Thursday, August 9, 2007

Virus Alert: W32/RJump.worm หรือ Worm_Rjump.A

แก้ไขล่าสุดเมื่อ: 8 ธันวาคม 2551

Virus: W32/RJump.worm หรือ WORM_RJUMP.A
สืบเนื่องจากช่วงที่ผ่านมา พบการแพร่ระบาดของไวรัส W32/RJump.worm (McAfee) หรือ WORM_RJUMP.A (Trend Micro) หรือ Win32/RJump.A (ESET) ในระบบตอมพิวเตอร์เป็นจำนวนค่อนข้างมาก บทความต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัสตัวนี้ รวมถึงวิธีการป้องกันและการแก้ไขในกรณีที่ติดไวรัส ข้อมูลต่างๆ นั้นจะอ้างอิงจากเว็บไซต์ McAfee และ Trend Micro

รายละเอียดทั่วไป
ไวรัส W32/RJump.worm (McAfee) หรือ WORM_RJUMP.A (Trend Micro) หรือ Win32/RJump.A (ESET) นั้นมีการค้นพบครั้งแรกเมื่อวันที่ 20 มิถุนายน 2549 โดยเป็นไวรัสที่เขียนขึ้นจาก Python script language แล้วทำการพอร์ตเข้าเป็นไฟล์ PE บนระบบวินโดวส์โดยใช้ Py2Exe วิธีการแพร่ระบาดของไวรัสตัวนี้ จะแพร่ระบาดโดยการสำเนาตัวเองไปยังแม็พไดรฟ์ ทุกๆ ไดรฟ์ บนเครื่อง รวมถึงสื่อเก็บข้อมูลแบบพกพาแบบ flash drive นอกจากนี้มันยังสร้าง backdoor บนระบบที่ติดไวรัสอีกด้วย

ระบบที่ได้รับผลกระทบ
ระบบปฏิบัติการที่ได้รับผลกระทบ: Windows 98, ME, NT, 2000, XP, Server 2003

ลักษณะของไวรัส
ไวรัส W32/RJump.worm (McAfee) หรือ WORM_RJUMP.A (Trend Micro) หรือ Win32/RJump.A (ESET) นั้นมีลักษณะดังต่อไปนี้

เมื่อถูกรันไวรัส W32/RJump.worm จะทำการสร้างไฟล์ต่างๆ ในโฟลเดอร์ Windows ดังนี้

-AdobeR.exe
-bittorrent.exe
-RavMon.exe
-avMonE.exe

จากนั้นไวรัสจะทำการสร้าง registry key ในระบบ เพื่อให้ทำการเอ็กซ์ซีคิวท์ไฟล์ไวรัส เมื่อระบบสตาร์ทอัพดังนี้
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bittorrent = "{Malware path and file name}"
และ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavAv = "{Malware path and file name}"

การแพร่ระบาด
ไวรัส W32/RJump.worm (McAfee) หรือ WORM_RJUMP.A (Trend Micro) หรือ Win32/RJump.A (ESET) นั้น จะแพร่ระบาดผ่านทางสื่อเก็บข้อมูลแบบพกพาแบบ flash drive โดยไวรัสจะทำการสำเนาไฟล์ไวรัสลง flash drive ดังนี้

-AdobeR.exe
-bittorrent.exe
-RavMon.exe
-RavMonE.exe

นอกจากนี้ไวรัสยังคงก็อปปี้ไฟล์ MSVCR71.DLL (ไฟล์นี้ไม่ได้เป็นไฟล์ไวรัส)และไฟล์ AUTORUN.INF ซึ่งทำหน้าที่รันไฟล์ไวรัสโดยอัตโนมัติ เมื่อมีการแอคเซสสื่อเก็บข้อมูลแบบพกพาแบบ โดยไฟล์ AUTORUN.INF นั้น จะมีลักษณะดังนี้

[AutoRun]
open={Malware file name} e
shellexecute={Malware file name} e
shell\Auto\command={Malware file name} e
shell=Auto

โดยไฟล์ทั้งหมดที่มันก็อปปี้ลง flash drive นั้น จะถูกเซ็ตเป็น Read-only, Hidden, และ System เพื่อไม่ให้ถูกตรวจจับจากโปรแกรมแอนตี้ไวรัส

นอกจากนี้แล้วไวรัสยังทำการก็อปปี้ backdoor และทำการสร้าง port exception ให้กับ backdoor เพื่อบายพาส ไฟร์วอลล์ของ Windows XP โดยการรันคำสั่ง ด้านล่าง

%Windir%\%Sysdir%\cmd.exe /c netsh firewall add portopening TCP {random} NortonAV

คำสั่งนี้จะทำการสร้าง registry key ในระบบ ดังด้านล่าง

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
{random}:TCP = "{random}:TCP:*:Enabled:NortonAV"

เมื่อ backdoor ทำงาน มันก็จะทำการส่งค่า ip address และ หมายเลขพอร์ตของ backdoor ของเครื่องที่ติดไวรัสกลับไปยังเว็บไซต์ของผู้ที่สร้างไวรัสขึ้นมา ตาม url ด้านล่าง

http://natrocket.9966.[Removed]:5288/iesocks?peer_id=%s&port=%s&type=%s&ver=4sD

การสังเกตอาการ
1. มีการรันโพรเซส "AdobeR.exe" หรือ "bittorrent.exe" หรือ "RavMon.exe" หรือ "RavMonE.exe" ใน
Windows Task Manager
2. มีไฟล์ "AdobeR.exe" , "bittorrent.exe", "RavMon.exe", "RavMonE.exe" และ "autorun.inf" ในสื่อเก็บข้อมูลแบบ flash drive
3. มีการใช้งาน สื่อแบบพกพา โดยที่ไม่ได้สั่งการ
4. มีไฟล์ต่างๆ และมี registry key ดังที่กล่าวมาในระบบ

การแก้ไข
การแก้ไขเมื่อติดไวรัสตัวนี้นั้น สามารถทำได้สองวิธีด้วยกัน คือ การแก้ไขด้วยตนเอง หรือ การแก้ไขด้วย Fix Tool

การแก้ไขด้วยตนเอง
1. ทำการสแกนด้วยโปรแกรมป้องกันไวรัสที่มีอัพเดทฐานข้อมูลไวรัสล่าสุด แล้วทำการลบไฟล์ไวรัส
2. ทำการสแกนด้วย McAfee Stinger อ่านวิธีการใช้งาน McAfee Stinger หรือ Trend Micro Sysclean
3. ทำการลบไฟล์ registry ที่กล่าวถึงด้านบน

การแก้ไขด้วย Fix Tool
สำหรับท่านที่โดนเจ้าไวรัส W32/RJump.worm (McAfee) หรือ WORM_RJUMP.A (Trend Micro) หรือ Win32/RJump.A (ESET)สามารถใช้ Fix Tool ของ ESET หรือ McAfee เพื่อทำการฆ่าไวรัสและกู้คืนระบบได้ โดย Fix Tool ของ ESET นั้นสามารถดาวน์โหลดได้จากเว็บไซต์ ESET Thailand (http://www.nod32th.com) หรือ ดาวนโหลดโดยตรงจาก Win32/RJump.A (ESET) Fix Tool และ Fix Tool ของ McAfee นั้นสามารถดาวน์โหลดได้จากเว็บไซต์ของ McAfee

คำแนะนำในการป้องกันไวรัส
1. ปิดการใช้งาน Autorun
2. ใช้ Group Policy ป้องกันการรันไฟล์ "AdobeR.exe" , "bittorrent.exe", "RavMon.exe" และ "RavMonE.exe"
3. ทำการสแกน สื่อเก็บข้อมูลแบบพกพา ก่อนการใช้งาน

แหล่งอ้างอิง
ESET Thailand (NOD32)
McAfee
Trend Micro

ลิงค์ที่เกี่ยวข้อง
วิธีการใช้งาน McAfee Stinger
W32/Generic.e หรือ WORM_MUSIC.G

RJump.worm Worm_Rjump Worm_Rjump.A Rjump.A
© 2007 Thai Windows Administrator, All Rights Reserved.

0 Comment: