ค้นพบเมื่อ : 2 พฤษภาคม 2547
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Sasser.worm, WORM_SASSER.A, Sasser
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003
ข้อมูลในการกำจัดหนอนอย่างรวดเร็ว |
ข้อมูลวิธีกำจัดหนอนชนิดนี้ หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่ What should you know about the Sasser worm (ในเว็บไซต์นี้สามารถทำการตรวจสอบหาและแก้ไขหนอนชนิดนี้ได้โดยอัตโนมัติ) หมายเหตุ(สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก) หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011 หมายเหตุ สำหรับผู้ดูแลระบบควรทำการปิดกั้นการติดต่อไปยังพอร์ตต่างๆ ดังต่อไปนี้ ในระดับของเราเตอร์ เกตเวย์ และไฟร์วอลล์
|
หมายเหตุ ข้อแตกต่างระหว่างสายพันธุ์ W32.Sasser.A@mm และ W32.Sasser.B@mm
ลักษณะ W32.Sasser.A@mm W32.Sasser.B@mmไฟล์ของหนอน %Windir%\avserve.exe %Windir%\Avserve2.exe ค่าเรจิสทรีย์ที่แก้ไข "avserve.exe"="%Windir%\avserve.exe"
"avserve2.exe"="%Windir%\avserve2.exe"
W32.Sasser.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Windows LSASS หรือ MS04-011 ผ่านพอร์ต 445/TCP นอกจากนี้หนอนยังสามารถดาวน์โหลดและรันตัวเองด้วยโปรแกรม FTP ผ่านพอร์ต 5554/TCP ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า avserve.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ Windows LSASS หรือ MS04-011 ดังนั้นจึงควรทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
- พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี
- พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดวาน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
- พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ คล้ายกับผลกระทบที่เกิดจาก W32.Blaster.Worm
จากนั้นหนอนก็จะพยายามทำการแพร่กระจายตัวโดยสุ่มหมายเลข IP เพื่อหาเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอัพเดต patch MS04-011
ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows XP)
ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows 2000)
หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากทำการค้นหาเครื่องตามหมายเลข IP ที่ยังไม่ได้ทำการอัพเดต patch เพื่ออุดช่องโหว่ของ Windows LSASS หรือ MS04-011 เมื่อพบแล้วหนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้บัฟเฟอร์ล้น ใน LSASS.EXE ส่งผลทำให้มีการเปิดพอร์ต 9996/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ cmd.ftp เพื่อเปิดพอร์ต 5554/TCP ใช้ในการดาวน์โหลดและรันไฟล์ของหนอนเอง
- เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
- เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 5554/TCP และ 9996/TCP
- ไม่สามารถใช้งานเครือข่ายได้ : เพราะว่าหนอนจะสแกนหา IP เพื่อทำการแพร่กระจาย ทำให้มีความคับคั่งของข้อมูลในเครือข่ายสูงมาก จนไม่สามารถใช้งานได้
เมื่อหนอน W32.Sasser.Worm ถูกเอ็กซิคิวต์ จะมีกระบวนการดังนี้
- สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
- ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
- ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
- รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง
- สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
-
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
- Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP and Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
- ดาวน์โหลดไฟล์ FxSasser.exe จาก http://securityresponse.symantec.com/avcenter/FxSasser.exe (มีค่า MD5 เป็น 0xA73C16CCD0B9C4F20BC7842EDD90FC20)
- ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
- ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
- ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP)
- จากนั้นทำการรันไฟล์ FxSasser.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
หมายเหตุ ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe Mode ก่อน ให้กด F8 ระหว่างการบูตเครื่อง
- รีสตาร์ทเครื่อง แล้วรัน FxSasser.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
- ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ enable System Restore
- หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
- Microsoft Windows NT Workstation 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
- Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP and Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011
- ดาวน์โหลดไฟล์ FxSasser.exe จาก http://securityresponse.symantec.com/avcenter/FxSasser.exe (มีค่า MD5 เป็น 0xA73C16CCD0B9C4F20BC7842EDD90FC20)
- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
- ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
- ตัดการเชื่อมต่อเครือข่าย
- หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
- จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
- เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
- ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
- หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
- Microsoft Windows NT Workstation 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
- Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP and Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
หรืออ่านรายละเอียดเพิ่มเติมที่ MS04-011
ข้อมูลเพิ่มเติมสำหรับ Windows XP
หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
- เลือกแถบ System Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
- กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
- 445/TCP
- 5554/TCP
- 9996/TCP
- 445/TCP
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 2
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS04-011 ด้วย - ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://www.thaicert.nectec.or.th/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ความคิดเห็น