ชื่อ : W32.Conficker.C หรือ W32.Downandup.C

ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)

ชื่ออื่นที่รู้จัก : W32/Conficker.C [Microsoft, CA], W32.Downandup.C [Symantec], Mal/Conficker-B [Sophos], Worm:W32/Downadup.DY [F-Secure], Trojan-Downloader.Win32.Kido.a [Kaspersky]

ระดับความรุนแรง : ปานกลาง

ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vista

ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x

วิเคราะห์และเรียบเรียงโดย: กิติศักดิ์ จิรวรรณกูล

---

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น || รายละเอียดทางเทคนิค || วิธีตรวจสอบหนอนชนิดนี้ || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้

---

ประกาศ วิธีการตรวจสอบว่าเครื่องถูกหนอนชนิดนี้คุกคามหรือไม่ อ่านรายละเอียดเพิ่มเติม

ประกาศ โปรดดำเนินการโดยเร่งด่วน ต้องดำเนินการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ก่อนวันที่ 1 เมษายน 2552 เพื่อป้องกันการแพร่กระจายของหนอนชนิดนี้ และป้องกันไม่ให้หนอนทำการเชื่อมต่อไปยังเว็บไซต์ภายนอก โปรดอ่านรายละเอียดเพิ่มเติมที่ MS08-067 หรือ CA-2008-29

W32.Conficker.C หรือ W32.Downandup.C เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29 ซึ่งถ้าหากเครื่องดังกล่าวเปิดให้บริการการแชร์ไฟล์ไว้จะถูกหนอนชนิดนี้ฝังตัว หลังจากนั้นหนอนจะแพร่กระจายไปยังไดร์ฟต่างๆ รวมไปถึงการแชร์ไฟล์ของเครื่องอื่นๆ ที่ใช้รหัสผ่านที่อ่อนแอของผู้ดูแลระบบ อีกทั้งยังหยุดการให้บริการของระบบ (System service) รวมไปถึงผลิตภัณฑ์ด้านการรักษาความปลอดภัยต่างๆ (Security Products) อีกด้วย [1][2]

หนอนชนิดนี้ยังมีความสามารถในการหยุดการเข้าถึงบางเว็บไซต์โดยเฉพาะเว็บไซต์ที่เกี่ยวข้องกับโปรแกรมป้องกันไวรัส รวมทั้งเว็บไซต์ของ CERT ต่างๆ จากแหล่งข่าวด้านการรักษาความปลอดภัยคอมพิวเตอร์ทั่วโลกรวมไปถึงรายงานและผลการวิเคราะห์การทำงานของหนอนชนิดนี้จากหน่วยงานด้านการรักษาความปลอดภัยคอมพิวเตอร์ต่างๆ ที่เป็นสมาชิกของ FIRST และ APCERT (ซึ่งรวมถึงทีมงาน ThaiCERT ด้วย) พบว่าในวันที่ 1 เมษายน 2552 หนอนชนิดนี้จะสร้างรายชื่อโดเมนจำนวน 50,000 ชื่อ และทำการเชื่อมต่อไปยังโดเมนที่สร้างขึ้น โดยที่ชื่อโดเมนประกอบด้วยคำต่อท้ายต่างๆ (suffix) [2]

ภาพแสดงโค้ดของหนอนที่บ่งบอกถึงการทำงานของหนอนในวันที่ 1 เมษายน 2552 (ภาพจากเว็บไซต์ [3])

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีผ่านช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์วินโดวส์ที่ MS08-067 ติดต่อผ่านไดร์ฟภายนอก (Removable Drive) ที่นำมาต่อ และการแชร์ไฟล์ที่ใช้รหัสผ่านที่อ่อนแอ

ผลกระทบที่เกิดขึ้น

• เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำการแก้ไขค่าในรีจิสทรี สร้างไฟล์ขึ้นมา รวมทั้งมีการยุติการทำงานบางเซอร์วิสของระบบปฏิบัติการและผลิตภัณฑ์การรักษาความปลอดภัยด้วย


• เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้จะทำการเข้าถึงเว็บไซต์ต่างๆ ในวันที่ 1 เมษายน 2552 และเชื่อมต่อกับเครื่องอื่นที่เปิดให้บริการการแชร์ไฟล์


• เปิดพอร์ตที่ผิดปกติ : เปิดพอร์ต 139/TCP และ 445/TCP

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Conficker.C หรือ W32.Downandup.C ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ
  
  
  
  
  
  1. ดาวน์โหลดไฟล์ FixDwndp.exe จาก http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe
  
  
  2. เลือกที่เก็บไฟล์ให้สะดวกต่อการเปิดใช้งาน เช่นเก็บไว้ที่ Desktop
  
  
  3. ปิดการทำงานทุกโปรแกรม
  
  
  4. ยกเลิกการเชื่อมต่อเครือข่ายทั้งหมด
  
  
  5. ถ้าเป็นระบบปฏิบัติการวินโดวส์ ME และ XP ให้ทำการ Disable System Restore ก่อน ดังรายละเอียดเพิ่มเติมของ ME และ XP
  
  
  6. ดับเบิลคลิกที่ไฟล์ FixDwndp.exe แล้วกดปุ่ม "Scan" และอนุญาตให้รันไฟล์ดังกล่าว
  
  
  7. รีสตาร์ทเครื่อง
  
  
  8. รันไฟล์ FixDwndp.exe อีกรอบ เพื่อยืนยันว่าหนอนได้ถูกกำจัดจากเครื่องแล้ว
  
  
  9. เมื่อกำจัดหนอนเรียบร้อยแล้ว ให้เชื่อมต่อเครือข่าย และปรับปรุงฐานข้อมูลของโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่
  
  
  10. เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาทำอันตรายต่อระบบได้อีก ให้ทำการปรับปรุงโปรแกรมซ่อมแซมช่องโหว่ MS08-067 หรือในประกาศ CERT Advisory ที่ CA-2008-29
  
  
  
  

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของระบบปฏิบัติการตามประกาศของไมโครซอฟท์หมายเลข MS08-067


2. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ


3. สแกนไฟล์ในไดร์ฟ USB ก่อนเปิดใช้งานทุกครั้ง


4. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น


5. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

เอกสารอ้างอิง

1. http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.C


2. http://mtc.sri.com/Conficker/addendumC/


3. http://community.ca.com/blogs/securityadvisor/archive/2009/03/11/new-conficker-variant-not-fooling-around.aspx


4. http://www.f-secure.com/weblog/archives/00001636.html


5. http://news.cnet.com/8301-1009_3-10204590-83.html?tag=newsLeadStoriesArea.1


6. http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=77976


7. http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99

ที่มา : http://www.thaicert.nectec.or.th/advisory/alert/conficker_r.php



ข้อมูลเพิ่มเติม

รู้จักและป้องกันไวรัส W32.Conficker.C หรือ W32.Downandup.C

Jul 1st, 2009 | By kamthorn | Category: Featured, Security, Virus update



ที่มา : http://ncs.msu.ac.th/blog/?p=490



วิธีที่ผมใช้ก็คือ



1.  ถอดสาย LAN



2.  ปิด System restore



3.  update patch ที่คุณนิคแนะนำมาให้ ดาวน์โหลดให้ถูก OS ด้วยครับ XP, server 2003 คนละตัว (อัพให้ครบทุกตัวแล้วค่อยรีสตาร์ทก็ได้ครับ จะได้ไม่เสียเวลา)



4. ในเครื่องมีกี่ยูสเซอร์ ตั้งพาสเวิร์ดให้หมด



5.  หลังจากรีสตาร์ทก็ เข้าเซฟโหมดด้วย account ระดับ admin เครื่องนั้น แล้วก็ใช้ Symantec Downadup คลีน



ประมาณนี้ครับ ผมใช้เวลาจัดการประมาณ 3 วัน ทำขนานกันไปทุกเครื่อง วิ่งไปมาจนโน่งป่อง เอ๊ย น่องโป่งครับ







ปล. ต้องลบจากแฟลชไดรฟ์ด้วยนะครับ มันจะซ่อนอยู่ใน recycler ของ flashdrive ครับ



เครื่องที่ลงแพทช์แล้วจะไม่ติดกลับอีกทีทาง LAN แต่มาจาก flashdrive ครับ



ที่มา : http://www.thaiadmin.org/board/index.php?topic=92746.0