ค้นพบเมื่อ : 19 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : Sobig.F, W32/Sobig.f@MM, WORM SOBIG.F
ระดับความรุนแรง : ปานกลาง
คำแนะนำในการป้องกันหนอนชนิดนี้ภายในองค์กร (สำหรับผู้ดูแลระบบ) |
ผู้ดูแลระบบเครือข่ายควรดำเนินการดังนี้
|
W32.Sobig.F@mm สามารถแพร่กระจายผ่านทางอี-เมล์ โดยค้นหาอี-เมล์แอดเดรสของผู้รับจากไฟล์ที่มีนามสกุลดังต่อไปนี้
- .dbx
- .eml
- .hlp
- .htm
- .html
- .mht
- .wab
- .txt
หนอนชนิดนี้มีคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลที่ใช้ในการส่งอี-เมล์ชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และมีความสามารถในการแพร่กระจายผ่านการแชร์ไฟล์
เมื่อเครื่องถูกหนอนชนิดนี้คุกคามจะถูกเปิดพอร์ต 99x/UDP เพื่อรอรับข้อมูล และส่งการร้องขอไปยังเซิร์ฟเวอร์ที่ให้บริการ NTP
การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้
ชื่อผู้ส่งอี-เมล์ admin@internet.com หัวข้ออี-เมล์ Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your detailsไฟล์ที่แนบมากับอี-เมล์ application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)ข้อความในอี-เมล์ See the attached file for details
Please see the attached file for details.
หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี STMP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง และยังสามารถแพร่กระจายผ่านการแชร์ไฟล์ด้วย
เมื่อหนอน W32.Sobig.F@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
- คัดลอกตัวหนอนเองไปยัง %Windir%\winppr32.exe
หมายเหตุ %Windir% เป็นตัวแปร แทนโฟลเดอร์ Windows โดยทั่วไปแล้วจะอยู่ที่ C:\Windows หรือ C:\Winnt
- สร้างไฟล์ใหม่ชื่อ %Windir%\winsst32.dat
- เพิ่มค่า
"TrayX"="%Windir%\winppr32.exe /sinc"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ดังนั้นหนอนจะรันตัวเองเมื่อมีการเปิดเครื่อง
หนอน W32.Sobig.F@mm สามารถดาวน์โหลดไฟล์ใดๆ มาเก็บไว้ในเครื่องที่ถูกหนอนแพร่กระจายและเรียกใช้งานไฟล์ดังกล่าว ซึ่งผู้เขียนหนอนจะใช้ความสามารถนี้ของหนอนในการขโมยข้อมูลสำคัญของระบบ และติดตั้งเครื่องนี้ให้เป็นฐานในการส่งอี-เมล์ต่อไปยังเครื่องอื่นด้วย (Spam Relay Server)
ความสามารถของหนอนที่ได้กล่าวไปแล้วนั้น ยังจะใช้ในการอัพเดตตัวหนอนเอง โดยภายใต้สภาวะที่เหมาะสม หนอนชนิดนี้จะพยายามติดต่อไปยังเซิร์ฟเวอร์หลักสักหนึ่งเครื่องที่ผู้เขียนหนอนเป็นผู้ควบคุม แล้วหนอนก็จะเอา URL ที่ได้มานั้นไปตรวจสอบที่ที่จะดาวน์โหลดม้าโทรจันและติดตั้งในเครื่อง
สภาวะที่หนอนสามารถดาวน์โหลดได้ก็คือ วันจันทร์ถึงวันศุกร์ ตั้งแต่เวลา 19.00 น.ถึง 23.59.59 น. (เทียบเวลาตาม UTC) ซึ่งค่าเวลา UTC ที่หนอนได้รับนั้นมาจากเซิร์ฟเวอร์ที่ทำหน้าที่ให้บริการ NTP ผ่านโพรโตคอล NTP หรือพอร์ต 123/UDP
หมายเหตุ NTP ย่อมาจาก Network Time Protocol เป็นโพรโตคอลที่ใช้ในการตั้งเวลาในเครื่องให้ตรงกันภายในเครือข่าย
หนอนเริ่มต้นการดาวน์โหลดโดยการส่งข้อมูลไปยังพอร์ต 8998/UDP ของเซิร์ฟเวอร์หลัก (ของผู้เขียนหนอนชนิดนี้) จากนั้นเครื่องเซิร์ฟเวอร์จะตอบกลับด้วยค่า URL ที่หนอนสามารถจะไปดาวน์โหลดไฟล์มาเอ็กซิคิวต์
ที่เครื่องที่ถูกหนอนคุกคามอยู่จะเปิดพอร์ตต่างๆ ต่อไปนี้ เพื่อรอรับข้อมูลที่เป็น UDP datagrams ผ่านเข้ามาในพอร์ตเหล่านี้ ซึ่ง datagram ที่ได้รับนั้นหลากหลายและจะขึ้นอยู่กับ signature ด้วย
- 995/UDP
- 996/UDP
- 997/UDP
- 998/UDP
- 999/UDP
ผู้ดูแลระบบเครือข่ายควรทำตามดังนี้
- ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
- ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
- ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
- ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ดังนี้
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
- ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
- ตัดการเชื่อมต่อเครือข่าย