เตือนไวรัส W32.Conficker.C หรือ W32.Downandup.C

ชื่อ : W32.Conficker.C หรือ W32.Downandup.C
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : W32/Conficker.C [Microsoft, CA], W32.Downandup.C [Symantec], Mal/Conficker-B [Sophos], Worm:W32/Downadup.DY [F-Secure], Trojan-Downloader.Win32.Kido.a [Kaspersky]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ
: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ
: Linux, Macintosh, OS/2, UNIX, Windows 3.x
วิเคราะห์และเรียบเรียงโดย: กิติศักดิ์ จิรวรรณกูล


ข้อมูลทั่วไป

ประกาศ วิธีการตรวจสอบว่าเครื่องถูกหนอนชนิดนี้คุกคามหรือไม่

อ่าน รายละเอียดเพิ่มเติม

ประกาศ โปรดดำเนินการโดยเร่งด่วน

ต้อง ดำเนินการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์ วินโดวส์ก่อนวันที่ 1 เมษายน 2552 เพื่อป้องกันการแพร่กระจายของหนอนชนิดนี้ และป้องกันไม่ให้หนอนทำการเชื่อมต่อไปยังเว็บไซต์ภายนอก
โปรดอ่านรายละเอียดเพิ่มเติมที่
MS08-067 หรือ CA-2008-29

W32.Conficker.C หรือ W32.Downandup.C เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29 ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝัง ตัว หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service) รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products) อีกด้วย [1][2]

หนอนชนิดนี้ยังมีความสามารถในการหยุดการ เข้าถึงบางเว็บไซต์โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัส รวมทั้งเว็บไซต์ของ CERT ต่างๆ จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผล การวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัย คอมพิวเตอร์ต่างๆ ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552 หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix) [2]


ภาพแสดงโค้ดของหนอนที่บ่งบอกถึงการทำงาน ของหนอนในวันที่ 1 เมษายน 2552 (ภาพจากเว็บไซต์ [3])

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการ โจมตีผ่านช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ที่ MS08-067 ติดต่อผ่านไดร์ฟภายนอก (Removable Drive) ที่นำมาต่อ และการแชร์ไฟล์ที่ใช้รหัสผ่านที่อ่อนแอ

ผล กระทบที่เกิดขึ้น

  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและผลิตภัณฑ์การรักษา ความปลอดภัยด้วย
  • เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะทำการเข้าถึงเว็บไซต์ต่างๆ ในวันที่ 1 เมษายน 2552 และเชื่อมต่อกับเครื่องอื่นที่เปิดให้บริการการแชร์ไฟล์
  • เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 139/TCP และ 445/TCP

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Conficker.C หรือ W32.Downandup.C ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธี กำจัดหนอนชนิดนี้ <!–

  • วิธีการกำจัดหนอนสำหรับระบบปฏิบัติการวินโดวส์ 98
  • วิธีการกำจัดหนอนสำหรับระบบปฏิบัติการวินโดวส์ ME
  • วิธีการกำจัดหนอนสำหรับระบบปฏิบัติการวินโดวส์ NT/2000/XP
  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    1. ดาวน์โหลดไฟล์ FixSwen.exe จาก http://www.symantec.com/avcenter/FixSwen.exe
    2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
    3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
    4. ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows ME และ ข้อมูลเพิ่มเติมสำหรับ Windows XP)
    5. จากนั้นทำการรันไฟล์ FixSwen.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
    6. รีสตาร์ทเครื่อง แล้วรัน FixSwen.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
    7. ถ้าใช้ระบบปฎิบัติการวินโดวส์ ME และ XP ให้ทำการ enable System Restore
    8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
    9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง
  • การกำจัดหนอนด้วยมือ
    1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME และ ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP)
    2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
      รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
    3. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการปรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2
    4. หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
    5. ทำการแก้ไขเรจิสทรีย์ดังต่อไปนี้

      • เปิดโปรแกรม notepad.exe ขึ้นมา
      • จากนั้นคัดลอกข้อความต่อไปนี้ใส่ลงในโปรแกรม notepad.exe REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
        “DisableRegistryTools”=dword:00000000

        [-HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
        [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
        @=”\”%1\” %*”

        [-HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
        [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
        @=”\”%1\” %*”

        [-HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
        [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
        @=”\”%1\” %*”

        [-HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
        [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]
        @=”\”%1\” %*”

        [-HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
        [HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command]
        @=”\”%1\” %*”

        [-HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
        [HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command]
        @=”\”%1\” %*”

      • บันทึกไฟล์ดังกล่าวไว้ที่ C:\ โดยใช้ชื่อว่า repair.reg
      • คลิ๊ก Start เลือก Run
      • พิมพ์ regedit -s \repair.reg
      • คลิ๊ก Start เลือก Run อีกครั้งหนึ่ง
      • พิมพ์ regedit แล้วกด OK เพื่อเข้าสู่โปรแกรม Registry Editor
      • ค้นหาคีย์ชื่อ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      • ในฝั่งด้านขวามือ ลบค่าสุ่มที่หนอนสร้างขึ้นมา
      • ออกจากโปรแกรม Registry Editor

  • ข้อควรระวัง: การกระทำการใดๆ กับระบบเรจิสทรีย์มีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีย์ไฟล์ไว้ก่อนทุกครั้ง

–>

  • การกำจัดหนอนแบบอัตโนมัติ

    1. ดาวน์โหลดไฟล์ D.exe จาก http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe
    2. เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิด ใช้งาน เช่นเก็บไว้ที่ Desktop
    3. ปิดการทำงานทุกโปรแกรม
    4. ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
    5. ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน ดังรายละเอียดเพิ่มเติมของ ME และ XP
    6. ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม “Scan” และอนุญาตให้รันไฟล์ดังกล่าว
    7. รีสตาร์ทเครื่อง
    8. รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
    9. เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
    10. เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมา ทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของระบบปฏิบัติการตามประกาศของไมโครซอฟท์หมายเลข MS08-067
  2. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
  3. สแกนไฟล์ในไดร์ฟ USB ก่อนเปิดใช้งานทุกครั้ง
  4. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  5. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับ วิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธี ป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

เอกสารอ้างอิง

  1. http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.C
  2. http://mtc.sri.com/Conficker/addendumC/
  3. http://community.ca.com/blogs/securityadvisor/archive/2009/03/11/new-conficker-variant-not-fooling-around.aspx
  4. http://www.f-secure.com/weblog/archives/00001636.html
  5. http://news.cnet.com/8301-1009_3-10204590-83.html?tag=newsLeadStoriesArea.1
  6. http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=77976
  7. http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 27 มีนาคม 2552 15.24 น.
ปรับปรุงล่าสุดโดย
ThaiCERT เมื่อ 2 เมษายน 2552 13.25 น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: