วิธีตรวจสอบว่าเครื่องติดไวรัส Conficker หรือไม่? ~ Windows Administrator Blog

Saturday, May 23, 2009

วิธีตรวจสอบว่าเครื่องติดไวรัส Conficker หรือไม่?

By dtp 2:45:00 PM No comments

วิธีตรวจสอบว่าเครื่องติดไวรัส W32.Conficker.C หรือ W32.Downadup.C หรือไม่?
บทความโดย: Thai Windows Administrator Blog

ถึงแม้ว่าจะผ่านมากว่า 8 เดือนแล้ว นับตั้งแต่เกิดการระบาดของไวรัส W32.Conficker.A หรือ W32.Downadup.A แต่ถึงปัจจุบันดูเหมือนว่าการระบาดไม่เพียงจะไม่ลดลงแต่ยังคงเพิ่มขึ้นเรื่อยๆ โดยตัวผมเองได้รับการแจ้งจากผู้ใช้อย่างน้อย 1 คนต่อวันว่าโดยไวรัสสายพันธ์นี้เล่นงาน ซึ่งตัวปัจจุบันที่พบระบาดมากคือ W32.Conficker.C หรือ W32.Downadup.C

ก็อย่างที่ทราบกันแล้วว่า W32.Conficker.C หรือ W32.Downadup.C จะแพร่กระจายผ่านทางการแชร์โฟลเดอร์ การแชร์เครื่องพิมพ์ และการสื่อเก็บข้อมูลแบบยูเอสบี โดยโดยใช้จุดพกพร่อง Server Service (SVCHOST.EXE) ของวินโดวส์ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว แต่เนื่องจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการติดตั้งแพตช์ จึงเป็นช่องทางให้ไวรัสตัวนี้ยังคงแพร่ระบาดอย่างต่อเนื่อง

หมายเหตุ: มีรายงานว่า ไวรัสสายพันธุ์ Conficker บางตัว สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการติดตั้งแพตช์หมายเลข MS08-067 แล้วก็ตาม

อาการที่เกิดจากการติดไวรัส W32.Conficker.C หรือ W32.Downadup.C
เมื่อติดไวรัส W32.Conficker.C หรือ W32.Downadup.C เครื่องคอมพิวเตอร์จะมีอาการต่างๆ ดังนี้
1. เครื่องคอมพิวเตอร์ทำงานผิดพลาด เนื่องจากไวรัสได้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์มัลแวร์ รวมทั้งมีทำการหยุดการทำงานของบางเซอร์วิสของระบบและโปรแกรมรักษาความปลอดภัยด้วย
2. ไม่สามารถใช้งานอินเทอร์เน็ตได้ หรือใช้งานได้แต่ว่าช้าผิดปรกติ
3. ไม่สามารถใช้งานแชร์โฟลเดอร์บนระบบเครือข่าย (Shared Folder) ได้ตามปกติ
4. ไม่สามารถใช้งานเครื่องพิมพ์ที่แชร์บนระบบเครือข่าย (Shared Printer) ได้ตามปกติ

นอกจากอาการดังกล่าวด้านบนแล้ว จะมีการเชื่อมต่อด้วยโปรโตคอล TCP ที่พอร์ตหมายเลข 139 หรือ 445 มากผิดปกติ ซึ่งสามารถตรวจสอบโดยการใช้คำสั่ง netstat -n ที่คอมมานด์พร้อมท์ หากผลที่ได้มีลักษณะดังรูปด้านล่าง ซึ่งมีการเชื่อมต่อผ่านทางพอร์ตหมาย 445 ไปยังเครื่องอื่นถึง 11 เครื่อง มีความเป็นไปได้สูงมากที่เครื่องจะติดไวรัส W32.Conficker.C หรือ W32.Downadup.C เข้าแล้ว

รูปที่ 1 การเชื่อมต่อด้วยพอร์ตหมายเลข 445 มากผิดปกติ

สำหรับท่านที่ตรวจสอบแล้ว พบว่าเครื่องติดไวรัส Conficker สามารถอ่านวิธีแก้ไขได้ที่เว็บไซต์ ดังนี้
• วิธีการลบไวรัส W32.Conficker หรือ W32.Downadup ด้วยตนเอง
• Removal Tool สำหรับแก้ไวรัส Conficker หรือ Downadup

ข้อมูลที่เกี่ยวข้อง
• ระวังเวิร์ม Conficker หรือ Downadup ระบาด

© 2009 TWAB. All Rights Reserved.

ระวังโทรจัน Gimmiv.A โจมตีระบบผ่านช่องโหว่ MS08-067ระวังโทรจัน Gimmiv.A โจมตีระบบผ่านช่องโหว่ MS08-067สืบเนื่องจากที่ไมโครซอฟท์ได้ออก "ซีเคียวริตี้อัพเดทหมายเลข MS08-067 เป็นกรณีพิเศษ" เมื่อวันที่ 23 ตุลาคม 2551 หลังจากนั้นก้มีรายงานบนอินเทอร์เน็ตว่า มีโทรจันชื่อ Gimmiv.A ที่… Read More
ระวัง! เวิร์ม Gimmiv.A โจมตีวินโดวส์เวิร์ม Gimmiv.A โจมตีวินโดวส์มีรายงานว่าในปัจจุบันมีเวิร์ม Gimmiv.A โจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service ซึ่งจุดบกพร่องดังกล่าวนี้ทำให้โค้ดประสงค์ร้ายสามารถถูกเอ็กซีคิวต์จากระยะไกลได้ โดยเวิร์ม Worm.Gimmiv.A จะ… Read More
10 อันดับไวรัสที่ระบาดทั่วโลก (ม.ค. 52)10 อันดับไวรัสที่ระบาดทั่วโลก (ม.ค. 52)10 อันดับไวรัสที่ระบาดทั่วโลก ในระหว่างเดือนมกราคม 2552 ซึ่งรายงานโดย Trend Micro นั้นเป็นการรวบรวมข้อมูลจากการตรวจพบไวรัสคอมพิวเตอร์จากโปรแกรม 3 ตัวด้วยกัน คือ โปรแกรม HouseCall ซึ่งเป็… Read More
10 อันดับไวรัสที่ระบาดทั่วโลก (ก.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก (ก.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก ในเดือนกรกรฎาคม 2551ที่มา: Trend Micro Virus Map: http://wtc.trendmicro.com/wtc/default.asp1. Mal OTORUN12. Mal Vundo-43. TROJ VB.CEO4. TROJ WIMAD.AM5. TROJ… Read More
10 อันดับไวรัสที่ระบาดทั่วโลก (ต.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก (ต.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก ในระหว่างเดือนตุลาคม 2551ที่มา: Trend Micro Virus Map: http://wtc.trendmicro.com/wtc/default.asp1. Mal_Otorun12. Possible_Vundo-83. Possible_Vundo-54. MAL_V… Read More