รายงานจาก PandaLabs ในสัปดาห์นี้เราจะกล่าวถึง โทรจัน ShotOne และ Yabarasu , เวิร์ม Rinbot และไวรัส Expiro.A
ShotOne ก่อให้เกิดปัญหาร้ายแรงในคอมพิวเตอร์ที่ติดเชื้อเนื่องจากมีการแก้ไขรีจิสทรี ป้องกันการอัพเดต Windows และขัดขวางการเข้าใช้เมนู File ใน Internet Explorer หรือ Windows Explorer นอกจากนี้ยังซ่อนคุณสมบัติใน My documents และ My computer
ShotOne ยังปิดการใช้งานเมนูคลิกขวาบนแถบงานและปุ่ม Start ซ่อนไอคอนในส่วนการแจ้งเตือน และป้องกันการเข้าใช้งานคำสั่ง Run และ Search ในเมนู start
โทรจันนี้ทำงานได้ทุกครั้งที่เริ่มต้นระบบ โดยจะแสดงหน้าจอชุดหนึ่งขึ้นเพื่อขัดขวางการใช้งานคอมพิวเตอร์ และรีสตาร์ทคอมพิวเตอร์ทุกสามชั่วโมง
PandaLabs ได้จัดทำวิดีโอขึ้นชุดหนึ่งเพื่อแสดงผลกระทบจากมัลแวร์นี้ ผู้สนใจโปรดดูที่ :
http://www.pandasoftware.com/img/enc/ShotOne.wmvโทรจันอันดับต่อมาได้แก่ Yabarasu โทรจันนี้ทำงานได้ทุกครั้งที่มีการเริ่มต้นระบบและจะแสดงหน้าจอต่อไปนี้
Yabarasu จะคัดลอกตัวเองเข้าสู่ระบบ และเพื่อลวงผู้ใช้ โทรจันนี้จะซ่อนนามสกุลของไฟล์และคำแนะนำที่จะปรากฏเมื่อวางเคอร์เซอร์บนไฟล์ Yabarasu ยังซ่อนโฟลเดอร์ในไดรฟ์ C: แล้วแทนที่ด้วยสำเนาของตนโดยใช้ชื่อและสัญลักษณ์เดียวกัน เมื่อผู้ใช้เปิดไฟล์เหล่านี้ก็จะเป็นการเปิดโทรจันขึ้นแทน
ทั้ง ShotOne และ Yabarasu เข้าสู่คอมพิวเตอร์โดยทางอีเมล์ การดาวน์โหลดข้อมูล อุปกรณ์เก็บข้อมูลที่ติดเชื้ออยู่แล้ว และอื่นๆ
ในสัปดาห์นี้ PandaLabs ได้ตรวจพบเวิร์มในตระกูล Rinbot หลากหลายสายพันธุ์ เช่น Rinbot.B , Rinbot.F, Rinbot.G และ Rinbot.H เวิร์มเหล่านี้แพร่กระจายโดยการคัดลอกตัวเองเข้าสู่ไดรฟ์ที่แมปหรือแชร์ผ่านอินเทอร์เน็ต นอกจากนี้ยังคัดลอกตัวเองเข้าสู่อุปกรณ์ USB ( เครื่องเล่น MP3 หน่วยความจำพกพา และอื่นๆ ) ที่เชื่อมต่อกับเครื่องคอมพิวเตอร์
Rinbot บางสายพันธุ์แพร่ระบาดโดยเจาะช่องโหว่ต่างๆ เช่น Rinbot.B เจาะผ่านช่องโหว่ LSASS และ RPC DCOM ทั้งๆ ที่มีการออกโปรแกรมแก้ไขข้อบกพร่องด้านความปลอดภัยนี้มาได้ระยะหนึ่งแล้ว
Rinbot.G เจาะผ่านช่องโหว่ใน SQL Server เพื่อเล็ดลอดผ่านเข้ามาในฐานะผู้ใช้ เมื่อเข้าสู่คอมพิวเตอร์ เวิร์มจะดาวน์โหลดสำเนาของตัวเองโดยผ่านทาง TFTP จากนั้นจะเรียกตัวเองขึ้นทำงานในระบบ
Rinbot.H จะมองหาเซิร์ฟเวอร์ที่มีช่องโหว่ MS01-032 ในการแพร่ระบาด ช่องโหว่นี้ได้รับการแก้ไขแล้วจากไมโครซอฟท์โดยโปรแกรมแก้ไขชื่อเดียวกัน
เวิร์ม Rinbot ออกแบบมาเพื่อเปิดพอร์ตบนเครื่องคอมพิวเตอร์และเชื่อมต่อไปยัง IRC server เพื่อเปิดโอกาสให้แฮคเกอร์เข้าควบคุมระบบจากระยะไกล
นอกจากนี้ยังดาวน์โหลด Spammer.ZV จากอินเทอร์เน็ตเพื่อส่งสแปมไปยังแอดเดรสที่พบในคอมพิวเตอร์ที่ติดเชื้อ และสุดท้ายจะแก้ไขค่ากำหนดด้านการรักษาความปลอดภัยตลอดจนการอนุญาตต่างๆ ของโปรแกรม Internet Explorer ระบบจึงมีระดับความปลอดภัยลดลง
สิ่งที่น่าสนใจใน Rinbot.B คือเวิร์มนี้บรรจุไว้ด้วยข้อความที่อ้างว่ามาจากบทสัมภาษณ์ของ CNN เกี่ยวกับเหตุผลที่สร้างเวิร์มนี้ขึ้นมา สำหรับรายละเอียดเพิ่มเติม โปรดคลิก ที่นี่
นี่เป็นคุณสมบัติที่น่าสนใจในแง่ของความเคลื่อนไหวของมัลแวร์ ผู้สร้างมัลแวร์เพิ่มโอกาสในการแพร่ระบาดด้วยการสร้างมัลแวร์คราวละหลายสายพันธุ์ ทำให้ผู้ใช้ปราศจากการระแวดระวัง นาย Luis Corrons กล่าว
Expiro.A เป็นไวรัสที่แพร่ระบาดในไฟล์ .exe ภายในโฟลเดอร์ Program Files และโฟลเดอร์ย่อยซึ่งอยู่ภายใน นอกจากนี้ยังแพร่ระบาดในไดเร็กทอรีที่มีสำเนาของไวรัส
เมื่อผู้ใช้เปิดไฟล์ติดเชื้อ ไวรัสจะทำงานควบคู่ไปกับไฟล์แท้เพื่อลวงให้ผู้ใช้สับสนเนื่องจากผู้ใช้จะไม่เห็นสัญญาณการแพร่ระบาดใดๆ
Expiro.A จะหยุดกระบวนงานต่างๆ หากสงสัยว่าตัวเองกำลังถูกสแกนโดยโปรแกรมรักษาความปลอดภัย หลายๆ ส่วนของมัลแวร์นี้มีการเข้ารหัสเพื่อให้ยากแก่การถูกตรวจจับ
เนเธฃเธทเนเธญเธ: รายงานไวรัสและการบุกรุกรายสัปดาห์ 
Wed Mar 14, 2007 10:18 am
