โปรแกรมคอมพิวเตอร์ > ตรวจสอบไวรัส
Ad-Aware 2007 7.0.1.5 (17.22 MB) Freeware (Download 101,660 ครั้ง)
ปกป้องเครื่องจากสิ่งไม่พึงประสงค์ทั้งหลาย จากการท่องอินเตอร์เน็ต ทั้ง Trojan Malware แบนเนอร์และ Spyware ต่างๆ ดาวน์โหลด
ขนาดไฟล์ 17.22 MB ใช้เวลา ดาวน์โหลด 56K
เข้าไปดาว์นโหลดที่ลิ้งนี้ได้เลยครับhttp://download.sanook.com/content_show.php?cat_id=70&topic_id=3218
ฟรีแวร์โปรแกรมแอนตี้ไวรัส (Anti-Virus Software) ที่ได้รับการยอมรับจากทั่วโลก ได้รับรางวัล THE BEST FREEWARE ของโปรแกรมประเภท Anti Virus
ขนาดไฟล์ 11.20 MB ใช้เวลา ดาวน์โหลด 56K
ดาวน์โหลด ได้ตามลิ้งนี้ครับhttp://download.sanook.com/content_show.php?cat_id=70&topic_id=3134
.....................................................................................
ไวรัสสายพันธ์ใหม่
ชื่อ : W32.Blaster.Worm
ค้นพบเมื่อ : 12 สิงหาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_MSBLATER.A, W32/Lovsan.worm, W32/Blaster-A, W32/Lovsan.worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster.A, Worm/Lovsan.A, msblast.exe, tftp, Lovsan, Win32.Msblast.A, W32/Blaster
ระดับความรุนแรง : สูง
--------------------------------------------------------------------------------
ข้อมูลในการกำจัดหนอนอย่างรวดเร็ว (สำหรับผู้ใช้ทั่วไป)
ข้อมูลวิธีกำจัดหนอนชนิดนี้ หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่ W32/Blaster Recovery Tips
หมายเหตุ (สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก) หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ 2000
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
ข้อมูลในการกำจัดหนอนภายในองค์กร (สำหรับผู้ดูแลระบบ)
หากตรวจสอบพบว่าภายในองค์กรของท่านพบหนอนชนิดนี้แพร่กระจายอยู่ ให้ดำเนินการดังต่อไปนี้
ทำการปิดกั้นการติดต่อไปยังพอร์ตต่างๆ ดังต่อไปนี้ ในระดับของเราเตอร์ เกตเวย์ และไฟร์วอลล์
พอร์ต 135/TCP และ 135/UDP ของ DCOM RPC
พอร์ต 69/UDP ของ TFTP
พอร์ต 139/TCP และ 139/UDP ของ NetBIOS
พอร์ต 445/TCP และ 445/UDP
พอร์ต 4444/TCP
ทำการกำจัดหนอนชนิดนี้ด้วยวิธีกำจัดหนอน หรือหาข้อมูลเพิ่มเติมสำหรับการดำเนินการแก้ไขด้วยตัวเองที่ W32/Blaster Recovery Tips
(สำคัญมากเพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาอีก) หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ 2000
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
ข้อมูลทั่วไป
W32.Blaster.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ DCOM RPC (Windows Distributed Component Object Model Remote Procedure Call) หรือ MS03-026 โดยผ่านพอร์ต 135/TCP และหนอนยังสามารถดาวน์โหลดและรันตัวเอง ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า msblast.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ DCOM RPC หรือ MS03-026 ดังนั้นจึงควรที่จะทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
พอร์ต 135/TCP และ 135/UDP ของ DCOM RPC
พอร์ต 69/UDP ของ TFTP
พอร์ต 139/TCP และ 139/UDP ของ NetBIOS
พอร์ต 445/TCP และ 445/UDP
พอร์ต 4444/TCP
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
จากนั้นหนอนก็จะพยายามทำการปฏิเสธการให้บริการ (Denial Of Service) windowsupdate.com เพื่อไม่ให้ผู้ใช้งานสามารถดาวน์โหลด patch มาอุดช่องโหว่นี้
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายโดยอาศัยการโจมตีช่องโหว่ของไมโครซอฟต์วินโดวส์ และค้นหาเครื่องตามหมายเลข IP ที่เปิดพอร์ต 135/TCP เมื่อค้นพบหนอนจะทำการส่งโค้ดที่ใช้โจมตีเพื่อสั่งให้ดาวน์โหลดและรันไฟล์ที่ชื่อ msblast.exe โดยใช้โปรแกรม TFTP
รายละเอียดทางเทคนิค
เมื่อหนอน W32.Blaster.Worm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
สร้าง Mutex ชื่อ "BILLY." ถ้ามี Mutex นี้แล้วจะหยุดการทำงาน
เพิ่มค่า
"windows auto update"="msblast.exe"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ขณะนี้หนอนจะถูกรันทุกครั้งเมื่อระบบปฏิบัติการวินโดวส์เริ่มทำงาน และในทุกช่วงเวลาที่ระบบปฏิบัติการวินโดวส์ทำการติดต่อไปยัง windowsupdate.com เพื่อตรวจสอบ patch ใหม่ๆ ก็จะเป็นการเรียกตัวหนอนชนิดนี้ขึ้นมาทำงาน
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ
คำนวณหาหมายเลข IP เป้าหมาย โดยใช้อัลกอริทึมต่อไปนี้ และจะใช้เวลาประมาณ 40% ของเวลาที่ใช้ในการคำนวณทั้งหมด
โฮสต์ที่หมายเลข IP เป็น A.B.C.D
ตั้งค่า D เท่ากับ 0
ถ้า C มากกว่า 20 จะทำการลบด้วยค่าที่น้อยกว่า 20
เมื่อได้ค่าแล้ว หนอนจะได้เครือข่ายที่จะทำการรัน Exploit คือ A.B.C.0 และจะนับเพิ่มขึ้นด้วย
หมายเหตุ ขณะนี้ในเครือข่ายย่อยจะถูกหนอนสร้างการร้องขอการใช้พอร์ต 135/TCP จำนวนมาก ก่อนที่จะออกเครือข่ายย่อยนี้
คำนวณหาหมายเลข IP เป้าหมายต่อ โดยใช้วิธีการสุ่มตัวเลข และใช้ 60% ของเวลาในการคำนวณทั้งหมด
A.B.C.D
ตั้งค่า D เท่ากับ 0
ตั้งค่า A B และ C ให้สุ่มค่าในช่วง 0 ถึง 255
หนอนจะพยายามส่งข้อมูลผ่านพอร์ต 135/TCP ซึ่งเป็นการโจมตีช่องโหว่ DCOM RPC และสร้าง Remote shell รอรับการติดต่อที่พอร์ต 4444/TCP
รอการติดต่อผ่านพอร์ต 69/UDP เมื่อหนอนได้รับการร้องขอ หนอนจะทำการส่งไฟล์ Msblast.exe กลับออกมา
ส่งคำสั่งให้เครื่องคอมพิวเตอร์อื่นๆ ทำการติดต่อซ้ำอีกครั้งแล้วทำการดาวน์โหลดและรันไฟล์ Msblast.exe จากเครื่องที่ถูกหนอนชนิดนี้ฝังตัวอยู่
ตั้งแต่วันที่ 16 สิงหาคม เป็นต้นไปจนถึงสิ้นปี หนอนชนิดนี้จะทำการ DoS ไปยัง windowsupdate.com
หนอนชนิดนี้จะมีข้อความแฝงอยู่และจะไม่แสดงให้เห็น ข้อความมีอยู่ว่า
" I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! "
วิธีกำจัดหนอนชนิดนี้
สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่านใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบปฏิบัติการวินโดวส์ 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และระบบปฏิบัติการวินโดวส์ 98/ME ให้กดปุ่ม Ctrl
สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ 2000
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
ดาวน์โหลดไฟล์ FixBlast.exe จาก http://securityresponse.symantec.com/avcenter/FixBlast.exe
ปิดทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหลดจากข้อ 1
ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ disable System Restore ก่อน (อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP)
จากนั้นทำการรันไฟล์ FixBlast.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
หมายเหตุ ถ้าไม่สามารถรันไฟล์นี้ได้ ให้ทำการรีสตาร์ทเข้าสู่ Safe Mode ก่อน ให้กด F8 ระหว่างการบูตเครื่อง
รีสตาร์ทเครื่อง แล้วรัน FixBlast.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
ถ้าใช้ระบบปฎิบัติการ Windows XP ให้ทำการ enable System Restore
หลังจากทำการกำจัดหนอนชนิดนี้แล้วต้องทำการอัพเดต patch ตามประเภทของระบบปฏิบัติการดังต่อไปนี้
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ NT ที่เป็นเทอร์มินอลเซิร์ฟเวอร์ (และต้องทำการเลือกภาษาก่อนดาวน์โหลด)
ระบบปฏิบัติการวินโดวส์ 2000
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ XP ที่เป็นแบบ 64 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 32 บิต
ระบบปฏิบัติการวินโดวส์ 2003 ที่เป็นแบบ 64 บิต
หรืออ่านรายละเอียดเพิ่มเติมที่ MS03-026
ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
สแกนหาไวรัสทั้งระบบดูอีกครั้ง
คำแนะนำเพิ่มเติม
เมื่อทำการดาวน์โหลดและรัน Fixtool พร้อมทั้งติดตั้ง patch จากเว็บไซต์ของไมโครซอฟต์เรียบร้อยแล้ว เครื่องคอมพิวเตอร์บางเครื่องอาจจะยังไม่สามารถแก้ปัญหาการ shutdown ตัวเองได้ มีวิธีแก้ไขดังนี้
ให้ทำการติดตั้ง service pack ล่าสุดของระบบปฏิบัติการนั้น ดังนี้
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
ติดตั้ง patch ทั้งหมดของระบบปฏิบัติการผ่านทาง Windows Update หรือจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp (โดยเลือก Product เป็นระบบปฏิบัติการที่ใช้อยู่ และ Service Pack รุ่นที่ได้ติดตั้งไปแล้ว)
ข้อมูลเพิ่มเติมสำหรับ Windows XP
หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้ จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
คลิ๊กขวาที่ไอคอน My Computer บน Desktop และ เลือก Properties
เลือกแถบ System Restore
ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
กดปุ่ม Apply
กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว
หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
วิธีป้องกันตัวเองจากหนอนชนิดนี้
ระงับการใช้งาน DCOM ตามรายละเอียดที่ http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
69/UDP
135/TCP
135/UDP
139/TCP
139/UDP
445/TCP
445/UDP
4444/TCP
ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS03-026 ด้วย
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ช้อมูลอ้างอิง
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://vil.mcafee.com/dispVirus.asp?virus_k=100547
http://www.f-secure.fi/v-descs/msblast.shtml
http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=48952
http://thaicert.nectec.or.th/advisory/cert/CA-2003-20.php
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/alerts/msblaster.asp
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัสใด และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง
บทความ
