ThaiCERT : Advisories & Alerts : Alert : W32.BlueCode.Worm

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

ชื่อ : W32.BlueCode.Worm [2]
ค้นพบเมื่อ : 7 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.CodeBlue

รายละเอียด
ตัวหนอนนี้จะส่งผลกระทบกับระบบปฎิบัติการ Windows NT หรือ 2000 ที่ใช้งานโปรแกรมประยุกต์ IIS ที่มี ช่องโหว่แบบ Unicode Web Traversal IIS ซึ่งสามารถหาข้อมูลเพิ่มเติมได้ที่ [1] หรือ [4] โดยตัวหนอนนี้จะอาศัยช่องโหว่นี้ในการแพร่กระจาย

ขั้นตอนการบุกรุกของตัวหนอน
1. เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:\Inetpub\wwwroot\scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:\Svchost.exe และเรียกใช้งาน
4. C:\Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบผู้เสียหายดังนี้

ทำการสร้างไฟล์ C:\Svchost.exe และแก้ไข registry ดังนี้
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
หลังจากนั้นจะสร้างไฟล์ชั่วคราวที่ C:\d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:\WINNT\system32\Wscript.exe
ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน

คำแนะนำในการกำจัด
ในกรณีที่ท่านมีโปรแกรมป้องกันไวรัส ท่านควรดาวน์โหลดหรือปรับปรุงข้อมูลของไวรัส และทำการตรวจสอบไวรัสจากเครื่อง โปรแกรมป้องกันไวรัสจะทำการลบและทำลายไวรัสดังกล่าวทันทีหลังจากพบ นอกจากนี้หากต้องการจัดการกับไวรัสด้วยตัวเองก็สามารถทำได้โดยมีขั้นตอนดังนี้

เรียกใช้งาน โปรแกรม regedit โดย คลิก Start, และคลิก Run พิมพ์ regedit คลิก OK
ค้นหาข้อความ
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
ในฝั่งขวาของข้อความจะแสดงค่า C:\svchost.exe
ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
หลังจากนั้นทำการค้นหาและลบไฟล์ C:\svchost.exe และ C:\d.vbs

วิธีการป้องกัน
เนื่องจากช่องโหว่แบบ Unicode Web Traversal IIS นั้นค้นพบมาตั้งแต่ 17 ตุลาคม 2543 ดังนั้น แนวทางป้องกันที่ดีที่สุดคือการปรับปรุง เวอร์ชั่นของโปรแกรม IIS ให้ใหม่ที่สุดโดยสามารถเข้าไปดูรายละเอียดการติดตั้งได้จากเว็บของ ThaiCERT ที่ [5]

ความเสียหายที่เกิดขึ้น
ความรุนแรงของตัวหนอนนี้มีความร้ายแรงไม่มากเมื่อเทียบกับตัวหนอนอย่าง Code Red ที่เข้ามาทำการแก้ไขและ สร้างไฟล์ที่เป็น backdoor แต่อย่างไรก็ตามระหว่างที่ตัวหนอนทำงาน ทรัพยากรของระบบเช่น หน่วยความจำ หรือ การทำงานของ ซีพียู จะถูกใช้งานมากกับการส่งเมล์ที่มีข้อมูลขนาดใหญ่ โดยทำให้ระบบไม่สามารถให้บริการได้ตามปรกติ

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User

1.ควรติดตั้ง และปรับปรุงโปรแกรม IIS รวมทั้งระบบปฎิบัติการ Windows ให้ใหม่ที่สุดอยู่สม่ำเสมอ
2.หมั่นตรวจสอบไวรัสต้วยโปรแกรมป้องกันไวรัสอย่างสม่ำเเสมอ และ คอยปรับปรุงข้อมูลของไวรัสอย่างสม่ำเสมอ
3. หมั่นสำรองข้อมูลของ registry ของระบบปฎิบัติการอย่างสม่ำเสมอ

เอกสารอ้างอิง
[1] http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
[2] http://www.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
[3] http://www.sans.org/infosecFAQ/threats/traversal.htm
[4] http://www.kb.cert.org/vuls/id/111677
[5] http://thaicert.nectec.or.th/paper/win2000.php

ปรับปรุงล่าสุด : 10 กันยายน 2544 15:47

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์