W32.Fujacks.AA , W32.Fubalca

ชื่อ : W32.Fujacks.AA หรือ W32.Fubalca
ชนิด : หนอนอินเทอร์เน็ต (Internet Worm)
ชื่ออื่นที่รู้จัก : CVE-2007-0038, CVE-2007-1765 [Common Malware Enumeration], W32.Fubalca [Symantec], W32/Fujacks.AAA [Outpost24], Agent.bky [F-Secure], W32/Fujacks.aa [McAfee]
ระดับความรุนแรง : ต่ำ
ระบบปฏิบัติการที่มีผลกระทบ : Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Windows 95, Windows 98, Windows Me, Linux, Macintosh, OS/2, UNIX, Windows 3.x

ข้อมูลทั่วไป || วิธีการแพร่กระจาย || ผลกระทบที่เกิดขึ้น || รายละเอียดทางเทคนิค || วิธีการกำจัดหนอนชนิดนี้ || วิธีป้องกันตัวเองจากหนอนชนิดนี้ || ข้อมูลอ้างอิง

ข้อมูลทั่วไป

    W32.Fujacks.AA เป็นหนอนที่โจมตีผ่านช่องโหว่ Microsoft Windows ANI header stack buffer overflow ที่ประกาศวันที่ 1 เมษายน 2550 และเป็น Zero-day Exploit อีกด้วย โดยมีวิธีการแพร่กระจายผ่านทางอีเมลและสามารถแพร่ผ่านไดร์ฟฟลอปปี้และไดร์ฟ Removable ที่เชื่อมต่อขณะที่สตาร์ทเครื่อง

    หนอนชนิดนี้สามารถฝังตัวเองใส่ไฟล์หลากหลายชนิด เช่นไฟล์ที่มีนามสกุล .exe และ .html เป็นต้น นอกจากนี้หนอนชนิดนี้อาจจะดาวน์โหลดหนอนชนิดอื่นๆ มาฝังไว้ในเครื่องได้อีกด้วย

วิธีการแพร่กระจาย

    หนอนชนิดนี้สามารถแพร่กระจายผ่านทางอีเมลและสามารถแพร่กระจายผ่านไดร์ฟฟลอปปี้และไดร์ฟ Removable ที่เชื่อมต่อขณะที่สตาร์ทเครื่อง

ผลกระทบที่เกิดขึ้น

    * เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนชนิดนี้ทำลายไฟล์ที่มีนามสกุล .exe และ .html เป็นต้น รวมทั้งทำการแก้ไขค่าในรีจิสทรีด้วย
    * เปิดการเชื่อมต่อที่ผิดปกติ : หนอนชนิดนี้เปิดประตูลับ (Back Door)

<p>รายละเอียดทางเทคนิค</p>

เมื่อหนอน W32.Fujacks.AA ถูกเอ็กซิคิวต์ หนอนจะมีกระบวนการดังนี้

</font><p>
 หนอน W32.Fujacks.AA ถูกเอ็กซิคิวต์ </p><p align="center"> </p><p>วิธีกำจัดหนอนชนิดนี้

    * การกำจัดหนอนแบบอัตโนมัติ
         1. ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
         2. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp

                หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern

         3. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1.
         4. ตัดการเชื่อมต่อเครือข่าย
         5. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
         6. จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
         7. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
         8. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
         9. เพื่อป้องกันไม่ให้หนอนชนิดนี้กลับมาโจมตีได้อีก จำเป็นต้องอุดช่องโหว่ของระบบปฏิบัติการวินโดวส์ที่ท่านใช้งานอยู่ โดยการดาวน์โหลดจากเว็บไซต์ http://www.eeye.com/html/research/tools/WindowsANIZeroDayPatchSetup.exe และติดตั้ง

                หมายเหตุ สำหรับระบบปฏิบัติการวินโดวส์ XP, 2000, 2003 และ Vista

วิธีป้องกันตัวเองจากหนอนชนิดนี้

   1. ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
   2. ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
   3. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
   4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
   5. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
   6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.org/paper/virus/zone.php
   7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
   8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.org/mailinglist/register.php
   9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์

ข้อมูลอ้างอิง

    * http://www.outpost24.com/
    * http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-040106-1154-99
    * http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0038
    * http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1765
    * http://vil.nai.com/vil/content/v_141877.htm
    * http://www.f-secure.com/v-descs/anito_a.shtml

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ [email protected] ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์
 </p>