
ควรลบอี-เมล์ที่ น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
ห้าม รันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
สร้างแผ่นกู้ ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 SP1
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้ง เตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสได้ ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ควรลบอี-เมล์ที่ น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
ห้าม รันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
สร้างแผ่นกู้ ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 SP1
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้ง เตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสได้ ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ไม่มีความคิดเห็น:
แสดงความคิดเห็น