Knowledgebase

รู้ทัน virus ตอน " worm หนอนคอมพิวเตอร์ "

ชื่อ : W32.BlueCode.Worm [2]
ค้นพบเมื่อ : 7 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.CodeBlue

รายละเอียด
ตัวหนอนนี้จะส่งผลกระทบกับระบบปฎิบัติการ Windows NT หรือ 2000 ที่ใช้งานโปรแกรมประยุกต์ IIS ที่มี ช่องโหว่แบบ Unicode Web Traversal IIS ซึ่งสามารถหาข้อมูลเพิ่มเติมได้ที่ [1] หรือ [4] โดยตัวหนอนนี้จะอาศัยช่องโหว่นี้ในการแพร่กระจาย


ขั้นตอนการบุกรุกของตัวหนอน
1. เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:\Inetpub\wwwroot\scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:\Svchost.exe และเรียกใช้งาน
4. C:\Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบผู้เสียหายดังนี้

  • ทำการสร้างไฟล์ C:\Svchost.exe และแก้ไข registry ดังนี้
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
    ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
  • หลังจากนั้นจะสร้างไฟล์ชั่วคราวที่ C:\d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:\WINNT\system32\Wscript.exe
  • ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
  • ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน


คำแนะนำในการกำจัด
ในกรณีที่ท่านมีโปรแกรมป้องกันไวรัส ท่านควรดาวน์โหลดหรือปรับปรุงข้อมูลของไวรัส และทำการตรวจสอบไวรัสจากเครื่อง โปรแกรมป้องกันไวรัสจะทำการลบและทำลายไวรัสดังกล่าวทันทีหลังจากพบ นอกจากนี้หากต้องการจัดการกับไวรัสด้วยตัวเองก็สามารถทำได้โดยมีขั้นตอนดังนี้

  • เรียกใช้งาน โปรแกรม regedit โดย คลิก Start, และคลิก Run พิมพ์ regedit คลิก OK
  • ค้นหาข้อความ
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
  • ในฝั่งขวาของข้อความจะแสดงค่า C:\svchost.exe
  • ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
  • หลังจากนั้นทำการค้นหาและลบไฟล์ C:\svchost.exe และ C:\d.vbs

วิธีการป้องกัน
เนื่องจากช่องโหว่แบบ Unicode Web Traversal IIS นั้นค้นพบมาตั้งแต่ 17 ตุลาคม 2543 ดังนั้น แนวทางป้องกันที่ดีที่สุดคือการปรับปรุง เวอร์ชั่นของโปรแกรม IIS ให้ใหม่ที่สุดโดยสามารถเข้าไปดูรายละเอียดการติดตั้งได้จากเว็บของ ThaiCERT ที่ [5]

ความเสียหายที่เกิดขึ้น
ความรุนแรงของตัวหนอนนี้มีความร้ายแรงไม่มากเมื่อเทียบกับตัวหนอนอย่าง Code Red ที่เข้ามาทำการแก้ไขและ สร้างไฟล์ที่เป็น backdoor แต่อย่างไรก็ตามระหว่างที่ตัวหนอนทำงาน ทรัพยากรของระบบเช่น หน่วยความจำ หรือ การทำงานของ ซีพียู จะถูกใช้งานมากกับการส่งเมล์ที่มีข้อมูลขนาดใหญ่ โดยทำให้ระบบไม่สามารถให้บริการได้ตามปรกติ

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User

1.ควรติดตั้ง และปรับปรุงโปรแกรม IIS รวมทั้งระบบปฎิบัติการ Windows ให้ใหม่ที่สุดอยู่สม่ำเสมอ
2.หมั่นตรวจสอบไวรัสต้วยโปรแกรมป้องกันไวรัสอย่างสม่ำเเสมอ และ คอยปรับปรุงข้อมูลของไวรัสอย่างสม่ำเสมอ
3. หมั่นสำรองข้อมูลของ registry ของระบบปฎิบัติการอย่างสม่ำเสมอ

เอกสารอ้างอิง
[1] http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
[2] http://www.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
[3] http://www.sans.org/infosecFAQ/threats/traversal.htm
[4] http://www.kb.cert.org/vuls/id/111677
[5] http://thaicert.nectec.or.th/paper/win2000.php

Was this answer helpful?

 Print this Article

Also Read

วิธีการเซ็ต whitelist email บน microsoft outlook

วิธีการเซ็ต whitelist email บน microsoft outlook1. ไปที่เมนู "Home" หรือ "หน้าแรก"2. คลิ๊กที่เมนู...

การสร้าง Autoresponder

1. Login เข้าระบบ DirectAdmin  https://domainname:2222 2.เลือกหัวข้อ...

วิธีการตรวจสอบว่า อินเตอร์เน็ตที่ท่านใช้งาน ถูก Block Port 25 หรือไม่ ?

Checking your outgoing mail server (Is Port 25 blocked ?) การสื่อสารบนระบบอีเมล์ใช้พอร์ต 25...

How to Display and Send Full Headers of Email Message in Zimbra, Ms Outlook, Outlook.com, SquirrelMail and RoundCube

The header information displays the header name followed by the header data. The header usually...

Add New Address Book in Outlook Express