Knowledgebase

รู้ทัน virus ตอน " worm หนอนคอมพิวเตอร์ "

ชื่อ : W32.BlueCode.Worm [2]
ค้นพบเมื่อ : 7 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.CodeBlue

รายละเอียด
ตัวหนอนนี้จะส่งผลกระทบกับระบบปฎิบัติการ Windows NT หรือ 2000 ที่ใช้งานโปรแกรมประยุกต์ IIS ที่มี ช่องโหว่แบบ Unicode Web Traversal IIS ซึ่งสามารถหาข้อมูลเพิ่มเติมได้ที่ [1] หรือ [4] โดยตัวหนอนนี้จะอาศัยช่องโหว่นี้ในการแพร่กระจาย


ขั้นตอนการบุกรุกของตัวหนอน
1. เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:\Inetpub\wwwroot\scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:\Svchost.exe และเรียกใช้งาน
4. C:\Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบผู้เสียหายดังนี้

  • ทำการสร้างไฟล์ C:\Svchost.exe และแก้ไข registry ดังนี้
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
    ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
  • หลังจากนั้นจะสร้างไฟล์ชั่วคราวที่ C:\d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:\WINNT\system32\Wscript.exe
  • ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
  • ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน


คำแนะนำในการกำจัด
ในกรณีที่ท่านมีโปรแกรมป้องกันไวรัส ท่านควรดาวน์โหลดหรือปรับปรุงข้อมูลของไวรัส และทำการตรวจสอบไวรัสจากเครื่อง โปรแกรมป้องกันไวรัสจะทำการลบและทำลายไวรัสดังกล่าวทันทีหลังจากพบ นอกจากนี้หากต้องการจัดการกับไวรัสด้วยตัวเองก็สามารถทำได้โดยมีขั้นตอนดังนี้

  • เรียกใช้งาน โปรแกรม regedit โดย คลิก Start, และคลิก Run พิมพ์ regedit คลิก OK
  • ค้นหาข้อความ
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
  • ในฝั่งขวาของข้อความจะแสดงค่า C:\svchost.exe
  • ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
  • หลังจากนั้นทำการค้นหาและลบไฟล์ C:\svchost.exe และ C:\d.vbs

วิธีการป้องกัน
เนื่องจากช่องโหว่แบบ Unicode Web Traversal IIS นั้นค้นพบมาตั้งแต่ 17 ตุลาคม 2543 ดังนั้น แนวทางป้องกันที่ดีที่สุดคือการปรับปรุง เวอร์ชั่นของโปรแกรม IIS ให้ใหม่ที่สุดโดยสามารถเข้าไปดูรายละเอียดการติดตั้งได้จากเว็บของ ThaiCERT ที่ [5]

ความเสียหายที่เกิดขึ้น
ความรุนแรงของตัวหนอนนี้มีความร้ายแรงไม่มากเมื่อเทียบกับตัวหนอนอย่าง Code Red ที่เข้ามาทำการแก้ไขและ สร้างไฟล์ที่เป็น backdoor แต่อย่างไรก็ตามระหว่างที่ตัวหนอนทำงาน ทรัพยากรของระบบเช่น หน่วยความจำ หรือ การทำงานของ ซีพียู จะถูกใช้งานมากกับการส่งเมล์ที่มีข้อมูลขนาดใหญ่ โดยทำให้ระบบไม่สามารถให้บริการได้ตามปรกติ

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User

1.ควรติดตั้ง และปรับปรุงโปรแกรม IIS รวมทั้งระบบปฎิบัติการ Windows ให้ใหม่ที่สุดอยู่สม่ำเสมอ
2.หมั่นตรวจสอบไวรัสต้วยโปรแกรมป้องกันไวรัสอย่างสม่ำเเสมอ และ คอยปรับปรุงข้อมูลของไวรัสอย่างสม่ำเสมอ
3. หมั่นสำรองข้อมูลของ registry ของระบบปฎิบัติการอย่างสม่ำเสมอ

เอกสารอ้างอิง
[1] http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
[2] http://www.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
[3] http://www.sans.org/infosecFAQ/threats/traversal.htm
[4] http://www.kb.cert.org/vuls/id/111677
[5] http://thaicert.nectec.or.th/paper/win2000.php

Was this answer helpful?

 Print this Article

Also Read

การป้องกันการโพสเว็บบอร์ดหรือโพสข้อความผ่านcontact

CAPTCHA ออกสียงว่า แคปช่า ชื่อเรียกมันแปลกๆไม่คุ้นหูเลย แต่มันกำลังได้รับความนิยมมากขึ้นเรื่อยๆ...

วิธีเซต Outlook 2007

Download PDF Setup Outlook 2007

วิธีแก้ปัญหาระบบ IOS ไม่พบ Carlendar ของ Zimbra ที่แชร์ร่วมกัน

ให้ทำการตั้งค่า Carlendar ด้วย CalDAV Protocolสามารถดูได้จากลิงค์ :...

วิธีการตรวจสอบว่า อินเตอร์เน็ตที่ท่านใช้งาน ถูก Block Port 25 หรือไม่ ?

Checking your outgoing mail server (Is Port 25 blocked ?) การสื่อสารบนระบบอีเมล์ใช้พอร์ต 25...

How to Set Outgoing Server Requires Authentication

      เสร็จ แล้วทดลองรับ-ส่งดูอีกครั้งครับ...