ชื่อ : W32.Fujacks.AA หรือ W32.Fubalca
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : CVE-2007-0038, CVE-2007-1765 [Common Malware Enumeration], W32.Fubalca [Symantec], W32/Fujacks.AAA [Outpost24], Agent.bky [F-Secure], W32/Fujacks.aa [McAfee]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Windows 95, Windows 98, Windows Me, Linux, Macintosh, OS/2, UNIX, Windows 3.x

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง

ข้อมูลทั่วไป

W32.Fujacks.AA เป็นหนอนที่โจมตีผ่านช่องโหว่ Microsoft Windows ANI header stack buffer overflow ที่ประกาศวันที่ 1 เมษายน 2550 และเป็น Zero-day Exploit อีกด้วย โดยมีวิธีการแพร่กระจายผ่านทางอีเมลและสามารถแพร่ผ่านไดร์ฟฟลอปปี้และไดร์ฟ Removable ที่เชื่อมต่อขณะที่สตาร์ทเครื่อง

หนอนชนิดนี้สามารถฝังตัวเองใส่ไฟล์หลากหลายชนิด เช่นไฟล์ที่มีนามสกุล .exe และ .html เป็นต้น นอกจากนี้หนอนชนิดนี้อาจจะดาวน์โหลดหนอนชนิดอื่นๆ มาฝังไว้ในเครื่องได้อีกด้วย

ลักษณะของอีเมลมีดังนี้

ชื่อผู้ส่ง	i_love_cq@sohu.com
หัวข้ออีเมล	หัวข้ออีเมลเป็นภาษาจีน
ข้อความในอีเมล	จะประกอบด้วย URL เพื่อให้ดาวน์โหลดหนอน http://macr.microfsot.com/<removed>/134952.htm

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอีเมลและสามารถแพร่กระจายผ่านไดร์ฟฟลอปปี้และไดร์ฟ Removable ที่เชื่อมต่อขณะที่สตาร์ทเครื่อง

ผลกระทบที่เกิดขึ้น

• เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำลายไฟล์ที่มีนามสกุล .exe และ .html เป็นต้น รวมทั้งทำการแก้ไขค่าในรีจิสทรีด้วย
• เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้เปิดประตูลับ (Back Door)

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Fujacks.AA ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ
  
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp

  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1.
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
  9. เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาโจมตีได้อีก จำเป็นต้องอุดช่องโหว่ของระบบปฏิบัติการวินโดวส์ที่ท่านใช้งานอยู่ โดยการดาวน์โหลดจากเว็บไซต์ http://www.eeye.com/html/research/tools/WindowsANIZeroDayPatchSetup.exe และติดตั้ง

     หมายเหตุ สำหรับระบบปฏิบัติการวินโดวส์ XP, 2000, 2003 และ Vista

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
5. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ข้อมูลอ้างอิง

• http://www.outpost24.com/
• http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-040106-1154-99
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1765
• http://vil.nai.com/vil/content/v_141877.htm
• http://www.f-secure.com/v-descs/anito_a.shtml

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 2 เมษายน 2550 15.27 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 3 เมษายน 2550 14.39 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์