ความคิดเห็นที่ 22
สวัสดีค่ะ
ขอคั่นรายการด้วยสาระหน่อยนะคะ
เผอิญที่มหาวิทยาลัย ของหน่อยเค้าส่งมาให้น่ะค่ะ
------------------------------------------------------------
ชื่อ : W32.Blaster.Worm
ค้นพบเมื่อ : 12 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_MSBLATER.A, W32/Lovsan.worm, W32/Blaster-A, W32/Lovsan.worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster.A, Worm/Lovsan.A, msblast.exe, tftp, Lovsan, Win32.Msblast.A, W32/Blaster
ระดับความรุนแรง : สูง
ข้อมูลในการกำจัดหนอนอย่างรวดเร็ว (สำหรับผู้ใช้ทั่วไป)
ข้อมูลวิธีกำจัดหนอนชนิดนี้ หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่ W32/Blaster Recovery Tips
หมายเหตุ (สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก) หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์
ระบบปฏิบัติการวินโดวส์ 2000
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
ข้อมูลทั่วไป
W32.Blaster.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ DCOM RPC (Windows Distributed Component Object Model Remote Procedure Call) หรือ MS03-026 โดยผ่านพอร์ต 135/TCP และหนอนยังสามารถดาวน์โหลดและรันตัวเอง ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า msblast.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ DCOM RPC หรือ MS03-026 ดังนั้นจึงควรที่จะทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
พอร์ต 135/TCP และ 135/UDP ของ DCOM RPC
พอร์ต 69/UDP ของ TFTP
พอร์ต 139/TCP และ 139/UDP ของ NetBIOS
พอร์ต 445/TCP และ 445/UDP
พอร์ต 4444/TCP
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
จากนั้นหนอนก็จะพยายามทำการปฏิเสธการให้บริการ (Denial Of Service) windowsupdate.com เพื่อไม่ให้ผู้ใช้งานสามารถดาวน์โหลด patch มาอุดช่องโหว่นี้
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต 135/TCP เมื่อค้นพบหนอนจะทำการส่งโค้ดที่ใช้โจมตีเพื่อสั่งให้ดาวน์โหลดและรันไฟล์ที่ชื่อ msblast.exe โดยใช้โปรแกรม TFTP
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Blaster.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
สร้าง Mutex ชื่อ "BILLY." ถ้ามี Mutex นี้แล้วจะหยุดการทำงาน
เพิ่มค่า
"windows auto update"="msblast.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ขณะนี้หนอนจะถูกรันทุกครั้งเมื่อระบบปฏิบัติการวินโดวส์เริ่มทำงาน และในทุกช่วงเวลาที่ระบบปฏิบัติการวินโดวส์ทำการติดต่อไปยัง windowsupdate.com เพื่อตรวจสอบ patch ใหม่ๆ ก็จะเป็นการเรียกตัวหนอนชนิดนี้ขึ้นมาทำงาน
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
คำนวณหาหมายเลข IP เป้าหมาย โดยใช้อัลกอริทึมต่อไปนี้ และจะใช้เวลาประมาณ 40% ของเวลาที่ใช้ในการคำนวณทั้งหมด
โฮสต์ที่หมายเลข IP เป็น A.B.C.D
ตั้งค่า D เท่ากับ 0
ถ้า C มากกว่า 20 จะทำการลบด้วยค่าที่น้อยกว่า 20
เมื่อได้ค่าแล้ว หนอนจะได้เครือข่ายที่จะทำการรัน Exploit คือ A.B.C.0 และจะนับเพิ่มขึ้นด้วย
หมายเหตุ ขณะนี้ในเครือข่ายย่อยจะถูกหนอนสร้างการร้องขอการใช้พอร์ต 135/TCP จำนวนมาก ก่อนที่จะออกเครือข่ายย่อยนี้
คำนวณหาหมายเลข IP เป้าหมายต่อ โดยใช้วิธีการสุ่มตัวเลข และใช้ 60% ของเวลาในการคำนวณทั้งหมด
A.B.C.D
ตั้งค่า D เท่ากับ 0
ตั้งค่า A B และ C ให้สุ่มค่าในช่วง 0 ถึง 255
หนอนจะพยายามส่งข้อมูลผ่านพอร์ต 135/TCP ซึ่งเป็นการโจมตีช่องโหว่ DCOM RPC และสร้าง Remote shell รอรับการติดต่อที่พอร์ต 4444/TCP
รอการติดต่อผ่านพอร์ต 69/UDP เมื่อหนอนได้รับการร้องขอ หนอนจะทำการส่งไฟล์ Msblast.exe กลับออกมา
ส่งคำสั่งให้เครื่องคอมพิวเตอร์อื่นๆ ทำการติดต่อซ้ำอีกครั้งแล้วทำการดาวน์โหลดและรันไฟล์ Msblast.exe จากเครื่องที่ถูกหนอนชนิดนี้ฝังตัวอยู่
ตั้งแต่วันที่ 16 สิงหาคม เป็นต้นไปจนถึงสิ้นปี หนอนชนิดนี้จะทำการ DoS ไปยัง windowsupdate.com
หนอนชนิดนี้จะมีข้อความแฝงอยู่และจะไม่แสดงให้เห็น ข้อความมีอยู่ว่า
" I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! "
วิธีกำจัดหนอนชนิดนี้
สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์
ระบบปฏิบัติการวินโดวส์ 2000
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
จากคุณ :
noi_jerry 
- [
14 ส.ค. 46 20:24:16
]
|
|
|
