ชื่อ : Perl.Santy.A
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : Santy, Net-Worm.Perl.Santy.a, WORM_SANTY.A
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : UNIX

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง

ข้อมูลทั่วไป

Perl.Santy.A เป็นหนอนอินเทอร์เน็ตที่ถูกพัฒนาขึ้นด้วยภาษา Perl และพยายามแพร่กระจายไปยังเว็บเซิร์ฟเวอร์ที่รัน phpBB เวอร์ชั่น 2.X จนถึง 2.0.10 ซึ่งในเวอร์ชันเหล่านี้ถูกค้นพบช่องโหว่ที่ชื่อ Exploitation of phpBB highlight parameter vulnerability ถ้าหนอนสามารถโจมตีเซิร์ฟเวอร์ได้สำเร็จแล้วหนอนจะคัดลอกตัวเองไปยังเซิร์ฟเวอร์และเขียนทับไฟล์ที่มีนามสกุลดังต่อไปนี้

• .asp
• .htm
• .jsp
• .php
• .phtm
• .shtml

หนอนชนิดนี้จะใช้ Google ในการค้นหาเป้าหมายใหม่ที่จะเข้าไปทำการฝังตัว และในขณะนี้ Google ได้หยุดการร้องขอของหนอนชนิดนี้แล้ว ซึ่งเป็นการลดความสามารถในการแพร่กระจายของหนอนและลดความเสี่ยงที่หนอนชนิดนี้จะทำการฝังตัวไปยังเครื่องเซิร์ฟเวอร์อื่นๆ ต่อไปในอนาคต

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยการค้นหาเป้าหมายจาก Google แล้วทำการโจมตีผ่านช่องโหว่ที่ชื่อ Exploitation of phpBB highlight parameter vulnerability

ผลกระทบที่เกิดขึ้น

• มีการแสดงผลผิดพลาด : หนอนจะทำการเขียนทับไฟล์ที่มีนามสกุล .asp .htm .jsp .php .phtm และ .shtm

รายละเอียดทางเทคนิค

กระบวนการทำงานของหนอน Perl.Santy.A มีดังนี้

1. ค้นหาเว็บไซต์ที่มีหน้า viewtopic.php ด้วยGoogle ในการสร้างลิสต์ของเป้าหมายที่หนอนสามารถแพร่กระจายได้
2. พยายามโจมตีช่องโหว่ที่ชื่อ Exploitation of phpBB highlight parameter vulnerability เพื่อที่จะสามารถเข้าถึงเว็บเซิร์ฟเวอร์ผ่านระยะไกลได้
3. ถ้าหนอนสามารถเข้าถึงเว็บเซิร์ฟเวอร์เป้าหมายได้ จะคัดลอกตัวหนอนเองเป็นไฟล์ที่ชื่อ m1h020f
4. เขียนทับไฟล์ที่มีนามสกุลต่อไปนี้
   • .asp
   • .htm
   • .jsp
   • .php
   • .phtm
   • .shtml

   ด้วยข้อความว่า

   This site is defaced!!!
   NeverEverNoSanity WebWorm generation X

   โดยที่ X เป็นจำนวนของการแพร่กระจายของหนอนและเพิ่มขึ้นเรื่อยๆ ทุกครั้งที่มีการแพร่กระจาย

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ
  1. ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุงฐานข้อมูลให้เป็นตัวล่าสุด
  2. เรียกใช้งานโปรแกรมป้องกันไวรัส และลบทุกไฟล์ที่ถูกหนอนชนิดนี้แพร่กระจาย

• การกำจัดหนอนด้วยมือ
  1. ค้นหาและลบไฟล์ที่ชื่อ m1h020f ออกจากระบบ
  2. คืนไฟล์หน้าเว็บไซต์ที่ถูกเปลี่ยนไป

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
2. เปลี่ยนไฟล์ที่มีชื่อว่า viewtopic.php เป็นไฟล์อื่นเพื่อลดความเสี่ยง
3. ติดตั้งโปรแกรมอุดช่องโหว่ของซอฟต์แวร์ phpBB (ดาวน์โหลดจากลิงก์นี้) ให้กับระบบปฏิบัติการ
4. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
5. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
6. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ช้อมูลอ้างอิง

• http://www.outpost24.com/
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SANTY.A
• http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html
• http://www.f-secure.com/v-descs/santy_a.shtml
• http://www.thaicert.nectec.or.th/advisory/cert/CA-2004-30.php

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 22 ธันวาคม 2547 01.30 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 24 ธันวาคม 2547 11:31 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์