W32.Conficker ฆ่าได้ง่ายไม่ยากอย่างที่คิด

หน้าแรกTeeNee อาหารสมอง วิทยาศาสตร์ W32.Conficker ฆ่าได้ง่ายไม่ยากอย่างที่คิด

กำลังเป็นที่สนใจของบรรดาคอมไอทีมากทีเดียวหลังจากที่ไมโครซอฟท์ออกมาประกาศให้ระวังการโจมตีของไวรัสหนอนตัวใหม่ที่ชื่อว่า W32.Conficker.C หรือ W32.Downandup.C ซึ่งมากำหนดเปิดระบบการทำงานของตัวเองในวันที่ 1 เมษายนที่ผ่านมา ซึ่งผมคาดว่าตอนนี้หลายๆคนก็อาจจะโดนไวรัสตัวนี้เล่นงานอยู่

วันนี้ผมจะพาเพื่อนมารู้จักกับ W32.Conficker.C หรือ W32.Downandup.C ว่ามันมีความน่ากลัวและระดับความเสียหายที่จะก่อให้แก่เรามากน้อยเพียงใด

W32.Conficker.C หรือ W32.Downandup.C เป็นชนิด หนอนอินเทอร์เน็ต (Internet Worm) เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัว หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service) รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products)

ไม่เพียงแค่นั้นหนอนวายร้ายตัวนี้ยังสามารถหยุดการเข้าถึงเว็บไซต์ต่างๆที่เกี่ยวข้องกับระบบป้องกันแอนตี้ไวรัสทั่วโลก รวมทั้งเว็บไซต์ต่างที่เกี่ยวกับระบบรักษาความปลอดภัยหรือที่เรียกว่า CERT ต์ของ CERT จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆ ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552 หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix) [2]

ภาพแสดงโค้ดของหนอนที่บ่งบอกถึงการทำงานของหนอนในวันที่ 1 เมษายน

วิธีการแพร่กระจายของหนอนตัวนี้
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีผ่านช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดลว์ติดต่อผ่านไดร์ฟภายนอก (Removable Drive) ที่นำมาต่อ และการแชร์ไฟล์

ผลกระทบที่ตามมาที่จะเกิดขึ้นหลังจากทื่ติดไวรัสตัวนี้

เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและผลิตภัณฑ์การรักษาความปลอดภัยด้วย

เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะทำการเข้าถึงเว็บไซต์ต่างๆ ในวันที่ 1 เมษายน 2552 และเชื่อมต่อกับเครื่องอื่นที่เปิดให้บริการการแชร์ไฟล์

เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 139/TCP และ 445/TCP

W32.Conficker ฆ่าได้ง่ายไม่ยากอย่างที่คิด

วิธีกำจัดหนอนชนิดนี้

การกำจัดหนอนแบบอัตโนมัติ
ดาวน์โหลดไฟล์ FixDwndp.exe จาก http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิดใช้งาน เช่นเก็บไว้ที่ Desktop
ปิดการทำงานทุกโปรแกรม
ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน ดังรายละเอียดเพิ่มเติมของ ME และ XP
ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม "Scan" และอนุญาตให้รันไฟล์ดังกล่าว
รีสตาร์ทเครื่อง
รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อม

เพียงเท่านี้ก็เชื่อว่าเจ้าหนอนไว้รัสตัวนี้จะไม่มาก่อกวนให้รำคาญใจอีกแล้ว แต่ยังไงก็ตามสมัยนี้ โลกไซเบอร์ยังคงเปิดกว้างก็ต้องระมัดระวังการใช้งานของเรากันให้ดีไม่เช่นนั้นอาจจะมีแขกที่ไม่ได้รับเชิญเข้ามาดูข้อมูลต่างๆที่อยู่ในเครื่องของเรากันนะจ๊ะ

ขอบคุณข้อมูลดีจากศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์
ประเทศไทย www.thaicert.org

เครดิต :

ข่าวดารา ข่าวในกระแส บน Facebook อัพเดตไว เร็วทันใจ คลิกที่นี่!!