ชื่อ : W32.Sobig.F@mm
ค้นพบเมื่อ : 19 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : Sobig.F, W32/Sobig.f@MM, WORM SOBIG.F
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง

ข้อมูลทั่วไป

W32.Sobig.F@mm สามารถแพร่กระจายผ่านทางอี-เมล์ โดยค้นหาอี-เมล์แอดเดรสของผู้รับจากไฟล์ที่มีนามสกุลดังต่อไปนี้

• .dbx
  
• .eml
  
• .hlp
  
• .htm
  
• .html
  
• .mht
  
• .wab
  
• .txt

หนอนชนิดนี้มีคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลที่ใช้ในการส่งอี-เมล์ชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และมีความสามารถในการแพร่กระจายผ่านการแชร์ไฟล์

เมื่อเครื่องถูกหนอนชนิดนี้คุกคามจะถูกเปิดพอร์ต 99x/UDP เพื่อรอรับข้อมูล และส่งการร้องขอไปยังเซิร์ฟเวอร์ที่ให้บริการ NTP

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์	admin@internet.com
หัวข้ออี-เมล์	Re: Details Re: Approved Re: Re: My details Re: Thank you! Re: That movie Re: Wicked screensaver Re: Your application Thank you! Your details
ไฟล์ที่แนบมากับอี-เมล์	application.zip (contains application.pif) details.zip (contains details.pif) document_9446.zip (contains document_9446.pif) document_all.zip (contains document_all.pif) movie0045.zip (contains movie0045.pif) thank_you.zip (contains thank_you.pif) your_details.zip (contains your_details.pif) your_document.zip (contains your_document.pif) wicked_scr.zip (contains wicked_scr.scr)
ข้อความในอี-เมล์	See the attached file for details Please see the attached file for details.

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี STMP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง และยังสามารถแพร่กระจายผ่านการแชร์ไฟล์ด้วย

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Sobig.F@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

1. คัดลอกตัวหนอนเองไปยัง %Windir%\winppr32.exe

หมายเหตุ %Windir% เป็นตัวแปร แทนโฟลเดอร์ Windows โดยทั่วไปแล้วจะอยู่ที่ C:\Windows หรือ C:\Winnt

2. สร้างไฟล์ใหม่ชื่อ %Windir%\winsst32.dat
3. เพิ่มค่า

   "TrayX"="%Windir%\winppr32.exe /sinc"

   ในเรจิสทรีย์คีย์

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   ดังนั้นหนอนจะรันตัวเองเมื่อมีการเปิดเครื่อง

หนอน W32.Sobig.F@mm สามารถดาวน์โหลดไฟล์ใดๆ มาเก็บไว้ในเครื่องที่ถูกหนอนแพร่กระจายและเรียกใช้งานไฟล์ดังกล่าว ซึ่งผู้เขียนหนอนจะใช้ความสามารถนี้ของหนอนในการขโมยข้อมูลสำคัญของระบบ และติดตั้งเครื่องนี้ให้เป็นฐานในการส่งอี-เมล์ต่อไปยังเครื่องอื่นด้วย (Spam Relay Server)

ความสามารถของหนอนที่ได้กล่าวไปแล้วนั้น ยังจะใช้ในการอัพเดตตัวหนอนเอง โดยภายใต้สภาวะที่เหมาะสม หนอนชนิดนี้จะพยายามติดต่อไปยังเซิร์ฟเวอร์หลักสักหนึ่งเครื่องที่ผู้เขียนหนอนเป็นผู้ควบคุม แล้วหนอนก็จะเอา URL ที่ได้มานั้นไปตรวจสอบที่ที่จะดาวน์โหลดม้าโทรจันและติดตั้งในเครื่อง

สภาวะที่หนอนสามารถดาวน์โหลดได้ก็คือ วันจันทร์ถึงวันศุกร์ ตั้งแต่เวลา 19.00 น.ถึง 23.59.59 น. (เทียบเวลาตาม UTC) ซึ่งค่าเวลา UTC ที่หนอนได้รับนั้นมาจากเซิร์ฟเวอร์ที่ทำหน้าที่ให้บริการ NTP ผ่านโพรโตคอล NTP หรือพอร์ต 123/UDP

หมายเหตุ NTP ย่อมาจาก Network Time Protocol เป็นโพรโตคอลที่ใช้ในการตั้งเวลาในเครื่องให้ตรงกันภายในเครือข่าย

หนอนเริ่มต้นการดาวน์โหลดโดยการส่งข้อมูลไปยังพอร์ต 8998/UDP ของเซิร์ฟเวอร์หลัก (ของผู้เขียนหนอนชนิดนี้) จากนั้นเครื่องเซิร์ฟเวอร์จะตอบกลับด้วยค่า URL ที่หนอนสามารถจะไปดาวน์โหลดไฟล์มาเอ็กซิคิวต์

ที่เครื่องที่ถูกหนอนคุกคามอยู่จะเปิดพอร์ตต่างๆ ต่อไปนี้ เพื่อรอรับข้อมูลที่เป็น UDP datagrams ผ่านเข้ามาในพอร์ตเหล่านี้ ซึ่ง datagram ที่ได้รับนั้นหลากหลายและจะขึ้นอยู่กับ signature ด้วย

• 995/UDP
  
• 996/UDP
  
• 997/UDP
  
• 998/UDP
  
• 999/UDP

ผู้ดูแลระบบเครือข่ายควรทำตามดังนี้

• ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
• ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
• ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
• ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ดังนี้
  

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1

1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
4. ตัดการเชื่อมต่อเครือข่าย
5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
1. ดาวน์โหลดโปรแกรม sobigsfx.exe จากเว็บไซต์ http://www.sophos.com/misc/sobigsfx.exe
2. รันไฟล์ดังกล่าวเพื่อติดตั้ง ซึ่งค่า default โปรแกรมนี้จะติดตั้งไว้ที่ C:\SOPHTEMP
3. ตัดการเชื่อมต่อเครือข่าย
4. เรียกใช้งานโปรแกรม command.com สำหรับระบบปฏิบัติการวินโดวส์ 95/98/ME และโปรแกรม cmd.exe สำหรับระบบปฏิบัติการวินโดวส์ NT/2000/XP
5. ใช้คำสั่งดังต่อไปนี้เพื่อทำการตรวจหาหนอนชนิดนี้
• cd c:\sophtemp
• resolve -DF=SOBIG.DAT
6. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
   
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
   
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
   
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

   IE 6.0 Service Pack 1
   Windows 2000 Service Pack 4
   Windows XP Service Pack 1a

6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
10. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
    

ช้อมูลอ้างอิง

• http://www.outpost24.com
• http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F
• http://vil.mcafee.com/dispVirus.asp?virus_k=100561
• http://www.sophos.com/virusinfo/analyses/w32sobigf.html
• http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=49259
• http://thaicert.nectec.or.th/advisory/alert/sobig_b.php
• http://thaicert.nectec.or.th/advisory/alert/sobig.php

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 20 สิงหาคม 2546 04.43 น.
รับปรุงล่าสุดโดย ThaiCERT เมื่อ 20 สิงหาคม 2546 04.43 น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์