รู้ทัน virus ตอน " worm หนอนคอมพิวเตอร์ "

ชื่อ : W32.BlueCode.Worm [2]
ค้นพบเมื่อ : 7 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.CodeBlue

รายละเอียด
ตัวหนอนนี้จะส่งผลกระทบกับระบบปฎิบัติการ Windows NT หรือ 2000 ที่ใช้งานโปรแกรมประยุกต์ IIS ที่มี ช่องโหว่แบบ Unicode Web Traversal IIS ซึ่งสามารถหาข้อมูลเพิ่มเติมได้ที่ [1] หรือ [4] โดยตัวหนอนนี้จะอาศัยช่องโหว่นี้ในการแพร่กระจาย


ขั้นตอนการบุกรุกของตัวหนอน
1. เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:\Inetpub\wwwroot\scripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:\Svchost.exe และเรียกใช้งาน
4. C:\Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบผู้เสียหายดังนี้

  • ทำการสร้างไฟล์ C:\Svchost.exe และแก้ไข registry ดังนี้
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
    ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
  • หลังจากนั้นจะสร้างไฟล์ชั่วคราวที่ C:\d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:\WINNT\system32\Wscript.exe
  • ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
  • ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน


คำแนะนำในการกำจัด
ในกรณีที่ท่านมีโปรแกรมป้องกันไวรัส ท่านควรดาวน์โหลดหรือปรับปรุงข้อมูลของไวรัส และทำการตรวจสอบไวรัสจากเครื่อง โปรแกรมป้องกันไวรัสจะทำการลบและทำลายไวรัสดังกล่าวทันทีหลังจากพบ นอกจากนี้หากต้องการจัดการกับไวรัสด้วยตัวเองก็สามารถทำได้โดยมีขั้นตอนดังนี้

  • เรียกใช้งาน โปรแกรม regedit โดย คลิก Start, และคลิก Run พิมพ์ regedit คลิก OK
  • ค้นหาข้อความ
    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
  • ในฝั่งขวาของข้อความจะแสดงค่า C:\svchost.exe
  • ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
  • หลังจากนั้นทำการค้นหาและลบไฟล์ C:\svchost.exe และ C:\d.vbs

วิธีการป้องกัน
เนื่องจากช่องโหว่แบบ Unicode Web Traversal IIS นั้นค้นพบมาตั้งแต่ 17 ตุลาคม 2543 ดังนั้น แนวทางป้องกันที่ดีที่สุดคือการปรับปรุง เวอร์ชั่นของโปรแกรม IIS ให้ใหม่ที่สุดโดยสามารถเข้าไปดูรายละเอียดการติดตั้งได้จากเว็บของ ThaiCERT ที่ [5]

ความเสียหายที่เกิดขึ้น
ความรุนแรงของตัวหนอนนี้มีความร้ายแรงไม่มากเมื่อเทียบกับตัวหนอนอย่าง Code Red ที่เข้ามาทำการแก้ไขและ สร้างไฟล์ที่เป็น backdoor แต่อย่างไรก็ตามระหว่างที่ตัวหนอนทำงาน ทรัพยากรของระบบเช่น หน่วยความจำ หรือ การทำงานของ ซีพียู จะถูกใช้งานมากกับการส่งเมล์ที่มีข้อมูลขนาดใหญ่ โดยทำให้ระบบไม่สามารถให้บริการได้ตามปรกติ

คำแนะนำสำหรับผู้ดูแลระบบ / Advanced User

1.ควรติดตั้ง และปรับปรุงโปรแกรม IIS รวมทั้งระบบปฎิบัติการ Windows ให้ใหม่ที่สุดอยู่สม่ำเสมอ
2.หมั่นตรวจสอบไวรัสต้วยโปรแกรมป้องกันไวรัสอย่างสม่ำเเสมอ และ คอยปรับปรุงข้อมูลของไวรัสอย่างสม่ำเสมอ
3. หมั่นสำรองข้อมูลของ registry ของระบบปฎิบัติการอย่างสม่ำเสมอ

เอกสารอ้างอิง
[1] http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
[2] http://www.symantec.com/avcenter/venc/data/w32.bluecode.worm.html
[3] http://www.sans.org/infosecFAQ/threats/traversal.htm
[4] http://www.kb.cert.org/vuls/id/111677
[5] http://thaicert.nectec.or.th/paper/win2000.php

Was this answer helpful?

 Print this Article

Also Read

Add New Address Book in Outlook Express

การ purge อีเมล์ เพื่อเพิ่มพื้นที่การใช้งาน

ผู้ใช้งาน อีเมล์ผ่าน ระบบเว็บเมล์ หรือ outlook  ก็ตามหากต้องการลบอีเมล์แบบถาวร...

การเซตอัพ OutlookExpress แบบง่าย

1. เริ่มต้น Login เข้าในส่วนของ Control Website . https://domainname.dot:2222 2. ไปที่หัวข้อ...

การเซตอัพ Mozilla Thunderbird

Download ได้ที่ http://www.mozilla.com/en-US/thunderbird/all.html วิธีการติดตั้งและเซตอัพอีเมล์...

MS outlook 2010

การเพิ่มบัญชีผู้ใช้อีเมลเมื่อเริ่มการทำงานครั้งแรก Outlook 2010 ถ้าคุณไม่เคยใช้ Microsoft...