Dekhadyai Music Online

์ ไวรัส....อัพเดท การป้องกันไวรัสคอมพิวเตอร

: :ไวรัสคอมพิวเตอร์

ชื่อ : CodeRed.F
ค้นพบเมื่อ : 11 มีนาคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm) ม้าโทรจัน (Trojan Horse)
ชื่ออื่นที่รู้จัก : CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C
ระดับความรุนแรง : ปานกลาง

ลักษณะทั่วไป

มีผลกระทบต่อเครื่องที่ติดตั้ง Microsoft IIS 4.0 และ 5.0 และไม่ได้ติดตั้ง patch

1. http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2. http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
CodeRed.F เป็นหนอนที่มีสายพันธุ์มาจาก CodeRed II ที่ระบาดอย่างหนักเมื่อปี พ.ศ. 2544 และจะปล่อยม้าโทรจันที่ชื่อ Trojan.VirtualRoot ไว้ในเครื่องที่ติดหนอนร้าย

CodeRed.F จะสแกนหาเครื่องจากหมายเลข IP ที่มีช่องโหว่ของไมโครซอฟต์ IIS เวอร์ชั่น 4.0 และ 5.0 ที่ให้บริการเว็บเซิร์ฟเวอร์ และใช้ช่องโหว่ของ Buffer overflow เพื่อที่จะฝังตัวในเครื่องอื่นๆ โดยหนอนชนิดนี้จะฝังตัวเองเข้าไปในหน่วยความจำโดยตรงมากกว่าที่จะคัดลอกตัวเองใส่ในไฟล์ และยังจะสร้างไฟล์ที่เป็นโทรจันชื่อ Trojan.VirtualRoot ที่จะทำให้ผู้บุกรุกมีสิทธิเต็มรูปแบบในการเข้าถึงเว็บเซิร์ฟเวอร์จากระยะไกลด้วย

คำแนะนำ

ถ้าใช้เซิร์ฟเวอร์ไมโครซอฟต์ IIS ให้ทำการอัพเดต patch ต่อไปนี้เพื่อป้องกันหนอนร้ายชนิดนี้ http://www.microsoft.com/technet/security/bulletin/MS01-033.asp และ http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
ป้องกันไม่ให้หนอนร้ายทิ้งโทรจันไว้ในเครื่อง ให้อัพเดต patch เพื่ออุดช่องโหว่ "Relative Shell Path" สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-052.asp

รายละเอียดทางเทคนิค

เมื่อหนอน CodeRed.F ติดเครื่องแล้วจะมีการทำงานดังนี้

คำแนะนำในการกำจัดหนอนชนิดนี้

วิธีการกำจัดหนอนแบบอัตโนมัติ

ดาวน์โหลด fix tools จาก codered.removal.tool.html

วิธีป้องกันตัวเองจากไวรัส

ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
ทำการอัพเดต patch ต่างๆ ของเซิร์ฟเวอร์ IIS
ช้อมูลอ้างอิง

http://securityresponse.symantec.com/avcenter/venc/data/codered.f.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=CODERED.F
http://vil.mcafee.com/dispVirus.asp?virus_k=100142
http://thaicert.nectec.or.th/advisory/alert/codered.php
http://thaicert.nectec.or.th/advisory/alert/codered2.php

Hosted by www.Geocities.ws