ชื่อ : W32.Zotob.E
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_RBOT.CBQ [Trend Micro], W32/Zotob.E[Outpost24], Win32.Peabot.A [Computer Associates], W32/IRCbot.worm!MS05-039 [McAfee], W32/Tpbot-A [Sophos], W32.Zotob.E[Symantec], Net-Worm.Win32.Small.d [Kaspersky]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง

ข้อมูลทั่วไป

W32.Zotob.E หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Microsoft Windows Plug and Play Vulnerability หรือ MS05-039 ผ่านพอร์ต 445/TCP เฉพาะบนระบบปฏิบัติการวินโดวส์ NT และ 2000 เท่านั้น ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า wintbp.exe ในส่วนของระบบปฏิบัติการอื่นจะไม่ถูกโจมตี แต่ก็มีโอกาสที่จะได้รับไฟล์หนอนและทำการติดตั้งให้โจมตีไปยังเครื่องที่ใช้ระบบปฏิบัติการวินโดวส์ NT หรือ 2000 ได้

นอกจากนี้ หนอนยังทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC เพื่อทำการส่งข้อความออกไปอีกด้วย

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากการค้นหาเครื่องคอมพิวเตอร์ตามหมายเลข IP ที่หนอนสร้างขึ้นมา หากพบว่าเครื่องเหล่านี้ยังไม่ได้ทำการติดตั้งโปรแกรมซ่อมแซมช่องโหว่ของ Microsoft Windows Plug and Play Vulnerability หรือ MS05-039 หนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้หน่วยความจำล้น (Buffer Overflow) ส่งผลทำให้มีการเปิดพอร์ต 7778/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ [0-9].bat ในโฟลเดอร์ Temp ของวินโดว์ ใช้ในการดาวน์โหลดและเอ็กซิคิวต์ไฟล์ของหนอนเอง

ผลกระทบที่เกิดขึ้น

• เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
• เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 445/TCP และ 7778/TCP
• รบกวนการทำงานของระบบเครือข่าย : หนอนจะทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC ที่ IP 72.20.27.115

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Zotob.E ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
  
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME:

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ ME ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ Performance
3. กดปุ่ม File System
4. เลือกแถบ Troubleshooting
5. ใส่เครื่องหมายเลือก "Disable System Restore"
6. กดปุ่ม Apply
7. กดปุ่ม Close
8. กดปุ่ม Close อีกที
9. เมื่อมีหน้าต่างขึ้นมาถามว่าจะรีสตาร์ทเครื่องหรือไม่ ให้กด Yes
   หมายเหตุ: ขณะนี้ Restore Utility ถูกยกเลิกการทำงานแล้ว
10. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
    หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-9 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Disable System Restore" ออก

ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP

หมายเหตุ: ระบบปฏิบัติการวินโดวส์ XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4. กดปุ่ม Apply
5. กดปุ่ม Yes
   หมายเหตุ: ขณะนี้ Restore Utility ถูกยกเลิกการทำงานแล้ว
6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
   หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด

   IE 6.0 Service Pack 1
   Windows 2000 Service Pack 4
   Windows XP Service Pack 2

6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ข้อมูลอ้างอิง

• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2ECBQ&VSect=T
• http://www.outpost24.com/
• http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.e.html
• http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=135491
• http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=43416

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งในเครื่องคอมพิวเตอร์ของท่านเอง***

เผยแพร่โดย ThaiCERT เมื่อ 17 สิงหาคม 2548 11.03น.
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 17 สิงหาคม 2548 11.03น.

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์