ระวังเวิร์ม W32/Conflicker หรือ W32/Downadup.AL โจมตีวินโดวส์

มีรายงานว่าเวิร์ม W32/Conflicker หรือที่โปรแกรมป้องกันไวรัสบางตัวเรียกว่า W32/Downadup.AL โจมตีระบบวินโดวส์โดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ซึ่งไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx) เพื่อปิดช่องโหว่ดังกล่าวนี้ตั้งแต่วันที่ 23 เดือนตุลาคมปี 2551 ที่ผ่านมาแล้ว

การระบาดของเวิร์ม W32/Conflicker ส่วนหนึงเกิดจากยังมีเครื่องคอมพิวเตอร์เป็นจำนวนมากที่ยังไม่ได้ทำการแพตช์ และในสายพันธุ์ล่าสุดของไวรัส W32/Conflicker นั้น สามารถทำการโจมตีระบบได้ถึงแม้ว่าระบบนั้นจะทำการแพตช์แล้วก็ตาม โดยมีการประมาณการว่ามีเครื่องคอมพิวเตอร์ที่โดนโจมตีแล้วไม่ต่ำกว่า 9 ล้านเครื่อง

รายละเอียดของเวิร์ม W32/Conflicker หรือ W32/Downadup.AL
W32/Downadup.AL เป็นโปรแกรมมัลแวร์แบบสแตนด์อะโลนเดี่ยว แพร่ระบาดเข้าไปติดเครื่องคอมพิวเตอร์โดยใช้ใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ถ้าการแพร่ระบาดสำเร็จจะทำการรีโมทเอ็กซีคิวต์โค้ดไวรัสเมื่อมีการเปิดใช้งานการแชร์ นอกจากนี้บางสายพันธุ์ยังสามารถแพร่ระบาดผ่านทางไดร์ฟเก็บข้อมูลแบบพกพาได้ด้วย เมื่อไวรัสติดคอมพิวเตอร์แล้วมันจะทำการปิดบริการต่างๆ ของระบบ ปิดโปรแกรมด้านรักษาความปลอดภัย และทำการดาวน์โหลดไฟลืมัลแวร์จากอินเทอร์เน็ต

ชื่อ: W32/Conflicker หรือ Worm:W32/Downadup.AL
ประเภท: Worm
ชนิด: Malware
แพลตฟอร์ม: W32
ชื่อทีโปรแกรมป้องกันไวรัสตรวจพบ: Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
ชื่ออื่นๆ:
TA08-297A
CVE-2008-4250
VU827267
Win32/Conficker.A (CA)
Mal/Conficker (Sophos)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
W32/Conficker.worm.gen (Symantec)
Confickr
ระบบวินโดวส์ที่ได้รับผลกระทบ:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems

อาการมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL
เมื่อคอมพิวเตอร์ติดไวรัส W32/Conflicker หรือ W32/Downadup.AL จะมีอาการดังต่อไปนี้
- เกิด Account lockout โดยไม่ทราบสาเหตุ
- เกิดการดิสเอเบิล Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender และ Error Reporting Services โดยไม่ทราบสาเหตุ
- เครื่องเซิฟร์เวอร์ Domain controllers ตอบสนองลูกข่ายช้าผิดปกติ
- ระบบเน็ตเวิร์กมีการรับ-ส่งข้อมูลมากผิดปกติ
- ไม่สามารถเข้าเว็บไซต์ที่เกี่ยวกับด้านความปลอดภัยบางเว็บไซต์

วิธีการแพร่ระบาด
ไวรัส W32/Conflicker หรือ W32/Downadup.AL นั้น มีวิธีการแพร่ระบาดหลายวิธีด้วยกัน ดังนี้
- แพร่ระบาดโดยใช้จุดพกพร่องของ Server Service (MS08-067)
- แพร่ระบาดผ่านทางการแชร์บนเครือข่าย
- แพร่ระบาดโดยใช้การทำงานของ AutoPlay

วิธีการป้องกัน
สำหรับวิธีการป้องกันนั้น ให้ทำการแพตช์ระบบทันทีที่ทำได้ โดยอาจจะทำการดาวน์โหลดอัพเดทมาติดตั้งแบบแมนนวล หรือทำการติดตั้งผ่านทางเว็บไซต์ไมโครซอฟท์วินโดวส์อัพเดท http://windowsupdate.microsoft.com
ดาวน์โหลดอัพเดท 958644 (MS08-067)
สามารอ่านรายละเอียดการดาวน์โหลดอัพเดท 958644 (MS08-067) ของวินโดวส์ทุกระบบได้ที่เว็บไซต์ http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

การติดตั้งอัพเดทแบบแมนนวล
การติดตั้งแบบแมนนวลนั้น มี 2 โหมด คือ Passive และ Quiet เมื่อติดตั้งเสร็จ ให้รีสตาร์ทเครื่องเพื่อให้การเปลี่ยนแปลงมีผล
• Passive เป็นการติดตั้งอัพเดทแบบอัตโนมัติและแสดงหน้าต่างแสดงสถานะการทำงาน คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /passive

• Quiet เป็นการติดตั้งอัพเดทแบบอัตโนมัติโดยไม่แสดงหน้าต่างแสดงสถานะการทำงาน (Silent Mode) คำสั่งการติดตั้ง มีดังนี้
WindowsServer2003-KB958644-x86-ENU.exe /quiet

วิธีการแก้ไข
สำหรับท่านที่โดนเวิร์ม W32/Conflicker เล่นงาน สามารถแก้ไขโดยโดยดาวน์โหลดเครื่องมีอ Removal Tool ได้จากเว็บไซต์ต่างๆ ดังนี้
• F-Secure
ดาวน์โหลด F-Downadup ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
ดาวน์โหลด FSMRT ได้ที่เว็บไซต์ ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip

• Microsoft
ดาวน์โหลด Malicious Software Removal Tool (MSRT)ได้ที่เว็บไซต์ http://support.microsoft.com/kb/890830

• BitDefender
ดาวน์โหลด BitDefender Removal Tool ได้ที่เว็บไซต์ http://www.bitdefender.com/VIRUS-1000462-en–Win32.Worm.Downadup.Gen.html

• McAfee
ดาวน์ โหลด McAfee Stinger ได้ที่เว็บไซต์ http://vil.nai.com/vil/stinger/ หรือ http://download.nai.com/products/mcafee-avert/stinger10000482.exe

• Symantec
ดาวน์โหลด W32.Downadup Removal Tool ได้ที่เว็บไซต์
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

• Norman
ดาวน์โหลด Conficker Removal Tool ได้ที่เว็บไซต์
http://www.norman.com/Virus/Virus_removal_tools/54879/ หรือ http://download.norman.no/public/Norman_Conficker_Cleaner.exe

• Trend Micro
Trend Micro เรียกชื่อไวรัส Conficker หรือ Downadup ว่า WORM_DOWNAD.AD และได้ออก fixtool สำหรับกำจัดไวรัสตัวนี้โดยเฉพาะ สามารถดาวน์โหลดได้ที่เว็บไซต์ http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip

แหล่งข้อมูลอ้างอิง
• http://www.f-secure.com/weblog/archives/00001576.html
• http://support.microsoft.com/kb/962007
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Virus Worm W32/Conflicker Downadup Prevention Remove Tool
2009 Thai Windows Administrator, All Rights Reserved.
วิธีตรวจสอบเครื่องว่าติด W32/Conflicker.c หรือ W32/Downadup.AL หรือไม่