|
ชื่อ : CodeRed.F
ค้นพบเมื่อ : 11 มีนาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm) ม้าโทรจัน (Trojan Horse)
ชื่ออื่นที่รู้จัก : CodeRed.v3, CodeRed.C,
CodeRed III, W32.Bady.C
ระดับความรุนแรง : ปานกลาง
มีผลกระทบต่อเครื่องที่ติดตั้ง
Microsoft IIS 4.0 และ 5.0 และไม่ได้ติดตั้ง patch
1. http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2. http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
CodeRed.F
เป็นหนอนที่มีสายพันธุ์มาจาก CodeRed II
ที่ระบาดอย่างหนักเมื่อปี พ.ศ. 2544 และจะปล่อยม้าโทรจันที่ชื่อ
Trojan.VirtualRoot ไว้ในเครื่องที่ติดหนอนร้าย
CodeRed.F จะสแกนหาเครื่องจากหมายเลข IP ที่มีช่องโหว่ของไมโครซอฟต์
IIS เวอร์ชั่น 4.0 และ 5.0 ที่ให้บริการเว็บเซิร์ฟเวอร์ และใช้ช่องโหว่ของ
Buffer overflow เพื่อที่จะฝังตัวในเครื่องอื่นๆ โดยหนอนชนิดนี้จะฝังตัวเองเข้าไปในหน่วยความจำโดยตรงมากกว่าที่จะคัดลอกตัวเองใส่ในไฟล์
และยังจะสร้างไฟล์ที่เป็นโทรจันชื่อ Trojan.VirtualRoot ที่จะทำให้ผู้บุกรุกมีสิทธิเต็มรูปแบบในการเข้าถึงเว็บเซิร์ฟเวอร์จากระยะไกลด้วย
คำแนะนำ
-
- ป้องกันไม่ให้หนอนร้ายทิ้งโทรจันไว้ในเครื่อง
ให้อัพเดต patch เพื่ออุดช่องโหว่ "Relative Shell Path"
สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-052.asp
เมื่อหนอน CodeRed.F ติดเครื่องแล้วจะมีการทำงานดังนี้
คำแนะนำในการกำจัดหนอนชนิดนี้
วิธีการกำจัดหนอนแบบอัตโนมัติ
ดาวน์โหลด fix tools จาก http://www.symantec.com/avcenter/venc/data/codered.removal.tool.html
วิธีป้องกันตัวเองจากไวรัส
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส
และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
- ทำการอัพเดต patch ต่างๆ
ของเซิร์ฟเวอร์ IIS
ช้อมูลอ้างอิง
*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น
และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***
เผยแพร่โดย ThaiCERT เมื่อ 14
มีนาคม 2546 12:08
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 14 มีนาคม 2546 12:08
|
