ค้นพบเมื่อ : 12 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_MSBLATER.A, W32/Lovsan.worm, W32/Blaster-A, W32/Lovsan.worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster.A, Worm/Lovsan.A, msblast.exe, tftp, Lovsan, Win32.Msblast.A, W32/Blaster
ระดับความรุนแรง : สูง
ข้อมูลในการกำจัดหนอนอย่างรวดเร็ว (สำหรับผู้ใช้ทั่วไป) |
ข้อมูลวิธีกำจัดหนอนชนิดนี้ หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่ W32/Blaster Recovery Tips หมายเหตุ (สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก) หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026 |
ข้อมูลในการกำจัดหนอนภายในองค์กร (สำหรับผู้ดูแลระบบ) |
หากตรวจสอบพบว่าภายในองค์กรของท่านพบหนอนชนิดนี้แพร่กระจายอยู่ ให้ดำเนินการดังต่อไปนี้
|
ข้อมูลทั่วไป
W32.Blaster.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ DCOM RPC (Windows Distributed Component Object Model Remote Procedure Call) หรือ MS03-026 โดยผ่านพอร์ต 135/TCP และหนอนยังสามารถดาวน์โหลดและรันตัวเอง ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า msblast.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ DCOM RPC หรือ MS03-026 ดังนั้นจึงควรที่จะทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
- พอร์ต 135/TCP และ 135/UDP ของ DCOM RPC
- พอร์ต 69/UDP ของ TFTP
- พอร์ต 139/TCP และ 139/UDP ของ NetBIOS
- พอร์ต 445/TCP และ 445/UDP
- พอร์ต 4444/TCP
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
จากนั้นหนอนก็จะพยายามทำการปฏิเสธการให้บริการ (Denial Of Service) windowsupdate.com เพื่อไม่ให้ผู้ใช้งานสามารถดาวน์โหลด patch มาอุดช่องโหว่นี้
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต 135/TCP เมื่อค้นพบหนอนจะทำการส่งโค้ดที่ใช้โจมตีเพื่อสั่งให้ดาวน์โหลดและรันไฟล์ที่ชื่อ msblast.exe โดยใช้โปรแกรม TFTP
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Blaster.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
- สร้าง Mutex ชื่อ "BILLY." ถ้ามี Mutex นี้แล้วจะหยุดการทำงาน
- เพิ่มค่า
"windows auto update"="msblast.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ขณะนี้หนอนจะถูกรันทุกครั้งเมื่อระบบปฏิบัติการวินโดวส์เริ่มทำงาน และในทุกช่วงเวลาที่ระบบปฏิบัติการวินโดวส์ทำการติดต่อไปยัง windowsupdate.com เพื่อตรวจสอบ patch ใหม่ๆ ก็จะเป็นการเรียกตัวหนอนชนิดนี้ขึ้นมาทำงาน
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
- คำนวณหาหมายเลข IP เป้าหมาย โดยใช้อัลกอริทึมต่อไปนี้ และจะใช้เวลาประมาณ 40% ของเวลาที่ใช้ในการคำนวณทั้งหมด
โฮสต์ที่หมายเลข IP เป็น A.B.C.D
ตั้งค่า D เท่ากับ 0
ถ้า C มากกว่า 20 จะทำการลบด้วยค่าที่น้อยกว่า 20
เมื่อได้ค่าแล้ว หนอนจะได้เครือข่ายที่จะทำการรัน Exploit คือ A.B.C.0 และจะนับเพิ่มขึ้นด้วย
หมายเหตุ ขณะนี้ในเครือข่ายย่อยจะถูกหนอนสร้างการร้องขอการใช้พอร์ต 135/TCP จำนวนมาก ก่อนที่จะออกเครือข่ายย่อยนี้
- คำนวณหาหมายเลข IP เป้าหมายต่อ โดยใช้วิธีการสุ่มตัวเลข และใช้ 60% ของเวลาในการคำนวณทั้งหมด
A.B.C.D
ตั้งค่า D เท่ากับ 0
ตั้งค่า A B และ C ให้สุ่มค่าในช่วง 0 ถึง 255
- หนอนจะพยายามส่งข้อมูลผ่านพอร์ต 135/TCP ซึ่งเป็นการโจมตีช่องโหว่ DCOM RPC และสร้าง Remote shell รอรับการติดต่อที่พอร์ต 4444/TCP
- รอการติดต่อผ่านพอร์ต 69/UDP เมื่อหนอนได้รับการร้องขอ หนอนจะทำการส่งไฟล์ Msblast.exe กลับออกมา
- ส่งคำสั่งให้เครื่องคอมพิวเตอร์อื่นๆ ทำการติดต่อซ้ำอีกครั้งแล้วทำการดาวน์โหลดและรันไฟล์ Msblast.exe จากเครื่องที่ถูกหนอนชนิดนี้ฝังตัวอยู่
- ตั้งแต่วันที่ 16 สิงหาคม เป็นต้นไปจนถึงสิ้นปี หนอนชนิดนี้จะทำการ DoS ไปยัง windowsupdate.com
หนอนชนิดนี้จะมีข้อความแฝงอยู่และจะไม่แสดงให้เห็น ข้อความมีอยู่ว่า
" I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! "
- สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
- ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
- ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
- รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
- สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
-
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
- ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
- ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
- ระบบปฏิบัติการวินโดวส์ 2000
- ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
- ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
- ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
- ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
- ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
- ดาวน์โหลดไฟล์ FixBlast.exe จาก http://securityresponse.symantec.com/avcenter/FixBlast.exe
- ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
- ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
- ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP)
- จากนั้นทำการรันไฟล์ FixBlast.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
หมายเหตุ ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe Mode ก่อน ให้กด F8 ระหว่างการบูตเครื่อง
- รีสตาร์ทเครื่อง แล้วรัน FixBlast.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
- ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ enable System Restore
-
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
- ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
- ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
- ระบบปฏิบัติการวินโดวส์ 2000
- ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
- ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
- ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
- ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
- ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
- ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
- สแกนหาไวรัสทั้งระบบดูอีกครั้ง
- ดาวน์โหลดไฟล์ FixBlast.exe จาก http://securityresponse.symantec.com/avcenter/FixBlast.exe
คำแนะนำเพิ่มเติม
|
ข้อมูลเพิ่มเติมสำหรับ Windows XP
หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ System Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- ระงับการใช้งาน DCOM ตามรายละเอียดที่ http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
- กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
- 69/UDP
- 135/TCP
- 135/UDP
- 139/TCP
- 139/UDP
- 445/TCP
- 445/UDP
- 4444/TCP
- 69/UDP
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS03-026 ด้วย - ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ความคิดเห็น