សាកលវិទ្យាលយ័ បៀលប្រាយ build bright university
DESCRIPTION
សាកលវិទ្យាលយ័ បៀលប្រាយ build bright university. រៀបរៀងដោយ និស្សិតសាកលវិទ្យាល័យ ប ៀ លប្រាយ សេង ចិត្រា ពិន សុភ័ណ លឹម គឹមសៀង ងីម សុធា សេន សុគន្ធា. ប្រធានបទ ការយល់ដឹងអំពីមេរោគ Blaster. ដឹកនាំបង្រៀនដោយ លោក សាស្ត្រាចារ្យ អ៊ូ ផាន់ណារិទ្ធ. Website: www.phannarith.com. មាតិកា - PowerPoint PPT PresentationTRANSCRIPT
សាកលវទិ្យាលយ័ បៀ� លប្រា�យ
build bright university
បៀ� �បៀ� ងបៀ�យ និស្ិសតសាកលវទិ្យាល័យ បៀ� លប្រា�យ• បៀសង ចិប្រា�• ពិន សុភ័ណ• លឹម គឹមបៀស ង• ងីម សុធា• បៀសន សុគន្ធា$
ដឹកន្ធា�ំបៀប្រាង នបៀ�យ បៀ'ក សាប្រាសា( ចា�្យ អូ៊ ផាន់ណា�ទិ$Website: www.phannarith.com
ប្រា�ធាន�ទកា�យល់ដឹងអំពីបៀមបៀ2គ Blaster
មាតិកា
១ ការយល់ដឹងពីមេ�មេ�គ២ និយ�ន័យរបស់មេ�មេ�គ Blaster៣ មេដី�កំមេ�ីតរបស់មេ�មេ�គ Blaster៤ ប្របត្តិក�្មរបស់មេ�មេ�គ Blaster មេ!មេពលចូលក្នងុ Computer៥ វធីិកំចាត់មេ�មេ�គ Blaster៦ វធីិការពារមេ�មេ�គ Blaster កំុមេ-យចូលក្នងុ Computer
១ ការយល់ដឹងពីមេ�មេ�គ
ជាដំបូងមេយីងទាងំអស់គ្នា្ន គួរស្វែស4ងយល់អំពីមេ�មេ�គជា�ុនសិនថាមេតីវាជាអ4ី?ចូរពិនិត្យមេ�ីលសំនួរ និងចំមេលីយខាងមេប្រកា� និងស្វែស4ងយល់មេ9យខ្លួនអ្នកផង
1-មេតីមេ�មេ�គកំុព្ូយទរម័ានបុ៉ន្មា្ម នប្របមេ@ទ?
2-មេតីមេ�មេ�គកំុព្ូយទរម័ានតំមេ�ីរការដូចមេ�្តច?
3-មេតីអ្នកសរមេសរក�្មវធីិមេ�មេ�គមានមេគ្នាលបំ�ងអ4ី?
4-មេ�មេ�គកំុព្ូយទរម័េកីត�កពីណា?
5- មេតីមេ�មេ�គកំុព្ូយទ័រវវិឌ្ឍន៍ខ្លូនយ៉៉ាងដូចមេ�្តច?
6-មេ�មេ�គកំុព្ូយទ័រឆ្លងចូលកំុព្ូយទ័រតា�រយះអ4ី?
7-មេតីមេយីង-ចថាកំុព្ូយទ័រមេយីងមានមេ�មេ�គតា�រយះអ4ី?
1- មេតីមេ�មេ�គកំុព្ូយទរម័ានបុ៉ន្មា្ម នប្របមេ@ទ?មេ�មេ�គកំុព្យូទរម័ាន៣ប្របមេ@ទគឺ
-Adware-spyware-Trojan
2- មេតីមេ�មេ�គកំុព្ូយទរម័ានតំមេ�ីរការដូចមេ�្តច? មេ�មេ�គកំុព្យូទរម័ានតំមេ�ីរការដូចខាងមេប្រកា�
-បិទកំុព្យូទ័រ�ិនមេ-យដំមេ�ីរការ-បិទក�្មវធីិកំុព្យូទ័រ�ួយចំនួន រ ឺខូចឯកសារ-បិទកំុព្យូទ័រមេ9យស4័យប្របវត្ត-បំផ្លា្ល្ញ ញ Software និង Hardware
3- មេតីអ្នកសរមេសរក�្មវធីិមេ�មេ�គមានមេគ្នាលបំ�ងអ4ី? អ្នកសរមេសរក�្មវធីិមេ�មេ�គមានមេគ្នាលបំ�ង
-ក្នងុការកំសាន្ត-បំផ្លា្ល ញរលូឺចឯកសារអ្នកដរទៃទ-រកប្រQក់-មេ9យសារការសាកល្បងរបស់អ្នកសរមេសរក�្មវធីិ
-ប្របប្រពឹត្តអំមេពីភាវរក�្ម
4- មេ�មេ�គកំុព្យូទរម័េកីត�កពីណា?-មេ�មេ�គកំុព្យូទរម័េកីត�កពីការសរមេសរកូដរបស់ក�្មវធីិ Vb , Program C,
Script5- មេតីមេ�មេ�គកំុព្ូយទ័រវវិឌ្ឍន៍ខ្លូនយ៉៉ាងដូចមេ�្តច?
មេ�មេ�គកំុព្យូទ័រវវិឌ្ឍន៍ខ្លូនមេ9យសារអ្នកសរមេសរក�្មវធីិ មេចះស្វែតសមេសរក�្មវធីិUpdate រហូត
6- មេ�មេ�គកំុព្យូទ័រឆ្លងចូលកំុព្ូយទ័រតា�រយះអ4ី?មេ�មេ�គកំុព្យូទ័រឆ្លងចូលកំុព្យូទ័រតា�រយះ
-ឧបករ�៍ចំឡងឯកសារ usb flash -Internet
-Network7- មេតីមេយីង-ចដឹងថាកំុព្យូទ័រមេយីងមានមេ�មេ�គតា�រយះអ4ី?
មេយីង-ចដឹងថាកំុព្យូទ័រមេយីងមានមេ�មេ�គតា�រយះកំុព្យូទ័ររបស់មេយីងQត់ Star, Run, search, Regedit. . . . .មេហីយមេយីង-ចដឹងQនតា�រយះ ក�្មវធីិ�ួយចំនួនដូចជា Process XP, Task Manager . . . . មេហីយវានិង-ច Blue and Black screen ផងស្វែដរ។
មេ�មេ�គរបស់ Computer ហាក់ដូចជា កំពុងស្វែតលិចមេឡងីជាមេរ Yយៗ មេ9យគ្នា្ម នទីកស្វែន្លងពិតប្រQកដមេន្មាះមេឡយី ។ វាQនចាប់មេផ្តី�ពី Computer �ួយ ស្វែដលមានសភាព ធ�្មតារហូតមេ[ដល់ Computer មេប្រចីនមេហីយ មេប្របី�ិនមេកីតមេទ\ត ។ មេ!ក្នងុបណា្ត ញរបស់ប្របពន្ឋ័ Internet មានមេ�មេ�គជាមេប្រចីនQនបង្កប់ខ្លួនមេ!ក្នងុមេន្មាះ មេហីយមានរ�ួទាងំមេ�មេ�គ Blaster និងSasser ផងស្វែដរ ។ មេទាះជាយ៉៉ាងណាក៏មេ9យ Blaster និង Sasser មានមេគគិតថាវា�ិនស្វែ�នជាមេ�មេ�គមេន្មាះមេទ ពួកមេគQនប្របងុប្របយត្ន័ណាស់ក្នងុការចិញ្ចិ�មេ�មេ�គមេនះ ស្វែតពួកមេគប្រតវូQនជំពាក់បំ�ុលមេគ មេ9យសារ ពួកមេគនឹងQនមេe មេ�មេ�គរបស់ខ្លូនថា Anti_virus ស្វែតវាស្វែក្លងកា្ល យមេទ ។ ពួកមេគQនព្យាយ៉ា� មេធ4ីស្វែបបបទមេ-យប្រសមេដ\ងមេ[និង Anti_virus ពិតៗ មេហីយព្យាយ៉ា�បមេgh តមេ-យអ្នកទិញ ទិញយកមេ[សំលាប់មេ�មេ�គស្វែដលមានមេ!ក្នងុ Computer របស់ខ្លួន ស្វែតស្វែបរជាសំឡាប់�ិនQនមេហីយ ឆ្លងមេ�មេ�គមេនះចូលមេទ\ត ។ ដូចមេនះ Blaster និងSasser ជាមេ�មេ�គ�ួយមេ!ក្នងុចំមេណា�មេន្មាះស្វែដរ ។ មេនះជាទមេង4ី�ួយ ដ៏ស្វែសន-ប្រកក់ ស្វែដលQនលាយឡ ំជា�ួយ និង Program របស់ Anti_virus .
MSBLAST ឬ Blaster គឺជាប្របមេ@ទមេ�មេ�គ�ួយស្វែដលឆ្លងចូលម៉ាសីុនQនតា�រយះការភាl ប់មេ[កាន់បណា្ត ញទៃន Network . វា-ចចូលលុកលុយមេ!ក្នងុប្របពន្ឋ័ទៃនបណា្ត ញ Networkរបស់ ម៉ាសីុន Computer ទាងំប្រសងុ ឬ ជាម៉ាសីុន Computer ស្វែត�ួយស្វែដលមានភាl ប់មេ[កាន់ប្របពន្ឋ័ Internet ។ មេ�មេ�គមេនះQនជះឥទ្ឋិពលមេ[មេលី windows ស្វែដលមេធ4ីមេ-យ តំទៃលរបស់Windows ធ្លា្ល ក់ទាបដល់ចំ�ុច�ួយ ស្វែដរទាបបំផុត មេប្រពាះ windows ងាយប្រសលួក្នងុការប្រជាតចូលមេពក ។ មេទាះជាយ៉៉ាងណាក៏មេ9យ ក៏មេ!មាន System �ួយចំនួន ស្វែដលប្រតវូQនប្រជាតចូលពីមេ�មេ�គប្របមេ@ទមេនះស្វែដរ ។
មេ�មេ�គមេនះមានលក្ខ�ៈខុសពីមេ�មេ�គដទៃទមេទ\ត មេប្រពាះវាមេធ4ីកា�ល9លតា�រយៈ Network។ Blaster From Virus មេធ4ីកាមេប្រជ\តចូលមេហីយលាក់ខ្លួនតា�រយៈ Remove Procedure
ស្វែដលមេeថា ដំមេ�ីការរបស់ (RPC)។ មេ!មេពលស្វែដលវាQនចូលមេ[ក្នងុប្របពន្ធ របស់អ្នកជាមេលីកដំបូង មេយីង-ចកត់ចំណាQំនថាប្របពន្ធរបស់អ្នកមានកាធ្លា្ល ក់ចុះ �្តងមេហីយ�្តងមេទ\ត មេ!មេពលស្វែដលមេយីងព្យាយ៉ា� ភាl ប់មេ[កាន់ Network។
២ និយ�ន័យរបស់មេ�មេ�គ Blaster
៣ មេដី�កំមេ�ីតរបស់មេ�មេ�គ Blaster
blaster worm មេយីង-ចមេeQន�៉្យាងមេទ\តថា Lovsan, Lovesan or MsBlast វា ជាមេ�មេ�គរបស់ Computer ស្វែដលវាដំមេ�ីរការមេ!ក្នងុ Computer ជាMicrosoft operating systems :ដូចជា Windows XP, Windows 2000 និង Windows 2003 មេ!ក្នងុអំឡុងស្វែខ August ឆ្នា្ន ំ2003.
មេ�មេ�គមេនះប្រតវូQនប្របកាស់ និង ចាប់មេផ្តី�លាតប្រត9ងមេឡងីមេ!ក្នងុ ទៃuvទី ១១ ស្វែខ សីហាឆ្នា្ន ំ២០០៣ មេហីយវាមាន-ប្រតាមេកីនមេឡងី ខ្ពស់បំផុតមេ!ក្នងុ ទៃuvទី ១៣ ស្វែខ សីហា ឆ្នា្ន ំ២០០៣ ។ វាប្រតវូQនរកមេyីញមេ9យ ISPs និងប្រតវូQនផ្សព4ផ្សាយជាសាធ្លារ�ះអំពី ការទប់សា្ក ត់ការ�ល9ល ទៃនប្របមេ@ទមេ�មេ�គ Blaster ។
មេ!ក្នងុទៃuvទី ២៩ ស្វែខសីហា ឆ្នា្ន ំ២០០៣ មេលាក Jeffrey Lee -យុ ១៨ ឆ្នា្ន ជំា�នុស្សមា្ន ក់�កពីរដ្ឋ�ួយមេ!ក្នងុ Hennepin Country, Minnesota, UnitedStates ប្រតវូQនឃាត់ខ្លួនពីបទ បមេង្កីតមេ�មេ�គ B ស្វែដលQនស្វែប្របកា្ល យខ្លួនពីមេ�មេ�គBlaster �ក។ គ្នាត់Qនប្រព�ទទួលខុសប្រតវូ និងប្រព�ទទួលការកាត់មេទាសមេ-យជាប់គុក រយះមេពល ១៨ស្វែខ មេ9យចាប់ពីស្វែខ �ក� ឆ្នា្ន ំ២០០៥ �ក។
មេយ៉ាងតា�ឯកសារតុលាការ The Blaster Worm ដំបូងប្រតវូQនបមេង្កីត មេឡងីពីការប្រប�ូលផ្តុំជនជាតិចិន ស្វែដលមេeថា បប្រg្ច ស់ Xfocus មេ!មេពលមេធ4ីមេ-យ ម៉ាសីុនមេ!បំស្វែ�ក Microsoft ជាដំបូងស្វែដលមេ-យ មេ�មេ�គមេធ4ីការវវាយប្របហារ ។
មេ�មេ�គមេនះQន�តត្បាតមេធ4ី-ជីវក�្ម Blaster overflow ពាសមេពញសកលមេលាក ស្វែដលQនរកមេyីញមេ9យប្រក�ុអ្នកជំន្មាញជនជាតិបូ៉ឡូញ ។ ក្នងុដំណាក់ការចុង មេប្រកាយទៃនការរមេវ Yយរវាយ (Delirium) មេ!ក្នងុមេសវា� DCOM RPC មេ[មេលីប្របព័ន្ធស្វែដល ប្របតិបត្តិទទួលផលប៉ះពាល់មេ!មេដី�ស្វែខក្នងុ MS03-026 ចុងស្វែខក្នងុ MS03-039 ។ បg� មេនះបណា្ត លមេ-យមេ�មេ�គមេនះ�តត្បាតទៃនមេប្របីប្រQស់ធ�្មតា ស្វែដលមេធ4ីមេ-យពប្រងីកខ្លួនចំនួន កាន់ស្វែតធំមេ!ទីកស្វែន្លង IP ។
ឥទ្ឋិពលបៀពលបៀមបៀ2គចូលដំ�ូងBlaster Worm មេពលចូលក្នងុម៉ាសីុន Computer មេយីងដំបូងវាQនចូលមេ[ Block
Virus និង windows firewall �ុនមេគមេប្រពាះវា��ំងដំមេ�ីរការ របស់វា បន្មា� ប់�កវាQនមេ[បិទ�ិនមេ-យ program ដ៏ទៃទមេទ\តដំមេ�ីរការ ជាពិមេសស program ស្វែដលមាន Extension*. exe ។ មេប្រកាយពីQនបិទដំមេ�ីររបស់ ProgramមេហីយវាQនបងា� ញនូវសារ9ស់មេត�នរលឹំក ថាម៉ាសីុន Computer មេយីងប្រតវូQនបិទ �ង�ល់បុ៉ន្មា្ម នន្មាទីបន្មា� ប់ ។ វាQនមេធ4ីមេ-យ Computer មេដីរយឺតជាង�ុន ផ្លា� ងំ Desktop ប្តូរមេ[ជាព�៍មេ�្ម Qត់ផ្លា� ងំ Icon មេ!មេលី Desktop មេលីកស្វែលងស្វែតរ system tool និង file របស់ម៉ាសុីនស្វែតរបុ៉នមេន្មាះ ស្វែដរ�ិនប្រតវូQនQត់ បុ៉ស្វែន្ត មេយីង�ិន-ចមេធ4ីការមេលីម៉ាសីុនរបស់មេយីងQនមេទ ។ ក្នងុករ�ី មេយីងចង់ Download Antivirus ឬ Removal tool ពី ប្របពន្ឋ័ Internet ក៏មេ9យក៏ �ិន-ចដំមេ�ីរការQនស្វែដរ មេប្រពាះមេ�មេ�គQន block �ុន និង មេពលអ្នក Run នូវក�្មវធីិមេនះ មេទាះជាមេយីងខំចូលចាប់តា�រយះ Registry ក៏មេ9យ ក៏�ិនមានមេពលប្រគប់ប្រគ្នាន់ក្នងុការចាប់វាស្វែដរ មេប្រពាះមេយីងមានមេពលតិចមេពក ក្នងុការចូលមេ[ System និង បិទមេ!បុ៉ន្មា្ម នន្មាទីបន្មា� ប់ ។ មេបីមេយីងមេ!ស្វែតរព្យាយ៉ា� ក្នងុការ Run នូវ program ទាងំមេន្មាះមេទ\ត មេយីងនិងទទួលQន ផ្លា� ងំសារពី windows Defender (??) ថា “This Program is infected byW32/blaster.worm……\..” ។
៣ ប្របត្តិក�្មរបស់មេ�មេ�គ Blaster មេ!មេពលចូលក្នងុ Computer
មេយីង�ិន-ចបិទផ្លា� ងំមេន្មាះមេប្រកាយមេពលមេចញផ្លា� ងំសារបgl ក់ Qនមេន្មាះមេទ
មេទាះបីជាប្របមេ@ទមេ�មេ�គមេនះឆ្លងស្វែតចំមេពាះ Systems Running មេលីប្របមេ@ទ Windows 2000ឬក៏ Windows XP ទំហំ 32 bit វានិង�ិនមានមេស�រភាពមេ!ក្នងុ មេសវា�ក�្ម RPC មេ!ក្នងុ Systems Running ចំមេពាះ Windows NT, Windows XP (64 bit) និង
Windows Server 2003. ក្នងុករ�ីពិមេសស វានិង�ិន-ចឆ្លងចូលក្នងុប្របមេ@ទWindows Server 2003 មេទ ពីមេប្រពាះវានិងប្រប�ូលផ្តុំជា�ួយនិង GS switch មេបីមេ�មេ�គ ប្រចានមេចារ និង បិទមេ!ការ Process របស់ RPCSS ភា្ល � .ស្វែដលមានផ្លា� ងំដូចខាងមេប្រកា�ប្របសិនមេបីមេ�មេ�គមេនះQនចូល�កដល់មេ!ក្នងុប្របពន្ឋ័របស់ Internet និងមេធ4ីមេ-យប្របពន្ឋ័មេនះ�ិនស�ិតមេស�រ មេ!ក្នងុការបងា� ញ មេហីយវានិង Restartបន្មា� ប់ពីមេចញផ្លា� ងំមេនះរយះមេពល ៦០ វនិ្មាទី�ក។
វានិងចង្អុលបងា� ញមេហតុការ�៍ដំបូងបន្មា� ប់ពីអ្នកមេប្របីប្រQស់ ដឹងថាវាមានបង្កប់មេ�មេ�គ ។ វាមេកីតមេឡងីជាញឹកញាប់បន្មា� ប់ពីររយះមេពល ២ ឬ ៣ ន្មាទីបន្មា� ប់ �ល់មេពល ចាប់មេផ្តី�ដំមេ�ីរការម៉ាសីុនQន ប្រសលួបួល�្តងៗ ។
ពាក្យស្វែដលមានក្នងុផ្លា� ងំមេន្មាះនិយ៉ាយថា System Shutdown: This system is shutting down. Please save all
work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM
Time before shutdown : hh:mm:ss Message: Windows must now restart because the Remote Procedure Call
(RPC) Service terminated unexpectedly.មេនះគឺជាតំណាក់ការដំបូងស្វែដលអ្នកមេប្របីប្រQស់Qនឆ្លងមេ�មេ�គមេនះ ។ មេហីយវានិងមេកីតមេឡងី
ជាញឹកញាប់បន្មា� ប់ពីបុ៉ន្មា្ម នន្មាទីចាប់មេផ្តី�ដំមេ�ីរការម៉ាសីុនQន ប្រសលួបួល�្តងៗ
Computer Virus RisksវាQនមេធ4ីកាវាយប្របហាតា�ប្របមេ@ទមេផ្សងៗគ្នា្ន មេ!ក្នងុ computer មេហីយនិងការមេប្រជ\ត
ចូល តា��មេធ្យាQយមេផ្សងៗ ដូចជា MS Blaster មានឥទ្ធិពលចូលមេប្រ�មេ[ក្នងុប្របពន្ធ័Computer ពាសមេពញពិ@ពមេលាគ។ បន្មា� ប់ពីមានគំនិតជាមេប្រចីនQនរបួរ�ួថានិងប្រតវូចំណាយលុយ�ប់លានដូលា មេដី�្ីបសំ-តមេចាលភាពមេប្រតតប្រតតស្វែដលមេកីតមាន និងមេធ4ីការ បមេង្កីត រចន្មាស�្ពន័ជាu្មី។ មេ!ខ�ៈមេពលស្វែដល ពត៏មានវទិ្យាប្រតវូបមេង្កីតមេឡងីជាក់លាក់ មានការប្របឈ��ុខជាមេប្រចីនស្វែដលកមេកីតមេឡងីតា�រយៈ សាមេអឡចិប្រតនិូច។
System Downtimeមេ�មេ�គ Blaster គឺប្របមេ@ទទៃនមេ�មេ�គ Malware �្យា�ងស្វែដលមេធ4ីការកុ�នតា�រយៈ Network
មេ!ក្នងុការកំ�ត់សំគ្នាល់ចុងមេប្រកាយ ។មេ�មេ�គមេនះគឺសំមេ�មេ[មេលី Window របស់អ្នកមេប្របីប្រQស់ ដូចជា អ្នកមេប្របីប្រQស់ MAC ។
មេហីយវាមានឥទ្ធិពលមេធ4ីមេ-យ Computer មេប្របីការ ស្វែលងQន ប្របសិនមេបី មានមេ�មេ�គQនចូលក្នងុComputer មេន្មាះ។
ឥទ$ិពលបៀ5បៀលីមុខជំុនួញ
វាមានការលំQកមេដី�្បីមេ-យដឹងអំពីចំនួនសរបុ ស្វែដល មេ�មេ�គ Blaster Qនបំផ្លា្ល ញ មេ!ក្នងុឆ្នា្ន ំ២០០៣។ តា�ការQ៉ន់សា្ម នQនមេ-យដឹងថា វាQនមេជះឥទ្ធិពល មេ[មេលីប្របពន្ធរបស់ Microsoft Window ប្របមា� ជាង ១០០០០០ ស្វែដលQនចំណាយ អស់�ប់លានដូលា្ល មេ!ក្នងុការបំផ្លា្ល ញមេនះ។ ឥទ្ធិពលមេ�មេ�គ មេ[មេលី computer Qនន្មា�ំកជា�ួយនិងការចំ ណាយជាមេប្រចីន ដូចជា កាខាតបង់មេពលមេវលា មេធ4ីការរបស់បុគ្គលិក, Hardware,Software File Manage, ប្របពន្ធទៃនមេពលមេវលាមានកាធ្លា្ល ក់ចុះ មេហីយបg� ស្វែដលពិQកបំផុតមេដី�្ីប ដឹងពីតំទៃលទៃនកាចំណាយពិតប្របកដ គឺកាQត់បង់នូវ�ុខជំនួញ និងកាQត់បង់ នូវអតិuិជន។
មេពលចូល ក្នងុ Computer វាមាន ដំមេ�ីរការ ដូចជា
•មេ�្ម ះដំមេ�ីការ msblaster.exe•មេផ្នកទៃនដំមេ�ីការ %System%\msblaster.exe”[System32\msblaster.exe]”•ប្របមេ@ទដំមេ�ីការ Internet Worm•មេ�្ម ះ Malware w32.Blaster.worm•ប្តូមេ�្ម ះ ជា Worm/Lovsan, w32/ Blaster-A, w32/ Lovsan.Worm, worm_MSBLASTER.A, Blaster, Lovesan, Win32.Poza, w32.Blaslter.B, Lovsan.B, I-worm/Ganeric
Msblast.exe ប្រតវូQនកមេកីតមេចញពី Blaster worm។ វាQនមេធ4ីកាមេប្រជ\តចូលមេ[ក្នងុ DCOM RPC [Buffer Overrun In RPC Interface] មេដី�្បីឆ្លងមេ[កាន់ Systems។ Worm មេធ4ីការមេស4ងរក IP មេ9យខ្លួន ឯង[x.x.x.0 ] មេហីយបន្មា� ប់�កវាមានប្របតិក�្មមេ[មេលីប្របពន្ធដំមេ�ីការ។Worm មានឥទ្ធិពលមេ[មេលី Window NT, 2000, XP, and Windows server 2003 system។
Blaster worm Qនបំស្វែបកខ្លួន មេ[Window System32 Folder ដូចជា msblaster មេហីយវាQនបំស្វែលងខ្លួនចូលក្នងុមេផ្នក registry មេដី�្បី load Automatically ។ បន្មា� ប់�កវាស្វែស4ងរកប្របពន្ធ័ដទៃទមេទ\ត និងមានប្របតិក�្មមេ[មេលីប្របពន្ធទាងំមេន្មាះ។ Registry និងបំស្វែលងដូចខាងមេប្រកា�។
HKLM\Software\Microsoft\windows\CurrrentVersion\Run ”window auto update”=”msblaster.exe”។Blaster worm Qនបំផ្លា្ល ញមេ9យមេយីង បញ្ចូល Security Patches ពី Microsoft។ ប្របសិនមេបី�ីនQន បញ្ច្ចូលមេទ -ច ចំលងQនតា�
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspxបន្មា� ប់ពីទៃuv ១៥ សីហា Blaster worm ប្រតវូQនមេគស្វែចកជា denial-of-Server មេដលមេប្រជ\តចូលមេ[ក្នងុWinowsUpdate.com server. មេពលស្វែដល worm Qនមេប្រជ\តចូល User និងទទួលQននូវសារ error ដូចជាៈ
System ShutdownThis system is shutting down. Please save all work in process and lofg
off. Any unsaved changes will be lost. This shutdown was initialed by NT AUTHORITY\SYSTEM.Time before shutdown: 00:00:59massageThis system must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly.
Blaster Worm មេធ4ីមេ-យ Computer Reboot ក្នងុរយៈមេពល ពី ពីរ ឬ បីន្មាទី �្តង។ វានិងផ្លា្អ កដំមេ�ីកា ចំលងនូវ Software Antivirus and Security patches។ បុ៉ស្វែន្តអ្នក-ច disable DCOM បមេណា្ត ះ-សន្នមេដី�្បី ចំលងនូវ Software Antivirus and Security patches។ បន្មា� ប់ពី បញ្ចូលក�្មវធិិ Software Antivirus and Security patches អ្នក-ច Enable DCOM ។
Blaster Form Qនផ�ុកនូវាពាក្យ មេ9យពំុមាន Worm bodyI just want to say LOVE YOU SAN!!Billy gates why do you make this possible? Stop making money and fix
your software!!
ឥទ$ិពលបៀ5បៀលី Windows
on windows XP និង windows 2003 មេពលស្វែដលមេ�មេ�គ Qនវាយប្របហារ DCOM RPC
ចំកស្វែន្លងប្របពន្ឋ័បgl នីតិប្រក� មេeថា (RPC) ដំមេ�ីរការរបស់វាប្រតវូQន បញ្ឈប់ ។ មេប្រពាះNTAUTHORITY \ SYSTEM ប្រតវូQន Reboot ម៉ាសីុនជាu្មីក្នងុរយះមេពល ៦០ ន្មាទីបន្មា� ប់(មេនះគឺជាប្របពន្ឋ័ការពារu្មីមេ!ក្នងុម៉ាសីុន របស់ Windows XP / 2003) ម៉ាសីុន Computerប្រតវូQន Restart មេ!មេពល Service របស់ RPC មេ!មេប្រកា�ការវាយប្របហាររបស់មេ�មេ�គ ។ការ��ំងរបស់ System ពីការ Restarting ប្រតវូQនសំុមេ-យ Microsoft RPC ជួយ
Patch វញិ ។
on windows 2000 មេពលស្វែដលមេ�មេ�គ Qនវាយប្របហារ DCOM RPC ចំកស្វែន្លងប្របពន្ឋ័
បgl នីតិប្រក� មេeថា (RPC) ដំមេ�ីរការរបស់វាប្រតវូQន បញ្ឈប់ មេហីយវា�ិនQន Rebootម៉ាសីុន Computer របស់ខ្លួនឯងមេ9យស4យ័ប្របវត្តិមេន្មាះមេទ តាងំពី service ខ្លះប្រតវូពឹងស្វែផ្អកមេលីRPC មេហីយវា�ិនមានកំលាងំអនុភាពស�រ�្យដល់ Service ខ្លះៗមេន្មាះមេទ ។
មេ�្ម ះរបស់មេ�មេ�គ Blaster ស្វែដលQនបងា� ញមេ!ក្នងុ ម៉ាសីុន Computer របស់អ្នក . msblast.exe
. I just want to say LOVE YOU SAN!!
. billy gates why do you make this possible ? Stop making money and fix your software!!. windowsupdate.com. start %s. tftp -i %s GET %s. %d.%d.%d.%d. %i.%i.%i.%i. BILLY. windows auto update. SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ប្របសិនមេបីម៉ាសីុនរបស់មេលាកអ្នក Qនឆ្លងមេ�មេ�គប្របមេ@ទ “MSBlast” ស្វែដលអ្នកទាងំអស់គ្នា្នស្វែតងស្វែតសា្គ ល់ថាមេ�្ម ះមេ�មេ�គ “W32.Blaster” និង “W32/Lovesan” មេលាកអ្នក-ចបិទវាមេ!ក្នងុម៉ាសីុនរបស់អ្នកមេ9យខ្លួនឯងQន មេ9យមេប្របី Removal tool ។ វានិងមេ[ បញ្ឈបមេ�មេ�គប្របមេ@ទមេនះភា្ល � មេហីយវាមេ[បិទដំមេ�ីរការរបស់មេ�មេ�គមេនះ និង លុបតំទៃលទៃនមេ�្ម ះរបស់មេ�មេ�គមេនះមេ!ក្នងុ Regedit ស្វែដលវាQនបមេង្កីតមេ9យខ្លួនឯងចាប់តាងំពីមេពលវាឆ្លងចូល�កក្នងុម៉ាសីុនរបស់មេលាកអ្នក ។
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ចំមេពាះ Software Removal tool មេយីង-ច Download Qនមេ9យ�ិនចាQំច់បង់ប្រQក់
មេន្មាះមេឡយី ។ មេយីងខ្ញុំសូ�ស្វែ�រន្មាពីំមេ�្ម ះ website �ួយចំនួនស្វែដល-ចចូល downloadQនដូចជា
www.sophos.com www.symantac.com www. download.cnet.com
website ទាងំមេនះ និង បមេប្រង\នអ្នកបស្វែន��ពីក្បនួទៃនការបញ្ឈប់មេ�មេ�គប្របមេ@ទ W32.Blaster.
៤ វធីិកំចាត់មេ�មេ�គ Blaster
�៉្យាងមេទ\តមេយីង-ចចូលចាប់តា�រយះ Regedit Qនមេប្រពាះ Regedit ជាមេបះដូងរបស់ម៉ាសីុន Computer មេយីងស្វែដរ មេយីង-ចចូល Regedit តា�វធីិទាងំ ៤ ដូចខាងមេប្រកា�
១ មេយីងចូលតា� Start បន្មា� ប់ Run មេហីយវាយពាប្រក Regeditមេហីយចុចមេលីពាក្យ Ok មេយីងនិងទទួលQនផ្លា� ងំ Regedit �ួយដូចខាងមេប្រកា�
២ ចូលតា�រយះ Drive C បន្មា� ប់�ក ចូលពាក្យ window មេហីយយកពាក្យថា Regedit Qន
៣ ចូលតា�រយះការបមេង្កីត short Cut មេយីងប្រតវូ right click មេ!មេលី ផ្លា� ងំ desktop មេហីយយកពាក្យ create Shortcut មេយីងនិងទទួលQនផ្លា� ងំមេហីយសូ�ចុចមេលីពាក្យ Next មេហីយមេយីងQនមេyីញ�ួយមេទ\តទា�ទាមេ-យមេយីងចុចមេលីពាក្យ Finish
មេយីងនិងទទួលQន Shortcut �ួយមេ!មេលីDesktop
៤ ចូលតា� Command Prom គឺមេយីងប្រតវូ ចូលតា� Start មេហីយ Run វាយពាក្យ cmd មេយីងទទួលQនផ្លា� ងំ ព�៍មេ�្ម �ួយ មេហីយវាយពាក្យថា Regedit
បន្មា� ប់ពីQនដឹងពីក្បនួទៃនការចូល Regedit មេយីងប្រតវូចូលមេ[កាន់HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\windows auto update = msblast.exe មេហីយលុប msblast.exe មេចាលពីមេប្រពាះវាជា
មេ�មេ�គមេលាកអ្នក-ចសាកចូលមេ�ីលតា� part ខាងមេលីQន ។
មានវធីិ�ួយមេទ\ត-ចទប់សា្ក ត់ និង កំចាត់មេ�មេ�គQន ដំបូងប្រតវូ download និង Run មេ!ក�្មវធីិ �ួយមេ�្ម ះថា STINGER មេដី�្បីមេ-យដឹច្បាស់ថាវា-ចកំចាត់មេ�មេ�គទាងំអស់មេ!ក្នងុម៉ាសីុនរបស់មេយីងQនស្វែដរអត់ ?
បន្មា� ប់�កមេទ\តចូរស្វែស4ងរក file ស្វែដលមេ�មេ�គQនចូលបង្កប់ខ្លួនមេ!ក្នងុ Registry keyHKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVers
ion>Runសូ�ប្របយត្ន័បំផុតគឺប្រតវូលុបស្វែតរ file ណាស្វែដលមេ�មេ�គQនចូលបង្កប់ខ្លួនមេ9យខ្លួនឯង �ិនប្រតវូលុប file ស្វែតរមេផ្តសស្វែតរផ្លា្ត ស់មេទ មេប្រពាះវាបះពាល់ដល់ file មេផ្សងមេទ\តរបស់ system.បន្មា� ប់�កមេទ\ត reboot ម៉ាសីុនរបស់អ្នក មេហីយលុបមេ�មេ�គមេចញពី memory របស់អ្នក ។
�ុននិងមេយីងមេធ4ីការការពារមេ�មេ�គ កំុមេ-យចូលក្នងុ Computer មេន្មាះ មេយីងគួរដឹងថាមេ�មេ�គចូល Computer តា�រយះអ4ីខ្លះ មេពលណាខ្លះ មេ9យសារអ4ីខ្លះ ?
បៀមបៀ2គឆ្លងចូល Computer �ម�យះឧបករ�៍ចំឡងឯកសារដូចជា USB flash, CD, DVD, External Hard
disk ,បណា្ត ញ Internet, Disk
បៀមបៀ2គឆ្លងចូល Computer បៀពលណា បៀ�យសា�អ្វីមេពលស្វែដល User មេប្របីប្រQស់ឧបករ�៍ចំឡងឯកសារមេ9យ�ិនQនប្របងុប្របយត្ន័ ឬ
មេ9យ�ិនQន scan �ុន និងមេប្របីប្រQស់មេហីយ�ិនទាន់យល់ច្បាស់ពីការ ឆ្លងចូលរបស់មេ�មេ�គមេហីយមេ9យសារអ្នកមេប្របីប្រQស់ �ិនQនមេប្របីក�្មវធីិកំចាត់មេ�មេ�គមេដី�្បីទប់សា្ក ត់ការប្រជាតចូលរបស់មេ�មេ�គ ។ អត់យល់ថាអ4ីជាមេ�មេ�គ មេហីយមេ�មេ�គមានស�ត�ភាពអ4ីខ្លះ ។ User �ិនស្វែដលមេធ4ីការ Update ក�្មវធីិកំចាត់មេ�មេ�គរបស់ខ្លួន ។
ជា�ន(បៀ5បៀទ តបៀនះបៀយីងសិក្សាពីវធីិកា�ពា�បៀមបៀ2គ Blaster កំុបៀBយឆ្លងចូលក្នុង Computer ��ស់អ្នក�ន
មេ�មេ�គ Blaster ជាប្របមេ@ទមេ�មេ�គ�ួយស្វែដល-ចមេធ4ីមេ-យComputer រលុតQនមេ9យ�ិនចាQំច់មេយីងមេធ4ីការបិទComputer របស់មេយីងមេឡយី។
៦ វធីិការពារមេ�មេ�គ Blaster កំុមេ-យចូលក្នងុ Computer
ជាតំបូងមេយីងប្រតវូមេ-យដឹងថា មេ!ក្នងុ Computer របស់មេយីងមានមេ�មេ�គឬក៏អត់ជា�ុនសិន មេហីយការដឹងថាម៉ាសីុនរបស់មេយីងមានមេ�មេ�គអត់មេយីង-ចមេប្របីតា�ក�្មវធីិProcess Xp , ការ Scan មេ�មេ�គមេ!ក្នងុ Computer ជា�ុនសិន ថាមេតីមានមេ�មេ�គឬក៏អត់, មេ�ីលតា� Task Manager, និងចូលមេ�ីលតា�រយះ Regedit.
បន្មា� ប់ពីដឹងថា Computer របស់មេយីងគ្នា្ម នមេ�មេ�គ មេយីងគួរ install ក�្មវធីិកំចាត់មេ�មេ�គ មេដី�្បីមេធ4ីការការពារ Computer របស់មេយីងពីការប្រជាតចូលរបស់មេ�មេ�គ និងមេធ4ីការ Update មេ-យQនញឹកញាប់
មេពលមេយីងមេប្របីប្រQស់ឧបករ�៍ចំឡងឯកសារ មេយីងគួរគប្បី scan ឧបករ�៍មេន្មាះជា�ុនសិន �ុននិងមេប្របីប្រQស់ មេហីយគួរមេបីកឯកសារតា�រយះ Explorer
ប្រតវូបិទ Auto Run មេ!ក្នងុ Computer របស់អ្នកក្នងុករ�ី Computer របស់អ្នកមានភាl ប់ Internet
គួរប្របយត្ន័និង Web site �ួយចំនួនស្វែដលមេចញផ្លា� ងំដូចខាងមេប្រកា�
Computer របស់មេយីងប្រតវូ9ក់មេលខសំងាត់មេដី�្បីការពារការ ប្រជាតចូលក្នងុ ម៉ាសីុនរបស់អ្នកតាតរយះ hacker ស្វែដលចង់ hack ចូលក្នងុម៉ាសីុនរបស់អ្នក ចង់Qនឯកសារមេផ្សងៗ
កំុ download នូវក�្មវធីិស្វែដលអ្នក�ិនសា្គ ល់មេចញពីក្នងុវបិសាយស្វែដល�ិនទុកចិត្ត
ចូរកំុមេបីកមេ�ីល E-mail ស្វែដលមេគមេផ្ញីរ�កអ្នកមេ9យ�ិនសា្គ ល់មេ�្ម ះ
ចូរ Encrypt �ល់នូវឯកសារសំងាត់របស់អ្នកចូរកំុមេបីកអ4ីស្វែដល�ិនសា្គ ល់ច្បាស់លាស់ក្នងុករ�ីអ្នកមានការស្វែចកឯកសារ ( File Sharing ) ចូរបិទ នូវការស្វែចករសំ្វែលក
ឯកសារ បន្មា� ប់ពីការស្វែចករ ុសំ្វែលកឯកសាររចួ មេដី�្ីបការពារកំុមេ-យមានអ្នកចូលមេ�ីលឯកសារ ឬ បង្កប់មេ�មេ�គចូលក្នងុម៉ាសីុនរបស់អ្នក ។
មេដី�្បីមេធ4ីកាទ�់សា្ក ត់កាមេប្រជ\ចូលអំពីមេ�មេ�គ Blaster Form ស្វែដលមេយីងប្រតវូស្វែត 9ក់បញ្ចូល នូវ ប្របមេ@ទ Window Patch ចុងមេប្រកាយមេគបង្អស់។ វាពំុQនមេធ4ីមេ-យលុបមេ�មេ�គ មេន្មាះមេទ បុ៉ស្វែន្ត វាQនមេធ4ីការការពារ ពីការមេប្រជ\តចូលអំពី�រមេ�គដ៏ទៃទមេទ\ត។ Patch និងបិតប្រចក់សំខាន់ៗ ស្វែដល�ិន-ចមេ-យ RPC មេធ4ីតំមេ�ីការQន។
ឯកសា�បៀEងកម្មវធីិ Microsoft PowerPoint Website : www.phannarith.com Website : www.Google.com Website : www.sophos.com Website : www.symantac.comកំ�ង៉ឯកសា� Information System Security
សូ�អគុ� !