ประกาศ : โปรดระวัง VIRUS ตัวใหม่ (W32.Zotob.E)
วันที่
17 ส.ค. 48
รูปแบบของ VIRUS มีดังนี้
 
  W32.Zotob.E หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Microsoft Windows Plug
and Play Vulnerability หรือ MS05-039 ผ่านพอร์ต 445/TCP เฉพาะบนระบบปฏิบัติการวินโดวส์ NT และ 2000 เท่านั้น
ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า wintbp.exe ในส่วนของระบบปฏิบัติการอื่นจะไม่ถูกโจมตี แต่ก็มีโอกาสที่จะได้รับไฟล์หนอน
และทำการติดตั้งให้โจมตีไปยังเครื่องที่ใช้ระบบปฏิบัติการวินโดวส์ NT หรือ 2000 ได้
  นอกจากนี้ หนอนยังทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC เพื่อทำการส่งข้อความออกไปอีกด้วย
 
วิธีการแพร่กระจาย
 
  หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากการค้นหาเครื่องคอมพิวเตอร์ตามหมายเลข IP ที่หนอนสร้างขึ้นมา หากพบว่า
เครื่องเหล่านี้ยังไม่ได้ทำการติดตั้งโปรแกรมซ่อมแซมช่องโหว่ของ Microsoft Windows Plug and Play Vulnerability
หรือ MS05-039 หนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้หน่วยความจำล้น (Buffer Overflow) ส่งผลทำให้
มีการเปิดพอร์ต 7778/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ [0-9].bat ในโฟลเดอร์ Temp ของวินโดว์ ใช้ในการดาวน์โหลด
และเอ็กซิคิวต์ไฟล์ของหนอนเอง
 
ผลกระทบที่เกิดขึ้น
 
  • เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
  • เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 445/TCP และ 7778/TCP
  • รบกวนการทำงานของระบบเครือข่าย : หนอนจะทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC
    ที่ IP 72.20.27.115
 
วิธีกำจัดหนอนชนิดนี้
 
  1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์
     http://www.trendmicro.com/ftp/products/tsc/sysclean.com
  2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
  3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
  4. ตัดการเชื่อมต่อเครือข่าย
  5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
  6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
  7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
  8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
 
  หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
 
วิธีป้องกันตัวเองจากหนอนชนิดนี้
 
  1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
  2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้น
     เป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
  3. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
  4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
  5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer
     และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
 
   
 
  6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่
     http://www.thaicert.nectec.or.th/paper/virus/zone.php
  7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
  8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่
     http://thaicert.nectec.or.th/mailinglist/register.php
  9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ
     วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
 
ช้อมูลอ้างอิง
 
  1. http://www.thaicert.nectec.or.th/advisory/alert/zotob_e.php
  2. http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%
   5FRBOT%2ECBQ&VSect=T
  3. http://www.outpost24.com/
  4. http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.e.html
  5. http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=135491
  6. http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=43416
         

  สำนักงานกลางสารสนเทศบริการสุขภาพ (สกส.)