การแก้ไข อย่างเป็นทางการจาก Website microsoft 
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker
สืบเนื่องจาก กระทู้
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
http://www.thaiadmin.org/board/index.php?topic=95481.0
Windows Security Patch ที่โดนโจมตี และการใช้งาน Sysclean ของ Trend Officescan
http://www.thaiadmin.org/board/index.php?topic=95202.0
ชื่อ ของ ไวรัส
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)
ขั้นตอนที่ 1. ล็อกออนเข้าเครื่องด้วยโลคอลยูสเซอร์
**ไม่แนะนำให้ทำการ ล็อกออนด้วยโดเมนยูสเซอร์ เนื่องจากมัลแวร์อาจจะใช้โดเมนยูสเซอร์ดังกล่าวในการแอคเซสทรัพยากรเครือ ข่ายเพื่อทำการแพร่ระบาด
ขั้นตอนที่ 2. ทำการหยุดบริการ Server service เพื่อการลบแอดมินแชร์ (แชร์โฟลเดอร์ชื่อ C$, D$, ADMIN$ ซึ่งเป็นการแชร์สำหรับแอดมินใช้จัดการระบ) ซึ่งจะเป็นหยุดการแพร่ระบาดของเวิร์มผ่านทางการแชร์
**ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่
จากนั้นทำการหยุดบริการ Server service โดยใช้ Services Microsoft Management Console (MMC) ตามขั้นตอนดังนี้
1. ดำเนินการข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้ดังนี้
* ใน Windows Vista และ Windows Server 2008 ให้คลิก Start พิมพ์ services.mscในกล่อง Start Search box จากนั้นคลิก services.msc ในรายการโปรแกรม
* ใน Windows 2000, Windows XP และ Windows Server 2003 ให้คลิก Start คลิก Run พิมพ์ services.msc จากนั้นคลิก OK
2. ในหน้าต่าง Services ในคอลัมน์ Name ให้ดับเบิลคลิกที่ Server
3. ในหน้าต่าง Server Properties (Local Computer) ในส่วน Services status ให้คลิกปุ่ม Stop
4. ในส่วน Startup type ให้เลือกเป็น Disabled
5. คลิก Apply แล้วคลิก OK แล้วปิดหน้าต่าง Services
การหยุดบริการ Task Scheduler บนระบบวินโดวส์ Windows Vista และ Windows Server 2008 มีขั้นตอนดังนี้
1. คลิก Start พิมพ regedit ในกล่อง Start Search จากนั้นคลิก regedit.exe จากรายการโปรแกรม
2. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
3. ในส่วนดีเทลแพน ให้คลิกขวาที่ Start (ซึ่งเป็น REG_DWORD) จากนั้นคลิก Modify
4. ในไดอะล็อกบ็อกซ์ Edit DWORD Value ให้ใส่ค่า 4 ในกล่องใต้ Value Datadata เสร็จแล้วคลิก OK
5. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 4. ดาวน์โหลดและทำการติดตั้งแพตซ์
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
Microsoft Security Bulletin MS08-068 – Important
Vulnerability in SMB Could Allow Remote Code Execution (957097)
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Microsoft Security Bulletin MS09-001 - Critical
Vulnerabilities in SMB Could Allow Remote Code Execution (958687)
ขั้นตอนที่ 5. ทำการรีเซ็ตรหัสผ่านของโลคอลแอดมินและโดเมนแอดมินใหม่ให้มีความแข็งแกร่งมากขึ้น
ขั้น ตอนที่ 6. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
ขั้นตอนที่ 7.ในส่วนดีเทลแพน ให้คลิกขวาที่ netsvcs จากนั้นคลิก Modify
ขั้น ตอนที่ 8. ให้เลื่อนลงไปด้านล่างสุดของลิสต์ ถ้าคอมพิวเตอร์ติดไวรัส Conficker จะมีชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่ม ตัวอย่างเช่น "axqmiijz"
ขั้นตอนที่ 9. ทำการลบบรรทัดที่อ้างอิงถึง malware service ตรวจสอบให้แน่ใว่าเว้นบรรทัดหนึ่งบรรทัดใต้ค่าที่ถูกต้องตัวสุดท้ายเสร็จ แล้วคลิก OK
ขั้นตอนที่ 10. ทำการจำกัดเพอร์มิสชันบนรีจีสทรีคีย์ SVCHOST เพื่อป้องกันไม่ให้มัลแวร์สามรถทำการแก้ไขได้ ตามขั้นตอนดังนี้
**Note
* หลังจากกำจัดไวรัสเสร็จเรียบร้อยแล้วจะต้องทำการแก้ไขกลับไปเป็นค่าดีฟอลท์ดังเดิม
* ใน Windows 2000 จะต้องใช้โปรแกรม Regedt32 ในการตั้งค่าเพอร์มิสชันบนรีจีสทรีคีย์
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ Svchost จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for SvcHost ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for SvcHost คลิก Add
5. ในไดอะล็อกบ็อกซ์ Select User, Computer or Group ให้พิมพ์ everyone ในกล่องใต้ Enter the object name to select จากนั้นคลิก Check Names แล้วคลิก OK
6 .ในไดอะล็อกบ็อกซ์ Permissions Entry for SvcHost ในหัวข้อ Apply toให้เลือก This key only จากนั้นในหัวข้อ Full Control ที่อยู่ในส่วน Permission ให้คลิก Deny เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
7. ในไดอะล็อกบ็อกซ์ Security ให้คลิก Yesy แล้วคลิก OK อีกครั้ง
ขั้น ตอนที่ 11. จากในขั้นตอนที่ 8 ซึ่งจะได้ชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่มคือ "axqmiijz" จากนั้นให้ดำเนินการตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยตามชื่อบริการของมัลแวร์
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
ในตัวอย่างนี้คือ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axqmiijz
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ตามชื่อ "malware service" จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for "malware service" ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for "malware service" ให้คลิกเลือกเช็คบ็อกซ์ดังนี้
#Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here.
#Replace permission entries on all child objects with entries shown here that apply to child objects
5. คลิก Apply เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
ขั้นตอนที่ 12. กดปุ่ม F5 เพื่ออัพเดทโปรแกรม Registry Editor ในดีเทลแพนให้แก้ไฟล์ไฟล์ "ServiceDll" ดังนี้
1. ให้ดับเบิลคลิกที่ ServiceDll
2. จากนั้นให้ดูพาธที่ไฟล์ DLL อ้างอิง ซึ่งจะมีลักษณะดังนี้
%SystemRoot%\System32\emzlqqd.dll
จากนั้นให้ทำการเปลี่ยนชื่อเป็น
%SystemRoot%\System32\emzlqqd.old
3. คลิก OK
ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์
ขั้น ตอนที่ 14. ตรวจสอบไฟล์ Autorun.inf บนไดร์ฟทุกไดร์ฟในระบบ ซึ่งโดยทั่วไปไฟล์ Autorun.inf จะมีขนาด 1-2 KB และใช้โปรแกรม Notepad ไฟล์ Autorun.inf ดู โดยไฟล์ที่ถูกต้องจะมีลักษณะดังนี้
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
ขั้นตอนที่ 15. ถ้าไฟล์ Autorun.inf มีลักษณะผิดปกติหรือน่าสงสัย ตัวอย่างเช่น มีการเอ็กซีคิวท์ไฟล์ .exe ให้ทำการลบทิ้ง
ขั้นตอนที่ 16. ทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 17. คอนฟิกให้วินโดวส์แสดงไฟล์ที่ถูกซ่อนไว้ (Hidden files) โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
ขั้นตอนที่ 18. ตั้งค่า Show hidden files and folders เพื่อให้แสดงไฟล์ที่ถูกซ่อนไว้ตามขั้นตอนดังนี้
1. ตามพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2 ตัวอย่าง
%systemroot%\System32\emzlqqd.dll
ในหน้าต่าง Windows Explorer ให้เปิดโฟลเดอร์ %systemroot%\System32 หรือโฟลเดอร์ที่มัลแวร์อยู่
2. ในหน้าต่าง Windows Explorer คลิก Tools แล้วคลิก Folder Options
3. ในไดอะล็อกบ็อกซ์ Folder Options คลิกแท็บ View
4. จากนั้นคลิกเลือกเช็คบ็อกซ์ Select the Show hidden files and folders
5. เสร็จแล้วคลิก OK
ขั้นตอนที่ 19. คลิกเลือกไฟล์ DLL
ขั้นตอนที่ 20. แก้ไขเพอร์มิสชันของไฟล์ DLL ให้ทุกคน (Everyone) มีสิทธิ์ Full Control ตามขั้นตอนดังนี้
1. คลิกขวาที่ไฟล์ DLL แล้วคลิก Properties
2. คลิกแท็บ Security
3. คลิก Everyone แล้วคลิกเลือกเช็คบ็อกซ์ Full Control ในคอลัมน์ Allow
4. เสร็จแล้วคลิก OK
ขั้นตอนที่ 21. ทำการลบไฟล์ DLL ของมัลแวร์ ตัวอย่างเช่น ทำการลบไฟล์ %systemroot%\System32\emzlqqd.dll
ขั้นตอนที่ 22. ทำการลบ AT-scheduled tasks ทั้งหมด โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
AT /Delete /Yes
ขั้น ตอนที่ 23. เปิดใช้งานบริการ BITS, Automatic Updates, Error Reporting และWindows Defender โดยใช้ Services Microsoft Management Console (MMC) โดยดูวิธีการตามขั้นตอนที่ 2
ขั้นตอนที่ 24. ทำการดิสเอเบิล Autorun เพื่อป้องกันไม่ให้เครื่องกลับไปติดไวรัสอีก โดยดำเนินการตามขั้นตอนดังนี้
1. ดำเนินการตามข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้งานอยู่
* Windows 2000, Windows XP หรือ Windows Server 2003 ให้ติดตั้งอัพเดท 953252 (http://support.microsoft.com/kb/953252/) ก่อนทำการดิสเอเบิล Autorun
* Windows Vista หรือ Windows Server 2008 ห้ติดตั้งอัพเดท 950582 (http://support.microsoft.com/kb/950582/) ก่อนทำการดิสเอเบิล Autorun
**อัพเดท 953252 และ 950582 ไม่เกี่ยวกับมัลแวร์ เป็นอัพเดทสำหรับการแก้ไขการทำงานของ Autorun
2. ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
ขั้น ตอนที่ 25. ถ้ามีการติดตั้งโปรแกรม Windows Defender ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ เพื่อให้ Windows Defender ทำการสตาร์ทโดยอัตโนมัติพร้อมวินโดวส์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
ขั้นตอนที่ 26. สำหรับผู้ที่ใช้ Windows Vista และ Windows Server 2008 ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์เพื่ออีนาเบิล TCP Receive Window Auto-tuning
netsh interface tcp set global autotuning=normal
ขอขอบคุณ
Manual Remove Conficker Downadup Virus
© 2009 Thai Windows Administrator, All Rights Reserved.
นิค ณ.ระยอง
เพิ่มเติมให้ครับ
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
ไมโครซอฟท์ รวมถึงบริษัทด้านความปลอดภัยคอมพิวเตอร์หลายแห่งได้ประกาศเตือนให้ผู้ใช้ ระบบวินโดวส์ระวังการระบาดของไวรัส W32/Conflicker หรือ W32/Downadup.AL
ไวรัส W32/Conflicker หรือ W32/Downadup.AL (โปรแกรมป้องกันไวรัสบางตัวเรียกว่า Net-Worm.Win32.Kido) จะโจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว
สำหรับ สาเหตุที่เกิดการระบาดของเวิร์ม W32/Conflicker หรือ W32/Downadup.AL อย่างหนักนั้น ส่วนหนึ่งเกิดจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการติด ตั้งแพตช์ นอกจากนี้ในบางสายพันธุ์ของไวรัส W32/Conflicker นั้น สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการติดตั้งแพตช์แล้วก็ตาม โดยมีการประมาณการว่ามีเครื่องคอมพิวเตอร์ที่โดนโจมตีแล้วไม่ต่ำกว่า 9 ล้านเครื่อง
รายละเอียดของไวรัส W32/Conflicker หรือ W32/Downadup.AL
W32/Downadup.AL หรือ W32/Downadup.AL เป็นโปรแกรมมัลแวร์แบบสแตนด์อะโลนเวิร์ม ซึ่งแพร่ระบาดเข้าติดเครื่องคอมพิวเตอร์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ถ้าหากเวิร์มเข้าติดเครื่องคอมพิวเตอร์สำเร็จและระบบมีการเปิดใช้งานการแชร์ มันก็จะทำการรีโมทเอ็กซีคิวต์โค้ดไวรัส นอกจากนี้บางสายพันธุ์ยังสามารถแพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพาได้ ด้วย หลังจากไวรัสเข้าติดเครื่องคอมพิวเตอร์แล้ว มันจะทำการปิดบริการต่างๆ ของระบบ ปิดโปรแกรมด้านรักษาความปลอดภัย และทำการดาวน์โหลดไฟล์มัลแวร์จากอินเทอร์เน็ต
ชื่อ: W32/Conflicker หรือ Worm:W32/Downadup.AL
ประเภท: Worm
ชนิด: Malware
แพลตฟอร์ม: W32
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
ชื่ออื่นๆ:
TA08-297A
CVE-2008-4250
VU827267
Win32/Conficker.A (CA)
Mal/Conficker (Sophos)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Win32.Worm.Downadup.Gen (BitDefender)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
W32/Conficker.worm.gen (Symantec)
Confickr
ระบบวินโดวส์ที่ได้รับผลกระทบ:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems
การทำงานของไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อไฟล์ไวรัสถูกเอ็กซีคิวต์ มันจะทำงานต่างๆ ดังนี้
• ทำการสำเนาคัวเองลงในโฟลเดอร์ต่างๆ ดังนี้
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
โดย ไฟล์แต่ละไฟล์จะถูกแก้ไขไทมแสตมป์ให้ตรงกับไฟล์ %System%\kernel32.dll จากนั้นเวิร์มจะทำการสร้างค่ารีจีสทรีเพื่อให้วินโดวส์ทำการเอ็กซีคิวต์ เวิร์มทุกครั้งที่ระบบสตาร์ท
• อาจจะทำการสร้างไฟล์บนไดร์ฟเก็บข้อมูลแบบพกพาดังนี้
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf
• ทำการแอทแทชตัวมันเองกับโปรเซสต่างๆ ดังนี้
svchost.exe
explorer.exe
services.exe
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้
- Windows Automatic Update Service (wuauserv)
- Background Intelligent Transfer Service (BITS)
- Windows Security Center Service (wscsvc)
- Windows Defender Service (WinDefend)
- Error Reporting Service (ERSvc)
- Windows Error Reporting Service (WerSvc)
• ทำการรันคำสั่งเพื่อปิดการทำงาน TCP/IP auto-tuning บน Windows Vista ดังนี้
netsh interface tcp set global autotuning=disabled
• ทำการฮุค API เพื่อบล็อคการแอคเซสโดเมนยาวๆ ดังนี้
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
• เกิด Account lockout เนื่องจากไวรัสทำการแก้ไขรีจีสทรีเพื่อให้ทำการโจมตีระบบเครือข่ายดังนี้
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้ Windows Automatic Update Service (wuauserv), Background Intelligent Transfer Service (BITS), Windows Security Center Service (wscsvc), Windows Defender Service (WinDefend), Error Reporting Service (ERSvc) และ Windows Error Reporting Service (WerSvc)
• เกิด Account lockout
• เครื่องเซิฟร์เวอร์ Domain controllers ตอบสนองเครื่องลูกข่ายช้าผิดปกติ
• ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้
วิธีการแพร่ระบาด
ไวรัส W32/Conflicker หรือ W32/Downadup.AL นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพา (บนระบบที่มีการเปิดใช้งาน AutoPlay)
วิธีการป้องกัน
สำหรับวิธีการป้องกันนั้น ให้ทำการแพตช์ระบบทันทีที่ทำได้ โดยอาจจะทำการดาวน์โหลดอัพเดทมาติดตั้งแบบแมนนวลจากเว็บไซต์ http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx หรือทำการติดตั้งผ่านทางเว็บไซต์ไมโครซอฟท์อัพเดท http://update.microsoft.com/microsoftupdate
การติดตั้งอัพเดทแบบแมนนวล
การติดตั้งแบบแมนนวลนั้น มี 2 โหมด คือ Passive และ Quiet เมื่อติดตั้งเสร็จ ให้รีสตาร์ทเครื่องเพื่อให้การเปลี่ยนแปลงมีผล
• Passive เป็นการติดตั้งอัพเดทแบบอัตโนมัติและแสดงหน้าต่างแสดงสถานะการทำงาน คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /passive
• Quiet เป็นการติดตั้งอัพเดทแบบอัตโนมัติโดยไม่แสดงหน้าต่างแสดงสถานะการทำงาน (Silent Mode) คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /quiet
วิธีการแก้ไข
สำหรับ ท่านที่โดนเวิร์ม W32/Conflicker หรือ W32/Downadup.AL เล่นงาน สามารถแก้ไขโดยโดยดาวน์โหลดเครื่องมีอ Removal Tool ได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Downadup ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• FSMRT ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
• Malicious Software Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830
• BitDefender Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
แหล่งข้อมูลอ้างอิง
• http://www.f-secure.com/weblog/archives/00001576.html
• http://support.microsoft.com/kb/962007
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
ที่มา:http://thaiwinadmin.blogspot.com/2009/01/kb037.html
Credit : TechToy
Removal Tool สำหรับแก้ไวรัส Conficker หรือ Downadup
สำหรับ ท่านที่โดนไวรัส Conficker หรือ Downadup เล่นงาน สามารถดาวน์โหลดเครื่องมีอ Removal Tool สำหรับแก้ไขได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Secure
ดาวน์โหลด F-Downadup ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
ดาวน์โหลด FSMRT ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
• Microsoft
ดาวน์โหลด Malicious Software Removal Tool (MSRT)ได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830
• BitDefender
ดาวน์โหลด BitDefender Removal Tool ได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
• McAfee
ดาวน์ โหลด McAfee Stinger ได้ที่เว็บไซต์ http://vil.nai.com/vil/stinger/ หรือ http://download.nai.com/products/mcafee-avert/stinger10000482.exe
• Symantec
ดาวน์โหลด W32.Downadup Removal Tool ได้ที่เว็บไซต์
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
• Norman
ดาวน์โหลด Conficker Removal Tool ได้ที่เว็บไซต์
http://www.norman.com/Virus/Virus_removal_tools/54879/ หรือ http://download.norman.no/public/Norman_Conficker_Cleaner.exe
ดาวน์โหลดอัพเดท 958644 (MS08-067)
สามารอ่านรายละเอียดการดาวน์โหลดอัพเดท 958644 (MS08-067) ของวินโดวส์ทุกระบบได้ที่เว็บไซต์ http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx หรือดาวน์โหลดอัพเดทได้ตามรายละเอียดด้านล่าง
• Windows XP SP2 และ Windows XP SP3
• Windows Server 2003 SP1 และ Windows Server 2003 SP2
• Windows Vista และ Windows Vista SP1
W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup Removal Tool
© 2009 Thai Windows Administrator, All Rights Reserved.
นิค ณ.ระยอง ™
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker
สืบเนื่องจาก กระทู้
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
http://www.thaiadmin.org/board/index.php?topic=95481.0
Windows Security Patch ที่โดนโจมตี และการใช้งาน Sysclean ของ Trend Officescan
http://www.thaiadmin.org/board/index.php?topic=95202.0
ชื่อ ของ ไวรัส
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)
ขั้นตอนที่ 1. ล็อกออนเข้าเครื่องด้วยโลคอลยูสเซอร์
**ไม่แนะนำให้ทำการ ล็อกออนด้วยโดเมนยูสเซอร์ เนื่องจากมัลแวร์อาจจะใช้โดเมนยูสเซอร์ดังกล่าวในการแอคเซสทรัพยากรเครือ ข่ายเพื่อทำการแพร่ระบาด
ขั้นตอนที่ 2. ทำการหยุดบริการ Server service เพื่อการลบแอดมินแชร์ (แชร์โฟลเดอร์ชื่อ C$, D$, ADMIN$ ซึ่งเป็นการแชร์สำหรับแอดมินใช้จัดการระบ) ซึ่งจะเป็นหยุดการแพร่ระบาดของเวิร์มผ่านทางการแชร์
**ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่
จากนั้นทำการหยุดบริการ Server service โดยใช้ Services Microsoft Management Console (MMC) ตามขั้นตอนดังนี้
1. ดำเนินการข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้ดังนี้
* ใน Windows Vista และ Windows Server 2008 ให้คลิก Start พิมพ์ services.mscในกล่อง Start Search box จากนั้นคลิก services.msc ในรายการโปรแกรม
* ใน Windows 2000, Windows XP และ Windows Server 2003 ให้คลิก Start คลิก Run พิมพ์ services.msc จากนั้นคลิก OK
2. ในหน้าต่าง Services ในคอลัมน์ Name ให้ดับเบิลคลิกที่ Server
3. ในหน้าต่าง Server Properties (Local Computer) ในส่วน Services status ให้คลิกปุ่ม Stop
4. ในส่วน Startup type ให้เลือกเป็น Disabled
5. คลิก Apply แล้วคลิก OK แล้วปิดหน้าต่าง Services
การหยุดบริการ Task Scheduler บนระบบวินโดวส์ Windows Vista และ Windows Server 2008 มีขั้นตอนดังนี้
1. คลิก Start พิมพ regedit ในกล่อง Start Search จากนั้นคลิก regedit.exe จากรายการโปรแกรม
2. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
3. ในส่วนดีเทลแพน ให้คลิกขวาที่ Start (ซึ่งเป็น REG_DWORD) จากนั้นคลิก Modify
4. ในไดอะล็อกบ็อกซ์ Edit DWORD Value ให้ใส่ค่า 4 ในกล่องใต้ Value Datadata เสร็จแล้วคลิก OK
5. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 4. ดาวน์โหลดและทำการติดตั้งแพตซ์
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
Microsoft Security Bulletin MS08-068 – Important
Vulnerability in SMB Could Allow Remote Code Execution (957097)
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Microsoft Security Bulletin MS09-001 - Critical
Vulnerabilities in SMB Could Allow Remote Code Execution (958687)
ขั้นตอนที่ 5. ทำการรีเซ็ตรหัสผ่านของโลคอลแอดมินและโดเมนแอดมินใหม่ให้มีความแข็งแกร่งมากขึ้น
ขั้น ตอนที่ 6. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
ขั้นตอนที่ 7.ในส่วนดีเทลแพน ให้คลิกขวาที่ netsvcs จากนั้นคลิก Modify
ขั้น ตอนที่ 8. ให้เลื่อนลงไปด้านล่างสุดของลิสต์ ถ้าคอมพิวเตอร์ติดไวรัส Conficker จะมีชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่ม ตัวอย่างเช่น "axqmiijz"
ขั้นตอนที่ 9. ทำการลบบรรทัดที่อ้างอิงถึง malware service ตรวจสอบให้แน่ใว่าเว้นบรรทัดหนึ่งบรรทัดใต้ค่าที่ถูกต้องตัวสุดท้ายเสร็จ แล้วคลิก OK
ขั้นตอนที่ 10. ทำการจำกัดเพอร์มิสชันบนรีจีสทรีคีย์ SVCHOST เพื่อป้องกันไม่ให้มัลแวร์สามรถทำการแก้ไขได้ ตามขั้นตอนดังนี้
**Note
* หลังจากกำจัดไวรัสเสร็จเรียบร้อยแล้วจะต้องทำการแก้ไขกลับไปเป็นค่าดีฟอลท์ดังเดิม
* ใน Windows 2000 จะต้องใช้โปรแกรม Regedt32 ในการตั้งค่าเพอร์มิสชันบนรีจีสทรีคีย์
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ Svchost จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for SvcHost ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for SvcHost คลิก Add
5. ในไดอะล็อกบ็อกซ์ Select User, Computer or Group ให้พิมพ์ everyone ในกล่องใต้ Enter the object name to select จากนั้นคลิก Check Names แล้วคลิก OK
6 .ในไดอะล็อกบ็อกซ์ Permissions Entry for SvcHost ในหัวข้อ Apply toให้เลือก This key only จากนั้นในหัวข้อ Full Control ที่อยู่ในส่วน Permission ให้คลิก Deny เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
7. ในไดอะล็อกบ็อกซ์ Security ให้คลิก Yesy แล้วคลิก OK อีกครั้ง
ขั้น ตอนที่ 11. จากในขั้นตอนที่ 8 ซึ่งจะได้ชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่มคือ "axqmiijz" จากนั้นให้ดำเนินการตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยตามชื่อบริการของมัลแวร์
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
ในตัวอย่างนี้คือ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axqmiijz
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ตามชื่อ "malware service" จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for "malware service" ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for "malware service" ให้คลิกเลือกเช็คบ็อกซ์ดังนี้
#Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here.
#Replace permission entries on all child objects with entries shown here that apply to child objects
5. คลิก Apply เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
ขั้นตอนที่ 12. กดปุ่ม F5 เพื่ออัพเดทโปรแกรม Registry Editor ในดีเทลแพนให้แก้ไฟล์ไฟล์ "ServiceDll" ดังนี้
1. ให้ดับเบิลคลิกที่ ServiceDll
2. จากนั้นให้ดูพาธที่ไฟล์ DLL อ้างอิง ซึ่งจะมีลักษณะดังนี้
%SystemRoot%\System32\emzlqqd.dll
จากนั้นให้ทำการเปลี่ยนชื่อเป็น
%SystemRoot%\System32\emzlqqd.old
3. คลิก OK
ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์
ขั้น ตอนที่ 14. ตรวจสอบไฟล์ Autorun.inf บนไดร์ฟทุกไดร์ฟในระบบ ซึ่งโดยทั่วไปไฟล์ Autorun.inf จะมีขนาด 1-2 KB และใช้โปรแกรม Notepad ไฟล์ Autorun.inf ดู โดยไฟล์ที่ถูกต้องจะมีลักษณะดังนี้
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
ขั้นตอนที่ 15. ถ้าไฟล์ Autorun.inf มีลักษณะผิดปกติหรือน่าสงสัย ตัวอย่างเช่น มีการเอ็กซีคิวท์ไฟล์ .exe ให้ทำการลบทิ้ง
ขั้นตอนที่ 16. ทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 17. คอนฟิกให้วินโดวส์แสดงไฟล์ที่ถูกซ่อนไว้ (Hidden files) โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
ขั้นตอนที่ 18. ตั้งค่า Show hidden files and folders เพื่อให้แสดงไฟล์ที่ถูกซ่อนไว้ตามขั้นตอนดังนี้
1. ตามพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2 ตัวอย่าง
%systemroot%\System32\emzlqqd.dll
ในหน้าต่าง Windows Explorer ให้เปิดโฟลเดอร์ %systemroot%\System32 หรือโฟลเดอร์ที่มัลแวร์อยู่
2. ในหน้าต่าง Windows Explorer คลิก Tools แล้วคลิก Folder Options
3. ในไดอะล็อกบ็อกซ์ Folder Options คลิกแท็บ View
4. จากนั้นคลิกเลือกเช็คบ็อกซ์ Select the Show hidden files and folders
5. เสร็จแล้วคลิก OK
ขั้นตอนที่ 19. คลิกเลือกไฟล์ DLL
ขั้นตอนที่ 20. แก้ไขเพอร์มิสชันของไฟล์ DLL ให้ทุกคน (Everyone) มีสิทธิ์ Full Control ตามขั้นตอนดังนี้
1. คลิกขวาที่ไฟล์ DLL แล้วคลิก Properties
2. คลิกแท็บ Security
3. คลิก Everyone แล้วคลิกเลือกเช็คบ็อกซ์ Full Control ในคอลัมน์ Allow
4. เสร็จแล้วคลิก OK
ขั้นตอนที่ 21. ทำการลบไฟล์ DLL ของมัลแวร์ ตัวอย่างเช่น ทำการลบไฟล์ %systemroot%\System32\emzlqqd.dll
ขั้นตอนที่ 22. ทำการลบ AT-scheduled tasks ทั้งหมด โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
AT /Delete /Yes
ขั้น ตอนที่ 23. เปิดใช้งานบริการ BITS, Automatic Updates, Error Reporting และWindows Defender โดยใช้ Services Microsoft Management Console (MMC) โดยดูวิธีการตามขั้นตอนที่ 2
ขั้นตอนที่ 24. ทำการดิสเอเบิล Autorun เพื่อป้องกันไม่ให้เครื่องกลับไปติดไวรัสอีก โดยดำเนินการตามขั้นตอนดังนี้
1. ดำเนินการตามข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้งานอยู่
* Windows 2000, Windows XP หรือ Windows Server 2003 ให้ติดตั้งอัพเดท 953252 (http://support.microsoft.com/kb/953252/) ก่อนทำการดิสเอเบิล Autorun
* Windows Vista หรือ Windows Server 2008 ห้ติดตั้งอัพเดท 950582 (http://support.microsoft.com/kb/950582/) ก่อนทำการดิสเอเบิล Autorun
**อัพเดท 953252 และ 950582 ไม่เกี่ยวกับมัลแวร์ เป็นอัพเดทสำหรับการแก้ไขการทำงานของ Autorun
2. ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
ขั้น ตอนที่ 25. ถ้ามีการติดตั้งโปรแกรม Windows Defender ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ เพื่อให้ Windows Defender ทำการสตาร์ทโดยอัตโนมัติพร้อมวินโดวส์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
ขั้นตอนที่ 26. สำหรับผู้ที่ใช้ Windows Vista และ Windows Server 2008 ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์เพื่ออีนาเบิล TCP Receive Window Auto-tuning
netsh interface tcp set global autotuning=normal
ขอขอบคุณ
Manual Remove Conficker Downadup Virus
© 2009 Thai Windows Administrator, All Rights Reserved.
นิค ณ.ระยอง
เพิ่มเติมให้ครับ
ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์
ไมโครซอฟท์ รวมถึงบริษัทด้านความปลอดภัยคอมพิวเตอร์หลายแห่งได้ประกาศเตือนให้ผู้ใช้ ระบบวินโดวส์ระวังการระบาดของไวรัส W32/Conflicker หรือ W32/Downadup.AL
ไวรัส W32/Conflicker หรือ W32/Downadup.AL (โปรแกรมป้องกันไวรัสบางตัวเรียกว่า Net-Worm.Win32.Kido) จะโจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว
สำหรับ สาเหตุที่เกิดการระบาดของเวิร์ม W32/Conflicker หรือ W32/Downadup.AL อย่างหนักนั้น ส่วนหนึ่งเกิดจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการติด ตั้งแพตช์ นอกจากนี้ในบางสายพันธุ์ของไวรัส W32/Conflicker นั้น สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการติดตั้งแพตช์แล้วก็ตาม โดยมีการประมาณการว่ามีเครื่องคอมพิวเตอร์ที่โดนโจมตีแล้วไม่ต่ำกว่า 9 ล้านเครื่อง
รายละเอียดของไวรัส W32/Conflicker หรือ W32/Downadup.AL
W32/Downadup.AL หรือ W32/Downadup.AL เป็นโปรแกรมมัลแวร์แบบสแตนด์อะโลนเวิร์ม ซึ่งแพร่ระบาดเข้าติดเครื่องคอมพิวเตอร์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ถ้าหากเวิร์มเข้าติดเครื่องคอมพิวเตอร์สำเร็จและระบบมีการเปิดใช้งานการแชร์ มันก็จะทำการรีโมทเอ็กซีคิวต์โค้ดไวรัส นอกจากนี้บางสายพันธุ์ยังสามารถแพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพาได้ ด้วย หลังจากไวรัสเข้าติดเครื่องคอมพิวเตอร์แล้ว มันจะทำการปิดบริการต่างๆ ของระบบ ปิดโปรแกรมด้านรักษาความปลอดภัย และทำการดาวน์โหลดไฟล์มัลแวร์จากอินเทอร์เน็ต
ชื่อ: W32/Conflicker หรือ Worm:W32/Downadup.AL
ประเภท: Worm
ชนิด: Malware
แพลตฟอร์ม: W32
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
ชื่ออื่นๆ:
TA08-297A
CVE-2008-4250
VU827267
Win32/Conficker.A (CA)
Mal/Conficker (Sophos)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Win32.Worm.Downadup.Gen (BitDefender)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
W32/Conficker.worm.gen (Symantec)
Confickr
ระบบวินโดวส์ที่ได้รับผลกระทบ:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems
การทำงานของไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อไฟล์ไวรัสถูกเอ็กซีคิวต์ มันจะทำงานต่างๆ ดังนี้
• ทำการสำเนาคัวเองลงในโฟลเดอร์ต่างๆ ดังนี้
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
โดย ไฟล์แต่ละไฟล์จะถูกแก้ไขไทมแสตมป์ให้ตรงกับไฟล์ %System%\kernel32.dll จากนั้นเวิร์มจะทำการสร้างค่ารีจีสทรีเพื่อให้วินโดวส์ทำการเอ็กซีคิวต์ เวิร์มทุกครั้งที่ระบบสตาร์ท
• อาจจะทำการสร้างไฟล์บนไดร์ฟเก็บข้อมูลแบบพกพาดังนี้
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf
• ทำการแอทแทชตัวมันเองกับโปรเซสต่างๆ ดังนี้
svchost.exe
explorer.exe
services.exe
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้
- Windows Automatic Update Service (wuauserv)
- Background Intelligent Transfer Service (BITS)
- Windows Security Center Service (wscsvc)
- Windows Defender Service (WinDefend)
- Error Reporting Service (ERSvc)
- Windows Error Reporting Service (WerSvc)
• ทำการรันคำสั่งเพื่อปิดการทำงาน TCP/IP auto-tuning บน Windows Vista ดังนี้
netsh interface tcp set global autotuning=disabled
• ทำการฮุค API เพื่อบล็อคการแอคเซสโดเมนยาวๆ ดังนี้
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
• เกิด Account lockout เนื่องจากไวรัสทำการแก้ไขรีจีสทรีเพื่อให้ทำการโจมตีระบบเครือข่ายดังนี้
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
• บริการต่างๆ ของระบบดังนี้ ถูกปิดหรือไม่สามารถรันได้ Windows Automatic Update Service (wuauserv), Background Intelligent Transfer Service (BITS), Windows Security Center Service (wscsvc), Windows Defender Service (WinDefend), Error Reporting Service (ERSvc) และ Windows Error Reporting Service (WerSvc)
• เกิด Account lockout
• เครื่องเซิฟร์เวอร์ Domain controllers ตอบสนองเครื่องลูกข่ายช้าผิดปกติ
• ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
• ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์ ที่มีคำต่างๆ ดังนี้
วิธีการแพร่ระบาด
ไวรัส W32/Conflicker หรือ W32/Downadup.AL นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพา (บนระบบที่มีการเปิดใช้งาน AutoPlay)
วิธีการป้องกัน
สำหรับวิธีการป้องกันนั้น ให้ทำการแพตช์ระบบทันทีที่ทำได้ โดยอาจจะทำการดาวน์โหลดอัพเดทมาติดตั้งแบบแมนนวลจากเว็บไซต์ http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx หรือทำการติดตั้งผ่านทางเว็บไซต์ไมโครซอฟท์อัพเดท http://update.microsoft.com/microsoftupdate
การติดตั้งอัพเดทแบบแมนนวล
การติดตั้งแบบแมนนวลนั้น มี 2 โหมด คือ Passive และ Quiet เมื่อติดตั้งเสร็จ ให้รีสตาร์ทเครื่องเพื่อให้การเปลี่ยนแปลงมีผล
• Passive เป็นการติดตั้งอัพเดทแบบอัตโนมัติและแสดงหน้าต่างแสดงสถานะการทำงาน คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /passive
• Quiet เป็นการติดตั้งอัพเดทแบบอัตโนมัติโดยไม่แสดงหน้าต่างแสดงสถานะการทำงาน (Silent Mode) คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /quiet
วิธีการแก้ไข
สำหรับ ท่านที่โดนเวิร์ม W32/Conflicker หรือ W32/Downadup.AL เล่นงาน สามารถแก้ไขโดยโดยดาวน์โหลดเครื่องมีอ Removal Tool ได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Downadup ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• FSMRT ดาวน์โหลดได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
• Malicious Software Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830
• BitDefender Removal Tool ดาวน์โหลดได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
แหล่งข้อมูลอ้างอิง
• http://www.f-secure.com/weblog/archives/00001576.html
• http://support.microsoft.com/kb/962007
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
ที่มา:http://thaiwinadmin.blogspot.com/2009/01/kb037.html
Credit : TechToy
Removal Tool สำหรับแก้ไวรัส Conficker หรือ Downadup
สำหรับ ท่านที่โดนไวรัส Conficker หรือ Downadup เล่นงาน สามารถดาวน์โหลดเครื่องมีอ Removal Tool สำหรับแก้ไขได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Secure
ดาวน์โหลด F-Downadup ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
ดาวน์โหลด FSMRT ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
• Microsoft
ดาวน์โหลด Malicious Software Removal Tool (MSRT)ได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830
• BitDefender
ดาวน์โหลด BitDefender Removal Tool ได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
• McAfee
ดาวน์ โหลด McAfee Stinger ได้ที่เว็บไซต์ http://vil.nai.com/vil/stinger/ หรือ http://download.nai.com/products/mcafee-avert/stinger10000482.exe
• Symantec
ดาวน์โหลด W32.Downadup Removal Tool ได้ที่เว็บไซต์
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
• Norman
ดาวน์โหลด Conficker Removal Tool ได้ที่เว็บไซต์
http://www.norman.com/Virus/Virus_removal_tools/54879/ หรือ http://download.norman.no/public/Norman_Conficker_Cleaner.exe
ดาวน์โหลดอัพเดท 958644 (MS08-067)
สามารอ่านรายละเอียดการดาวน์โหลดอัพเดท 958644 (MS08-067) ของวินโดวส์ทุกระบบได้ที่เว็บไซต์ http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx หรือดาวน์โหลดอัพเดทได้ตามรายละเอียดด้านล่าง
• Windows XP SP2 และ Windows XP SP3
• Windows Server 2003 SP1 และ Windows Server 2003 SP2
• Windows Vista และ Windows Vista SP1
W32/Conficker Conficker.A Conficker.B W32/Downadup.AL Downadup Removal Tool
© 2009 Thai Windows Administrator, All Rights Reserved.
นิค ณ.ระยอง ™
No comments:
Post a Comment