ชื่อ : W32.Sasser.Worm และ W32.Sasser.B.Worm
ค้นพบเมื่อ : 2 พฤษภาคม 2547
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Sasser.worm, WORM_SASSER.A, Sasser
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง

หมายเหตุ ข้อแตกต่างระหว่างสายพันธุ์ W32.Sasser.A@mm และ W32.Sasser.B@mm

ลักษณะ	W32.Sasser.A@mm	W32.Sasser.B@mm
ไฟล์ของหนอน	%Windir%\avserve.exe	%Windir%\Avserve2.exe
ค่าเรจิสทรีย์ที่แก้ไข	"avserve.exe"="%Windir%\avserve.exe"	"avserve2.exe"="%Windir%\avserve2.exe"

ข้อมูลทั่วไป

W32.Sasser.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Windows LSASS หรือ MS04-011 ผ่านพอร์ต 445/TCP นอกจากนี้หนอนยังสามารถดาวน์โหลดและรันตัวเองด้วยโปรแกรม FTP ผ่านพอร์ต 5554/TCP ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า avserve.exe

เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ Windows LSASS หรือ MS04-011 ดังนั้นจึงควรทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย

• พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี
• พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดวาน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
• พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS
  

จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ คล้ายกับผลกระทบที่เกิดจาก W32.Blaster.Worm

จากนั้นหนอนก็จะพยายามทำการแพร่กระจายตัวโดยสุ่มหมายเลข IP เพื่อหาเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอัพเดต patch MS04-011

ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows XP)

ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows 2000)

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากทำการค้นหาเครื่องตามหมายเลข IP ที่ยังไม่ได้ทำการอัพเดต patch เพื่ออุดช่องโหว่ของ Windows LSASS หรือ MS04-011 เมื่อพบแล้วหนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้บัฟเฟอร์ล้น ใน LSASS.EXE ส่งผลทำให้มีการเปิดพอร์ต 9996/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ cmd.ftp เพื่อเปิดพอร์ต 5554/TCP ใช้ในการดาวน์โหลดและรันไฟล์ของหนอนเอง

ผลกระทบที่เกิดขึ้น

• เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
• เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 5554/TCP และ 9996/TCP
• ไม่สามารถใช้งานเครือข่ายได้ : เพราะว่าหนอนจะสแกนหา IP เพื่อทำการแพร่กระจาย ทำให้มีความคับคั่งของข้อมูลในเครือข่ายสูงมาก จนไม่สามารถใช้งานได้

เมื่อหนอน W32.Sasser.Worm ถูกเอ็กซิคิวต์ จะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

• สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
  1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
  2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
  3. รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
  4. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น

  5. หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้

     • Microsoft Windows NT Workstation 4.0 Service Pack 6a

     • Microsoft Windows NT Server 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
       
     • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
     • Microsoft Windows XP and Microsoft Windows XP Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Version 2003
       
     • Microsoft Windows Server 2003
       
     • Microsoft Windows Server 2003 64-Bit Edition

  หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
  1. ดาวน์โหลดไฟล์ FxSasser.exe จาก http://securityresponse.symantec.com/avcenter/FxSasser.exe (มีค่า MD5 เป็น 0xA73C16CCD0B9C4F20BC7842EDD90FC20)
     
  2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
  3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
  4. ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP)
  5. จากนั้นทำการรันไฟล์ FxSasser.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start

     หมายเหตุ ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe Mode ก่อน ให้กด F8 ระหว่างการบูตเครื่อง

  6. รีสตาร์ทเครื่อง แล้วรัน FxSasser.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
  7. ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ enable System Restore
  8. หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
     • Microsoft Windows NT Workstation 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
       
     • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
     • Microsoft Windows XP and Microsoft Windows XP Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Version 2003
       
     • Microsoft Windows Server 2003
       
     • Microsoft Windows Server 2003 64-Bit Edition

  หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

   หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
4. ตัดการเชื่อมต่อเครือข่าย
5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
9. หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
   • Microsoft Windows NT Workstation 4.0 Service Pack 6a
   • Microsoft Windows NT Server 4.0 Service Pack 6a
   • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
     
   • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
   • Microsoft Windows XP and Microsoft Windows XP Service Pack 1
     
   • Microsoft Windows XP 64-Bit Edition Service Pack 1
     
   • Microsoft Windows XP 64-Bit Edition Version 2003
     
   • Microsoft Windows Server 2003
     
   • Microsoft Windows Server 2003 64-Bit Edition

หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011

ข้อมูลเพิ่มเติมสำหรับ Windows XP

หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4. กดปุ่ม Apply
5. กดปุ่ม Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
   หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
   
   • 445/TCP
     
   • 5554/TCP
   • 9996/TCP
2. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
3. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 2
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS04-011 ด้วย

4. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
5. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
6. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://www.thaicert.nectec.or.th/mailinglist/register.php
7. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
   

ช้อมูลอ้างอิง

• http://www.outpost24.com
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
• http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
• http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125007
• http://www.f-secure.com/v-descs/sasser.shtml
• http://www.thaicert.nectec.or.th/advisory/cert/CA-2004-09.php
• http://www.microsoft.com/security/incident/sasser.asp#infected

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 2 พฤษภาคม 2547 10.30 น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 4 พฤษภาคม 2547 17.18 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์