ไฟล์ที่C:\WINDOWS\System32\svchost.exe Mcafee มัน Alert แก้ยังไงดีครับ

[akenan2007_old]

ไฟล์ที่C:\WINDOWS\System32\svchost.exe Mcafee มัน Alert แก้ยังไงดีครับ
ผมมีปัญหาว่า McAfee มัน Detected เจอ Virus แต่ไม่สามารถ Clean ได้ มันเลย Alert อยู่อย่างนั้นทั้งวัน โดยขึ้น Alert อย่างนี้ครับ

Name : C:\WINDOWS\System32\svchost.exe:KERNEL32.LoadLibraryA
Detected As : BO:Writable BO:Stack
Detection Type : Buffer Overflow
Status : Blocked Buffer Overflow Protection






เครื่องที่เป็นโดยส่วนมากจะเป็นwindowsXP sp3 น่ะครับ
เวลาเปิดเครื่องได้สักพักหนึ่งก็จะโชว์ error ออกมาอีกอย่างนี้ครับ





ส่วนwindowsXP sp2 จะอัพเป็น sp3 ก็ฟ้องว่าเจอ worm ติดในไฟล์ .jpg ขึ้นมาเฉยเลยครับ



เครื่่องพวกนี้บางเครื่องเคยโดน sality เล่นงานมาแล้ว แต่ผมก็ฆ่ามันเรียบร้อยแล้ว สงสัยผมจะยังฆ่า Worm ยังไม่หมด
หรือว่าฆ่าหมดแล้วแต่ไฟล์ svchost.exe ยังเสียหายอยู่
จะมีวิธีแก้อย่างไรบ้างครับ
ช่วยชี้แนะทีน่ะครับ


.

[Neverdie_bo]

เหมือนเครื่องผมเลยครับอาการแบบนี้เลย เคยโดน sality มาแล้วครั้งหนึ่งเพราะตอนที่โดนในเครื่องไม่ได้ใช้ตัว anti virus สักตัวเลย

แต่ผมก็จัดการไปเรียบแล้วนะครับ แต่ก็ยังสงสัยเหมือนกันว่าทำไมมันจึงมีอาการแบบนี้

[akira]

มาตอบคำถามเพื่อความกระจ่างครับ ปัญหานี้ไม่เกี่ยวกับ sality แล้วครับ แต่เกี่ยวกับเวิร์มอีกตัวหนึ่งคือ
สาเหตุของปัญหานี้เกิดจากเครื่องนี้ตอนนี้ติดเวิร์มที่มีชื่ออย่างเป็นทางการตามนี้
Worm:Win32/Conficker.A (Microsoft)
Crypt.AVL (AVG)
Trojan.Downloader.JLIW (BitDefender)
Win32/Conficker.A (CA)
Win32/Conficker.A (ESET)
Trojan.Win32.Pakes.lxf (F-Secure)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
W32/Conficker.E (Norman)
W32/Confick-A (Sophos)
W32.Downadup (Symantec)
Trojan.Disken.B (VirusBuster)
TA08-297A (other)
CVE-2008-4250 (other)
VU827267 (other)
Win32/Conficker.worm.62976 (AhnLab)



สาเหตุหลักที่ทำให้ติดเวิร์มตัวนี้ได้เนื่องจากเครื่องนี้ยังไม่ได้อัพเดตจาก service pack 2 เป็น service pack3

ในเครื่องที่ลงแค่ sp2 และยังไม่ได้อัพเดตอะไรเพิ่มเติมอีกเลยจะมีช่องโหว่ที่ใช้บุกรุกได้คือ Vulnerability in Server Service Could Allow Remote Code Execution (921883) จาก Security Bulletin MS08-067 ซึ่งช่องโหว่ใน Windows Server service (SVCHOST.EXE) ถ้าถูกนำมาใช้ในการบุกรุก มันจะทำให้สามารถเอคซีคิวต์โค้ดของเวิร์มได้จากระยะไกลเมื่อมีการเปิดการแชร์ไฟล์เอาไว้

ต้องอัพเดต patch KB958644 ที่นี่ http://www.microsoft.com/technet/security/...n/MS08-067.mspx

การติดตั้งตัวเองของเวิร์ม

เวิร์มจะทำการค้นหาไฟล์ services.exe ในวินโดวส์ แล้ว inject ตัวเองเข้าไปในไฟล์นี้
หลังจากนั้นเวิร์มจะเริ่มคัดลอกตัวเองเข้าสู่ system(เช่น C:\Windows\system) โดยมีชื่อไฟล์เป็น <random>.dll โดยชื่อที่ random ขึ้นมาจะมีความยาว 5-8 ตัวอักษรพิมพ์เล็กเท่านั้น เช่น nxyme.dll
เวิร์มจะทำการปรับเวลาของไฟล์ dll ที่ตัวเวิร์มไข่ไว้ให้ตรงกับไฟล์ kernel32.dll ของระบบเพื่อกำบังไม่ให้ทราบเวลาที่เครื่องติดเวิร์ม

และทำการเปลี่ยนแปลงค่าในรีจิสทรีเพื่อให้เอคซีคิวต์ไฟล์ dll ที่สร้างขึ้นเป็น service โดยการเพิ่มค่าลงใน subkey เหล่านี้

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\"ServiceDll" = "Path to worm"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

เช่น

Adds value: "DisplayName"
With data: "0"
To subkey: HKLM\SYSTEM\CurrentControlSet\Services\vcdrlxeu

Adds value: "ServiceDll"
With data: "<system folder>\nxyme.dll"
To subkey: HKLM\SYSTEM\ControlSet001\Services\vcdrlxeu\Parameters


เมื่อเครื่องถูกด้วยเวิร์มเรียบร้อยแล้ว เวิร์มจะทำการ patch ช่องโหว่ที่ใช้ในการบุกรุกให้ด้วย simple code hook เพื่อป้องกันไม่ให้เครื่องติดซ้ำอีกรอบ(ประมาณว่าติดครั้งเดียวพอละกันนะมึง) หลังจากนั้นเวิร์มจะเริ่มเปิดพอร์ตและเริ่มฟังแบบสุ่ม ระหว่างพอร์ต 1024 ถึง 10000 และ bypass ไฟร์วอลล์ด้วย APIs และเวิร์มยังสามารถหยุด Internet connection sharing service ได้อีกด้วย


การระบาดในเครือข่าย

Win32/Conficker.A จะคัดลอกตัวเองเข้าสู่หน่วยความจำ และเริ่มแพร่กระจายไปเครื่องอื่นๆแบบสุ่ม (สุ่ม IP address ในเครือข่าย) โดยอาศัยช่องโหว่ใน svchost.exe ถ้าบุกรุกช่องโหว่สำเร็จ เวิร์มจะเริ่มคัดลอกตัวเองจากเครื่อง host ผ่านโปรโตคอล HTTP ไปยังเครื่องใหม่ทาง port ที่เปิดไว้โดยเวิร์ม
เวิร์มจะใช้ URL เหล่านี้เพื่อระบุ geographic location ของคอมพิวเตอร์

* hxxp://www.getmyip.org
* hxxp://getmyip.co.uk
* hxxp://checkip.dyndns.org
* hxxp://whatsmyipaddress.com

เพื่อหลีกเลี่ยงไม่ให้เวิร์มติดเครื่องของชาวยูเครน
(คนสร้างคงเป็นชาวยูเครนมั้ง)

Payload

สร้าง HTTP server
เวิร์มจะเปิด port แบบสุ่มระหว่าง 1024 ถึง 10000 และทำตัวเป็น server(HTTP Server) ถ้าเครื่องไหนเปิดให้ควบคุมจากระยะไกล และเวิร์มสามารถบุกรุกช่องโหว่สำเร็จ เหยื่อจะติดต่อกลับมาที่ http server และดาวน์โหลดเวิร์มลงเครื่อง



เวิร์มจะทำการรีเซ๊ต system restore point โดยการลบจุดคืนค่าทั้งหมด
เวิร์มอาจจะทำการเรียก API ฟังก์ชั่น เพื่อทำการรีเซ็ตจุดคืนค่าระบบของคอมพิวเตอร์ทำให้ล้มเหลวที่จะใช้ system restore

ดาวน์โหลดไฟล์
ถ้าหลังจากวันที่ 25 พฤศจิกายน 2008 เวิร์มจะสร้าง url ที่มีฟอร์แมทตามนี้
<random ip?>/search?q=%d&aq=7
เพื่อดาวน์โหลดไฟล์เวิร์มจากที่นี่



ถ้าหลังจากวันที่ 1 ธันวาคม 2008 เป็นต้นไป เวิร์มจะดาวน์โหลด loadadv.exe จากโดเมน trafficconverter.biz มาลงเครื่องที่ติด

hxxp://trafficconverter.biz/[Removed]antispyware/[Removed].exe



การป้องกัน
ดาวน์โหลด Security Update for Windows XP (KB958644)

32 bit
http://www.microsoft.com/downloads/details...;displaylang=en

64 bit
http://www.microsoft.com/downloads/details...;displaylang=en

ระบบปฏิบัติการที่ได้รับผลกระทบ

- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 และ Windows XP Service Pack 3
- Windows XP Professional x64 Edition และ Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1 และ Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition และ Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 สำหรับ Itanium-based Systems และ Windows Server 2003 with SP2 สำหรับ Itanium based Systems
- Windows Vista และ Windows Vista Service Pack 1
- Windows Vista x64 Edition และ Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 สำหรับ 32-bit Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ x64-based Systems (Windows Server 2008 Server Core installation ได้รับผลกระทบ)
- Windows Server 2008 สำหรับ Itanium-based Systems
- Windows 7 beta


http://www.microsoft.com/technet/security/...n/MS08-067.mspx

credit:Joshua Phillips

http://vil.nai.com/vil/content/v_153464.htm




และยังมี สายพันธุ์ B ด้วย ที่อาศัยช่องโหว่เดียวกันในการติด แต่ยังติดผ่านแฮนดี้ไดรฟ์,เจาะพาสเวิร์ดแชร์โฟลเดอร์,ฝังตัวหลายที่,และป้องกันไม่ให้เข้าเว็บที่เกี่ยวข้องกับแอนตี้ไวรัสได้อีกด้วย

อ่านรายละเอียดที่นี่
http://www.microsoft.com/security/portal/E...2%2fConficker.B <-- ถ้าเครื่องติดจะเข้าไม่ได้

http://news.softpedia.com/news/Nasty-Confi...es-102798.shtml

การลบสายพันธุ์ B แบบแมนวล
http://support.microsoft.com/kb/962007 <-- ถ้าเครื่องติดจะเข้าไปอ่านไม่ได้

Centralized Information About The Conficker Worm

http://blogs.technet.com/mmpc/archive/2009...icker-worm.aspx

ดาวน์โหลดตัวแก้สำหรับ สายพันธุ์ A และ B(หรือ AA)
http://download.eset.com/special/EConfickerRemover.exe

[hina_lovex]

ใครที่ใช้ Kaspersky Internet Security 2009 มันขึ้นเตือน
Intrusion.Win.NETAPI.buffer-overflow.exploit Absent TCP from 192.168.1.75 to local port 445
แสดงว่ามีการส่ง package จาก เครื่อง 192.168.1.75 มาที่เครื่องเราให้ไปแก้ที่เครื่อง 192.168.1.75
แสดงว่าเครื่อง 192.168.1.75 ติด Worm ตัวนี้

เกิดจาก Vulnerability in Server Service Allows Code Execution (MS08-067)
รายละเอียดคุณ Akira บอกไว้แล้ว วิธีแก้ก็บอกไว้แล้ว แต่ถ้าใครอยาก Romove ด้วยระบบ Manual แล้วลองศึกษาดูก็ลองตามวิธีข้างล่างครับ

วิธี Remove Worm ตัวนี้ด้วยการ แก้ Registry (Manual)
ลองดูแล้วใช้ได้ครับ แต่ได้เฉพาะ Windows XP ลองบน Windows 2000 หาไฟล์ที่จะลบไม่เจอ

**Hidden Content: To see this hidden content your post count must be 2 or greater.**

[akenan2007_old]

ตอนนี้ผมแก้ Error svchost.exe ได้แล้วครับ


จะเหมือนกับท่าน hinalove กล่าวมา แต่ผมได้ตัวclean Worm มาใช้ได้ผลครับ
เป็นการ Clean Port Worm ที่ผิดปกติของ svchost.exe น่ะครับ

Download+การใช้งาน

**Hidden Content: To see this hidden content your post count must be 1 or greater.**

ต้องขอบคุณ ท่านhinalove กับ ท่านakira มากครับ

[pkk]

ใช้ตัวนี้ดู combofix เป็นโปรแกรมที่เกิดมาเพื่อกำจัดเจ้าพวกนี้โดยเฉพาะ แต่ที่สำคัญต้องปิด anti virus ทุกตัวก่อน เพราะ anti virus ของเรานั้นมันจะแจ้งเตือนว่าตัว combofix เป็นไวรัส

เข้าไปโหลด ตัวล่าสุดได้ ที่

**Hidden Content: To see this hidden content your post count must be 1 or greater.**

[akira]

Combo fix ทำงานได้บน OS คือ windows 2000 32 bit และ windows XP 32 bit เท่านั้น ประกาศให้ทราบโดยทั่วกัน

[ranut]

เจอปัญหานี้ในที่ทำงานเหมือนกันตามที่ search เจอมีแนะนำให้ ลอง Update Windows XP Secutiry(KB958644) แล้วแต่ไม่หาย ลองใช้ winsockxpfix.exe ก็ไม่หาย คงต้องลองใช้ wwdc.exe ตามที่คุณ akenan2007 บอกไว้

[akenan2007_old]

เวลาผม update service XP SP2 ไปเป็น SP3 Mcafee มันจะมัน Alert ออกมาดังรูป


ซึ่งต่างจากกันกับตอนที่ยังเป็น SP2 ดูได้ดังรูปน่ะครับ


ก็ไม่รู้เหมือนกันว่า มันเป็นอะไร
วิธีแก้ใข้เบื้องต้น ก็ทำการ Disable มัน ก็จะไม่ Alert แล้วล่ะครับ
แต่จะเอามันออก ยังหาวิธีอยู่ครับ




จากสาเหตุดังกล่าว ในการ update service XP SP2 ไปเป็น SP3 Mcafee มันจะมัน Alertดังที่กล่าวมาจะเป็นบางเครื่องเท่านั้นน่ะครับ
ทั้งๆ ที่ Update ไฟล์ตัวเดียวกัน windowsxp-kb936929-sp3-x86-enu
ตอนนี้ก็ยังงอยู่ หรือว่า ตัว update SP3 ไม่ถูกกันกะ Mcafee หรือป่าวหนอ???

คงต้องรอผู้รู้อีกทีน่ะครับ

....

[akira]

ผมว่านะครับถ้าลงเครื่องใหม่ด้วยแผ่น windows xp sp3 ที่มี sp3 build-in มาเลยแทนการดาวน์โหลด sp3 แบบ stand alone มาลงเองจะแก้ปัญหานี้ได้นะครับ และให้เปิด automatic update ตลอดมันจะมี patch ที่อุดช่องโหว่ ให้อย่างเช่นอันนี้ Security Update for Windows XP (KB958644) สำหรับ xp sp3 หรือ Microsoft Windows Malicious Software Removal Tool ประจำแต่ละเดิอนอะไรพวกนี้ไม่ทราบว่าได้ลงบ้างหรือเปล่า เพราะปัญหาช่องโหว่ที่อยู่ในวินโดวส์เหล่านี้ที่จะทำให้เวิร์ม หรือโทรจันต่างๆมาฝังตัวได้ทางไมโครซอฟท์ควรจะต้องเป็นคนกระตือรือร้นมาคอยอุด ไม่ใช่ให้เรามาคอยตามแก้ ถ้าอัพเดตตลอดปัญหาพวกนี้มันจะเกิดได้น้อยลง สิ่งหนึ่งก็คือปัญหานี้เนี่ยเมื่อผมลองไปค้นในกระทู้เว็บบอร์ดของ Mcafee เองกลับไม่พบวิธีแก้ไขอะไรเลย คล้ายๆกับโปรแกรมมันแค่สามารถบอกได้ว่า svchost ขณะที่แตกออกจากตัวติดตั้งอาจจะโดน buffer overflow attack จากอะไรซักอย่างแต่มันดันไม่บอกว่า อะไร หรืออยู่ที่ไหน คือแอนตี้ไวรัสไม่สามารถป้องกันในตอนนี้ได้ คือเหมือนกับมี stealth malware อยู่ และไปbuffer overflow attack svchost เวอร์ชั่นใหม่ที่มากับ sp3 ลงเสร็จรีบูตมาก็ยังโดนเล่นไปเรื่อย แต่คราวนี้ระบบป้องกันได้เริ่มทำงานแล้วเลยแจ้งเตือนขึ้นมา เลย Detected As: bo:stack (น่าจะมาจาก Buffer Overflow attack แบบ Stack Smashing)
แล้วทำไมเราไม่ฟอร์แมทเครื่องล่ะครับ
แล้วมันติดในเครือข่ายวนกันไปวนกันมา เพราะทั้งเครือข่ายมีช่องโหว่เหมือนๆกันไปหมดหรือเปล่า คือติดเวิร์มกันไปหมดทุกเครื่องแล้วอะไรประมาณนี้
อยากรู้ด้วยว่าถ้าลงแอนตี้ไวรัสยี่ห้ออื่นเช่น แคสเปอร์สกี้ บิตดีเฟนเดอร์ น๊อด หรือยี่ห้ออื่นๆ แล้วเป็นอย่างไรบ้าง

อ่านที่นี่ครับ Generic Host Process for Win32 Services Error in Security Virus

http://www.microsoft.com/communities/newsg...cr=US&sloc=