ไวรัส Stuxnet โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell
Win32/Stuxnet หรือ Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ (Multi-component) คือเป็นทั้ง ประเภท โทรจัน (Trojan) และเวิร์ม (Worm) มีการค้นพบครั้งแรกเมื่อ 16 กรกฏาคม 2553 ที่ผ่านมา เป็นมัลแวร์ที่โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell (มีกระทบกับ Windows ทุกเวอร์ชัน) ซึ่งไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้เมื่อวันที่ 3 สิงหาคม 2553 ตามรายละเอียดใน ไมโครซอฟท์ออกแพตซ์ MS10-046 เป็นกรณีเร่งด่วนเพื่อแก้ปัญหาช่องโหว่ความปลอดภัย Windows
Stuxnet สามารถทำการติดตั้งและดร็อปคอมโพเนนต์ ทำการฉีดโค้ด (Injecting code) เข้าสู่โปรเซสระบบที่กำลังทำงานอยู่เพื่อสร้างช่องทางให้แบ็คดอร์ใช้ในการเข้าถึงและควบคุมเครื่องคอมพิวเตอร์ที่ติดไวรัส
หมายเหตุ: McAfee ระบุว่าเป้าหมายการโจมตีของ Stuxnet คือระบบที่รันซอฟต์แวร์ WinCC SCADA
ประเภท (Type):
- Trojan
ประเภทรอง (SubType):
- Worm
ชื่ออื่นๆ (Aliases):
- Stuxnet
ระดับการเตือนภัย (Alert Level)
Severe
รายละเอียดทางเทคนิค (Technical Information):
Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ มีการแพร่ระบาดผ่านทางอุปกรณ์เก็บข้อมูลแบบพกพาโดยอาศัยช่องโหว่ความปลอดภัยของ Windows Shell เมื่อเวิร์ม Stuxnet ถูกทำการรันมันจะทำการดร็อปไฟล์ชอร์ตคัท (.Lnk) ที่มีการฝังโค้ดอันตราย (Malicious shortcut) ลงในไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพา เมื่อมีการใช้งานไดรฟ์ดังกล่าวจากโปรแกรมแอพพลิเคชันที่ทำการแสดงไอคอนของชอร์ตคัท (ตัวอย่างเช่น Windows Explorer) ถ้าคอมพิวเตอร์เครื่องดังกล่าวมีช่องโหว่ความปลอดภัย Windows Shell ก็จะทำให้ไฟล์ชอร์ตคัทถูกรันโดยอัตโนมัติในทันที สำหรับไฟล์ชอร์ตคัทที่เวิร์ม Stuxnet ดร็อปลงในเครื่องนั้นโปรแกรมป้องกันไวรัสจะตรวจพบในชื่อ Exploit:Win32/CplLnk.A
สำหรับช่องโหว่ความปลอดภัยของ Windows Shell ที่ Stuxnet ใช้เป็นช่องทางในการแพร่ระบาดนั้นถูกค้นพบเมื่อวันที่ 16 กรกฏาคม 2553 และไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้ตั้งแต่วันที่ 3 สิงหาคม 2553 สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่ พบช่องโหว่ความปลอดภัยร้ายแรงใน Windows Shell กระทบกับ Windows ทุกเวอร์ชัน
Stuxnet นั้นมีหลายคอมโพเนนต์ได้แก่
- TrojanDropper:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่ดร็อปและติดตั้งคอมโพเนนต์ต่างๆ ของ Stuxnet
- Trojan:WinNT/Stuxnet - เป็นไดรเวอร์คอมโพเนนต์ที่ทำหน้าที่โหลด/รันคอมโพเนนต์ที่เป็น Worm:Win32/Stuxnet
- Worm:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่แพร่กระจายไวรัส
อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ shortcut (.lnk) อยู่ในไดรฟ์เก็บข้อมูลแบบพกพา
• มีไฟล์ดังนี้อยู่ในเครื่อง
- ~WTR4132.tmp
- %System%\drivers\mrxcls.sys
- %System%\drivers\mrxnet.sys
- %Windir%\inf\mdmcpq3.PNF
- %Windir%\inf\mdmeric3.PNF
- %Windir%\inf\oem6C.PNF
- %Windir%\inf\oem7A.PNF
• มีการแก้ไขรีจีสทรีย์ดังนี้
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
- Description: "MRXCLS"
- DisplayName: "MRXCLS"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxcls.sys"
- Start: 0x00000001
- Type: 0x00000001
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
- 0: "Root\LEGACY_MRXCLS\0000"
- Count: 0x00000001
- NextInstance: 0x00000001
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
- Description: "MRXNET"
- DisplayName: "MRXNET"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxnet.sys"
- Start: 0x00000001
- Type: 0x00000001
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
- 0: "Root\LEGACY_MRXNET\0000"
- Count: 0x00000001
- NextInstance: 0x00000001
วิธีการป้องกัน
- ทำการติดตั้งอัปเดทหมายเลข MS10-046
และเพื่อเพิ่มระดับความปลอดภัยในการป้องกันการโจมตีจากไวัส แนะนำให้ดำเนินการ ดังนี้
- เปิดใช้งาน Firewall
- ทำการอัปเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัปเดทล่าสุดเสมอ
- ทำการอัปเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา
วิธีการแก้ไข
สามารถกำจัด Win32/Stuxnet โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัปเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน
บทความโดย: Thai Windows Administrator Blog
แหล่งข้อมูลอ้างอิง
• Microsoft Virus Encyclopedia
• McAfee Threat Center
Copyright © 2010 TWA Blog. All Rights Reserved.
Windows Administrator Knowledge Base
Social Profiles
เรื่องล่าสุด
Popular Posts
-
สำหรับใครที่สงสัยว่า Aero Snap ใน Windows 7 คืออะไรและมีวิธีการใช้งานอย่างไร? บทความนี้มีคำตอบครับ Aero Snap ใน Windows 7 เป็นฟีเจอร์ที่ช... -
บทความนี้ผมมีประสบการณ์การแก้ปัญหาล็อกออน Windows Server ที่เป็นสมาชิกของแอคทีฟไดเร็กตอรีโดเมนแล้วได้รับข้อความว่า "The trust relations... -
ปัญหา Windows Explorer ไม่แสดง Preview Pane Preview Pane ของ Windows Vista นั้น มีประโยชน์อย่างมาก โดยมันจะช่วยให้ยูสเซอร์ดูตัวอย่างของไฟล์เ... -
ปัจจุบันมีไวรัสและมัลแวร์ประเภท VB Script ใช้เทคนิคการแพร่ระบาดด้วยการรันโดยอัตโนมัติเมื่อผู้ใช้ต่ออุปกรณ์เก็บข้อมูลแบบพกพา เช่น แฟลชไดรฟ์ เ...
-
นโยบายความปลอดภัยในวินโดวส์เซิร์ฟเวอร์ 2003 นโยบายความปลอดภัย (Security Policy) ของระบบวินโดวส์ คือ เงื่อนไขหรือข้อกำหนดต่างๆ ที่วินโดวส์ใช...
Blog Archive
-
▼
2010
(603)
-
▼
September
(45)
- Download: AVG Anti-Virus Free Edition 2011 10.0.11...
- Microsoft Releases MS10-070 Out-of-Band Update to ...
- Hotmail security updates protect users from accoun...
- Microsoft to release emergency fix for ASP.NET hole
- Stuxnet (Win32/Stuxnet) Virus Threat
- Internet Explorer 9 feature focus : New Tab
- Google ส่ง Chrome ลุยการใช้งานในองค์กร, ปรับการคอน...
- Virtual Machine Servicing Tool 3.0 Available for D...
- Internet Explorer 9 on Windows 7 will not require SP1
- VMware Player 3.1.2 Build 301548
- How to embed Powerpoint and Excel docs in a blog o...
- Microsoft Security Advisory (2416728) - Vulnerabil...
- วิธีการยกเลิกการติดตั้ง Internet Explorer 9 Beta บ...
- Google Chrome 6.0.472.63 - Fix direct loading of g...
- มีอะไรใหม่ใน Internet Explorer 9?
- Internet Explorer 9 Beta - 2 Million Downloads in ...
- Adobe Flash Player 10.1.85.3 Security Updates
- Mobile codes to boost Google account security
- Installing Internet Explorer 9 Beta on Windows 7
- Google Chrome 6.0.472.62 fixed 3 security issues a...
- Update Microsoft Security Essentials (MSE) from WS...
- Gmail Video Chat Now Available in Labs
- Microsoft Unveils "LifeCam Studio" with 1080p HD S...
- Mozilla Firefox 3.6.10 แก้ไขปัญหาเสถียรภาพการทำงาน
- Internet Explorer 9 Beta Now Available for Download
- Google Chrome 6.0.472.59 fixes 10 security issues
- Mozilla เปิดให้ดาวน์โหลด Firefox 4.0 Beta 6 แล้ว
- Microsoft Patch Tuesday September 2010 - Fixed 11 ...
- พบช่องโหว่ความปลอดภัยร้ายแรงใน Adobe Reader 9.3.34...
- Security Advisory for Flash Player 10.1.82.76
- Instant Search in Google Chrome
- Internet Explorer 9 beta to ship September 15th
- 14 New Wallpapers for Windows 7
- Google Instant - Showing results instantly as you ...
- Microsoft Security Bulletin Advance Notification f...
- Download Mozilla Firefox 4.0 Beta 5
- Avast! Free Antivirus 5.0.677- Antivirus with Anti...
- Google Chrome 6.0.472.55 Stable, Beta Channel Updates
- Mozilla Firefox 3.6.9 - Fixed 10 critical security...
- Using Gmail Priority Inbox
- Apple iTunes 10 for Windows
- Google Chrome 6.0.472.53 fixes 14 security issues
- Microsoft Releases Windows 7 Service Pack 1 (SP1) ...
- Download Google SketchUp 8.0
- New Google Translate Now Live
-
▼
September
(45)
-
Labels
Apple Download Firefox Google Hyper-V Server Internet Explorer 10 Internet Explorer 11 Internet Explorer 8 Internet Explorer 9 Microsoft Office 2010 Office 2013 Operating System Security Security Update Tech News Tips Tutorials Virtualization Virus Alert VMware Windows 7 Windows 8 Windows 8.1 Windows Server 2003 Windows Server 2008 Windows Server 2012 Windows Vista Windows XP
-
ผู้ติดตาม
Copyright ©
Windows Administrator Blog | Powered by Blogger
0 Comment:
Post a Comment