| รู้ไว้ไม่เสียเปล่า W32.Conficker ฆ่าได้ง่ายไม่ยากอย่างที่คิด
|
| |
|
กำลังเป็นที่สนใจของบรรดาคอมไอทีมากทีเดียวหลังจากที่ไมโครซอฟท์ออกมาประกาศให้ระวังการโจมตีของไวรัสหนอนตัวใหม่ที่ชื่อว่า W32.Conficker.C หรือ W32.Downandup.C ซึ่งมากำหนดเปิดระบบการทำงานของตัวเองในวันที่ 1 เมษายนที่ผ่านมา ซึ่งผมคาดว่าตอนนี้หลายๆคนก็อาจจะโดนไวรัสตัวนี้เล่นงานอยู่
วันนี้ผมจะพาเพื่อนมารู้จักกับ W32.Conficker.C หรือ W32.Downandup.C ว่ามันมีความน่ากลัวและระดับความเสียหายที่จะก่อให้แก่เรามากน้อยเพียงใด
|
| W32.Conficker.C หรือ W32.Downandup.C เป็นชนิด หนอนอินเทอร์เน็ต (Internet Worm) เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัว หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service) รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products)
ไม่เพียงแค่นั้นหนอนวายร้ายตัวนี้ยังสามารถหยุดการเข้าถึงเว็บไซต์ต่างๆที่เกี่ยวข้องกับระบบป้องกันแอนตี้ไวรัสทั่วโลก รวมทั้งเว็บไซต์ต่างที่เกี่ยวกับระบบรักษาความปลอดภัยหรือที่เรียกว่า CERT ต์ของ CERT จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆ ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552 หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix) [2]
วิธีการแพร่กระจายของหนอนตัวนี้
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีผ่านช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดลว์ติดต่อผ่านไดร์ฟภายนอก (Removable Drive) ที่นำมาต่อ และการแชร์ไฟล์
ผลกระทบที่ตามมาที่จะเกิดขึ้นหลังจากทื่ติดไวรัสตัวนี้
เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและผลิตภัณฑ์การรักษาความปลอดภัยด้วย เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะทำการเข้าถึงเว็บไซต์ต่างๆ ในวันที่ 1 เมษายน 2552 และเชื่อมต่อกับเครื่องอื่นที่เปิดให้บริการการแชร์ไฟล์ เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 139/TCP และ 445/TCP
|
วิธีกำจัดหนอนชนิดนี้ - การกำจัดหนอนแบบอัตโนมัติ
- ดาวน์โหลดไฟล์ FixDwndp.exe จาก
- เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิดใช้งาน เช่นเก็บไว้ที่ Desktop
- ปิดการทำงานทุกโปรแกรม
- ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
- ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน ดังรายละเอียดเพิ่มเติมของ ME และ XP
- ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม "Scan" และอนุญาตให้รันไฟล์ดังกล่าว
- รีสตาร์ทเครื่อง
- รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
- เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
- เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อม
|
| เพียงเท่านี้ก็เชื่อว่าเจ้าหนอนไว้รัสตัวนี้จะไม่มาก่อกวนให้รำคาญใจอีกแล้ว แต่ยังไงก็ตามสมัยนี้ โลกไซเบอร์ยังคงเปิดกว้างก็ต้องระมัดระวังการใช้งานของเรากันให้ดีไม่เช่นนั้นอาจจะมีแขกที่ไม่ได้รับเชิญเข้ามาดูข้อมูลต่างๆที่อยู่ในเครื่องของเรากันนะจ๊ะ
|
|
|
|
|
ขอบคุณข้อมูลดีจากศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย
|
|
|
|
|
โดย :เปปเปอร์ (ทีมงาน TeeNee.Com) โพสเมื่อ [ วันพุธ ที่ 21 ตุลาคม 2552 เวลา 11:33 น.]
 |
[ เก็บกระทู้นี้ไว้ใน Topic Bookmark | ส่งกระทู้นี้ต่อให้เพื่อน ]
นโยบายของเว็บไซต์ กรุณาอ่านก่อนใช้งานระบบใด ๆ
| " ประกาศ " |
|
| | |
|
