ชนิด : ม้าโทรจัน (Trojan Horse)
ชื่ออื่นที่รู้จัก : CME-711 [Common Malware Enumeration], Trojan.Peacomm [Symantec], TROJ_SMALL.EDW [Trend Micro], Small.DAM [F-Secure], Downloader-BAI [McAfee], Troj/Dorf-Fam [Sophos]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
ข้อมูลทั่วไป วิธีการแพร่กระจาย ผลกระทบที่เกิดขึ้น รายละเอียดทางเทคนิค วิธีการกำจัดหนอนชนิดนี้ วิธีป้องกันตัวเองจากหนอนชนิดนี้ ข้อมูลอ้างอิง
ข้อมูลทั่วไป
ใช้ประโยชน์ในการแพร่กระจายตัวโทรจันเอง
Trojan.Peacomm เป็นม้าโทรจันที่ถูกปล่อยโดยหนอนอินเทอร์เน็ตชื่อ WORM_NUWAR.CQ [Trend Micro] ซึ่งอาจถูกดาวน์โหลดจากเว็บไซต์ที่ประสงค์ร้ายโดยไม่ได้ตั้งใจหรือด้วยความเข้าใจผิดนอกจากนี้ม้าโทจันยังถูกแนบมาพร้อมกับอีเมลสแปมได้ด้วย
ไฟล์ของม้าโทรจันนั้นมีความสามารถของรูทคิท
(Rootkit) กล่าวคือม้าโทรจันนั้นสามารถซ่อนไฟล์และฝังโพรเซสของตัวเองไว้ในโพรเซสของ
services.exe ส่งผลให้ตรวจจับได้ยากมากขึ้น
และม้าโทรจันเองจะหลอกล่อให้ผู้ใช้ทำการติดตั้งด้วยวิธีเดียวกันกับการติดตั้งไดร์เวอร์อุปกรณ์ใหม่ภายในเครื่อง
ความสามารถด้านระบบเครือข่ายของม้าโทรจันนี้คือสามารถดาวน์โหลดม้าโทรจันชนิดอื่นจากเว็บไซต์ต่างๆ
รวมทั้งการส่งแพ็กเก็ตแบบ UDP ไปยังเครื่องที่ถูกม้าโทรจันนี้คุกคาม เพื่อ
ลักษณะของอีเมลมีดังนี้
หัวข้ออีเมล * A killer at 11, he's free at 21 and kill
again!
* U.S. Secretary of State Condoleezza Rice has kicked German
Chancellor Angela Merkel
* British Muslims Genocide
* Naked teens attack
home director.
* 230 dead as storm batters Europe.
* Re: Your text
*
Radical Muslim drinking enemies's blood.
* Chinese missile shot down Russian
satellite
* Chinese missile shot down Russian aircraft
* Chinese missile
shot down USA aircraft
* Chinese missile shot down USA satellite
* Russian
missile shot down USA aircraft
* Russian missile shot down USA satellite
*
Russian missile shot down Chinese aircraft
* Russian missile shot down
Chinese satellite
* Saddam Hussein safe and sound!
* Saddam Hussein
alive!
* Venezuelan leader: "Let's the War beginning".
* Fidel Castro
dead.ไฟล์ที่แนบมากับอีเมล
* FullVideo.exe
* Full Story.exe
*
Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
*
MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
*
ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
*
FullNews.exe
ตัวอย่างอีเมลที่หนอนชนิดนี้ส่งออกมา
วิธีการแพร่กระจาย
ม้าโทรจันชนิดนี้สามารถแพร่กระจายโดยหนอนอินเทอร์เน็ตปล่อยออกมา
หรือผ่านอีเมลสแปมที่ม้าโทรจันส่งออกมา
* ส่งอีเมลออกมาเป็นจำนวนมาก :
ม้าโทรจันจะส่งอีเมลสแปมที่มีไฟล์โทรจันแนบออกไป
* เครื่องอาจทำงานผิดพลาด :
เนื่องจากม้าโทรจันจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
* เปิดการเชื่อมต่อที่ผิดปกติ :
ม้าโทรจันชนิดนี้เปิดการเชื่อมต่อไปยังพอร์ต 4000/UDP และ 7871/UDP
เมื่อม้าโทรจัน Trojan.Peacomm ถูกเอ็กซิคิวต์
ม้าโทรจันจะมีกระบวนการดังนี้
วิธีกำจัดหนอนชนิดหนึ่ง
1. การกำจัดหนอนแบบอัตโนมัติ (หมายเหตุ เนื่องจากม้าโทรจันชนิดนี้เป็นรูทคิทด้วย ดังนั้นจึงต้องทำการลบรูทคิอก่อน) ดาวน์
โหลดโปรแกรมกำจัดรูทคิทที่ชื่อ Trend Micro Rootkit Bluster (http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1049.zip)
จากนั้นทำการแตกไฟล์บีบอัด พร้อมกับเอ็กซิคิวต์
2. กดปุ่ม Scan ในหน้าต่างหลักของโปรแกรมที่ดาวน์โหลดได้จากข้อ เพื่อเริ่มทำการค้นหารูทคิทที่แอบฝังในเครื่อง
3. เลือกไฟล์ดังต่อไปนี้ โดยการกดปุ่ม Shift ที่คีย์บอร์ดค้างไว้แล้วใช้เม้าส์คลิ๊กเลือกที่โปรแกรม
- PEERS.INI
- WINCOM32
- WINCOM32.INI
- WINCOM32.SYS
4. จากนั้นกดปุ่ม Delete Selected Items เมื่อเสร็จสิ้นกระบวนการกำจัดรูทคิทแล้วจะปรากฏไดอะล็อกเพื่อถามให้รีสตาร์ทเครื่อง ในขั้นนี้ให้ตอบ Yes
5. เริ่มต้นส่วนของการกำจัดไฟล์ของม้าโทรจันด้วยการดาวน์โหลดโปรแกรม Sysclean.com
จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
6. ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/viruspattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
7. แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx ไปเก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 5.
8. ตัดการเชื่อมต่อเครือข่าย
9. หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
10.จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
11. เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
12. ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
วิธีป้องกันตัวเองจากหนอนชนิดนี้
1. ควรลบอีเมลที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอีเมลสแปมและอีเมลลูกโซ่ทิ้งทันที
2. ห้ามรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใครและไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น
3. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk)
ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
4. ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด
5. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสให้ทันสมัยอยู่เสมอ
6. ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่ http://thaicert.nectec.or.th/paper/virus/zone.php
7. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
8. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอีเมลของทีมงาน ThaiCERT ได้ที่ http://thaicert.nectec.or.th/mailinglist/register.php
9. สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไวรัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
ข้อมูลอ้างอิง
http://www.outpost24.com/
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-011917-1403-99&tabid=1
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSMALL%2EEDW&VSect=P
http://cme.mitre.org/data/list.html#711
*** ThaiCERT ขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันแก้ไขเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ขึ้นอยู่กับระบบปฎิบัติการ โปรแกรมป้องกันไวรัส และโปรแกรมอื่นๆ ที่ติดตั้งเองในเครื่องคอมพิวเตอร์ของท่านเอง***
หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์
