Tweet
รายงานจาก PandaLabs ในสัปดาห์นี้จะกล่าวถึงโทรจัน PayRob.A โปรแกรม Icepack และเวิร์ม Chasnah.A
PayRob.A เป็นโทรจันที่ออกแบบมาเพื่อขโมยข้อมูลจากบัญชีผู้ใช้ PayPal โดยไม่สามารถแพร่กระจายได้ด้วยตัวเองเช่นเดียวกับโทรจันอื่นๆ
เมื่อผู้ใช้เป้าหมายเปิดไฟล์โทรจัน PayRob.A แอตทริบิวต์ของไฟล์จะเปลี่ยนเป็น hidden โทรจันจะเข้าแก้ไขรีจิสทรีเพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่รีสตาร์ทระบบ
โทรจันจะสร้างไฟล์สองไฟล์ขึ้นในเครื่องคอมพิวเตอร์ เพื่อวางตัวเองไว้ในโฟลเดอร์ temporary Internet files และใน C:\WINDOWS\MSAPPS\ โดยหากไม่พบ C:\WINDOWS\MSAPPS\ ระบบจะแสดงข้อผิดพลาดขึ้นบนหน้าจอ
โทรจันจะคัดลอกไฟล์ modeexpinovo.txt ไปยังโฟลเดอร์ temporary Internet files ไฟล์นี้จะเก็บรหัสผ่านของ PayPal ทั้งหมดที่พบในระบบ แฮกเกอร์จะสามารถเข้าถึงไฟล์ดังกล่าวได้จากระยะไกลจากอินเทอร์เน็ตโฮสต์บางแห่ง
เวิร์ม Chasnah.A จะแสดงข้อความเป็นภาษาอินโดนีเซียเมื่อผู้ใช้ลงชื่อเข้าสู่ระบบ และเปิดหน้าเว็บขององค์กรแห่งหนึ่งในอินโดนีเซียเป็นครั้งคราว
Chasnah.A จะแพร่กระจายผ่านไดรฟ์ที่แชร์ไว้และ USB ไดรฟ์ ในการทำงาน Chasnah.A จะสร้างไฟล์จำนวนมากในระบบและเพิ่มข้อมูลลงในรีจิสทรี
จากนั้นจะแสดงหน้าจอภาษาอังกฤษและภาษาอินโดนีเซียเมื่อผู้ใช้ลงชื่อเข้าสู่ระบบ พร้อมทั้งเปิดหน้าเว็บที่ได้กล่าวถึงในข้างต้นเป็นครั้งคราว
Chasnah.A จะลดระดับการป้องกันระบบโดยขัดขวางการทำงานของแอพพลิเคชันด้านความปลอดภัยบางอย่าง และจะตรวจสอบเป็นครั้งคราวว่ามีไดรฟ์ USB เชื่อมต่ออยู่หรือไม่เพื่อที่จะทำการแพร่ระบาด
อันดับสุดท้ายที่จะกล่าวถึงได้แก่ IcePack โปรแกรมติดตั้งมัลแวร์โดยการเจาะผ่านช่องโหว่ต่างๆ โดย Icepack จะเข้าสู่หน้าเว็บที่ได้วาง iframe ซึ่งชี้ไปยังเซิร์ฟเวอร์ที่ได้ติดตั้งแอพพลิเคชันไว้ นวัตกรรมที่สำคัญใน Icepack คือเครื่องมือเพิ่ม iframe ขณะที่แอพพลิเคชันรุ่นเก่าๆ อย่าง Mpack จำเป็นต้องมีแฮกเกอร์เข้าสู่หน้าเว็บเพื่อวาง iframe ด้วยตัวเอง
เมื่อผู้ใช้เข้าสู่หน้าเว็บดังกล่าว iframe จะเรียกใช้ Icepack ซึ่งจะมองหาช่องโหว่ในคอมพิวเตอร์ของผู้ใช้ เมื่อพบ จะทำการดาวน์โหลดเครื่องมือเจาะช่องโหว่เข้าสู่คอมพิวเตอร์ ฟีเจอร์สำคัญของ Icepack คือความสามารถในการเจาะช่องโหว่ใหม่ๆ ที่เพิ่งปรากฏ เนื่องจากผู้ใช้ยังไม่ทันได้อัพเดตคอมพิวเตอร์ของตนเพื่อแก้ปัญหาดังกล่าว
จากนั้น เหล่าอาชญากรจะสามารถดาวน์โหลดมัลแวร์เข้าสู่ระบบได้ทุกประเภท นวัตกรรมอีกประการหนึ่งของ Icepack คือ การรวมเอาเครื่องมือตรวจสอบ ftps เข้าไว้ด้วยกันกับ iframer โดยเครื่องมือตรวจสอบ ftp ใช้สำหรับดูข้อมูลบัญชีผู้ใช้ FTP ที่ได้จากเครื่องคอมพิวเตอร์ ข้อมูลจากบัญชีผู้ใช้ดังกล่าวจะถูกส่งไปตรวจสอบความถูกต้อง จากนั้นข้อมูลความถูกต้องจะถูกส่งผ่านไปยัง iframe ซึ่งจะแทรกการชี้ตำแหน่ง iframe ไปยัง Icepack เข้าสู่บัญชีนั้น โดยวิธีการนี้ ทุกอย่างจะกลับเข้าสู่ วงรอบ อีกครั้ง
PayRob.A เป็นโทรจันที่ออกแบบมาเพื่อขโมยข้อมูลจากบัญชีผู้ใช้ PayPal โดยไม่สามารถแพร่กระจายได้ด้วยตัวเองเช่นเดียวกับโทรจันอื่นๆ
เมื่อผู้ใช้เป้าหมายเปิดไฟล์โทรจัน PayRob.A แอตทริบิวต์ของไฟล์จะเปลี่ยนเป็น hidden โทรจันจะเข้าแก้ไขรีจิสทรีเพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่รีสตาร์ทระบบ
โทรจันจะสร้างไฟล์สองไฟล์ขึ้นในเครื่องคอมพิวเตอร์ เพื่อวางตัวเองไว้ในโฟลเดอร์ temporary Internet files และใน C:\WINDOWS\MSAPPS\ โดยหากไม่พบ C:\WINDOWS\MSAPPS\ ระบบจะแสดงข้อผิดพลาดขึ้นบนหน้าจอ
โทรจันจะคัดลอกไฟล์ modeexpinovo.txt ไปยังโฟลเดอร์ temporary Internet files ไฟล์นี้จะเก็บรหัสผ่านของ PayPal ทั้งหมดที่พบในระบบ แฮกเกอร์จะสามารถเข้าถึงไฟล์ดังกล่าวได้จากระยะไกลจากอินเทอร์เน็ตโฮสต์บางแห่ง
เวิร์ม Chasnah.A จะแสดงข้อความเป็นภาษาอินโดนีเซียเมื่อผู้ใช้ลงชื่อเข้าสู่ระบบ และเปิดหน้าเว็บขององค์กรแห่งหนึ่งในอินโดนีเซียเป็นครั้งคราว
Chasnah.A จะแพร่กระจายผ่านไดรฟ์ที่แชร์ไว้และ USB ไดรฟ์ ในการทำงาน Chasnah.A จะสร้างไฟล์จำนวนมากในระบบและเพิ่มข้อมูลลงในรีจิสทรี
จากนั้นจะแสดงหน้าจอภาษาอังกฤษและภาษาอินโดนีเซียเมื่อผู้ใช้ลงชื่อเข้าสู่ระบบ พร้อมทั้งเปิดหน้าเว็บที่ได้กล่าวถึงในข้างต้นเป็นครั้งคราว
Chasnah.A จะลดระดับการป้องกันระบบโดยขัดขวางการทำงานของแอพพลิเคชันด้านความปลอดภัยบางอย่าง และจะตรวจสอบเป็นครั้งคราวว่ามีไดรฟ์ USB เชื่อมต่ออยู่หรือไม่เพื่อที่จะทำการแพร่ระบาด
อันดับสุดท้ายที่จะกล่าวถึงได้แก่ IcePack โปรแกรมติดตั้งมัลแวร์โดยการเจาะผ่านช่องโหว่ต่างๆ โดย Icepack จะเข้าสู่หน้าเว็บที่ได้วาง iframe ซึ่งชี้ไปยังเซิร์ฟเวอร์ที่ได้ติดตั้งแอพพลิเคชันไว้ นวัตกรรมที่สำคัญใน Icepack คือเครื่องมือเพิ่ม iframe ขณะที่แอพพลิเคชันรุ่นเก่าๆ อย่าง Mpack จำเป็นต้องมีแฮกเกอร์เข้าสู่หน้าเว็บเพื่อวาง iframe ด้วยตัวเอง
เมื่อผู้ใช้เข้าสู่หน้าเว็บดังกล่าว iframe จะเรียกใช้ Icepack ซึ่งจะมองหาช่องโหว่ในคอมพิวเตอร์ของผู้ใช้ เมื่อพบ จะทำการดาวน์โหลดเครื่องมือเจาะช่องโหว่เข้าสู่คอมพิวเตอร์ ฟีเจอร์สำคัญของ Icepack คือความสามารถในการเจาะช่องโหว่ใหม่ๆ ที่เพิ่งปรากฏ เนื่องจากผู้ใช้ยังไม่ทันได้อัพเดตคอมพิวเตอร์ของตนเพื่อแก้ปัญหาดังกล่าว
จากนั้น เหล่าอาชญากรจะสามารถดาวน์โหลดมัลแวร์เข้าสู่ระบบได้ทุกประเภท นวัตกรรมอีกประการหนึ่งของ Icepack คือ การรวมเอาเครื่องมือตรวจสอบ ftps เข้าไว้ด้วยกันกับ iframer โดยเครื่องมือตรวจสอบ ftp ใช้สำหรับดูข้อมูลบัญชีผู้ใช้ FTP ที่ได้จากเครื่องคอมพิวเตอร์ ข้อมูลจากบัญชีผู้ใช้ดังกล่าวจะถูกส่งไปตรวจสอบความถูกต้อง จากนั้นข้อมูลความถูกต้องจะถูกส่งผ่านไปยัง iframe ซึ่งจะแทรกการชี้ตำแหน่ง iframe ไปยัง Icepack เข้าสู่บัญชีนั้น โดยวิธีการนี้ ทุกอย่างจะกลับเข้าสู่ วงรอบ อีกครั้ง
Comment