คำถาม ถ้าเครื่องติด W32.Rontokbro@mm จะมีวิธีแก้ไขอย่างไร

คำตอบ

หากตรวจสอบพบว่าภายในเครื่องของท่านพบหนอนชนิดนี้แพร่กระจายอยู่ ให้ดำเนินการตามขั้นตอนต่อไปนี้

1. ปิดระบบการแชร์ไฟล์ ตัดการเชื่อมต่อระบบเครือข่าย และถอดสายแลนออกจากเครื่อง
2. ปิดการทำงานของ System Restore กรณีเครื่องที่ใช้เป็นระบบปฏิบัติการวินโดวส์ ME/XP (อ่านวิธีการปิด System Restore ได้ที่ http://www.thaicert.org/advisory/alert/zotob_e.php#remove ส่วน "ข้อมูลเพิ่มเติมสำหรับวินโดวส์ ME" หรือ "ข้อมูลเพิ่มเติมสำหรับวินโดวส์ XP")
3. ทำการรีสตาร์ทเข้า safe mode โดยกด F8 ก่อนที่จะขึ้นหน้าสตาร์ทอัพของวินโดวส์
4. ทำการสแกนเครื่องทั้งเครื่องด้วยโปรแกรมกำจัดไวรัสที่ได้รับการอัพเดตฐานข้อมูลไวรัสแล้ว โดยเลือก delete ไวรัสที่ตรวจพบ
5. รีสตาร์ทเครื่องเข้าสู่โหมดปกติ แล้วทำการสแกนทั้งเครื่องด้วยโปรแกรมกำจัดไวรัสอีกครั้ง

คำถาม เครื่องติด W32.Rontokbro@mm จะมีลักษณะอาการอย่างไร

คำตอบ

ลักษณะอาการโดยทั่วไปของเครื่องติดหนอนตระกูล W32.Rontokbro@mm ที่เห็นได้ชัดเจน ได้แก่

• สร้างไฟล์หนอนนามสกุล exe ซึ่งมีไอคอนเป็นรูปโฟลเดอร์ ในที่ต่างๆ ของเครื่อง เช่น abc.exe ในโฟลเดอร์ abc เป็นต้น หากเครื่องของผู้ใช้ไม่แสดงนามสกุลของไฟล์ ผู้ใช้จะหลงเชื่อว่าไฟล์หนอนเป็นโฟลเดอร์โฟลเดอร์หนึ่ง และทำการสั่งให้หนอนทำงานได้โดยง่าย
• เครื่องทำการรีสตาร์ทเองเมื่อมีการเปิดหน้าต่างที่ชื่อของหน้าต่าง (title) มีส่วนของคำตามที่กำหนดไว้ เช่น .exe หรือ Registry เป็นต้น ส่งผลให้ไม่สามารถใช้โปรแกรมบางโปรแกรมหรือคำสั่งบางอย่าง เช่น Registry Editor ได้
• เครื่องค้างหลังจากทำการบูตเครื่อง (เฉพาะวินโดวส์ 95, 98 หรือ ME เท่านั้น)

คำถาม วิธีการป้องกัน W32.Rontokbro@mm ต้องทำอย่างไร

คำตอบ

การป้องกันหนอนตระกูล W32.Rontokbro@mm ไม่ให้ติดบนเครื่อง

1. ลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร
3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
5. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ใน "วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์" (http://thaicert.nectec.or.th/paper/virus/protectvirus.php)

คำถาม ผู้ดูแลระบบสามารถที่จะป้องกันการโจมตีของหนอน W32.Blaster.Worm ได้อย่างไร

คำตอบ

หากตรวจสอบพบว่าภายในองค์กรของท่านพบหนอนชนิดนี้แพร่กระจายอยู่ ให้ดำเนินการดังต่อไปนี้

1. ทำการปิดกั้นการติดต่อไปยังพอร์ตต่างๆ ดังต่อไปนี้ ในระดับของเราเตอร์ เกตเวย์ และไฟร์วอลล์
   • พอร์ต TCP และ UDP 135 ของ DCOM RPC
   • พอร์ต UDP 69 ของ TFTP
   • พอร์ต TCP และ UDP 139 ของ NetBIOS
   • พอร์ต TCP และ UDP 445
   • พอร์ต TCP 4444
2. ทำการกำจัดหนอนชนิดนี้ด้วยวิธีกำจัดหนอน หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่ W32/Blaster Recovery Tips
3. (สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก) หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
   • ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
     
   • ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
     
   • ระบบปฏิบัติการวินโดวส์ 2000
     
   • ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
     
   • ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
     
   • ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
     
   • ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
   หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026

คำถาม การกำจัดหนอน W32.Blaster.Worm หรือ W32.LoveSan.Worm มีวิธีการอย่างไรบ้าง

คำตอบ

คำถาม ช่องโหว่อะไรที่หนอน W32.Blaster.Worm หรือ W32.LoveSan.Worm ใช้โจมตี และมีวิธีการแก้ไขอย่างไร

คำตอบ

หนอน W32.Blaster.Worm หรือ W32.LoveSan.Worm จะโจมตีช่องโหว่ของ DCOM RPC (Windows Distributed Component Object Model Remote Procedure Call) หรือ MS03-026 โดยผ่านทางพอร์ต 135/TCP

วิธีการแก้ไขช่องโหว่นี้ก็คือการอัพเดต patch ตามเวอร์ชันของระบบปฏิบัติการที่ใช้งานอยู่ดังนี้

• ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
  
• ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
  
• ระบบปฏิบัติการวินโดวส์ 2000
  
• ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
  
• ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
  
• ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
  
• ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
  หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026

คำถาม ถ้าเครื่องติดไวรัส VBS.Redlof.A จะมีวิธีการแก้ไขอย่างไร

คำตอบ

ไวรัส Redlof เป็นไวรัสประเภท VB Script ซ่อนอยู่ในไฟล์ HTML รวมทั้งซ่อนอยู่ในไฟล์เกี่ยวกับเว็บเพจต่างๆ ด้วย และไวรัสชนิดนี้ไม่ได้สร้างความเสียหายรุนแรงแก่ระบบ แต่มันจะสร้างความสับสนและรำคาญแก่ผู้ใช้งานคอมพิวเตอร์มาก เพราะโปรแกรมป้องกันไวรัสที่ท่านใช้งานจะทำการเตือนตลอดเวลา อีกทั้งยังจะทำให้ฮาร์ดดิสก์เต็มเนื่องจากไฟล์
HTML ที่ไวรัสขนิดได้สร้างขึ้น

เนื่องจากไวรัสชนิดนี้ถูกค้นพบมานานแล้ว ดังนั้นวิธีการแก้ไขคือให้ทำการอัพเดตโปรแกรมป้องกันไวรัสที่ท่านใช้อยู่แล้วทำการสแกนทั้งระบบและลบไฟล์ที่ติดไวรัสชนิดนี้

• Norton -> http://securityresponse.symantec.com/avcenter/download/pages/US-N95.html
  
• McAfee -> http://download.mcafee.com/updates/updates.asp
  
• TrendMicro -> http://www.trendmicro.com/download/pattern.asp

คำถาม อยากทราบลักษณะอาการและวิธีการกำจัด W32.Opaserv@mm

คำตอบ

1. ข้อมูลหนอน W32.Opaserv@mm หรือ W32.Opasoft@mm อยู่ที่ http://thaicert.nectec.or.th/advisory/alert/opaserv.php
   
2. วิธีการกำจัดหนอนชนิดนี้คือ
• ดาวน์โหลด fix tools จาก http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
• อ่านวิธีการใช้งานจาก http://thaicert.nectec.or.th/advisory/alert/opaserv.php ในส่วนของวิธีการกำจัดหนอนด้วยวิธีอัตโนมัติ หรือ
  http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.removal.tool.html
  
  หมายเหตุ ก่อนการจัดการแต่ละเครื่องให้ทำการถอดสายแลน ปิดการแชร์ให้หมดก่อนแล้วจึงทำการใช้โปรแกรม fix tools ในการจัดการ เมื่อทำการกำจัดเรียบร้อยแล้ว กรุณาอ่านและปฏิบัติตามข้อมูลเพิ่มเติมที่แนบมาอย่างละเอียดด้วยเพื่อป้องกันไม่ให้ติดไวรัสอีก
3. มาตราการลดความเสี่ยงของไวรัสดังนี้
   • ควรติดตั้งไฟร์วอลล์เพื่อควบคุมการติดต่อ เช่นอนุญาตให้ผู้ใช้ส่งข้อมูลออกอย่างเดียวเท่านั้น ไม่รับการเชื่อมต่อจากอินเทอร์เน็ตได้ เพราะบ่อยครั้งที่ไวรัสกระจายตัวผ่านทางพอร์ตปกติ เช่น 80 หรือ 139 (NBT)
   • โอกาสที่ผู้ใช้จะติดไวรัสคือ ติดไวรัสทางอี-เมล์ ซึ่งในกรณีที่องค์กรมีเมล์เซิร์ฟเวอร์เป็นของตัวเองและควรติดตั้งซอฟแวร์ที่ทำหน้าที่ดักจับเมล์ที่มีไวรัสได้
     หรือการได้รับไวรัสจากเว็บไซต์ต่างๆ เช่นในกรณีของ nimda ซึ่งในกรณีนี้ผู้ดูแลระบบจะต้องมีหน้าที่ในการเฝ้าติดตาม patch ของโปรแกรมที่เกี่ยวข้องเช่น ของ Outlook หรือ IE ตลอดจน patch ของระบบปฏิบัติการด้วย และติดตั้ง patch และ Service Pack ให้มีความทันสมัยอยู่เสมอ พร้อมทั้งติดตั้งโปรแกรมป้องกันไวรัสที่มีประสิทธิภาพในทุกเครื่องและต้องอัพเดตฐานข้อมูลอย่างสม่ำเสมอด้วย
   • พยายามจำกัดผู้ที่จะใช้การแชร์ไฟล์ให้น้อยที่สุด เพราะยิ่งมากก็ยิ่งเสี่ยง ซึ่งสามารถทำได้โดย การตั้งแชร์แบบมี password แล้วแจ้ง password ให้เฉพาะผู้ที่จำเป็นต้องใช้งานเท่านั้น
   • ถึงแม้จะมีการป้องกันอย่างรัดกุมแล้วหากผู้ใช้ไม่ตระหนัก หรือไม่มีความรู้ เพียงพอก็คงไม่กิดประโยชน์ ดังนั้นจึงควรให้ความรู้และสร้างความตระหนักในการใช้งานให้กับผู้ใช้ด้วยและอาจจะมีบทลงโทษสำหรับผู้ฝ่าฝืน
   • มาตรการที่กล่าวไปนั้นเป็นเพียงมาตรการในการลดความเสี่ยงเท่านั้น คงไม่สามารถป้องกันได้ 100%
4. วิธีป้องกันตัวเองจากไวรัสทั่วๆ ไปมีดังนี้
   • ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
   • ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
   • ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
   • สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
   • ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของซอฟต์แวร์ทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer ดังลิงค์ด้านล่างนี้
     IE6.0 Service Pack 1=> http://www.microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp
   • ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
   • ทำการสำรองข้อมูลในเครื่องอยู่เสมอและเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
   • ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ สามารถสมัครเป็นสมาชิกรับข่าวสารจากทีมงานได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
   • สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการป้องกันตนเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์ได้ที่ http://thaicert.nectec.or.th/paper/virus/protectvirus.php

คำถาม ถ้ากำจัดไปแล้วแต่หนอนชนิดนี้ยังคงอยู่ควรทำอย่างไร

คำตอบ

อาจจะเป็นเพราะว่าคุณได้มีการเปิดแชร์แบบ full โดยไม่มีรหัสผ่าน คุณต้องอ่านข้อมูลเพิ่มเติมเรื่องมาตรการและวิธีการป้องกันไวรัสให้ละเอียดแล้วนำไปปฏิบัติ ถ้าต้องการไม่ให้หนอนร้ายกลับเข้ามาทำลายเครือข่ายคุณ วิธีการกำจัดหนอน มาตรการและวิธีการป้องกันไวรัส

คำถาม จะตรวจสอบได้อย่างไรว่าหนอนชนิดนี้หมดไปจากเครื่องแล้ว

คำตอบ

วิธีการตรวจสอบนั้น มีวิธีที่ง่ายคือการทดสอบด้วยโปรแกรม fix tool (http://securityresponse.symantec.com/avcenter/FixOpsrv.exe) ซึ่งอ่านวิธีการใช้งานจาก http://thaicert.nectec.or.th/advisory/alert/opaserv.php ในส่วนของวิธีการกำจัดหนอนด้วยวิธีอัตโนมัติ

แต่ถ้าต้องการตรวจสอบด้วยวิธีการแก้ไขที่เรจิสทรีย์นั้น ทีมงานไม่อาจรับประกันความเสียหายเนื่องจากการแก้ไขที่ผิดพลาด และจะทำการแก้ไขต้องทำการสำรองเรจิสทรีย์ก่อนทุกครั้ง ซึ่งอ่านข้อมูลเพิ่มเติมได้จาก http://thaicert.nectec.or.th/paper/microsoft/registry.php

วิธีการตรวจสอบและแก้ไขเรจิสทรีย์คือ

1. เปิดโปรแกรม regedit จากนั้นไปยังตำแหน่งของคีย์ที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ลบค่าที่มั่นใจว่าเกิดจากไวรัส ซึ่ง Opaserv นั้นมีหลายสายพันธุ์ จึงทำให้ไม่สามารถระบุว่าจะลบค่าอะไร
3. ถ้าเป็น Win95/98/ME ให้ทำการแก้ไขไฟล์ Win.ini ด้วย