ข้อมูลทั่วไป

W32.Sasser.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Windows LSASS หรือ MS04-011 ผ่านพอร์ต 445/TCP นอกจากนี้หนอนยังสามารถดาวน์โหลดและรันตัวเองด้วยโปรแกรม FTP ผ่านพอร์ต 5554/TCP ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า avserve.exe

เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ Windows LSASS หรือ MS04-011 ดังนั้นจึงควรทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย

• พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี
• พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดวาน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
• พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS
  

จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ คล้ายกับผลกระทบที่เกิดจาก W32.Blaster.Worm

จากนั้นหนอนก็จะพยายามทำการแพร่กระจายตัวโดยสุ่มหมายเลข IP เพื่อหาเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอัพเดต patch MS04-011

ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows XP)

ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows 2000)

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากทำการค้นหาเครื่องตามหมายเลข IP ที่ยังไม่ได้ทำการอัพเดต patch เพื่ออุดช่องโหว่ของ Windows LSASS หรือ MS04-011 เมื่อพบแล้วหนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้บัฟเฟอร์ล้น ใน LSASS.EXE ส่งผลทำให้มีการเปิดพอร์ต 9996/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ cmd.ftp เพื่อเปิดพอร์ต 5554/TCP ใช้ในการดาวน์โหลดและรันไฟล์ของหนอนเอง

ผลกระทบที่เกิดขึ้น

• เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
• เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 5554/TCP และ 9996/TCP
• ไม่สามารถใช้งานเครือข่ายได้ : เพราะว่าหนอนจะสแกนหา IP เพื่อทำการแพร่กระจาย ทำให้มีความคับคั่งของข้อมูลในเครือข่ายสูงมาก จนไม่สามารถใช้งานได้

เมื่อหนอน W32.Sasser.Worm ถูกเอ็กซิคิวต์ จะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

• สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
  
  1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
  2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
  3. รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
  4. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น

  5. หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้

     • Microsoft Windows NT Workstation 4.0 Service Pack 6a

     • Microsoft Windows NT Server 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
       
     • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
     • Microsoft Windows XP and Microsoft Windows XP Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Version 2003
       
     • Microsoft Windows Server 2003
       
     • Microsoft Windows Server 2003 64-Bit Edition

  หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่1
  
  1. ดาวน์โหลดไฟล์ FxSasser.exe จาก http://securityresponse.symantec.com/avcenter/FxSasser.exe (มีค่า MD5 เป็น 0xA73C16CCD0B9C4F20BC7842EDD90FC20)
     
  2. ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
  3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
  4. ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP )
  5. จากนั้นทำการรันไฟล์ FxSasser.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start

     หมายเหตุ ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe Mode ก่อน ให้กด F8 ระหว่างการบูตเครื่อง

  6. รีสตาร์ทเครื่อง แล้วรัน FxSasser.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
  7. ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ enable System Restore
  8. หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
     • Microsoft Windows NT Workstation 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
       
     • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
     • Microsoft Windows XP and Microsoft Windows XP Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Version 2003
       
     • Microsoft Windows Server 2003
       
     • Microsoft Windows Server 2003 64-Bit Edition

  หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011

• การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
  
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

     หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
  9. หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
     • Microsoft Windows NT Workstation 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Service Pack 6a
     • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
       
     • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
     • Microsoft Windows XP and Microsoft Windows XP Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Service Pack 1
       
     • Microsoft Windows XP 64-Bit Edition Version 2003
       
     • Microsoft Windows Server 2003
       
     • Microsoft Windows Server 2003 64-Bit Edition

ข้อมูลเพิ่มเติมสำหรับ Windows XP

หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
4. กดปุ่ม Apply
5. กดปุ่ม Yes
   หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
   หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
   
   • 445/TCP
     
   • 5554/TCP
   • 9996/TCP
2. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
3. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

   IE 6.0 Service Pack 1
   Windows 2000 Service Pack 4
   Windows XP Service Pack 2
   และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS04-011 ด้วย

4. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่
   
   โดย:katatummo
   ที่มา:www.thaicert.or.th