บ้านW32.Sasser.Worm
หน้า 1 จาก 1
W32.Sasser.Worm
Admin Thu May 28, 2009 6:24 pm
W32.Sasser.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Windows LSASS หรือ MS04-011 ผ่านพอร์ต 445/TCP นอกจากนี้หนอนยังสามารถดาวน์โหลดและรันตัวเองด้วยโปรแกรม FTP ผ่านพอร์ต 5554/TCP ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า avserve.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ Windows LSASS หรือ MS04-011 ดังนั้นจึงควรทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี
พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดวาน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ คล้ายกับผลกระทบที่เกิดจาก W32.Blaster.Worm
จากนั้นหนอนก็จะพยายามทำการแพร่กระจายตัวโดยสุ่มหมายเลข IP เพื่อหาเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอัพเดต patch MS04-011
ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows XP)
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ Windows LSASS หรือ MS04-011 ดังนั้นจึงควรทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี
พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดวาน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ คล้ายกับผลกระทบที่เกิดจาก W32.Blaster.Worm
จากนั้นหนอนก็จะพยายามทำการแพร่กระจายตัวโดยสุ่มหมายเลข IP เพื่อหาเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอัพเดต patch MS04-011
ภาพแสดงผลหลังจากหนอนชนิดนี้แพร่กระจายในเครื่อง (Windows XP)
Admin- Admin
- จำนวนข้อความ : 183
Join date : 13/05/2009 -
Re: W32.Sasser.Worm
Admin Thu May 28, 2009 6:25 pm
วิธีป้องกันตัวเองจากหนอนชนิดนี้
กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
445/TCP
5554/TCP
9996/TCP
ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 2
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS04-011 ด้วย
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://www.thaicert.nectec.or.th/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
กรองความคับคั่งของข้อมูล โดยปรับแต่ง Microsoft's Internet Connection Firewall ให้ปิดกั้นความคับคั่งของข้อมูลที่พอร์ตต่อไปนี้
445/TCP
5554/TCP
9996/TCP
ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 2
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS04-011 ด้วย
ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://www.thaicert.nectec.or.th/paper/virus/zone.php
ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่ http://www.thaicert.nectec.or.th/mailinglist/register.php
สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
Admin- Admin
- จำนวนข้อความ : 183
Join date : 13/05/2009 -
หน้า 1 จาก 1
Permissions in this forum:
คุณไม่สามารถพิมพ์ตอบ|
|
|