overclockzonefanpage  overclockzoneth  TV  RSS  


Results 1 to 4 of 4

Thread: รายงานไวรัสและการบุกรุกรายสัปดาห์ ฉบับที่ 702

  1. #1
    OverclockZone Member ramida's Avatar
    Join Date
    22 Sep 2006

    Default รายงานไวรัสและการบุกรุกรายสัปดาห์ ฉบับที่ 702

    รายงานสถานการณ์ไวรัสและผู้บุกรุกรายสัปดาห์จาก Panda Security

    รายงานในสัปดาห์นี้จะกล่าวถึงโปรแกรมสร้างโทรจัน Shark 2 เวิร์ม Addon.B และเวิร์ม MSNPoopy.A ซึ่งแพร่กระจายผ่านทาง MSN Messenger

    Shark 2 มีแจกจ่ายให้ใช้ฟรีในเว็บบอร์ดหลายๆ แห่ง และใช้งานได้ง่ายมาก จึงเป็นภัยร้ายแรงอย่างยิ่ง โทรจันที่สร้างจาก Shark 2 สามารถขโมยข้อมูลลับจากคอมพิวเตอร์ของผู้ใช้ได้ทุกรูปแบบหากไม่มีการป้องกันไว้อย่างดี

    “ โทรจันเหล่านี้คุกคามความเป็นส่วนตัวของผู้ใช้ เนื่องจากอาชญากรสามารถเปิดเว็บแคมและเฝ้าสังเกตพฤติกรรมของเหยื่อได้หากคอมพิวเตอร์ของเหยื่อมีเว็บแคม ” นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของ PandaLabs กล่าว






    ใน Shark 2 อาชญากรสามารถระบุเซิร์ฟเวอร์ที่โทรจันต้องติดต่อ และตั้งค่าให้โทรจันทำงานทุกครั้งที่เปิดเครื่องคอมพิวเตอร์ แสดงข้อความเตือนข้อผิดพลาด หรือเปิดไฟล์อื่น นอกจากนี้ยังดำเนินการต่างๆ กับเซอร์วิสหรือโพรเซส เช่น ปิดการทำงานของเซอร์วิส ปิดเครื่อง หรือลบเซิร์ฟเวอร์ของผู้ใช้ เป็นต้น

    เมื่อเข้าสู่คอมพิวเตอร์ได้สำเร็จ โทรจันที่สร้างจาก Shark 2 จะเชื่อมต่อไปยังเซิร์ฟเวอร์ที่อาชญากรเลือกไว้และแสดงหน้าจอขึ้นพร้อมกับดำเนินการต่างๆ เช่น สั่งให้มัลแวร์ขโมยรหัสผ่านทุกชนิด ( เช่นโปรแกรมรับส่งข้อความ อีเมล บริการธนาคาร ฯลฯ )

    อาชญากรยังสามารถเรียกใช้เครื่องมือต่างๆ บนคอมพิวเตอร์เพื่อแก้ไขรีจิสทรี โฮสต์ไฟล์ และอื่นๆ ได้ โดยวิธีนี้ อาชญากรจึงสามารถนำผู้ใช้ไปยังหน้าเว็บที่มีมัลแวร์หรือมีการใช้เทคนิคฟิชชิ่ง

    โทรจันที่สร้างจากเครื่องมือนี้สามารถจับภาพหน้าจอ บันทึกเสียง และบันทึกการกดแป้นพิมพ์ได้

    “ ผู้สร้างมัลแวร์สามารถใช้เครื่องมือนี้สร้างโทรจันที่โจมตีผู้ใช้ในลักษณะต่างๆ กันได้ โดยมีจุดหมายเดียวคือขโมยข้อมูลที่นำไปเปลี่ยนเป็นตัวเงินได้ ” นาย Corrons กล่าว

    เวิร์มอันดับแรกที่จะกล่าวถึงในวันนี้ได้แก่ Addon.B ซึ่งเป็นเวิร์มที่ส่งไฟล์ .zip ในชื่อ Foto_celular ผ่านทาง MSN Messenger หากผู้ใช้เปิดไฟล์ที่อยู่ข้างใน เวิร์มจะถูกติดตั้งเข้าสู่ระบบ

    Addon.B จะคัดลอกตัวเองเข้าสู่ไดรฟ์ทั้งหมดในชื่อ Foto_celular.scr ในการทำงาน ไฟล์นี้จะดาวน์โหลดไฟล์ sexy.wm ซึ่งเป็นองค์ประกอบของตน จากนั้นจะเชื่อมต่อไปยังหน้าเว็บสองแห่งเพื่อรอรับคำสั่งต่างๆ เช่น คำสั่งดาวน์โหลดมัลแวร์เข้าสู่ระบบ หรือคำสั่งอัพเดตตัวเอง





    MSNPoopy.A ใช้เทคนิคที่คล้ายกับ Addon.B ในการแพร่ระบาดทาง MSN Messenger โดยใช้ข้อความว่า “ look @ my cute new puppy :-D” หรือ
    ” look @ this picture of me, when I was a kid “ เพื่อลวงให้ผู้ใช้เปิดไฟล์แนบในชื่อต่างๆ เช่น img1756 ซึ่งมีการบีบอัดเป็น .zip

    หากผู้ใช้เป้าหมายเปิดไฟล์นี้คอมพิวเตอร์ก็จะติดเวิร์ม และบุคคลในรายชื่อผู้ติดต่อหรือ Address Book ของผู้ใช้นั้นจะได้รับข้อความจากเวิร์มด้วย

    MSNPoopy.A จะแก้ไขข้อมูลในรีจิสทรีเพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่เปิดคอมพิวเตอร์ นอกจากนี้ยังเชื่อมต่อไปยังช่องทางส่งข้อความ IM อื่นๆ เพื่อส่งข้อมูลออกจากระบบและทำการแพร่ระบาดต่อไป

    “ ไม่แปลกเลยที่เหล่าอาชญากรหันมาใช้โปรแกรม IM เป็นเครื่องมือกระจายผลงานของตนมากขึ้น เนื่องจากโปรแกรมประเภทนี้มีผู้ใช้นับล้านคนในแต่ละวัน การแพร่ระบาดจึงเกิดขึ้นได้ง่ายดายและรวดเร็ว ” นาย Corrons อธิบาย

  2. #2
    OverclockZone Member dears's Avatar
    Join Date
    6 Nov 2006
    Location
    Royal Thai Army

    Default

    มากะเอ็มอีกละ....

  3. #3
    OverclockZone Member boi_security's Avatar
    Join Date
    31 Jul 2007

    Default

    แล้วมีตัวแก้รึยังครับ

  4. #4
    OverclockZone Member
    Join Date
    24 Jul 2007

    Default

    กำ ผมเคยได้รับ รูปจากคนต่างประเทศ ชื่อไฟล์img... อะคับ เป็นzip แต่ผมแค่เปิดดูน่ะ ยังมะได้แตกออกมา แบบนี้ผมจะติดไหม



Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •