ฆ่าล้างเผ่าพันธุ์ Conficker

ชื่อที่คุ้นหู Conficker , Downandup , Kido เป็นหนอนที่แพร่กระจายตัวเองโดยโจมตีผ่านช่องโหว่ Windows Server service (SVCHOST.EXE) ของระบบปฏิบัติการไมโครซอฟท์วินโดว์ รายละเอียดติดตามได้ที่ http://www.thaicert.nectec.or.th/advisory/alert/conficker_r.php

เมื่อติดหนอนชนิดนี้แล้ว สิ่งที่เกิดขึ้นคือ เครื่องแม่ข่ายที่ทำหน้าที่เป็นโดเม็น จะเกิดภาวะ Over Load คือ ไม่สามารถรองรับการเรียกใช้งานของเครื่องลูกข่ายได้ สืบเนื่องมาจากหนอนชนิดนี้จะสร้าง Connections จำนวนมาก

วิธีสังเกตุการติดเชื้ออย่างง่ายคือ

• คลิ๊กที่ start –> accessories –> system tools –> scheduled tasks จะสังเกตุเห็น tasks ที่ขึ้นต้นด้วย At

• ที่ Task Manager จะสังเกตุการทำงานของ Process ที่ชื่อ rundll32.exe จำนวนมาก

• ที่เบราเซอร์ จะไม่สามารถเข้าเว็บไซต์ที่เป็นระบบ https และเว็บไซต์เกี่ยวกับ antivirus รวมไปถึงเว็บไซต์ของ microsoft ด้วย

เมื่อมีอาการอย่างใดอย่างหนึ่งใน 3 อาการข้างต้นนี้ ขอให้แน่ใจได้เลยว่า เครื่องของท่านอาจจะมีหนอนชนิดนี้ฝังตัวอยู่ในเครื่องแล้ว การแก้ไขปัญหาของหนอนชนิดนี้ ค่อนข้างยุ่งยากพอสมควร เพราะหนอนอาศัยการทำงานผ่านระบบเครือข่าย ที่สำคัญดังนี้

• แชร์ไฟล์ โดยไม่ใส่รหัสผ่าน หรือรหัสผ่านคาดเดาได้ง่าย
• ตั้งรหัสผ่านของ Administrator หรือผู้ที่ถือสิทธิของ Administrator ง่ายเกินไป
• ฐานข้อมูลของ Antivirus เป็นรุ่นเก่า
• การใช้งาน Flash Drive อย่างไม่ระมัดระวัง

ขั้นตอนการกำจัดหนอนชนิดนี้ ฉบับราชมงคลล้านนา (เฉพาะ ระบบปฏิบัติการ windows 2003 server 32 และ 64 bit) คือ

• ดาวน์โหลด patch และ Fix tools ที่นี่ [download id=”4″] (เฉพาะ kb890830 และ kkiller ให้ดาวน์โหลดเวอร์ชั่นล่าสุดจากเว็บไซต์เจ้าของผลิตภัณฑ์)
  • หรือตรวจสอบไฟล์ KB ดังต่อไปนี้ที่เว็บไซต์ Microsoft อีกครั้ง
    • KB957097
    • KB958644
    • KB958687
    • kb890830 ** สำหรับสแกนไวรัส ในเว็บ noc.rmutl.ac.th นี้เวอร์ชั่น 2.8
    • KKiller.exe ในเว็บ noc.rmutl.ac.th นี้เวอร์ชั่น 3.4.4
• ทำการแตกไฟล์ไว้ตำแหน่งที่สังเกตุเห็นได้ชัด
• ตรวจสอบดูว่า ระบบปฏิบัติการที่ใช้เป็น 32 หรือ 64 bit

• ให้หยุดการทำงานของ antivirus ในเครื่อง เพื่อป้องกันการรบกวนการทำงานของซอฟต์แวร์ตัวอื่น **สำคัญมาก

• ยกตัวอย่างว่าเป็น 64 bit ขั้นตอนแรก ให้คลิ๊กที่ ไฟล์ KKiller.exe

• ทำการสแกนหนอนอีกครั้งด้วยเครื่องมือของไมโครซอฟต์ที่ชื่อว่า windows-kb890830-x64-v2.8.exe (เจอหรือไม่เจอไวรัส ก็ไม่เป็นไรครับ)
• ให้ทำการติดตั้ง patch (เลือกว่าเป็น 32 หรือ 64 bit) ให้ครบทั้ง 3 ตัว เพื่ออุดช่องโหว่ที่หนอนใช้ในการติดต่อ

• รีสตาร์ทเครื่องทันที
• เมื่อรีสตาร์ทเครื่องมาแล้ว ให้หยุดการทำงานของ Antivirus ในเครื่อง
• ใช้ Antivirus Online ในการตรวจสอบอีกครั้ง (เลือกตัวใดตัวหนึ่งก็ได้ แต่ผมเลือก kaspersky ขนาดประมาณ 50 Mb)
  • Kaspersky
  • Trend Micro
  • Bitdefender ** ติดตั้งที่เครื่องแม่ข่าย ล็อกอินด้วยผู้ใช้ที่มีสิทธิ Administrator แล้วสั่งสแกนทั้งระบบ รวมไปถึงเครื่องลูกข่ายที่ Join Domains ด้วย
• ให้ทำการเปิดระบบ Automatic update และทำการ update ระบบปฏิบัติการทันที
• ทดสอบว่ายังมีอาการผิดปกติดังที่แจ้ังไว้ขั้นต้นหรือไม่ หากไม่พบแล้ว แสดงว่า ได้กำจัดหนอนชนิดนี้ออกจากเครื่องเป็นที่เรียบร้อยแล้ว แต่ต้องคอยดูแลอีกซักระยะ เพื่อไม่ให้กลับมาติดอีก

** หวังว่า คงช่วยแก้ไขปัญหาเบื้องต้นได้นะครับ