|
ชื่อ : W32.Blaster.Worm
ค้นพบเมื่อ : 12 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_MSBLATER.A, W32/Lovsan.worm, W32/Blaster-A,
W32/Lovsan.worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster.A, Worm/Lovsan.A,
msblast.exe, tftp, Lovsan, Win32.Msblast.A, W32/Blaster
ระดับความรุนแรง : สูง
| ข้อมูลในการกำจัดหนอนอย่างรวดเร็ว
(สำหรับผู้ใช้ทั่วไป) |
|
ข้อมูลวิธีกำจัดหนอนชนิดนี้
หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่
W32/Blaster
Recovery Tips
หมายเหตุ
(สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก)
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต
patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
|
| ข้อมูลในการกำจัดหนอนภายในองค์กร
(สำหรับผู้ดูแลระบบ) |
|
หากตรวจสอบพบว่าภายในองค์กรของท่านพบหนอนชนิดนี้แพร่กระจายอยู่
ให้ดำเนินการดังต่อไปนี้
- ทำการปิดกั้นการติดต่อไปยังพอร์ตต่างๆ
ดังต่อไปนี้ ในระดับของเราเตอร์ เกตเวย์ และไฟร์วอลล์
- พอร์ต 135/TCP และ 135/UDP ของ DCOM
RPC
- พอร์ต 69/UDP ของ TFTP
- พอร์ต 139/TCP และ 139/UDP ของ NetBIOS
- พอร์ต 445/TCP และ 445/UDP
- พอร์ต 4444/TCP
- ทำการกำจัดหนอนชนิดนี้ด้วยวิธีกำจัดหนอน
หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่
W32/Blaster
Recovery Tips
- (สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก)
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
|
ข้อมูลทั่วไป
W32.Blaster.Worm
หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ
DCOM RPC (Windows Distributed Component Object Model Remote Procedure
Call) หรือ MS03-026
โดยผ่านพอร์ต 135/TCP และหนอนยังสามารถดาวน์โหลดและรันตัวเอง ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า
msblast.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่
DCOM RPC หรือ MS03-026
ดังนั้นจึงควรที่จะทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน
และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
- พอร์ต 135/TCP และ 135/UDP ของ DCOM RPC
- พอร์ต 69/UDP ของ TFTP
- พอร์ต 139/TCP และ 139/UDP ของ NetBIOS
- พอร์ต 445/TCP และ 445/UDP
- พอร์ต 4444/TCP
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว
จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
จากนั้นหนอนก็จะพยายามทำการปฏิเสธการให้บริการ (Denial
Of Service) windowsupdate.com เพื่อไม่ให้ผู้ใช้งานสามารถดาวน์โหลด
patch มาอุดช่องโหว่นี้
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์
และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต 135/TCP เมื่อค้นพบหนอนจะทำการส่งโค้ดที่ใช้โจมตีเพื่อสั่งให้ดาวน์โหลดและรันไฟล์ที่ชื่อ
msblast.exe โดยใช้โปรแกรม TFTP
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Blaster.Worm
ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
- สร้าง Mutex ชื่อ "BILLY." ถ้ามี Mutex
นี้แล้วจะหยุดการทำงาน
- เพิ่มค่า
"windows
auto update"="msblast.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ขณะนี้หนอนจะถูกรันทุกครั้งเมื่อระบบปฏิบัติการวินโดวส์เริ่มทำงาน
และในทุกช่วงเวลาที่ระบบปฏิบัติการวินโดวส์ทำการติดต่อไปยัง
windowsupdate.com เพื่อตรวจสอบ patch ใหม่ๆ ก็จะเป็นการเรียกตัวหนอนชนิดนี้ขึ้นมาทำงาน
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว
จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
- คำนวณหาหมายเลข IP เป้าหมาย โดยใช้อัลกอริทึมต่อไปนี้
และจะใช้เวลาประมาณ 40% ของเวลาที่ใช้ในการคำนวณทั้งหมด
โฮสต์ที่หมายเลข IP เป็น A.B.C.D
ตั้งค่า D เท่ากับ 0
ถ้า C มากกว่า 20 จะทำการลบด้วยค่าที่น้อยกว่า
20
เมื่อได้ค่าแล้ว หนอนจะได้เครือข่ายที่จะทำการรัน
Exploit คือ A.B.C.0 และจะนับเพิ่มขึ้นด้วย
หมายเหตุ ขณะนี้ในเครือข่ายย่อยจะถูกหนอนสร้างการร้องขอการใช้พอร์ต
135/TCP จำนวนมาก ก่อนที่จะออกเครือข่ายย่อยนี้
- คำนวณหาหมายเลข IP เป้าหมายต่อ โดยใช้วิธีการสุ่มตัวเลข
และใช้ 60% ของเวลาในการคำนวณทั้งหมด
A.B.C.D
ตั้งค่า D เท่ากับ 0
ตั้งค่า A B และ C ให้สุ่มค่าในช่วง 0 ถึง 255
- หนอนจะพยายามส่งข้อมูลผ่านพอร์ต 135/TCP ซึ่งเป็นการโจมตีช่องโหว่
DCOM RPC และสร้าง Remote shell รอรับการติดต่อที่พอร์ต 4444/TCP
- รอการติดต่อผ่านพอร์ต 69/UDP เมื่อหนอนได้รับการร้องขอ
หนอนจะทำการส่งไฟล์ Msblast.exe กลับออกมา
- ส่งคำสั่งให้เครื่องคอมพิวเตอร์อื่นๆ ทำการติดต่อซ้ำอีกครั้งแล้วทำการดาวน์โหลดและรันไฟล์
Msblast.exe จากเครื่องที่ถูกหนอนชนิดนี้ฝังตัวอยู่
- ตั้งแต่วันที่ 16 สิงหาคม เป็นต้นไปจนถึงสิ้นปี
หนอนชนิดนี้จะทำการ DoS ไปยัง windowsupdate.com
หนอนชนิดนี้จะมีข้อความแฝงอยู่และจะไม่แสดงให้เห็น
ข้อความมีอยู่ว่า
" I just want to say LOVE
YOU SAN!!
billy gates why do you make this possible ? Stop making money
and fix your software!! "
วิธีกำจัดหนอนชนิดนี้
- สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
- ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP
ให้ทำการ disable System Restore ก่อน
- ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้
หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
- รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode
โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
- สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่
2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
-
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต
patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
- ดาวน์โหลดไฟล์ FixBlast.exe จาก http://securityresponse.symantec.com/avcenter/FixBlast.exe
- ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ
1
- ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
- ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ
disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ
ข้อมูลเพิ่มเติมสำหรับ Windows XP)
- จากนั้นทำการรันไฟล์ FixBlast.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม
start
หมายเหตุ
ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe
Mode ก่อน ให้กด F8 ระหว่างการบูตเครื่อง
- รีสตาร์ทเครื่อง แล้วรัน FixBlast.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
- ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ
enable System Restore
-
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต
patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
- ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
- สแกนหาไวรัสทั้งระบบดูอีกครั้ง
|
คำแนะนำเพิ่มเติม
เมื่อทำการดาวน์โหลดและรัน Fixtool พร้อมทั้งติดตั้ง
patch จากเว็บไซต์ของไมโครซอฟต์เรียบร้อยแล้ว เครื่องคอมพิวเตอร์บางเครื่องอาจจะยังไม่สามารถแก้ปัญหาการ
shutdown ตัวเองได้ มีวิธีแก้ไขดังนี้
- ให้ทำการติดตั้ง service pack ล่าสุดของระบบปฏิบัติการนั้น
ดังนี้
- ติดตั้ง patch ทั้งหมดของระบบปฏิบัติการผ่านทาง
Windows Update หรือจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp
(โดยเลือก Product เป็นระบบปฏิบัติการที่ใช้อยู่ และ Service
Pack รุ่นที่ได้ติดตั้งไปแล้ว)
|
ข้อมูลเพิ่มเติมสำหรับ Windows XP
หมายเหตุ: Windows XP ใช้ backup utility สำหรับ
backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์
backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้
จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก
Properties
- เลือกแถบ System Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore"
หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
- หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์
C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่
1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn
off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- ระงับการใช้งาน DCOM ตามรายละเอียดที่ http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
- กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's
Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
- 69/UDP
- 135/TCP
- 135/UDP
- 139/TCP
- 139/UDP
- 445/TCP
- 445/UDP
- 4444/TCP
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ
โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE
6.0 Service Pack 1
Windows
2000 Service Pack 4
Windows
XP Service Pack 1a
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS03-026
ด้วย
- ตั้งค่า security zone ของ Internet Explorer ให้เป็น
high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน
ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ
วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ช้อมูลอ้างอิง
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น
และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ
โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***
เผยแพร่โดย ThaiCERT เมื่อ 12
สิงหาคม 2546 5.30 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 26 สิงหาคม 2546 8.50 น.
|
