รายละเอียดอื่นๆ เพิ่มเติม |
เนื่องด้วยทีมงาน ได้พบการแพร่กระจายของหนอน W32.Conficker.C หรือ W32.Downandup.C
ซึ่งเป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE)
ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29
ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัว
หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ
ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service)
รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products) อีกด้วย
หนอนชนิดนี้ยังมีความสามารถในการหยุดการเข้าถึงบางเว็บไซต์โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัส
รวมทั้งเว็บไซต์ของ CERT ต่างๆ
จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆ
ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552
หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น
โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix)
อ่านรายละเอียดเพิ่มเติมที่ http://www.thaicert.org/advisory/alert/conficker.php
Removal Tool W32.Downadup
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
file://10.1.3.6/Dat/Tool_Fix_Virus/W32.Downadup/FixDwndp.exe
วิธีกำจัดหนอนชนิดนี้
การกำจัดหนอนแบบอัตโนมัติ
ดาวน์โหลดไฟล์ FixDwndp.exe จาก http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิดใช้งาน เช่นเก็บไว้ที่ Desktop
ปิดการทำงานทุกโปรแกรม
ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน
ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม "Scan" และอนุญาตให้รันไฟล์ดังกล่าว
รีสตาร์ทเครื่อง
รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ MS08-067
รายละเอียด Security Bulletin MS08-067 (Patch 958644)
http://v-clean.swu.ac.th/
Note: W32.Downadup.C จะทำการ block เว็บหลายเว็บด้วยกัน. ให้ทำตามขั้นตอนต่อไปนี้เพื่อแก้ไขปัญหา
Click Start > Run
พิมพ์ cmd, แล้ว คลิก OK
พิมพ์ net stop dnscache แล้ว กด Enter.
พิมพ์ exit แล้ว กด Enter.
|