สร้างเว็บEngine by iGetWeb.com
Cart รายการสินค้า (0)

W32.Nachi.Worm

ชื่อ : W32.Nachi.Worm
ค้นพบเมื่อ : 19 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Welchia.worm10240 , W32/Nachi.worm, WORM_MSBLAST.D, Lovsan.D, W32.Welchia.Worm, W32/Nachia.worm
ระดับความรุนแรง : สูง

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง



คำแนะนำในการป้องกันหนอนชนิดนี้ภายในองค์กร (สำหรับผู้ดูแลระบบ)

เนื่องจากลักษณะเด่นของหนอนชนิดนี้คือความสามารถในการส่งแพ็กเก็ต ICMP จำนวนมากออกมา ทำให้ภายในเครือข่ายมีความคับคั่งของ ICMP สูง ดังนั้นเพื่อป้องกันปัญหาดังกล่าวให้ทำดำเนินการดังนี้

  1. ถ้าไม่จำเป็นต้องให้แพ็กเก็ต ICMP เข้ามาในเครือข่าย ให้ทำการปฏิเสธไม่ให้แพ็กเก็ต ICMP ผ่านเข้ามาทางเราเตอร์ เกตเวย์ และไฟร์วอลล์ แต่ถ้าจำเป็นต้องใช้ ก็ให้ตั้งค่าอนุญาตเฉพาะหมายเลข IP ของผู้ดูแลระบบสามารถส่ง ICMP ผ่านได้เท่านั้น
  2. (สำคัญมากเพื่อป้องกันหนอนชนิดนี้) ให้ทำการอัพเดต patch ทุกเครื่องที่ติดตั้งระบบปฏิบัติการเป็นวินโดวส์ 2000 และ XP ดังต่อไปนี้
    • MS03-026 สำหรับเครื่องที่ติดตั้งระบบปฏิบัติการวินโดวส์ 2000 และ XP
    • MS03-007 สำหรับเครื่องที่ติดตั้งและใช้งานโปรแกรม IIS 5.0
  3. และเพื่ออุดช่องโหว่อื่นๆ ของระบบปฏิบัติการที่ใช้งานอยู่ให้ทำการติดตั้ง patch ทั้งหมดของระบบปฏิบัติการวินโดวส์ผ่านทาง Windows Update หรือจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp (โดยเลือก Product เป็นระบบปฏิบัติการที่ใช้งานอยู่ และ Service Pack รุ่นที่ได้ติดตั้งไปแล้ว)

ข้อมูลทั่วไป

W32.Nachi.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ DCOM RPC (Windows Distributed Component Object Model Remote Procedure Call) หรือ MS03-026 ซึ่งจะคล้ายกับหนอนชื่อ W32.Blaster.Worm ที่มีการโจมตีผ่านช่องโหว่ของ DCOM RPC ผ่านพอร์ต TCP/135 และหนอนชนิดนี้ยังเน้นโจมตีไปยังระบบปฏิบัติการวินโดวส์ XP มากที่สุด

นอกจากช่องโหว่นี้แล้วยังมีช่องโหว่ของ WebDav ที่หนอนชนิดนี้ใช้โจมตี (รายละเอียดของช่องโหว่นี้คือ MS03-007) ผ่านพอร์ต TCP/80 และเน้นเป้าหมายโจมตีไปยังเครื่องที่ติดตั้งโปรแกรม IIS 5.0

หนอนจะพยายามดาวน์โหลด patch โปรแกรม RPC จากเว็บไซต์ของไมโครซอฟต์ และติดตั้ง จากนั้นทำการรีสตาร์ทเครื่อง

จุดเด่นของหนอนชนิดนี้คือ จะทำการหาเครื่องที่จะแพร่กระจายต่อไปโดยการส่งแพ็กเก็ต ICMP หรือ PING ซึ่งส่งผลให้ความคับคั่งของข้อมูล ICMP เพิ่มขึ้นมาก

และหนอนชนิดนี้พยายามที่จะกำจัดหนอน W32.Blaster.Worm ด้วย

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต 135/TCP เมื่อค้นพบหนอนจะส่ง ICMP ping เพื่อตรวจสอบเครื่องที่จะโจมตีว่ายังอยู่ในเครือข่ายหรือไม่ เมื่อเครื่องดังกล่าว Reply กลับ หนอนจะส่งโปรแกรมที่เป็น Exploit จากนั้นหนอนจะสร้าง remote shell เปิดพอร์ต TCP/707 รอคำสั่งที่จะให้ดาวน์โหลดตัวหนอนผ่านโปรแกรม TFTP

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Nachi.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

  1. คัดลอกตัวหนอนเองไปยัง %System%\Wins\Dllhost.exe

    หมายเหตุ %System% เป็นตัวแปร แทนโฟลเดอร์ System โดยทั่วไปแล้วจะอยู่ที่ C:\Windows\System สำหรับระบบปฏิบัติการวินโดวส์ 95/98/Me ส่วน C:\Winnt\System32 สำหรับระบบปฏิบัติการวินโดวส์ NT/2000 และ C:\Windows\System32 สำหรับระบบปฏิบัติการวินโดวส์ XP

  2. คัดลอกไฟล์ %System%\Dllcache\Tftpd.exe ไปเป็นไฟล์ %System%\Wins\svchost.exe ซึ่ง Svchost.exe เป็นโปรแกรมที่มาพร้อมกับระบบปฏิบัติการ อาจทำให้โปรแกรมป้องกันไวรัสไม่สามารถตรวจจับได้
  3. สร้าง Service ต่อไปนี้

    Service Name: RpcTftpd
    Service Display Name: Network Connections Sharing
    Service Binary: %System%\wins\svchost.exe

    Service Name: RpcPatch
    Service Display Name: WINS Client
    Service Binary: %System%\wins\dllhost.exe

    Service เหล่านี้ถูกตั้งค่าไว้ให้เริ่มทำงานโดยอัตโนมัติ

  4. กำจัดหนอน W32.Blaster.Worm โดยการหยุดการทำงานของโพรเซสที่ชื่อ Msblast.exe และลบไฟล์ %System%\msblast.exe ที่ถูกปล่อยโดยหนอน W32.Blaster.Worm
  5. หนอนจะค้นหาเป้าหมายจากหมายเลข IP ด้วยวิธีที่แตกต่างกัน 2 วิธี คือ
    • หนอนจะนับเพิ่มจาก A.B.0.0 ถ้าเครื่องที่หนอนชนิดนี้คุกคามมีหมายเลข IP เป็น A.B.C.D
    • หนอนจะสร้างหมายเลข IP โดยการสุ่มจาก hard-coded addresses หลังจากเลือกหมายเลข IP เริ่มต้นได้แล้ว หนอนจะทำการนับเพิ่มไปเรื่อยๆ และค่าจะอยู่ในช่วงของเน็ตเวิร์กคลาสซี ยกตัวอย่างเช่น ถ้าเริ่มต้นที่ A.B.0.0 หมายเลข IP จะเพิ่มขึ้นไปเรื่อยๆ จนถึง A.B.255.255
  6. จากนั้นหนอนจะทำการตรวจสอบเครื่องที่หนอนคำนวนหมายเลข IP โดยการส่งแพ็กเก็ต ICMP หรือเรียกว่า PING นั่นเอง และเมื่อหนอนพบว่ามีเครื่องยังอยู่ในเครือข่ายก็จะทำการส่งข้อมูลที่เป็นโปรแกรมประเภท Exploit ไปโจมตีช่องโหว่ของ DCOM RPC ผ่านพอร์ต TCP/135 หรือช่องโหว่โปรแกรม WebDav ผ่านพอร์ต TCP/80 อย่างใดอย่างหนึ่ง
  7. สร้างการเชื่อมต่อระยะไกลกลับไปยังเครื่องที่เป็นผู้โจมตี ผ่านพอร์ตที่สุ่มขึ้นมาระหว่าง TCP/666 ถึง TCP/765 เพื่อรอรับคำสั่ง
  8. เรียกใช้งานโปรแกรม TFTP เซิร์ฟเวอร์บนเครื่องที่เป็นผู้โจมตี และสั่งให้เครื่องที่ถูกหนอนโจมตีนั้นติดต่อและดาวน์โหลด Dllhost.exe และ Svchost.exe จากเครื่องที่เป็นผู้โจมตี ถ้าไฟล์ %System%\dllcache\tftpd.exe มีอยู่ในเครื่องแล้ว หนอนจะไม่ทำการดาวน์โหลด Svchost.exe
  9. ตรวจสอบข้อมูลต่างๆ ของเครื่องที่ถูกโจมตี เช่นระบบปฏิบัติการที่ใช้ หมายเลขของ Service Pack และ System Local จากนั้นจะพยายามติดต่อไปยังเว็บไซต์สำหรับอัพเดต patch ของไมโครซอฟต์เพื่อดาวน์โหลด patch ของช่องโหว่ DCOM RPC เว็บไซต์ที่หนอนใช้ดาวน์โหลดนั้นมีดังนี้
    • http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
    • http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe
    • http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
    • http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
    • http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe
    • http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe
    • http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
    • http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
  10. หลังจากที่หนอนติดตั้ง patch ให้กับเครื่องเรียบร้อยแล้ว จากนั้นจะทำการรีสตาร์ทเครื่อง ซึ่งเป็นอันสิ้นสุดกระบวนการติดตั้ง patch
  11. สุดท้ายจะตรวจสอบวันที่ของเครื่อง ถ้าปีที่แสดงเป็น 2004 หนอนจะทำการหยุดการทำงานและลบตัวเองทิ้งไป

หนอนชนิดนี้จะมีข้อความแฝงอยู่และจะไม่แสดงให้เห็น ข้อความมีอยู่ว่า

" =========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins"

ตัวอย่างแพ็กเก็ต ICMP ที่หนอนชนิดนี้ทำการส่งออกมา

icmp: echo request (ttl 117, id 33634, len 92)
0x0000 xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx ................
0x0010 xxxx xxxx 0800 fb60 0200 a549 aaaa aaaa .......`...I....
0x0020 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa ................
0x0030 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa ................
0x0040 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa ................
0x0050 aaaa aaaa aaaa aaaa aaaa aaaa ............

วิธีกำจัดหนอนชนิดนี้

  • สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
    1. ถ้าใช้งานระบบปฏิบัติการวินโดวส์ XP ให้ทำการ disable System Restore ก่อน
    2. ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
    3. รีสตาร์ทเครื่องหรือหยุดการทำงานของหนอน
    4. สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 และลบไฟล์ที่ถูกโปรแกรมตรวจสอบว่าเป็นหนอน W32.Nachi.Worm
    5. ลบไฟล์ Svchost.exe
    6. จากนั้นเพื่อป้องกันการกลับมาติดหนอนชนิดนี้อีก ให้ทำการอัพเดต patch เพื่ออุดช่องโหว่ของ MS03-026 และ MS03-007
    7. และเพื่ออุดช่องโหว่อื่นๆ ของระบบปฏิบัติการที่ใช้งานอยู่ให้ทำการติดตั้ง patch ทั้งหมดของระบบปฏิบัติการวินโดวส์ผ่านทาง Windows Update หรือจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp (โดยเลือก Product เป็นระบบปฏิบัติการที่ใช้อยู่ และ Service Pack รุ่นที่ได้ติดตั้งไปแล้ว)

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
    1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp

      หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

    3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
    4. ตัดการเชื่อมต่อเครือข่าย
    5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
    6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
    7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
    8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

  • การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
    1. ดาวน์โหลดไฟล์ FixWelch.exe จาก http://www.symantec.com/avcenter/FixWelch.exe
    2. ปิดโปรแกรมทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
    3. ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
    4. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)
    5. จากนั้นทำการรันไฟล์ FixWelch.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
    6. รีสตาร์ทเครื่อง แล้วรัน FixWelch.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
    7. ถ้าใช้ระบบปฎิบัติการ Windows XP หรือ ME ให้ทำการ enable System Restore
    8. ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
    9. สแกนหาไวรัสทั้งระบบดูอีกครั้ง

ข้อมูลเพิ่มเติมสำหรับ Windows XP

หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้

  1. คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
  2. เลือกแถบ System Restore
  3. ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
  4. กดปุ่ม Apply
  5. กดปุ่ม Yes
    หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
  6. หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
    หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก

วิธีป้องกันตัวเองจากหนอนชนิดนี้

  1. ระงับการใช้งาน DCOM ตามรายละเอียดที่ http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
  2. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด

    IE 6.0 Service Pack 1
    Windows 2000 Service Pack 4
    Windows XP Service Pack 1a
    และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS03-026 และ MS03-007 ด้วย

  3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
  5. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  6. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
  7. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ความคิดเห็น

แสดงความคิดเห็น

* *

 

*