Tuesday, January 20, 2009

ระวังเวิร์ม Conficker หรือ Downadup โจมตีวินโดวส์

มีการเตือนผู้ใช้วินโดวส์ ให้ระวังเวิร์ม Conficker หรือ Downadup โจมตีระบบ
ไมโครซอฟท์รวมถึงบริษัทด้านความปลอดภัยคอมพิวเตอร์หลายแห่งได้ประกาศเตือนให้ผู้ใช้ระบบวินโดวส์ระวังการระบาดของไวรัส W32/Conficker หรือ W32/Downadup.AL

ไวรัส Conficker หรือ Downadup (โปรแกรมป้องกันไวรัสบางตัวเรียกว่า Net-Worm.Win32.Kido) จะโจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว

สำหรับสาเหตุที่เกิดการระบาดของเวิร์ม Conficker หรือ Downadup อย่างหนักนั้น ส่วนหนึ่งเกิดจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการติดตั้งแพตช์

นอกจากนี้ในบางสายพันธุ์ของไวรัส W32/Conficker นั้น สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการติดตั้งแพตช์แล้วก็ตาม โดยมีการประมาณการว่ามีเครื่องคอมพิวเตอร์ที่โดนโจมตีแล้วไม่ต่ำกว่า 9 ล้านเครื่อง

รายละเอียดของไวรัส Conficker หรือ Downadup
Conficker หรือ Downadup เป็นโปรแกรมมัลแวร์แบบสแตนด์อะโลนเวิร์ม ซึ่งแพร่ระบาดเข้าติดเครื่องคอมพิวเตอร์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ถ้าหากเวิร์มเข้าติดเครื่องคอมพิวเตอร์สำเร็จและระบบมีการเปิดใช้งานการแชร์ มันก็จะทำการรีโมทเอ็กซีคิวต์โค้ดไวรัส

นอกจากนี้บางสายพันธุ์ยังสามารถแพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพาได้ด้วย หลังจากไวรัสเข้าติดเครื่องคอมพิวเตอร์แล้ว มันจะทำการปิดบริการต่างๆ ของระบบ ปิดโปรแกรมด้านรักษาความปลอดภัย และทำการดาวน์โหลดไฟล์มัลแวร์จากอินเทอร์เน็ต

ชื่อ: W32/Conficker หรือ Worm:W32/Downadup.AL
ประเภท: Worm
ชนิด: Malware
แพลตฟอร์ม: W32
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
ชื่ออื่นๆ:
TA08-297A
CVE-2008-4250
VU827267
Confickr
Win32/Conficker.A (CA)
Mal/Conficker (Sophos)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Win32.Worm.Downadup.Gen (BitDefender)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
W32/Conficker.worm.gen (Symantec)

ระบบวินโดวส์ที่ได้รับผลกระทบ:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems

การทำงานของไวรัส Conficker หรือ Downadup
เมื่อไฟล์ไวรัสถูกเอ็กซีคิวต์ มันจะทำงานต่างๆ ดังนี้

• ทำการสำเนาคัวเองลงในโฟลเดอร์ต่างๆ ดังนี้
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp

โดยไฟล์แต่ละไฟล์จะถูกแก้ไขไทมแสตมป์ให้ตรงกับไฟล์ %System%\kernel32.dll จากนั้นเวิร์มจะทำการสร้างค่ารีจีสทรีเพื่อให้วินโดวส์ทำการเอ็กซีคิวต์เวิร์มทุกครั้งที่ระบบสตาร์ท

• อาจจะทำการสร้างไฟล์บนไดร์ฟเก็บข้อมูลแบบพกพาดังนี้
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf

• ทำการแอทแทชตัวมันเองกับโปรเซสต่างๆ ดังนี้
svchost.exe
explorer.exe
services.exe

• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้
- Windows Automatic Update Service (wuauserv)
- Background Intelligent Transfer Service (BITS)
- Windows Security Center Service (wscsvc)
- Windows Defender Service (WinDefend)
- Error Reporting Service (ERSvc)
- Windows Error Reporting Service (WerSvc)

• ทำการรันคำสั่งเพื่อปิดการทำงาน TCP/IP auto-tuning บน Windows Vista ดังนี้
netsh interface tcp set global autotuning=disabled

• ทำการฮุค API เพื่อบล็อคการแอคเซสโดเมนยาวๆ ดังนี้
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto

• เกิด Account lockout เนื่องจากไวรัสทำการแก้ไขรีจีสทรีเพื่อให้ทำการโจมตีระบบเครือข่ายดังนี้
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"

• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conficker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conficker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้ Windows Automatic Update Service (wuauserv), Background Intelligent Transfer Service (BITS), Windows Security Center Service (wscsvc), Windows Defender Service (WinDefend), Error Reporting Service (ERSvc) และ Windows Error Reporting Service (WerSvc)
• เกิด Account lockout
• เครื่องเซิฟร์เวอร์ Domain controllers ตอบสนองเครื่องลูกข่ายช้าผิดปกติ
• ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้

วิธีการแพร่ระบาด
ไวรัส Conficker หรือ Downadup นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพา (บนระบบที่มีการเปิดใช้งาน AutoPlay)

วิธีการป้องกัน
สำหรับวิธีการป้องกันนั้น ให้ทำการแพตช์ระบบทันทีที่ทำได้ โดยอาจจะทำการดาวน์โหลดอัพเดทมาติดตั้งแบบแมนนวลจากเว็บไซต์ http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx หรือทำการติดตั้งผ่านทางเว็บไซต์ไมโครซอฟท์อัพเดท http://update.microsoft.com/microsoftupdate


การติดตั้งอัพเดทแบบแมนนวล
การติดตั้งแบบแมนนวลนั้น มี 2 โหมด คือ Passive และ Quiet เมื่อติดตั้งเสร็จ ให้รีสตาร์ทเครื่องเพื่อให้การเปลี่ยนแปลงมีผล
• Passive เป็นการติดตั้งอัพเดทแบบอัตโนมัติและแสดงหน้าต่างแสดงสถานะการทำงาน คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /passive

• Quiet เป็นการติดตั้งอัพเดทแบบอัตโนมัติโดยไม่แสดงหน้าต่างแสดงสถานะการทำงาน (Silent Mode) คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /quiet

วิธีการแก้ไข
สำหรับท่านที่โดนเวิร์ม Conficker หรือ Downadup เล่นงาน สามารถแก้ไขโดยดาวน์โหลดเครื่องมีอ Removal Tool ได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Downadup ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• FSMRT ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
• Malicious Software Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830
• BitDefender Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

แหล่งข้อมูลอ้างอิง
• http://www.f-secure.com/weblog/archives/00001576.html
• http://support.microsoft.com/kb/962007
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Worm W32/Conficker W32/Downadup.AL Conficker Conficker.A Conficker.B Downadup Downadup.Gen Prevention

© 2009 Thai Windows Administrator, All Rights Reserved.

8 Comment:

Anonymous said...

ขอบคุณครับ ผมกำลังเจออยู่พอดี

Anonymous said...

พี่ครับ ผมเจอตัวนี่เอาไม่ออกครับช่วยที่
win32 conflicker.AD worm

Anonymous said...

ช่วยที่ครับตัวนี้มันทำงานคล้ายกันหรือเปล่าครับ win32/conficker.AD worm

dtp said...

เวิร์ม conflicker.AD เป็นสายพันธ์หนึ่งของไวรัส conficker ครับ สำหรับวิธีการแก้ไขให้ทดลองใช้ Removal Tool โดยอ่านรายละเอียดได้ที่เว็บไซต์ http://thaiwinadmin.blogspot.com/2009/01/kb038.html หรือทำการแก้ไขแบบแมนนวลโดยอ่านรายละเอียดได้ที่เว็บไซต์ http://thaiwinadmin.blogspot.com/2009/01/kb039.html

ป.ล. หากมีการเปิดใช้งาน System Restore ให้ทำการ Disable ก่อนทำการแก้ไขครับ

Pairoj101 said...

ผมเจออยู่จะทำอย่างไรดีครับ

Pairoj101 said...

ผมเจออยู่ครับ ติดทั้ง server client 30 กว่าเครื่อง นานเป็นเดือนแล้วยังไม่หายครับ
หายไป 2 -3 วัน มันก็มาใหม่

dtp said...

ตอบคุณ 101idea
สำหรับวิธีการแก้ไขเมื่อติดไวรัสสายพันธ์ conflicker ให้ทดลองใช้ Removal Tool ตามรายละเอียดในเว็บไซต์ http://thaiwinadmin.blogspot.com/2009/01/kb038.html หรือทำการแก้ไขแบบแมนนวลตามรายละเอียดในเว็บไซต์ http://thaiwinadmin.blogspot.com/2009/01/kb039.html

ป.ล. หากมีการเปิดใช้งาน System Restore ให้ทำการ Disable ก่อนทำการแก้ไขครับ

Unknown said...

ลองใช้ดูแล้วครับ ผมลองไปใช้แอนตี้ไวรัส หรือ ตัวฆ่ามัลแวร์บางตัว ลบไม่ออกเลย ลองทำตามวิธีข้างต้น ลบไปแล้วครับ ขอบคุณมากหลายๆครับ