overclockzonefanpage  overclockzoneth  TV  
Results 1 to 4 of 4

Thread: ไวรัสล่องหน

  1. #1
    OverclockZone Member ramida's Avatar
    Join Date
    22 Sep 2006

    Default ไวรัสล่องหน

    78% ของมัลแวร์ใหม่ๆ ใช้การแพ็คไฟล์ช่วยในการหลบหลีกจากการตรวจจับ

    UPX เป็นโปรแกรมแพ็คไฟล์ ( packer) ยอดฮิตที่ถูกนำมาใช้ประมาณ 15% ตามด้วย PECompact และ PE อย่างละประมาณ 10%

    PandaLabs พบการใช้เทคนิคอื่นๆ เพิ่มขึ้น รวมถึง scrambling และ binders

    ผลการศึกษาของ PandaLabs พบว่าร้อยละ 78 ของมัลแวร์ใหม่ๆ ใช้การแพ็คไฟล์บางรูปแบบในการหลบหลีกจากการตรวจจับ โปรแกรมแพ็คไฟล์หรือ packer คือโปรแกรมที่ใช้ลดขนาดของไฟล์สั่งการ ( exe ) ซึ่งโดยทั่วไปทำได้โดยใช้การบีบอัด






    โปรแกรมเหล่านี้สามารถใช้ในการปกป้องสำเนาของมัลแวร์ที่ติดตั้งในคอมพิวเตอร์ หรือทำให้ยากแก่การตรวจจับจากโปรแกรมป้องกันไวรัสได้อีกด้วย

    Packer มีหลายรูปแบบ จากการศึกษาของ PandaLabs โดย UPX เป็นหนึ่งในรูปแบบที่พบบ่อยที่สุด คิดเป็นร้อยละ 15 ของมัลแวร์ที่ตรวจพบ ขณะที่ PECompact และ PE มีการใช้กันประมาณร้อยละ 10 อย่างไรก็ตาม จากการศึกษาของ PandaLabs พบว่ามี Packer กว่า 500 รูปแบบที่เหล่าอาชญากรอาจนำไปใช้ได้

    “ โดยหัวใจสำคัญแล้ว นี่เป็นเทคนิคในการล่องหน การเพิ่มขึ้นของโปรแกรมประเภทนี้ได้เน้นให้เราเห็นว่าเหล่าอาชญากรในโลกอินเทอร์เน็ตมีความชำนาญเพียงใด การซ่อนผลงานของตน ” นาย Luis Corrons ผู้อำนวยการศูนย์วิจัย PandaLabs กล่าว

    บ่อยครั้งที่เครื่องมือเหล่านี้ถูกนำมาใช้ในการรวมมัลแวร์ต่างชนิดเข้าไว้ในชุดเดียว ทำให้เป็นอุปสรรคต่อการตรวจจับ และทำให้มัลแวร์สามารถดาวน์โหลดภัยคุกคามอื่นๆ ได้อย่างมีประสิทธิภาพมากขึ้น

    “ ปัญหาก็คือเราจะตรวจจับมัลแวร์เหล่านี้ได้เมื่อใด มัลแวร์ส่วนใหญ่ได้รับการแพ็คด้วยโปรแกรมที่ถูกต้องตามกฎหมาย และเป็นไปไม่ได้ที่จะสามารถแยกมัลแวร์ออกจากซอฟต์แวร์ดีๆ โดยใช้ packer เป็นเกณฑ์ตัดสิน ถ้าเช่นนั้น ทางแก้ปัญหาคืออะไร ? ในกรณีของอีเมล์ เราต้องมีระบบตรวจจับก่อนที่อีเมลจะเข้าสู่เครื่องคอมพิวเตอร์ ผลิตภัณฑ์รักษาความปลอดภัยต้องสามารถตรวจจับมัลแวร์ที่แพ็คไว้ได้ก่อนที่ผู้ใช้จะเปิดมัน ” นาย Corrons ยืนยัน

    ตัวอย่างมัลแวร์ดังๆ ที่ใช้ packer เมื่อไม่นานมานี้ได้แก่ โทรจัน Conycspa.AJ ซึ่งสามารถดาวน์โหลดมัลแวร์อื่นๆ อีกมากมาย โทรจัน Clagge.G และเวิร์ม Rinbot.Q ซึ่งแพร่กระจายผ่านช่องโหว่จำนวนมากใน Windows


    เทคนิคการล่องหนอื่นๆ

    ภัยที่สำคัญและไม่ค่อยเป็นที่รู้จักอีกอย่างหนึ่งได้แก่ binder หรือ joiner ซึ่งเป็นโปรแกรมสำหรับรวมไฟล์ตั้งแต่สองไฟล์ขึ้นไปเข้าด้วยกัน แฮคเกอร์จะใช้เครื่องมือเหล่านี้ในการซ่อนผลงานของตนไว้ในไฟล์ที่ดูเหมือนไม่เป็นภัย เช่น รวมไฟล์สั่งการของโทรจันไว้ในภาพถ่ายนามสกุล .jpg เมื่อผู้ใช้ดูภาพดังกล่าว โทรจันก็จะทำงาน

    PandaLabs ตรวจจับตัวอย่างมัลแวร์ที่ใช้เทคนิคนี้ได้เป็นจำนวนมาก หนึ่งในนั้นได้แก่โทรจันในตระกูล Mitglieder ( ซึ่งจะเปิดภาพขึ้นเมื่อทำงาน )

    อีกวิธีหนึ่งในการปกป้องไฟล์ที่บรรจุมัลแวร์ได้แก่ scrambling ซึ่งสามารถซ่อนไฟล์สั่งการได้เช่นเดียวกับ packer โดยจะทำการเข้ารหัสชุดคำสั่งของมัลแวร์เอง และเพื่อให้สามารถทำงานได้เมื่อเข้าสู่ระบบ มัลแวร์เหล่านี้จะมีตัวถอดรหัสในตัว มัลแวร์ที่ใช้เทคนิคนี้ก็เช่น เวิร์มในตระกูล Feebs

    “ สิ่งที่เป็นภัยที่สุดเกี่ยวกับเทคนิคนี้คือความสามารถในการปรับประยุกต์ แฮคเกอร์ที่ชาญฉลาดสามารถสร้างชุดคำสั่งที่ใช้ในการเข้ารหัสของตัวเองขึ้นมา และมัลแวร์ที่ซ่อนตัวโดยใช้เทคนิคนี้ก็ยากแก่การตรวจพบมากที่สุด ” นาย Corrons อธิบาย

  2. #2
    OverclockZone Member dears's Avatar
    Join Date
    6 Nov 2006
    Location
    Royal Thai Army

    Default

    เก่งชะมัดเลยนะคนพวกเนี่ยะ ถนัดจังเลยได้เรื่องสร้างไวรัส แต่ก็ยังดีที่ยังมีคนหาทางแก้ไขอยู่เรื่อยๆ ยังกะทำสงครามกันยังงัยยังงั้นเลย เหอะๆๆๆ....

  3. #3
    OverclockZone Member fordoff's Avatar
    Join Date
    1 Oct 2006
    Location
    KhonKaen

    Default

    *.*

  4. #4
    OverclockZone Member sync713n's Avatar
    Join Date
    1 May 2007
    Location
    พิษณุโลก

    Default

    ระวังของเข้านะครับพี่น้อง


Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •