Stuxnet (Win32/Stuxnet) Virus Threat ~ Windows Administrator Blog

Tuesday, September 28, 2010

Stuxnet (Win32/Stuxnet) Virus Threat

By dtp 10:08:00 AM No comments

ไวรัส Stuxnet โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell
Win32/Stuxnet หรือ Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ (Multi-component) คือเป็นทั้ง ประเภท โทรจัน (Trojan) และเวิร์ม (Worm) มีการค้นพบครั้งแรกเมื่อ 16 กรกฏาคม 2553 ที่ผ่านมา เป็นมัลแวร์ที่โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell (มีกระทบกับ Windows ทุกเวอร์ชัน) ซึ่งไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้เมื่อวันที่ 3 สิงหาคม 2553 ตามรายละเอียดใน ไมโครซอฟท์ออกแพตซ์ MS10-046 เป็นกรณีเร่งด่วนเพื่อแก้ปัญหาช่องโหว่ความปลอดภัย Windows

Stuxnet สามารถทำการติดตั้งและดร็อปคอมโพเนนต์ ทำการฉีดโค้ด (Injecting code) เข้าสู่โปรเซสระบบที่กำลังทำงานอยู่เพื่อสร้างช่องทางให้แบ็คดอร์ใช้ในการเข้าถึงและควบคุมเครื่องคอมพิวเตอร์ที่ติดไวรัส

หมายเหตุ: McAfee ระบุว่าเป้าหมายการโจมตีของ Stuxnet คือระบบที่รันซอฟต์แวร์ WinCC SCADA

ประเภท (Type):
- Trojan

ประเภทรอง (SubType):
- Worm

ชื่ออื่นๆ (Aliases):
- Stuxnet
ระดับการเตือนภัย (Alert Level)
Severe

รายละเอียดทางเทคนิค (Technical Information):
Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ มีการแพร่ระบาดผ่านทางอุปกรณ์เก็บข้อมูลแบบพกพาโดยอาศัยช่องโหว่ความปลอดภัยของ Windows Shell เมื่อเวิร์ม Stuxnet ถูกทำการรันมันจะทำการดร็อปไฟล์ชอร์ตคัท (.Lnk) ที่มีการฝังโค้ดอันตราย (Malicious shortcut) ลงในไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพา เมื่อมีการใช้งานไดรฟ์ดังกล่าวจากโปรแกรมแอพพลิเคชันที่ทำการแสดงไอคอนของชอร์ตคัท (ตัวอย่างเช่น Windows Explorer) ถ้าคอมพิวเตอร์เครื่องดังกล่าวมีช่องโหว่ความปลอดภัย Windows Shell ก็จะทำให้ไฟล์ชอร์ตคัทถูกรันโดยอัตโนมัติในทันที สำหรับไฟล์ชอร์ตคัทที่เวิร์ม Stuxnet ดร็อปลงในเครื่องนั้นโปรแกรมป้องกันไวรัสจะตรวจพบในชื่อ Exploit:Win32/CplLnk.A

สำหรับช่องโหว่ความปลอดภัยของ Windows Shell ที่ Stuxnet ใช้เป็นช่องทางในการแพร่ระบาดนั้นถูกค้นพบเมื่อวันที่ 16 กรกฏาคม 2553 และไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้ตั้งแต่วันที่ 3 สิงหาคม 2553 สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่ พบช่องโหว่ความปลอดภัยร้ายแรงใน Windows Shell กระทบกับ Windows ทุกเวอร์ชัน

Stuxnet นั้นมีหลายคอมโพเนนต์ได้แก่
- TrojanDropper:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่ดร็อปและติดตั้งคอมโพเนนต์ต่างๆ ของ Stuxnet
- Trojan:WinNT/Stuxnet - เป็นไดรเวอร์คอมโพเนนต์ที่ทำหน้าที่โหลด/รันคอมโพเนนต์ที่เป็น Worm:Win32/Stuxnet
- Worm:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่แพร่กระจายไวรัส

อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ shortcut (.lnk) อยู่ในไดรฟ์เก็บข้อมูลแบบพกพา
• มีไฟล์ดังนี้อยู่ในเครื่อง
- ~WTR4132.tmp
- %System%\drivers\mrxcls.sys
- %System%\drivers\mrxnet.sys
- %Windir%\inf\mdmcpq3.PNF
- %Windir%\inf\mdmeric3.PNF
- %Windir%\inf\oem6C.PNF
- %Windir%\inf\oem7A.PNF
• มีการแก้ไขรีจีสทรีย์ดังนี้
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
- Description: "MRXCLS"
- DisplayName: "MRXCLS"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxcls.sys"
- Start: 0x00000001
- Type: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
- 0: "Root\LEGACY_MRXCLS\0000"
- Count: 0x00000001
- NextInstance: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
- Description: "MRXNET"
- DisplayName: "MRXNET"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxnet.sys"
- Start: 0x00000001
- Type: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
- 0: "Root\LEGACY_MRXNET\0000"
- Count: 0x00000001
- NextInstance: 0x00000001

วิธีการป้องกัน
- ทำการติดตั้งอัปเดทหมายเลข MS10-046

และเพื่อเพิ่มระดับความปลอดภัยในการป้องกันการโจมตีจากไวัส แนะนำให้ดำเนินการ ดังนี้
- เปิดใช้งาน Firewall
- ทำการอัปเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัปเดทล่าสุดเสมอ
- ทำการอัปเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัด Win32/Stuxnet โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัปเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
• Microsoft Virus Encyclopedia
• McAfee Threat Center

Copyright © 2010 TWA Blog. All Rights Reserved.

10 อันดับไวรัสที่ระบาดทั่วโลก (ก.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก (ก.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก ในเดือนกรกรฎาคม 2551ที่มา: Trend Micro Virus Map: http://wtc.trendmicro.com/wtc/default.asp1. Mal OTORUN12. Mal Vundo-43. TROJ VB.CEO4. TROJ WIMAD.AM5. TROJ… Read More
ระวัง! เวิร์ม Gimmiv.A โจมตีวินโดวส์เวิร์ม Gimmiv.A โจมตีวินโดวส์มีรายงานว่าในปัจจุบันมีเวิร์ม Gimmiv.A โจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service ซึ่งจุดบกพร่องดังกล่าวนี้ทำให้โค้ดประสงค์ร้ายสามารถถูกเอ็กซีคิวต์จากระยะไกลได้ โดยเวิร์ม Worm.Gimmiv.A จะ… Read More
ระวังโทรจัน Gimmiv.A โจมตีระบบผ่านช่องโหว่ MS08-067ระวังโทรจัน Gimmiv.A โจมตีระบบผ่านช่องโหว่ MS08-067สืบเนื่องจากที่ไมโครซอฟท์ได้ออก "ซีเคียวริตี้อัพเดทหมายเลข MS08-067 เป็นกรณีพิเศษ" เมื่อวันที่ 23 ตุลาคม 2551 หลังจากนั้นก้มีรายงานบนอินเทอร์เน็ตว่า มีโทรจันชื่อ Gimmiv.A ที่… Read More
10 อันดับไวรัสที่ระบาดทั่วโลก (ต.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก (ต.ค. 51)10 อันดับไวรัสที่ระบาดทั่วโลก ในระหว่างเดือนตุลาคม 2551ที่มา: Trend Micro Virus Map: http://wtc.trendmicro.com/wtc/default.asp1. Mal_Otorun12. Possible_Vundo-83. Possible_Vundo-54. MAL_V… Read More
10 อันดับไวรัสที่ระบาดทั่วโลก (ม.ค. 52)10 อันดับไวรัสที่ระบาดทั่วโลก (ม.ค. 52)10 อันดับไวรัสที่ระบาดทั่วโลก ในระหว่างเดือนมกราคม 2552 ซึ่งรายงานโดย Trend Micro นั้นเป็นการรวบรวมข้อมูลจากการตรวจพบไวรัสคอมพิวเตอร์จากโปรแกรม 3 ตัวด้วยกัน คือ โปรแกรม HouseCall ซึ่งเป็… Read More