ประกาศข่าวปัญหาเครือข่ายบัวศรี

ประกาศเตือน Virus W32.Conficker.C หรือ W32.Downandup.C


กลุ่มของปัญหา Virus/Worm
ประเภทของปัญหา Virus/Worm
หน่วยงานที่ได้รับผลกระทบ ทุกหน่วยงาน
รายละเอียดอื่นๆ เพิ่มเติม เนื่องด้วยทีมงาน ได้พบการแพร่กระจายของหนอน W32.Conficker.C หรือ W32.Downandup.C
ซึ่งเป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE)
ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29
ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัว
หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ
ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service)
รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products) อีกด้วย

หนอนชนิดนี้ยังมีความสามารถในการหยุดการเข้าถึงบางเว็บไซต์โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัส
รวมทั้งเว็บไซต์ของ CERT ต่างๆ
จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆ
ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552
หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น
โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix)

อ่านรายละเอียดเพิ่มเติมที่ http://www.thaicert.org/advisory/alert/conficker.php

Removal Tool W32.Downadup
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
file://10.1.3.6/Dat/Tool_Fix_Virus/W32.Downadup/FixDwndp.exe

วิธีกำจัดหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ
ดาวน์โหลดไฟล์ FixDwndp.exe จาก http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิดใช้งาน เช่นเก็บไว้ที่ Desktop
ปิดการทำงานทุกโปรแกรม
ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน
ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม "Scan" และอนุญาตให้รันไฟล์ดังกล่าว
รีสตาร์ทเครื่อง
รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ MS08-067

รายละเอียด Security Bulletin MS08-067 (Patch 958644)
http://v-clean.swu.ac.th/

Note: W32.Downadup.C จะทำการ block เว็บหลายเว็บด้วยกัน. ให้ทำตามขั้นตอนต่อไปนี้เพื่อแก้ไขปัญหา

Click Start > Run
พิมพ์ cmd, แล้ว คลิก OK
พิมพ์ net stop dnscache แล้ว กด Enter.
พิมพ์ exit แล้ว กด Enter.

การแก้ปัญหา ประกาศแจ้งเตือนเรียบร้อย

E-mail ผู้ประกาศ   wirot@swu.ac.th
E-mail ผู้ปรับปรุง   wirot@swu.ac.th
วันที่เริ่มเกิดปัญหา 31 มีนาคม 2552    เวลา  09:45 น.
วันที่สิ้นสุดปัญหา 30 เมษายน 2552    เวลา  16:00 น.
เวลาที่เกิดปัญหาทั้งหมด 726 ชั่วโมง 15 นาที 


หน้าแรก ค้นหาข่าว เข้าสู่ระบบ

สำนักคอมพิวเตอร์  มหาวิทยาลัยศรีนครินทรวิโรฒ
Tel 0-2649-5000 ต่อ 15030,15067 Fax 0-2259-2217
Last Update : May 2005