Knowledgebase

รู้ทัน virus ตอน " worm หนอนคอมพิวเตอร์ "

ชื่อ : W32.BlueCode.Worm [2]
ค้นพบเมื่อ : 7 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.CodeBlue

รายละเอียด
ตัวหนอนนี้จะส่งผลกระทบกับระบบปฎิบัติการ Windows NT หรือ 2000 ที่ใช้งานโปรแกรมประยุกต์ IIS ที่มี ช่องโหว่แบบ Unicode Web Traversal IIS ซึ่งสามารถหาข้อมูลเพิ่มเติมได้ที่ [1] หรือ [4] โดยตัวหนอนนี้จะอาศัยช่องโหว่นี้ในการแพร่กระจาย


ขั้นตอนการบุกรุกของตัวหนอน
1. เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:\Inetpub\wwwroot\scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:\Svchost.exe และเรียกใช้งาน
4. C:\Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบผู้เสียหายดังนี้

  • ทำการสร้างไฟล์ C:\Svchost.exe และแก้ไข registry ดังนี้
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
    ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
  • หลังจากนั้นจะสร้างไฟล์ชั่วคราวที่ C:\d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:\WINNT\system32\Wscript.exe
  • ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
  • ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน


คำแนะนำในการกำจัด
ในกรณีที่ท่านมีโปรแกรมป้องกันไวรัส ท่านควรดาวน์โหลดหรือปรับปรุงข้อมูลของไวรัส และทำการตรวจสอบไวรัสจากเครื่อง โปรแกรมป้องกันไวรัสจะทำการลบและทำลายไวรัสดังกล่าวทันทีหลังจากพบ นอกจากนี้หากต้องการจัดการกับไวรัสด้วยตัวเองก็สามารถทำได้โดยมีขั้นตอนดังนี้

  • เรียกใช้งาน โปรแกรม regedit โดย คลิก Start, และคลิก Run พิมพ์ regedit คลิก OK
  • ค้นหาข้อความ
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
  • ในฝั่งขวาของข้อความจะแสดงค่า C:\svchost.exe
  • ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
  • หลังจากนั้นทำการค้นหาและลบไฟล์ C:\svchost.exe และ C:\d.vbs

วิธีการป้องกัน
เนื่องจากช่องโหว่แบบ Unicode Web Traversal IIS นั้นค้นพบมาตั้งแต่ 17 ตุลาคม 2543 ดังนั้น แนวทางป้องกันที่ดีที่สุดคือการปรับปรุง เวอร์ชั่นของโปรแกรม IIS ให้ใหม่ที่สุดโดยสามารถเข้าไปดูรายละเอียดการติดตั้งได้จากเว็บของ ThaiCERT ที่ [5]

ความเสียหายที่เกิดขึ้น
ความรุนแรงของตัวหนอนนี้มีความร้ายแรงไม่มากเมื่อเทียบกับตัวหนอนอย่าง Code Red ที่เข้ามาทำการแก้ไขและ สร้างไฟล์ที่เป็น backdoor แต่อย่างไรก็ตามระหว่างที่ตัวหนอนทำงาน ทรัพยากรของระบบเช่น หน่วยความจำ หรือ การทำงานของ ซีพียู จะถูกใช้งานมากกับการส่งเมล์ที่มีข้อมูลขนาดใหญ่ โดยทำให้ระบบไม่สามารถให้บริการได้ตามปรกติ

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User

1.ควรติดตั้ง และปรับปรุงโปรแกรม IIS รวมทั้งระบบปฎิบัติการ Windows ให้ใหม่ที่สุดอยู่สม่ำเสมอ
2.หมั่นตรวจสอบไวรัสต้วยโปรแกรมป้องกันไวรัสอย่างสม่ำเเสมอ และ คอยปรับปรุงข้อมูลของไวรัสอย่างสม่ำเสมอ
3. หมั่นสำรองข้อมูลของ registry ของระบบปฎิบัติการอย่างสม่ำเสมอ

เอกสารอ้างอิง
[1] http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
[2] http://www.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
[3] http://www.sans.org/infosecFAQ/threats/traversal.htm
[4] http://www.kb.cert.org/vuls/id/111677
[5] http://thaicert.nectec.or.th/paper/win2000.php

Was this answer helpful?

 Print this Article

Also Read

วิธีเซต Outlook 2007

Download PDF Setup Outlook 2007

spammer รู้ที่อยู่อีเมลของพวกเราได้อย่างไร

1. spammer ใช้โปรแกรมที่เก็บรวมรวมที่อยู่อีเมลโดยอัตโนมัติที่เรียกว่า Bot หรือ robot ที่สามารถ...

การเซตอัพ Mozilla Thunderbird

Download ได้ที่ http://www.mozilla.com/en-US/thunderbird/all.html วิธีการติดตั้งและเซตอัพอีเมล์...

เปลี่ยนภาษาเริ่มต้นของโปรแกรม Office

ตั้งค่าภาษาเริ่มต้นสำหรับการป้อนค่าใน Windows...

Add New Address Book in Outlook Express