trojan

1 เมษากับ Confiker

posted on 01 Apr 2009 11:34 by warbandit in Virus-Risk

หลังจากที่อ่านเอ็นทรี เตือนภัยหนอนตัวใหม่ มาอีกแล้ว ที่เอ็นทรีของ NOT-KUNG แล้วเลยนึกขึ้นมาได้ว่าวันนี้เป็นวันที่หนอนตัวนี้กำลังจะเริ่มแพร่กระจาย

 

สำหรับตอนนี้ แนะนำให้ทุกคน 

"Update Antivirus และ Patch วินโดวส์ด้วย"

เมื่อวานนี้ไปเจอผลการสแกนจาก Virustotal ครับตามนี้

 

 


อืม! มันกลายพันธุ์เป็น Trojan ได้ด้วยแฮะ

เห็นแล้วก็วางใจได้ครับว่าตอนนี้โปรแกรม Antivirus เกือบทุกตัวจับเจ้าหนอนนี่ได้เแล้ว

ส่วนหนอนตัวนี้ (ที่กลายพันธุ์เป็นโทรจัน)แพร่ระบาดทางวงแลน ต่อเน็ตเฉยๆ มันอาจจะมาหาคุณได้ ก็

 

"ไม่ต้องปิด Antivirus/Firewall ก่อนเข้าเกม"

 

แบบที่ทีมงาน GM ไร้สมองตามบอร์ดเกมออนไลน์แนะนำไว้ เพราะหนอนเข้าเครื่อง หรือม้าลงคอม ยกไปซ่อมเอง แต่ก็อย่านิ่งนอนใจ ควรจะอุดช่องโหว่ด้วย เพราะถ้าโดนโจมตีจากภายในก็ตัวใครตัวเผือกล่ะคร๊าบบ!!

อ้อ! นี่ไม่ใช่ April Fool นะ

ส่วนตัวผมเกลียด April Fool มากๆ เพราะวันนี้พูดอะไรไปไม่ค่อยมีคนเชื่อ

สำหรับผมมันคือเทศกาลแย่ๆของฝรั่ง ที่ไม่เหมาะกับสังคมไทย

เมื่อวันศุกร์ที่ผ่านมา ทาง Avira ได้ค้นพบโปรแกรมจู่โจมผ่านช่องโหว่ที่ใช้เทคนิค JavaScript คราวนี้มากับไฟล์ PDF ครับ

โดยที่ไวรัสตัวนี้ชื่อว่า EXP/Pidief.IN

ชื่ออื่นๆ

Kaspersky : Exploit.JS.Pdfka.w

Sophos : Mal/PDFEx-B

Bitdefender : Trojan.JS.Downloader.BEZ

ขณะนี้ทางอาวีร่ายังไม่มีข้อมูลของโปรแกรมนี้มากนัก

แต่เท่าที่ผมสืบมาคร่าวๆ คือมีการทำงานแบบนี้คือ ส่วนมากจะมากับอีเมล์ขยะ ที่แนบไฟล์ PDF มาไว้

เมื่อผู้ใช้เปิดไฟ์ลแล้ว ก็จะเป็นการรัน Java Script ที่ฝังไว้ ส่วนการทำงานนอกจากนี้ยังไม่มีข้อมูลครับ

ส่วนข่าวดีคือ ตอนนี้ทาง Adobe กำลังพยายามอย่างเต็มที่เพื่ออุดรูนี้ไว้ คาดว่าจะมี Patch Update ออกมาภายในวันที่ 11 มีนาคมนี้ครับ (สำหรับเวอร์ชั่น 9 ขึ้นไปนะ) เห็นแล้ว เราไปใช้โปรแกรมอ่านไฟล์ PDF อันอื่นกันไปพลางๆก่อนดีกว่าครับ เพราะผมว่า Acrobat มันอืดๆ ยังไงไม่รู้สิ

 

ยังไงก็ ไม่เปิดเมล์แปลกๆ หรือเปิดไฟล์แนบแปลกๆ เจอสแปมก็ควรกด Report Spam ไป หรือลบทิ้งไปเลยก็ดีครับ

 ข้อมูลต้นฉบับ

สวัสดีครับ แฟนๆทุกท่าน วันนี้ได้รับเมล์จาก MalwareCity มาว่าพบโทรจันดักพาสเกมออนไลน์

ที่ระบาดผ่านเว็บไซท์ โดนจู่โจมทาง Javascript

 

ชื่ออื่นๆ (จาก VirSCAN)

 

Avira : TR/PSW.53248

AVG : PSW.OnlineGames.ACHY

Symantec : W32.Niuniu

Ikarus : Generic.PWS.Games.2

Kaspersky : Exploit.JS.RealPlr.s

 

ส่วนไอ้ nProtect มันไปเช่าเอ็นจิน Bitdefender มาดังนั้น ก็จะใช้ชื่อเดียวกัน เพราะเอ็นจินตัวมันเองห่วยแสนห่วย แต่ชอบบอกว่า "เราสิ No.1 และ Know How"  แต่ยังไงซะ Game Guard ก็กันไม่อยู่หรอก เพราะบ้านเราไม่ Updateแล้วก็มาสั่งปิด Antivirus/Firewall พอโดนแฮกมาก็... (อ๊ะ นอกเรื่องอีกแล้ว)

 

มาดูขั้นตอนการทำงานของมันกันดีกว่าครับ

ไวรัส(ขอเรียกแบบง่ายๆ) ตัวนี้ระบาดผ่านทางเว็บไซท์  มีที่มาจาก http://jjj.***********.com โดยใช้ Iframe ที่มองไม่เห็นติดอยู่บนเว็บ ให้เหยื่อรันสคริปต์

เป็นการจู่โจมผ่านช่องโหว่ของ IE นั่นเองครับ (เห็นในเว็บบอกว่าเน้นๆกับ IE7 ด้วย)

เมื่อติดแล้ว ไวรัสก็จะสร้างไฟล์ XML รูปแบบ Remote Script (และทำการเข้ารหัส Script นี้ไว้ เพื่อหลบจากโปรแกรมป้องกันไวรัส)

เสร็จแล้วก็จะดาวน์โหลดไฟล์ hun.exe และ as01.exe มาไว้ในโฟลเดอร์ %temp%

ซึ่งไฟล์  as01.exe เป้นโปรแกรม Botnet ที่ยังไม่รู้ว่ามีแหล่งที่มาจากไหน แต่ก็ตรวจพบว่าเป็นไวรัสครับ

และไฟล์ชื่อ wget.exe เพื่อส่งข้อมูลที่ดักมาได้ โดยทั้งหมดจะถูกเก็บไว้ที่ list.asp และ list.txt

ไม่มีเกมที่แน่นอนที่จะดักพาสดังนั้นจึงไม่สามารถสรุปได้ว่ามีผลกับเกมอะไรบ้างครับ

ยังไงก็ อย่าปิด Antivirus และพยายาม Update ตัว Browserด้วยครับ

อย่าไปหวังพึ่งพวก Game Guard ให้มากนัก เพราะมันไม่ได้มากู้โลก

สำหรับ Firefox ใครที่ติด NoScript ก็สบายไปครับ อิอิ

คลิกไปชอบต้นฉบับ (ข้อมูลภาษาอังกฤษ)

ไม่เชื่อก็ต้องเชื่อครับ ขอแนะนำสำหรับคนที่คิดจะใช้ หรือไปโหลดของเถื่อนมา ให้คิดหน้าคิดหลังก่อนว่า "จะดีเหรอ"

 

โทรจันตัวนี้ชื่อ TR/PSW.Delf.CRW กดเข้าไปดูข้อมูลได้ที่ชื่อเลยครับ

 

ชื่ออื่นๆ

Avast - Win32:Dropper-BCN

AVG - Trojan Horse Generic12.AEHQ

Kaspersky -  Type_Win32

Hauri - Trojan.Win32.Downloader.75264.M

 

การทำงาน

 

1. ลักษณะโปรแกรมเมื่อรันแล้ว


 

เหมือน Eset เลยแฮะ แต่ความจริงหลังจากติดตั้งไม่ธรรมดาครับ

 

 

2. สร้างไฟล์

C:\Documents and Setting\User\Application Data\Scan-Report.txt

เพื่อเก็บค่าข้อมูลที่ดักมาได้

และ

C:\Documents and Setting\UseApplication Data\.642_32bits_FiX_1.2-TemDono.exe

และทำการรัน เมื่อสร้างสำเร็จ

 

3. เปิด Backdoor ไปยังเว็บไซท์ ftp://aw8.***********.com

(* แทนตัวอักษร)

 

4. ดักรหัสผ่านและรายชื่อจากโปรแกรมต่อไปนี้

  • Internet Explorer 6
  • Internet Explorer 7
  • Mozilla Firefox
  • Google Talk
  • Trillian
  • Microsoft Outlook
  • Steam
  • Messenger Live
  • MSN Messenger
  • Vitalwerks DUC
  • Windows Messenger 


5. เจ้าตัวนี้ทางอาวีร่าบอกว่าเขียนขึ้นด้วย Delphi ครับ

 

เห็นแล้ว ลองคิดใหม่นะครับ ว่าจะใช้ต่อไป โดยไม่สนคำเตือนของ Antivirus หรือจะซื้อของแท้มาใช้ 

หรือว่าจะไปใช้ Freeware กันดี

 

ระวังการใช้คอมคุณ แล้วคุณจะรู้ว่า
User เป็น Antivirus / Internet Security ที่ดีที่สุดครับ