Tweet
รายงานจาก PandaLabs ในสัปดาห์นี้เราจะกล่าวถึงเวิร์ม Pahooka.A ไวรัส HiddenXLS.A และโทรจันเรียกค่าไถ่ Sinowal.A
เราสามารถทราบได้โดยง่ายเมื่อคอมพิวเตอร์ติด Pahooka.A เนื่องจากเวิร์มจะเปลี่ยนภาพพื้นหลังของหน้าจอเดสก์ท็อปเป็นภาพดาวหลากสีบนพื้นหลังสีฟ้าและคัดลอกตัวเองเข้าสู่ไดรฟ์ทั้งหมดที่แม็ปไว้ จากนั้นจะเปลี่ยนชื่อหน้าต่างทั้งหมดที่ผู้ใช้เปิดเป็นข้อความว่า ^_^Anti AntiVirus^_^
Pahooka.A จะปล่อยไฟล์บรรจุโค้ดคำสั่งเพื่อลบข้อมูลทั้งหมดในโฟลเดอร์ของโปรแกรมป้องกันไวรัสบางยี่ห้อ
นอกจากนี้ Pahooka.A ยังเปลี่ยนแปลงแก้ไขรีจิสทรีเพื่อซ่อนตัวเลือก Search และ Run ในเมนู start ตัวเลือกของโฟลเดอร์ และตัวเลือกใน Control Panel ตลอดจนตัวเลือกใน Network Connections และ Printers and Faxes ทั้งยังขัดขวางผู้ใช้มิให้เปิด ปิด หรือแก้ไขการคืนค่าระบบ ปิดการทำงานของโปรแกรมแก้ไขรีจิสทรีและโปรแกรม task manager
Pahooka.A จะเชื่อมต่อไปยังหน้าเว็บบางแห่งเป็นครั้งคราวเพื่อดาวน์โหลดมัลแวร์เข้าสู่ระบบเพิ่มเติม และจะเรียกตัวเองขึ้นทำงานทุกครั้งที่เปิดเครื่องคอมพิวเตอร์หรือเปิดโปรแกรม .exe
HiddenXLS.A เป็นไวรัสที่มุ่งโจมตีไฟล์ Excel ในเครื่องคอมพิวเตอร์ โดยจะมองหาไฟล์ทั้งหมดที่มีนามสกุล .xls ในเครื่องคอมพิวเตอร์และไดรฟ์ที่แม็ปไว้ จากนั้นจะเพิ่มไฟล์สั่งการไว้ที่ส่วนเริ่มต้นของไฟล์ และเปลี่ยนนามสกุลเป็น .exe เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่ผู้ใช้พยายามเปิดไฟล์
อันดับสุดท้าย Sinowal.FY เป็นโทรจันนักเรียกค่าไถ่ โดยจะเข้ารหัสไฟล์เพื่อมิให้ผู้ใช้สามารถเข้าถึงได้ จากนั้นจะเรียกร้องค่าตอบแทนในการส่งมอบเครื่องมือพร้อมคีย์ในการถอดรหัส
เมื่อเข้าสู่เครื่องคอมพิวเตอร์ Sinowal.FY จะสร้างไฟล์ข้อความซึ่งบรรจุข้อเรียกร้องมีใจความว่า หากไม่มอบเงิน $300 ให้แก่ผู้เขียนมัลแวร์ ผู้ใช้จะไม่สามารถเรียกดูเอกสารได้
ศูนย์วิจัยของเราพบโทรจันนักเรียกค่าไถ่มาแล้วเป็นจำนวนมาก ที่โด่งดังที่สุดดูเหมือนจะเป็น Ransom.A และโทรจันในตระกูล PGPCoder ส่วนที่แปลกที่สุดน่าจะเป็น Arhiveus.A ที่ไม่ได้เรียกร้องเงินค่าไถ่ แต่ขอให้ซื้อผลิตภัณฑ์จากร้านขายยาแบบออนไลน์แทน นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของศูนย์วิจัย PandaLabs กล่าว
เราสามารถทราบได้โดยง่ายเมื่อคอมพิวเตอร์ติด Pahooka.A เนื่องจากเวิร์มจะเปลี่ยนภาพพื้นหลังของหน้าจอเดสก์ท็อปเป็นภาพดาวหลากสีบนพื้นหลังสีฟ้าและคัดลอกตัวเองเข้าสู่ไดรฟ์ทั้งหมดที่แม็ปไว้ จากนั้นจะเปลี่ยนชื่อหน้าต่างทั้งหมดที่ผู้ใช้เปิดเป็นข้อความว่า ^_^Anti AntiVirus^_^
Pahooka.A จะปล่อยไฟล์บรรจุโค้ดคำสั่งเพื่อลบข้อมูลทั้งหมดในโฟลเดอร์ของโปรแกรมป้องกันไวรัสบางยี่ห้อ
นอกจากนี้ Pahooka.A ยังเปลี่ยนแปลงแก้ไขรีจิสทรีเพื่อซ่อนตัวเลือก Search และ Run ในเมนู start ตัวเลือกของโฟลเดอร์ และตัวเลือกใน Control Panel ตลอดจนตัวเลือกใน Network Connections และ Printers and Faxes ทั้งยังขัดขวางผู้ใช้มิให้เปิด ปิด หรือแก้ไขการคืนค่าระบบ ปิดการทำงานของโปรแกรมแก้ไขรีจิสทรีและโปรแกรม task manager
Pahooka.A จะเชื่อมต่อไปยังหน้าเว็บบางแห่งเป็นครั้งคราวเพื่อดาวน์โหลดมัลแวร์เข้าสู่ระบบเพิ่มเติม และจะเรียกตัวเองขึ้นทำงานทุกครั้งที่เปิดเครื่องคอมพิวเตอร์หรือเปิดโปรแกรม .exe
HiddenXLS.A เป็นไวรัสที่มุ่งโจมตีไฟล์ Excel ในเครื่องคอมพิวเตอร์ โดยจะมองหาไฟล์ทั้งหมดที่มีนามสกุล .xls ในเครื่องคอมพิวเตอร์และไดรฟ์ที่แม็ปไว้ จากนั้นจะเพิ่มไฟล์สั่งการไว้ที่ส่วนเริ่มต้นของไฟล์ และเปลี่ยนนามสกุลเป็น .exe เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่ผู้ใช้พยายามเปิดไฟล์
อันดับสุดท้าย Sinowal.FY เป็นโทรจันนักเรียกค่าไถ่ โดยจะเข้ารหัสไฟล์เพื่อมิให้ผู้ใช้สามารถเข้าถึงได้ จากนั้นจะเรียกร้องค่าตอบแทนในการส่งมอบเครื่องมือพร้อมคีย์ในการถอดรหัส
เมื่อเข้าสู่เครื่องคอมพิวเตอร์ Sinowal.FY จะสร้างไฟล์ข้อความซึ่งบรรจุข้อเรียกร้องมีใจความว่า หากไม่มอบเงิน $300 ให้แก่ผู้เขียนมัลแวร์ ผู้ใช้จะไม่สามารถเรียกดูเอกสารได้
ศูนย์วิจัยของเราพบโทรจันนักเรียกค่าไถ่มาแล้วเป็นจำนวนมาก ที่โด่งดังที่สุดดูเหมือนจะเป็น Ransom.A และโทรจันในตระกูล PGPCoder ส่วนที่แปลกที่สุดน่าจะเป็น Arhiveus.A ที่ไม่ได้เรียกร้องเงินค่าไถ่ แต่ขอให้ซื้อผลิตภัณฑ์จากร้านขายยาแบบออนไลน์แทน นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของศูนย์วิจัย PandaLabs กล่าว