วิธีการป้องกันการติดเวิร์ม Conficker

Win32/Conficker
ภัยคุกคามที่ชื่อว่า Win32/Conficker คือ เวิร์มที่สามารถแพร่กระจายได้อย่างรวดเร็วภายในระบบเน็ตเวิร์ค เวิร์มสามารถเข้าสู่ระบบเน็ตเวิร์คได้โดยการใช้ประโยชน์จากช่องโหว่ของระบบปฎิบัติการวินโดวส์นี่เอง และช่องโหว่นี่ก็ได้แก่เซอร์วิสอย่าง RPC ของวินโดวส์ซึ่งทำให้ผู้โจมตีสามารถควบคุมจากระยะไกลได้ ส่วนการแพร่กระจายของเวิร์มนั้นก็ขึ้นอยู่กับปัจจัยที่แตกต่างกันออกไป บางครั้งคอนฟิกเกอร์สามารถแพร่กระจายในแชร์โฟลเดอร์ผ่านสื่อพกพา removable media อย่าง USB drive ที่จะเปิด Autorun ซึ่งเป็น default ในระบบปฎิบัติการวินโดวส์ (ยกเว้นใน Windows 7).

Win32/Conficker จะทำการโหลด DLL ผ่าน svchost process. เวิร์มจะทำการเชื่อมต่อไปยัง Web servers และดาวน์โหลดไวรัสมาเพิ่มเติม รายละเอียดของเวิร์ม Conficker ทั้งหมด สามารถดูรายละเอียดเพิ่มเติมได้ที่ http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.


What does this mean for the End User?
ในขณะที่ ESET สามารถตรวจจับเวิร์ม Conficker ได้ สิ่งสำคัญที่สุดที่ผู้ใช้ต้องทำคือการอัพเดท patch ของ Microsoft ที่ได้ประกาศให้ดาวน์โหลดได้ตั้งแต่ปลายปี 2008 เพื่อป้องกันการโจมตีเข้าช่องโหว่จากภัยคุกคามทั้งหมดที่ใช้การโจมตีเข้าช่องโหว่นี้ ข้อมูลของช่องโหว่นี้ สามารถดูรายละเอียดเพิ่มเติมได้ที่ http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. ในขณะที่เวิร์มชนิดอื่นๆได้ทำการแพร่กระจายผ่าน  Autorun จำเป็นต้องมีการปิดการทำงาน Autorun จึงจะลดความเสี่ยงจากการโจมตีของภัยคุกคามที่แพร่กระจายผ่านทาง Autorun  โดยส่วนมากจะจับเป็นชื่อ INF/Autorun. กลุ่มนักวิจัยใน San Diego ได้เขียนข้อมูลเพิ่มเติมเกี่ยวกับ Conficker ไว้ที่: http://www.eset.com/threat-center/blog/?cat=145
สิ่งที่สำคัญที่สุดในการป้องกัน Conficker สามารถทำได้ดังนี้ 1.อัพเดท patch ของระบบปฏิบัติการ 2.ปิดการทำงาน Autorun  3.ไม่ใช้ข้อมูลในโฟลเดอร์แชร์ที่มีความเสี่ยง 4.อัพเดทโปรแกรมป้องกันไวรัสให้มีฐานข้อมูลไวรัสใหม่ล่าสุดเสมอ ในมุมมองของคนทั่วไป Conficker มีชื่อเสียงมากในการโจมตีเข้าทางช่องโหว่มามากกว่า 1 ปี เราหวังว่าการพร่กระจายของ Conficker จะหยุดลงได้ในไม่ช้า หากผู้ใช้พึงระวังและเรียนรู้วิธีป้องกันที่ถูกต้อง