W32.Fujacks.AA / W32.Fubalca

31/03/2008 View: 3,687

ชื่อ : W32.Fujacks.AA หรือ W32.Fubalca
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : CVE-2007-0038, CVE-2007-1765 [Common Malware Enumeration], W32.Fubalca [Symantec], W32/Fujacks.AAA [Outpost24], Agent.bky [F-Secure], W32/Fujacks.aa [McAfee]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Windows 95, Windows 98, Windows Me, Linux, Macintosh, OS/2, UNIX, Windows 3.x

ข้อมูลทั่วไป

W32.Fujacks.AA เป็นหนอนที่โจมตีผ่านช่องโหว่ Microsoft Windows ANI header stack buffer overflow ที่ประกาศวันที่ 1 เมษายน 2550 และเป็น Zero-day Exploit อีกด้วย โดยมีวิธีการแพร่กระจายผ่านทางอีเมลและสามารถแพร่ผ่านไดร์ฟฟลอปปี้และไดร์ฟ Removable ที่เชื่อมต่อขณะที่สตาร์ทเครื่อง

หนอนชนิดนี้สามารถฝังตัวเองใส่ไฟล์หลากหลายชนิด เช่นไฟล์ที่มีนามสกุล .exe และ .html เป็นต้น นอกจากนี้หนอนชนิดนี้อาจจะดาวน์โหลดหนอนชนิดอื่นๆ มาฝังไว้ในเครื่องได้อีกด้วย

ลักษณะของอีเมลมีดังนี้

ชื่อผู้ส่ง i_love_cq@sohu.com

หัวข้ออีเมล หัวข้ออีเมลเป็นภาษาจีน

ข้อความในอีเมล
จะประกอบด้วย URL เพื่อให้ดาวน์โหลดหนอน

http://macr.microfsot.com/<removed>/134952.htm

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอีเมลและสามารถแพร่กระจายผ่านไดร์ฟฟลอปปี้และไดร์ฟ Removable ที่เชื่อมต่อขณะที่สตาร์ทเครื่อง

ผลกระทบที่เกิดขึ้น

เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำลายไฟล์ที่มีนามสกุล .exe และ .html เป็นต้น รวมทั้งทำการแก้ไขค่าในรีจิสทรีด้วย
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้เปิดประตูลับ (Back Door)

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Fujacks.AA ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ
1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp
  
  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1.
4. ตัดการเชื่อมต่อเครือข่าย
5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
9. เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาโจมตีได้อีก จำเป็นต้องอุดช่องโหว่ของระบบปฏิบัติการวินโดวส์ที่ท่านใช้งานอยู่ โดยการดาวน์โหลดจากเว็บไซต์ http://www.eeye.com/html/research/tools/WindowsANIZeroDayPatchSetup.exe และติดตั้ง
  
  หมายเหตุ สำหรับระบบปฏิบัติการวินโดวส์ XP, 2000, 2003 และ Vista

วิธีป้องกันตัวเองจากหนอนชนิดนี้

ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ข้อมูลอ้างอิง

*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***

เมนู

จดหมายข่าว

ตะกร้าสินค้า

สินค้า

ลิงค์

บทความ