สร้างเว็บEngine by iGetWeb.com
Cart รายการสินค้า (0)

W32.Sobig.F@mm

ชื่อ : W32.Sobig.F@mm
ค้นพบเมื่อ : 19 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : Sobig.F, W32/Sobig.f@MM, WORM SOBIG.F
ระดับความรุนแรง : ปานกลาง

คำแนะนำในการป้องกันหนอนชนิดนี้ภายในองค์กร (สำหรับผู้ดูแลระบบ)

ผู้ดูแลระบบเครือข่ายควรดำเนินการดังนี้

  • ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
  • ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
  • ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
  • ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ดังนี้

ข้อมูลทั่วไป

W32.Sobig.F@mm สามารถแพร่กระจายผ่านทางอี-เมล์ โดยค้นหาอี-เมล์แอดเดรสของผู้รับจากไฟล์ที่มีนามสกุลดังต่อไปนี้

  • .dbx
  • .eml
  • .hlp
  • .htm
  • .html
  • .mht
  • .wab
  • .txt

หนอนชนิดนี้มีคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลที่ใช้ในการส่งอี-เมล์ชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และมีความสามารถในการแพร่กระจายผ่านการแชร์ไฟล์

เมื่อเครื่องถูกหนอนชนิดนี้คุกคามจะถูกเปิดพอร์ต 99x/UDP เพื่อรอรับข้อมูล และส่งการร้องขอไปยังเซิร์ฟเวอร์ที่ให้บริการ NTP

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์ admin@internet.com
หัวข้ออี-เมล์ Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
ไฟล์ที่แนบมากับอี-เมล์ application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
ข้อความในอี-เมล์ See the attached file for details
Please see the attached file for details.

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี STMP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง และยังสามารถแพร่กระจายผ่านการแชร์ไฟล์ด้วย

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Sobig.F@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

  1. คัดลอกตัวหนอนเองไปยัง %Windir%\winppr32.exe

    หมายเหตุ %Windir% เป็นตัวแปร แทนโฟลเดอร์ Windows โดยทั่วไปแล้วจะอยู่ที่ C:\Windows หรือ C:\Winnt

  2. สร้างไฟล์ใหม่ชื่อ %Windir%\winsst32.dat
  3. เพิ่มค่า

    "TrayX"="%Windir%\winppr32.exe /sinc"

    ในเรจิสทรีย์คีย์

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    ดังนั้นหนอนจะรันตัวเองเมื่อมีการเปิดเครื่อง

     

หนอน W32.Sobig.F@mm สามารถดาวน์โหลดไฟล์ใดๆ มาเก็บไว้ในเครื่องที่ถูกหนอนแพร่กระจายและเรียกใช้งานไฟล์ดังกล่าว ซึ่งผู้เขียนหนอนจะใช้ความสามารถนี้ของหนอนในการขโมยข้อมูลสำคัญของระบบ และติดตั้งเครื่องนี้ให้เป็นฐานในการส่งอี-เมล์ต่อไปยังเครื่องอื่นด้วย (Spam Relay Server)

ความสามารถของหนอนที่ได้กล่าวไปแล้วนั้น ยังจะใช้ในการอัพเดตตัวหนอนเอง โดยภายใต้สภาวะที่เหมาะสม หนอนชนิดนี้จะพยายามติดต่อไปยังเซิร์ฟเวอร์หลักสักหนึ่งเครื่องที่ผู้เขียนหนอนเป็นผู้ควบคุม แล้วหนอนก็จะเอา URL ที่ได้มานั้นไปตรวจสอบที่ที่จะดาวน์โหลดม้าโทรจันและติดตั้งในเครื่อง

สภาวะที่หนอนสามารถดาวน์โหลดได้ก็คือ วันจันทร์ถึงวันศุกร์ ตั้งแต่เวลา 19.00 น.ถึง 23.59.59 น. (เทียบเวลาตาม UTC) ซึ่งค่าเวลา UTC ที่หนอนได้รับนั้นมาจากเซิร์ฟเวอร์ที่ทำหน้าที่ให้บริการ NTP ผ่านโพรโตคอล NTP หรือพอร์ต 123/UDP

หมายเหตุ NTP ย่อมาจาก Network Time Protocol เป็นโพรโตคอลที่ใช้ในการตั้งเวลาในเครื่องให้ตรงกันภายในเครือข่าย

หนอนเริ่มต้นการดาวน์โหลดโดยการส่งข้อมูลไปยังพอร์ต 8998/UDP ของเซิร์ฟเวอร์หลัก (ของผู้เขียนหนอนชนิดนี้) จากนั้นเครื่องเซิร์ฟเวอร์จะตอบกลับด้วยค่า URL ที่หนอนสามารถจะไปดาวน์โหลดไฟล์มาเอ็กซิคิวต์

ที่เครื่องที่ถูกหนอนคุกคามอยู่จะเปิดพอร์ตต่างๆ ต่อไปนี้ เพื่อรอรับข้อมูลที่เป็น UDP datagrams ผ่านเข้ามาในพอร์ตเหล่านี้ ซึ่ง datagram ที่ได้รับนั้นหลากหลายและจะขึ้นอยู่กับ signature ด้วย

  • 995/UDP
  • 996/UDP
  • 997/UDP
  • 998/UDP
  • 999/UDP

ผู้ดูแลระบบเครือข่ายควรทำตามดังนี้

  • ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
  • ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
  • ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
  • ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ดังนี้

วิธีกำจัดหนอนชนิดนี้

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
    4. ตัดการเชื่อมต่อเครือข่าย