วิธีตรวจสอบว่าเครื่องติดไวรัส Conficker หรือไม่? ~ Windows Administrator Blog

Saturday, May 23, 2009

วิธีตรวจสอบว่าเครื่องติดไวรัส Conficker หรือไม่?

By dtp 2:45:00 PM No comments

วิธีตรวจสอบว่าเครื่องติดไวรัส W32.Conficker.C หรือ W32.Downadup.C หรือไม่?
บทความโดย: Thai Windows Administrator Blog

ถึงแม้ว่าจะผ่านมากว่า 8 เดือนแล้ว นับตั้งแต่เกิดการระบาดของไวรัส W32.Conficker.A หรือ W32.Downadup.A แต่ถึงปัจจุบันดูเหมือนว่าการระบาดไม่เพียงจะไม่ลดลงแต่ยังคงเพิ่มขึ้นเรื่อยๆ โดยตัวผมเองได้รับการแจ้งจากผู้ใช้อย่างน้อย 1 คนต่อวันว่าโดยไวรัสสายพันธ์นี้เล่นงาน ซึ่งตัวปัจจุบันที่พบระบาดมากคือ W32.Conficker.C หรือ W32.Downadup.C

ก็อย่างที่ทราบกันแล้วว่า W32.Conficker.C หรือ W32.Downadup.C จะแพร่กระจายผ่านทางการแชร์โฟลเดอร์ การแชร์เครื่องพิมพ์ และการสื่อเก็บข้อมูลแบบยูเอสบี โดยโดยใช้จุดพกพร่อง Server Service (SVCHOST.EXE) ของวินโดวส์ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว แต่เนื่องจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการติดตั้งแพตช์ จึงเป็นช่องทางให้ไวรัสตัวนี้ยังคงแพร่ระบาดอย่างต่อเนื่อง

หมายเหตุ: มีรายงานว่า ไวรัสสายพันธุ์ Conficker บางตัว สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการติดตั้งแพตช์หมายเลข MS08-067 แล้วก็ตาม

อาการที่เกิดจากการติดไวรัส W32.Conficker.C หรือ W32.Downadup.C
เมื่อติดไวรัส W32.Conficker.C หรือ W32.Downadup.C เครื่องคอมพิวเตอร์จะมีอาการต่างๆ ดังนี้
1. เครื่องคอมพิวเตอร์ทำงานผิดพลาด เนื่องจากไวรัสได้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์มัลแวร์ รวมทั้งมีทำการหยุดการทำงานของบางเซอร์วิสของระบบและโปรแกรมรักษาความปลอดภัยด้วย
2. ไม่สามารถใช้งานอินเทอร์เน็ตได้ หรือใช้งานได้แต่ว่าช้าผิดปรกติ
3. ไม่สามารถใช้งานแชร์โฟลเดอร์บนระบบเครือข่าย (Shared Folder) ได้ตามปกติ
4. ไม่สามารถใช้งานเครื่องพิมพ์ที่แชร์บนระบบเครือข่าย (Shared Printer) ได้ตามปกติ

นอกจากอาการดังกล่าวด้านบนแล้ว จะมีการเชื่อมต่อด้วยโปรโตคอล TCP ที่พอร์ตหมายเลข 139 หรือ 445 มากผิดปกติ ซึ่งสามารถตรวจสอบโดยการใช้คำสั่ง netstat -n ที่คอมมานด์พร้อมท์ หากผลที่ได้มีลักษณะดังรูปด้านล่าง ซึ่งมีการเชื่อมต่อผ่านทางพอร์ตหมาย 445 ไปยังเครื่องอื่นถึง 11 เครื่อง มีความเป็นไปได้สูงมากที่เครื่องจะติดไวรัส W32.Conficker.C หรือ W32.Downadup.C เข้าแล้ว

รูปที่ 1 การเชื่อมต่อด้วยพอร์ตหมายเลข 445 มากผิดปกติ

สำหรับท่านที่ตรวจสอบแล้ว พบว่าเครื่องติดไวรัส Conficker สามารถอ่านวิธีแก้ไขได้ที่เว็บไซต์ ดังนี้
• วิธีการลบไวรัส W32.Conficker หรือ W32.Downadup ด้วยตนเอง
• Removal Tool สำหรับแก้ไวรัส Conficker หรือ Downadup

ข้อมูลที่เกี่ยวข้อง
• ระวังเวิร์ม Conficker หรือ Downadup ระบาด

© 2009 TWAB. All Rights Reserved.