รายงานในสัปดาห์นี้จะกล่าวถึงโทรจัน BankFake.F เวิร์ม MSNHideOptions สองสายพันธุ์แรก และเวิร์ม Grogotix.A

BankFake.F เป็นแบงค์เกอร์โทรจันมหาภัยที่ส่งผลกระทบต่อองค์กรทางการเงินเก้าแห่ง การแพร่กระจายกระทำโดยทางอีเมล์หรือการดาวน์โหลดทางอินเทอร์เน็ต และเข้าสู่คอมพิวเตอร์โดยมีไอคอนเป็นรูปเต่าคู่มีปีก

ในการทำงาน โทรจันจะเข้าสู่เว็บเพจแห่งหนึ่งและแสดงรูปภาพขึ้น ในขณะที่เชื่อมต่อไปยังตำแหน่งอื่นเพื่อดาวน์โหลดไฟล์บีบอัดจำนวนมากที่แพ็คด้วย UPX

โทรจ้นนี้ออกแบบมาเพื่อขโมยรหัสผ่านของธนาคาร โดยเมื่อผู้ใช้พิมพ์ที่อยู่ของธนาคารเป้าหมายลงในเบราว์เซอร์ โทรจันจะปิดเบราว์เซอร์และเปิดแอพพลิเคชันสำหรับธนาคารนั้นๆ แอพพลิเคชันดังกล่าวจะแสดงภาพหน้าเว็บของธนาคาร

โทรจันจะเก็บข้อมูลสำคัญที่ป้อนเข้ามาไว้ในไฟล์ .bsp หรือ .cop และจะทำการเชื่อมต่อเข้ากับ FTP site แห่งหนึ่งเป็นระยะๆ เพื่อส่งข้อมูลที่ผ่านการคอมไพล์แล้วไปยังผู้ที่สร้างตนขึ้นมา

นอกจากรหัสผ่านธนาคารแล้ว BankFake.F ยังออกแบบมาเพื่อขโมยรหัสผ่านบัญชีผู้ใช้ Hotmail โดยจะแสดงข้อความเตือนข้อผิดพลาดและขอให้คุณป้อนข้อมูลอีกครั้ง และเช่นเดียวกัน หน้าเว็บที่แสดงขึ้นจะไม่ใช่หน้าเว็บที่แท้จริงแต่เป็นแอพพลิเคชันของโทรจัน




Grogotix.A เป็นเวิร์มที่สร้างสำเนาของตนไว้ในระบบถึงหกชุด โดยในแต่ละครั้งที่ผู้ใช้เข้าถึงโฟลเดอร์ใดๆ เวิร์มจะสร้างสำเนาขึ้นชุดหนึ่งในชื่อของโฟลเดอร์นั้นๆ ในตำแหน่งเดียวกันและตำแหน่งที่สูงขึ้นไปหนึ่งตำแหน่ง และจะสร้างสำเนาของตนขึ้นทุกครั้งที่มีการเปิดไฟล์ชื่อเดียวกันกับชื่อเดิม

Grogotix.A จะแก้ไขโฮสต์ไฟล์โดยเพิ่มข้อความที่คาดว่าเขียนโดยผู้สร้างเวิร์ม ซึ่งกล่าวว่าเขาเกลียดสถาบันศึกษาของตน การเปลี่ยนแปลงแก้ไขนี้ยังทำให้ผู้ใช้ไม่สามารถเข้าถึงหน้าเว็บหลายแห่ง ซึ่งส่วนใหญ่เป็นของบริษัทรักษาความปลอดภัยระบบคอมพิวเตอร์ อย่างไรก็ตาม การเปลี่ยนแปลงแก้ไขนี้ถูกตรวจพบโดย Panda Software ในชื่อของ Qhost.gen

เวิร์มนี้ยังสร้างและเปลี่ยนแปลงแก้ไขข้อมูลในรีจิสทรี หนึ่งในนั้นก็เพื่อเรียกตัวเองขึ้นงานทุกครั้งที่เริ่มต้นระบบ และทำให้ตัวเลือกหลายรายการในเมนู Start หายไป

Grogotix.A ออกแบบมาเพื่อขัดขวางการทำงานของโปรแกรมต่างๆ เช่นกัน นอกจากนี้ยังสามารถซ่อนโฟลเดอร์ของผลิตภัณฑ์รักษาความปลอดภัยต่างๆ ได้

Grogotix.A จะพยายามเข้าถึงเครือข่าย IRC โดยเชื่อมต่อไปยังเซิร์ฟเวอร์หลายแห่ง หากทำได้สำเร็จก็จะใช้การเชื่อมต่อดังกล่าวส่งข้อมูลของคอมพิวเตอร์ที่ติดเชื้อไปยังผู้สร้าง นอกจากนี้ยังส่งข้อความส่วนตัวที่สุ่มขึ้นไปยังผู้ใช้ในเครือข่าย ข้อความดังกล่าวอาจแตกต่างกันไปและอาจบรรจุการเชื่อมโยงไปยังมัลแวร์ ตัวอย่างข้อความดังกล่าวได้แก่

- $nick, free picture indonesia sex double klik url:

- aloo $nick mo liat artis majalah playboy indo?, double klik url:

- Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url:

- 8 aloo $nick mo liat artis-artis indonesia nude, double klik url:

การกระทำที่เป็นอันตรายของ Grogotix.A ไม่หยุดเพียงเท่านี้ Grogotix.A จะปล่อยหน้าเว็บในระบบโดยใช้ชื่อแบบสุ่มที่มีอักษรห้าตัวและพยายามใช้สคริปต์ในการดาวน์โหลดมัลแวร์





ในสัปดาห์นี้ PandaLabs ยังตรวจพบเวิร์ม MSNHideOptions สายพันธุ์ A และ B ซึ่งแม้ว่าชุดคำสั่งก่อนจะพยายามเล็ดรอดจากการตรวจจับแต่ทั้งคู่ก็แสดงข้อความเป็นภาษาสเปนที่ดูเหมือนต้องการให้เห็น โดยหนึ่งในข้อความดังกล่าวเป็นข้อความดูหมิ่นเหยียดหยาม

การดำเนินการจากเวิร์มทั้งคู่นี้รวมถึงการสร้างไฟล์ "Mis Contactos" ขึ้นเพื่อเก็บที่อยู่ของที่ติดต่อในโปรแกรมรับส่งเมล์ของผู้ใช้ นอกจากนี้ยังซ่อนแอพพลิเคชันบางอย่างในแถบ Start ของ Windows ซึ่งรวมถึง Run, Search, Help และอื่นๆ

MSNHideOptions สายพันธุ์เหล่านี้แพร่กระจายผ่านทางอีเมล์หรือ MSN Messenger โดยส่งข้อความพร้อมการเชื่อมโยงไปยังรายชื่อที่ติดต่อในระบบโดยลวงว่าเป็นการเชื่อมโยงไปยังภาพของบุคคล