--วิธีกำจัดไวรัส W32.Sobig.F@mm--


คำแนะนำในการป้องกันหนอนชนิดนี้ภายในองค์กร (สำหรับผู้ดูแลระบบ)

ผู้ดูแลระบบเครือข่ายควรดำเนินการดังนี้

  • ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
  • ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
  • ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
  • ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ ดังนี้

ข้อมูลทั่วไป

W32.Sobig.F@mm สามารถแพร่กระจายผ่านทางอี-เมล์ โดยค้นหาอี-เมล์แอดเดรสของผู้รับจากไฟล์ที่มีนามสกุลดังต่อไปนี้

  • .dbx
  • .eml
  • .hlp
  • .htm
  • .html
  • .mht
  • .wab
  • .txt

หนอนชนิดนี้มีคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลที่ใช้ในการส่งอี-เมล์ชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และมีความสามารถในการแพร่กระจายผ่านการแชร์ไฟล์

เมื่อเครื่องถูกหนอนชนิดนี้คุกคามจะถูกเปิดพอร์ต 99x/UDP เพื่อรอรับข้อมูล และส่งการร้องขอไปยังเซิร์ฟเวอร์ที่ให้บริการ NTP

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์ admin@internet.com
หัวข้ออี-เมล์ Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
ไฟล์ที่แนบมากับอี-เมล์ application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
ข้อความในอี-เมล์ See the attached file for details
Please see the attached file for details.

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี STMP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง และยังสามารถแพร่กระจายผ่านการแชร์ไฟล์ด้วย

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Sobig.F@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

  1. คัดลอกตัวหนอนเองไปยัง %Windir%\winppr32.exe

    หมายเหตุ %Windir% เป็นตัวแปร แทนโฟลเดอร์ Windows โดยทั่วไปแล้วจะอยู่ที่ C:\Windows หรือ C:\Winnt

  2. สร้างไฟล์ใหม่ชื่อ %Windir%\winsst32.dat
  3. เพิ่มค่า

    "TrayX"="%Windir%\winppr32.exe /sinc"

    ในเรจิสทรีย์คีย์

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    ดังนั้นหนอนจะรันตัวเองเมื่อมีการเปิดเครื่อง

หนอน W32.Sobig.F@mm สามารถดาวน์โหลดไฟล์ใดๆ มาเก็บไว้ในเครื่องที่ถูกหนอนแพร่กระจายและเรียกใช้งานไฟล์ดังกล่าว ซึ่งผู้เขียนหนอนจะใช้ความสามารถนี้ของหนอนในการขโมยข้อมูลสำคัญของระบบ และติดตั้งเครื่องนี้ให้เป็นฐานในการส่งอี-เมล์ต่อไปยังเครื่องอื่นด้วย (Spam Relay Server)

ความสามารถของหนอนที่ได้กล่าวไปแล้วนั้น ยังจะใช้ในการอัพเดตตัวหนอนเอง โดยภายใต้สภาวะที่เหมาะสม หนอนชนิดนี้จะพยายามติดต่อไปยังเซิร์ฟเวอร์หลักสักหนึ่งเครื่องที่ผู้เขียนหนอนเป็นผู้ควบคุม แล้วหนอนก็จะเอา URL ที่ได้มานั้นไปตรวจสอบที่ที่จะดาวน์โหลดม้าโทรจันและติดตั้งในเครื่อง

สภาวะที่หนอนสามารถดาวน์โหลดได้ก็คือ วันจันทร์ถึงวันศุกร์ ตั้งแต่เวลา 19.00 น.ถึง 23.59.59 น. (เทียบเวลาตาม UTC ) ซึ่งค่าเวลา UTC ที่หนอนได้รับนั้นมาจากเซิร์ฟเวอร์ที่ทำหน้าที่ให้บริการ NTP ผ่านโพรโตคอล NTP หรือพอร์ต 123/UDP

หมายเหตุ NTP ย่อมาจาก Network Time Protocol เป็นโพรโตคอลที่ใช้ในการตั้งเวลาในเครื่องให้ตรงกันภายในเครือข่าย

หนอนเริ่มต้นการดาวน์โหลดโดยการส่งข้อมูลไปยังพอร์ต 8998/UDP ของเซิร์ฟเวอร์หลัก (ของผู้เขียนหนอนชนิดนี้) จากนั้นเครื่องเซิร์ฟเวอร์จะตอบกลับด้วยค่า URL ที่หนอนสามารถจะไปดาวน์โหลดไฟล์มาเอ็กซิคิวต์

ที่เครื่องที่ถูกหนอนคุกคามอยู่จะเปิดพอร์ตต่างๆ ต่อไปนี้ เพื่อรอรับข้อมูลที่เป็น UDP datagrams ผ่านเข้ามาในพอร์ตเหล่านี้ ซึ่ง datagram ที่ได้รับนั้นหลากหลายและจะขึ้นอยู่กับ signature ด้วย

  • 995/UDP
  • 996/UDP
  • 997/UDP
  • 998/UDP
  • 999/UDP

ผู้ดูแลระบบเครือข่ายควรทำตามดังนี้

  • ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
  • ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
  • ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
  • ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ ดังนี้

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
    1. ดาวน์โหลดโปรแกรม sobigsfx.exe จากเว็บไซต์ http://www.sophos.com/misc/sobigsfx.exe
    2. รันไฟล์ดังกล่าวเพื่อติดตั้ง ซึ่งค่า default โปรแกรมนี้จะติดตั้งไว้ที่ C:\SOPHTEMP
    3. ตัดการเชื่อมต่อเครือข่าย
    4. เรียกใช้งานโปรแกรม command.com สำหรับระบบปฏิบัติการวินโดวส์ 95/98/ME และโปรแกรม cmd.exe สำหรับระบบปฏิบัติการวินโดวส์ NT/2000/XP
    5. ใช้คำสั่งดังต่อไปนี้เพื่อทำการตรวจหาหนอนชนิดนี้
      • cd c:\sophtemp
      • resolve -DF=SOBIG.DAT
    6. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

    IE 6.0 Service Pack 1
    Windows 2000 Service Pack 4
    Windows XP Service Pack 1a

  6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ

    โดย:katatummo
    ที่มา:www.thaicert.or.th


ย้อนกลับ หน้าแรก