Un title page

: W32.Sobig.F@mm หนอนอินเทอร์เน็ต (worm)

ค้นพบเมื่อ : 19/08/2003
ปรับปรุงเมื่อ : 20/08/2003
ระดับความรุนแรง : ปานกลาง

คำแนะนำในการป้องกันหนอนชนิดนี้ภายในองค์กร (สำหรับผู้ดูแลระบบ)
ผู้ดูแลระบบเครือข่ายควรดำเนินการดังนี้
- ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
- ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
- ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
- ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ดังนี้

ข้อมูลทั่วไป

W32.Sobig.F@mm สามารถแพร่กระจายผ่านทางอี-เมล์ โดยค้นหาอี-เมล์แอดเดรสของผู้รับจากไฟล์ที่มีนามสกุลดังต่อไปนี้
.dbx /.eml /.hlp /.htm /.html /.mht /.wab /.txt
หนอนชนิดนี้มีคอมโพเนนต์สำหรับการส่งอี-เมล์ด้วยตัวเอง ผ่านโพรโตคอลที่ใช้ในการส่งอี-เมล์ชื่อ Simple Mail Transfer Protocol (SMTP) โดยอาศัยเครื่องที่ถูกหนอนชนิดนี้คุกคามเป็นพาหะสำหรับการส่งอี-เมล์ที่แนบไฟล์ของหนอนชนิดนี้ออกมาในปริมาณมาก และมีความสามารถในการแพร่กระจายผ่านการแชร์ไฟล์

เมื่อเครื่องถูกหนอนชนิดนี้คุกคามจะถูกเปิดพอร์ต 99x/UDP เพื่อรอรับข้อมูล และส่งการร้องขอไปยังเซิร์ฟเวอร์ที่ให้บริการ NTP

การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะมีลักษณะของอี-เมล์ดังนี้

ชื่อผู้ส่งอี-เมล์
[email protected]

หัวข้ออี-เมล์ Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

ไฟล์ที่แนบมากับอี-เมล์
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)

ข้อความในอี-เมล์
See the attached file for details
Please see the attached file for details.

วิธีการแพร่กระจาย

หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอี-เมล์ ซึ่งหนอนชนิดนี้มี STMP ที่ใช้ส่งอี-เมล์ได้ด้วยตัวเอง และยังสามารถแพร่กระจายผ่านการแชร์ไฟล์ด้วย

รายละเอียดทางเทคนิค

เมื่อหนอน W32.Sobig.F@mm ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้
1. คัดลอกตัวหนอนเองไปยัง [color=green}%Windir%\winppr32.exe
หมายเหตุ %Windir% เป็นตัวแปร แทนโฟลเดอร์ Windows โดยทั่วไปแล้วจะอยู่ที่ C:\Windows หรือ C:\Winnt

2. สร้างไฟล์ใหม่ชื่อ %Windir%\winsst32.dat
3. เพิ่มค่า
"TrayX"="%Windir%\winppr32.exe /sinc"
ในเรจิสทรีย์คีย์
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ดังนั้นหนอนจะรันตัวเองเมื่อมีการเปิดเครื่อง

หนอน W32.Sobig.F@mm สามารถดาวน์โหลดไฟล์ใดๆ มาเก็บไว้ในเครื่องที่ถูกหนอนแพร่กระจายและเรียกใช้งานไฟล์ดังกล่าว ซึ่งผู้เขียนหนอนจะใช้ความสามารถนี้ของหนอนในการขโมยข้อมูลสำคัญของระบบ และติดตั้งเครื่องนี้ให้เป็นฐานในการส่งอี-เมล์ต่อไปยังเครื่องอื่นด้วย (Spam Relay Server)

ความสามารถของหนอนที่ได้กล่าวไปแล้วนั้น ยังจะใช้ในการอัพเดตตัวหนอนเอง โดยภายใต้สภาวะที่เหมาะสม หนอนชนิดนี้จะพยายามติดต่อไปยังเซิร์ฟเวอร์หลักสักหนึ่งเครื่องที่ผู้เขียนหนอนเป็นผู้ควบคุม แล้วหนอนก็จะเอา URL ที่ได้มานั้นไปตรวจสอบที่ที่จะดาวน์โหลดม้าโทรจันและติดตั้งในเครื่อง

สภาวะที่หนอนสามารถดาวน์โหลดได้ก็คือ วันจันทร์ถึงวันศุกร์ ตั้งแต่เวลา 19.00 น.ถึง 23.59.59 น. (เทียบเวลาตาม UTC) ซึ่งค่าเวลา UTC ที่หนอนได้รับนั้นมาจากเซิร์ฟเวอร์ที่ทำหน้าที่ให้บริการ NTP ผ่านโพรโตคอล NTP หรือพอร์ต 123/UDP

หมายเหตุ NTP ย่อมาจาก Network Time Protocol เป็นโพรโตคอลที่ใช้ในการตั้งเวลาในเครื่องให้ตรงกันภายในเครือข่าย

หนอนเริ่มต้นการดาวน์โหลดโดยการส่งข้อมูลไปยังพอร์ต 8998/UDP ของเซิร์ฟเวอร์หลัก (ของผู้เขียนหนอนชนิดนี้) จากนั้นเครื่องเซิร์ฟเวอร์จะตอบกลับด้วยค่า URL ที่หนอนสามารถจะไปดาวน์โหลดไฟล์มาเอ็กซิคิวต์

ที่เครื่องที่ถูกหนอนคุกคามอยู่จะเปิดพอร์ตต่างๆ ต่อไปนี้ เพื่อรอรับข้อมูลที่เป็น UDP datagrams ผ่านเข้ามาในพอร์ตเหล่านี้ ซึ่ง datagram ที่ได้รับนั้นหลากหลายและจะขึ้นอยู่กับ signature ด้วย

- 995/UDP
- 996/UDP
- 997/UDP
- 998/UDP
- 999/UDP
ผู้ดูแลระบบเครือข่ายควรทำตามดังนี้

- ปิดกั้นข้อมูลที่เข้ามาผ่านพอร์ต 990/UDP ถึง 999/UDP
- ปิดกั้นข้อมูลที่ออกไปผ่านพอร์ต 8998/UDP
- ตรวจจับการร้องขอ NTP (พอร์ต 123/UDP) ที่อาจจะมาจากเครื่องที่ถูกหนอนคุกคาม ซึ่งจะส่งการร้องขอทุกๆ ชั่วโมง
- ถ้าในระบบเครือข่ายของท่านมีเซิร์ฟเวอร์ที่ให้บริการอี-เมล์ให้ทำการกรองอี-เมล์ที่มีหัวข้ออี-เมล์ดังนี้

วิธีกำจัดหนอนชนิดนี้

- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 1
1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
4. ตัดการเชื่อมต่อเครือข่าย
5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

- การกำจัดหนอนแบบอัตโนมัติ วิธีที่ 2
1. ดาวน์โหลดโปรแกรม sobigsfx.exe จากเว็บไซต์ http://www.sophos.com/misc/sobigsfx.exe
2. รันไฟล์ดังกล่าวเพื่อติดตั้ง ซึ่งค่า default โปรแกรมนี้จะติดตั้งไว้ที่ C:\SOPHTEMP
3. ตัดการเชื่อมต่อเครือข่าย
4. เรียกใช้งานโปรแกรม command.com สำหรับระบบปฏิบัติการวินโดวส์ 95/98/ME และโปรแกรม cmd.exe สำหรับระบบปฏิบัติการวินโดวส์ NT/2000/XP
5. ใช้คำสั่งดังต่อไปนี้เพื่อทำการตรวจหาหนอนชนิดนี้
cd c:\sophtemp
resolve -DF=SOBIG.DAT
6. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอี-เมล์ซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมประเภทแช็ต (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
4. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
5. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
6. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
7. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
8. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
9. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
10. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

Hosted by www.Geocities.ws