สร้างเว็บEngine by iGetWeb.com
Cart รายการสินค้า (0)

W32.Sasser.Worm

ชื่อ : W32.Sasser.Worm และ W32.Sasser.B.Worm
ค้นพบเมื่อ : 2 พฤษภาคม 2547
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Sasser.worm, WORM_SASSER.A, Sasser
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003

ข้อมูลในการกำจัดหนอนอย่างรวดเร็ว

ข้อมูลวิธีกำจัดหนอนชนิดนี้ หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่ What should you know about the Sasser worm (ในเว็บไซต์นี้สามารถทำการตรวจสอบหาและแก้ไขหนอนชนิดนี้ได้โดยอัตโนมัติ)

หมายเหตุ(สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก) หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้

หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011

หมายเหตุ สำหรับผู้ดูแลระบบควรทำการปิดกั้นการติดต่อไปยังพอร์ตต่างๆ ดังต่อไปนี้ ในระดับของเราเตอร์ เกตเวย์ และไฟร์วอลล์

  • พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี

  • พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดาวน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
  • พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS


หมายเหตุ ข้อแตกต่างระหว่างสายพันธุ์ W32.Sasser.A@mm และ W32.Sasser.B@mm

ลักษณะ
W32.Sasser.A@mm
W32.Sasser.B@mm
ไฟล์ของหนอน %Windir%\avserve.exe %Windir%\Avserve2.exe
ค่าเรจิสทรีย์ที่แก้ไข "avserve.exe"="%Windir%\avserve.exe"
"avserve2.exe"="%Windir%\avserve2.exe"

ข้อมูลทั่วไป

W32.Sasser.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Windows LSASS หรือ MS04-011 ผ่านพอร์ต 445/TCP นอกจากนี้หนอนยังสามารถดาวน์โหลดและรันตัวเองด้วยโปรแกรม FTP ผ่านพอร์ต 5554/TCP ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า avserve.exe

เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ Windows LSASS หรือ MS04-011 ดังนั้นจึงควรทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย

  • พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี
  • พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดวาน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
  • พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS

จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ คล้ายกับผลกระทบที่เกิดจาก W32.Blaster.Worm

จากนั้นหนอนก็จะพยายามทำการแพร่กระจายตัวโดยสุ่มหมายเลข IP เพื่อหาเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอัพเดต patch MS04-011

ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows XP)

ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows 2000)

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากทำการค้นหาเครื่องตามหมายเลข IP ที่ยังไม่ได้ทำการอัพเดต patch เพื่ออุดช่องโหว่ของ Windows LSASS หรือ MS04-011 เมื่อพบแล้วหนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้บัฟเฟอร์ล้น ใน LSASS.EXE ส่งผลทำให้มีการเปิดพอร์ต 9996/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ cmd.ftp เพื่อเปิดพอร์ต 5554/TCP ใช้ในการดาวน์โหลดและรันไฟล์ของหนอนเอง

ผลกระทบที่เกิดขึ้น

  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
  • เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 5554/TCP และ 9996/TCP
  • ไม่สามารถใช้งานเครือข่ายได้ : เพราะว่าหนอนจะสแกนหา IP เพื่อทำการแพร่กระจาย ทำให้มีความคับคั่งของข้อมูลในเครือข่ายสูงมาก จนไม่สามารถใช้งานได้
รายละเอียดทางเทคนิค

เมื่อหนอน W32.Sasser.Worm ถูกเอ็กซิคิวต์ จะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

ข้อมูลเพิ่มเติมสำหรับ Windows XP

หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ System Restore
  3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
  4. กดปุ่ม Apply
  5. กดปุ่ม Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
    • 445/TCP
    • 5554/TCP
    • 9996/TCP
  2. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  3. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

    IE 6.0 Service Pack 1
    Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS04-011 ด้วย

  4. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
  5. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  6. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://www.thaicert.nectec.or.th/mailinglist/register.php
  7. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ความคิดเห็น

แสดงความคิดเห็น

* *

 

*