ข้อมูลทั่วไป
W32.Nachi.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit
ที่จะโจมตีช่องโหว่ของ DCOM RPC (Windows Distributed
Component Object Model Remote Procedure Call) หรือ
MS03-026 ซึ่งจะคล้ายกับหนอนชื่อ W32.Blaster.Worm ที่มีการโจมตี
ผ่านช่องโหว่ของ DCOM RPC ผ่านพอร์ต TCP/135 และหนอนชนิดนี้ยังเน้น
โจมตีไปยังระบบปฏิบัติการวินโดวส์ XP มากที่สุด
นอกจากช่องโหว่นี้แล้วยังมีช่องโหว่ของ WebDav ที่หนอนชนิดนี้ใช้โจมตี
(รายละเอียดของช่องโหว่นี้คือ MS03-007) ผ่านพอร์ต TCP/80 และเน้น
เป้าหมายโจมตีไปยังเครื่องที่ติดตั้งโปรแกรม IIS 5.0
หนอนจะพยายามดาวน์โหลด patch โปรแกรม RPC จากเว็บไซต์ของไมโครซอฟต์
และติดตั้ง จากนั้นทำการรีสตาร์ทเครื่อง
จุดเด่นของหนอนชนิดนี้คือ จะทำการหาเครื่องที่จะแพร่กระจายต่อไป
โดยการส่งแพ็กเก็ต ICMP หรือ PING ซึ่งส่งผลให้ความคับคั่งของข้อมูล
ICMP เพิ่มขึ้นมาก
และหนอนชนิดนี้พยายามที่จะกำจัดหนอน W32.Blaster.Worm ด้วย
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีช่องโหว่ของ
ไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต
135/TCP เมื่อค้นพบหนอนจะส่ง ICMP ping เพื่อตรวจสอบเครื่องที่จะโจมตี
ว่ายังอยู่ในเครือข่ายหรือไม่ เมื่อเครื่องดังกล่าว Reply กลับ
หนอนจะส่งโปรแกรมที่เป็น Exploit จากนั้นหนอนจะสร้าง remote shell
เปิดพอร์ต TCP/707 รอคำสั่งที่จะให้ดาวน์โหลดตัวหนอนผ่านโปรแกรม TFTP
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Nachi.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
1. คัดลอกตัวหนอนเองไปยัง %System%\Wins\Dllhost.exe
หมายเหตุ %System% เป็นตัวแปร แทนโฟลเดอร์ System โดยทั่วไปแล้ว
จะอยู่ที่ C:\Windows\System สำหรับระบบปฏิบัติการวินโดวส์ 95/98/Me
ส่วน C:\Winnt\System32 สำหรับระบบปฏิบัติการวินโดวส์ NT/2000 และ
C:\Windows\System32 สำหรับระบบปฏิบัติการวินโดวส์ XP
2. คัดลอกไฟล์ %System%\Dllcache\Tftpd.exe ไปเป็นไฟล์
%System%\Wins\svchost.exe ซึ่ง Svchost.exe เป็นโปรแกรมที่มาพร้อม
กับระบบปฏิบัติการ อาจทำให้โปรแกรมป้องกันไวรัสไม่สามารถตรวจจับได้
3. สร้าง Service ต่อไปนี้
Service Name: RpcTftpd
Service Display Name: Network Connections Sharing
Service Binary: %System%\wins\svchost.exe
Service Name: RpcPatch
Service Display Name: WINS Client
Service Binary: %System%\wins\dllhost.exe
Service เหล่านี้ถูกตั้งค่าไว้ให้เริ่มทำงานโดยอัตโนมัติ
4. กำจัดหนอน W32.Blaster.Worm โดยการหยุดการทำงานของ
โพรเซสที่ชื่อ Msblast.exe และลบไฟล์ %System%\msblast.exe
ที่ถูกปล่อยโดยหนอน W32.Blaster.Worm
5. หนอนจะค้นหาเป้าหมายจากหมายเลข IP ด้วยวิธีที่แตกต่างกัน 2 วิธี คือ
- หนอนจะนับเพิ่มจาก A.B.0.0 ถ้าเครื่องที่หนอนชนิดนี้คุกคามมีหมายเลข
IP เป็น A.B.C.D
- หนอนจะสร้างหมายเลข IP โดยการสุ่มจาก hard-coded addresses
หลังจากเลือกหมายเลข IP เริ่มต้นได้แล้ว หนอนจะทำการนับเพิ่มไปเรื่อยๆ
และค่าจะอยู่ในช่วงของเน็ตเวิร์กคลาสซี ยกตัวอย่างเช่น
ถ้าเริ่มต้นที่ A.B.0.0 หมายเลข IP จะเพิ่มขึ้นไปเรื่อยๆ จนถึง A.B.255.255
6. จากนั้นหนอนจะทำการตรวจสอบเครื่องที่หนอนคำนวนหมายเลข IP
โดยการส่งแพ็กเก็ต ICMP หรือเรียกว่า PING นั่นเอง และเมื่อหนอนพบว่า
มีเครื่องยังอยู่ในเครือข่ายก็จะทำการส่งข้อมูลที่เป็นโปรแกรมประเภท Exploit
ไปโจมตีช่องโหว่ของ DCOM RPC ผ่านพอร์ต TCP/135 หรือช่องโหว่
โปรแกรม WebDav ผ่านพอร์ต TCP/80 อย่างใดอย่างหนึ่ง
7. สร้างการเชื่อมต่อระยะไกลกลับไปยังเครื่องที่เป็นผู้โจมตี
ผ่านพอร์ตที่สุ่มขึ้นมาระหว่าง TCP/666 ถึง TCP/765 เพื่อรอรับคำสั่ง
8. เรียกใช้งานโปรแกรม TFTP เซิร์ฟเวอร์บนเครื่องที่เป็นผู้โจมตี
และสั่งให้เครื่องที่ถูกหนอนโจมตีนั้นติดต่อและดาวน์โหลด Dllhost.exe
และ Svchost.exe จากเครื่องที่เป็นผู้โจมตี ถ้าไฟล์ %System%\
dllcache\tftpd.exe มีอยู่ในเครื่องแล้ว หนอนจะไม่ทำการดาวน์โหลด Svchost.exe
9. ตรวจสอบข้อมูลต่างๆ ของเครื่องที่ถูกโจมตี เช่นระบบปฏิบัติการที่ใช้
หมายเลขของ Service Pack และ System Local จากนั้นจะพยายามติดต่อไป
ยังเว็บไซต์สำหรับอัพเดต patch ของไมโครซอฟต์เพื่อดาวน์โหลด patch
ของช่องโหว่ DCOM RPC เว็บไซต์ที่หนอนใช้ดาวน์โหลดนั้นมีดังนี้
- http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
- http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe
- http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
- http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
- http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe
- http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe
- http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
- http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
10. หลังจากที่หนอนติดตั้ง patch ให้กับเครื่องเรียบร้อยแล้ว
จากนั้นจะทำการรีสตาร์ทเครื่อง ซึ่งเป็นอันสิ้นสุดกระบวนการติดตั้ง patch
11. สุดท้ายจะตรวจสอบวันที่ของเครื่อง ถ้าปีที่แสดงเป็น 2004
หนอนจะทำการหยุดการทำงานและลบตัวเองทิ้งไป
หนอนชนิดนี้จะมีข้อความแฝงอยู่และจะไม่แสดงให้เห็น ข้อความมีอยู่ว่า
" =========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins"
ตัวอย่างแพ็กเก็ต ICMP ที่หนอนชนิดนี้ทำการส่งออกมา
icmp: echo request (ttl 117, id 33634, len 92)
0x0000 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx ................
0x0010 xxxx xxxx 0800 fb60 0200 a549 aaaa aaaa .......`...I....
0x0020 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa ................
0x0030 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa ................
0x0040 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa ................
0x0050 aaaa aaaa aaaa aaaa aaaa aaaa ............
วิธีกำจัดหนอนชนิดนี้
- สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ XP ให้ทำการ disable System Restore ก่อน
2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
3. รีสตาร์ทเครื่องหรือหยุดการทำงานของหนอน
4. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 และลบไฟล์ที่ถูกโปรแกรมตรวจสอบว่าเป็นหนอน W32.Nachi.Worm
5. ลบไฟล์ Svchost.exe
6. จากนั้นเพื่อป้องกันการกลับมาติดหนอนชนิดนี้อีก ให้ทำการอัพเดต patch เพื่ออุดช่องโหว่ของ MS03-026 และ MS03-007
7. และเพื่ออุดช่องโหว่อื่นๆ ของระบบปฏิบัติการที่ใช้งานอยู่ให้ทำการติดตั้ง patch ทั้งหมดของระบบปฏิบัติการวินโดวส์ผ่านทาง Windows Update หรือจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp (โดยเลือก Product เป็นระบบปฏิบัติการที่ใช้อยู่ และ Service Pack รุ่นที่ได้ติดตั้งไปแล้ว)
- การกำจัดหนอนแบบอัตโนมัติ
1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก
http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ใน
โฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
4. ตัดการเชื่อมต่อเครือข่าย
5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกน
โดยกดปุ่ม Scan
7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อ
ให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
9. จากนั้นเพื่อป้องกันการกลับมาติดหนอนชนิดนี้อีก ให้ทำการอัพเดต
patch เพื่ออุดช่องโหว่ของ MS03-026 และ MS03-007
10. และเพื่ออุดช่องโหว่อื่นๆ ของระบบปฏิบัติการที่ใช้งานอยู่ให้ทำการติดตั้ง
patch ทั้งหมดของระบบปฏิบัติการวินโดวส์ผ่านทาง Windows Update
หรือจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp (โดยเลือก Product เป็นระบบปฏิบัติการ
ที่ใช้อยู่ และ Service Pack รุ่นที่ได้ติดตั้งไปแล้ว)
ข้อมูลเพิ่มเติมสำหรับ Windows XP
หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup
ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้
เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้
จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
2. เลือกแถบ System Restore
3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ
"Turn off System Restore on all drives"
4. กดปุ่ม Apply
5. กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของ
ไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5
และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
1. ระงับการใช้งาน DCOM ตามรายละเอียดที่
http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
2. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ
โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS03-026 และ MS03-007 ด้วย
3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูล
ไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
5. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไข
เมื่อเกิดเหตุขัดข้องขึ้น
6. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอ
ใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
7. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจาก
ไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น