worm

วันนี้ผมได้รับทวิตของ @MalwareCity และ @ARiPToday รายงานเรื่องหนอนตัวนี้อยู่ครับ

ทาง BitDefender พบหนอนไวรัสสายพันธุ์ใหม่ที่สามารถเขียนทับ (overwirte) ข้อมูลส่วนทีเรียกว่า master boot records (MBRs) ของทุกไดรฟ์ในฮาร์ดดิสก์ด้วยข้อมูลของมันเอง

ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้ ซึ่งหมายความว่าระบบจะ Boot ไม่ขึ้นเลยเมื่อหนอนทำงานสำเร็จ

มีเพิ่มเติมอีกด้วยว่า การกู้ข้อมูลให้คอมพิวเตอร์ที่โดนหนอนไวรัสตัวนี้โจมตีจะมีขั้นตอนที่ค่อนข้างซับซ้อน และต้องใช้ซอฟต์แวร์เฉพาะ ตลอดจนอาจถึงกับต้องเรียกใช้ผู้ให้บริการที่มีความเขี่ยวชาญ

สำหรับหนอนไวรัสดังกล่าวมีชื่อดังต่อไปนี้

  • Eset: Win32/Zimuse.A 
  • Bitdefender: Worm.Zimuse.A
  • Avira: Worm/Zimuse.A
  • Symantec: W32.Zimuse
  • Panda: W32/Mseus.A
  • Kaspersky: Virus.Win32.Mseus.a
  • F-Secure: Dropped:Worm.Zimus.A
  • Sophos: W32/Mseus-A
  • Dr.Web: Trojan.Winlock
  • VirusBuster: Worm.Mseus.A
  • Hauri: Worm.Win32.S.Zimuse

โดยทาง ESET บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยระบุว่า หนอนไวรัสทั้งสองกำลังแพร่ระบาดในกลุ่มผู้ใช้คอมพิวเตอร์ในสโลวาเกีย ซึ่งคิดเป็นอัตราส่วนมากกว่า 90% ของผู้ที่ตกเป็นเหยื่อ (สังเกตได้จากโดเมน .sk)

นอกจากนี้ ยังพบอีกด้วยว่า คอมพิวเตอร์ที่กำลังโดนโจมตีจากหนอนไวรัสตัวนี้ได้เพิ่มจำนวนอย่างรวดเร็ว ไม่ว่าจะเป็นในสหรัฐ ตามมาด้วยสโลวาเกีย ไทย และสเปน

สำหรับการแพร่กระจายของหนอนมีสองวิธีด้วยกัน

  1. วิธีแรกพวกมันจะฝังตัวอยู่ในเว็บไซต์ทั่วไป โดยจะอยู่ในรูปของไฟล์บีบอัด ZIP ที่สามารถคลายไฟล์ได้ในตัว หรือโปรแกรมทดสอบ IQ
  2. วิธีที่สองคือก๊อปปี้ตัวเองลงไปในสื่อบันทึกข้อมูลพกพาอย่างเช่น USB Drive ซึ่งความสามารถในการแพร่กระจายผ่านสื่อพกพาได้ จะทำให้หนอนไวรัสพันธุ์นี้แพร่กระจายตัวเองได้เร็วยิ่งขึ้น

มาดูไฟล์วิดิโอสาธิตวิธีการทำงานกันก่อนครับ

 

การทดลองทำกันบน VMWare ซึ่งผู้ผลิตโปรแกรมป้องกันไวรัสมักจะใช้วิธีนี้ในการค้นหาข้อมูลและการทำงานของไวรัสต่างๆครับ

การทำงานคือ

  1. ก๊อปปี้ไฟล์ tokset.dll ลงไปในไดรฟ์หลัก 
  2. สร้างไฟล์ใน C:\system32\DRIVERS\Mstart.sys, C:\DRIVERS\Mseu.sys และ C:\msues.exe ตามลำดับ
  3. สร้างค่ารีจิสตรี [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe"
  4. เปลี่ยนแปลงรีจิสตรี [HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\MSTART]
    -EventMessageFile=%SystemRoot%\System32\Drivers\MSTART.SYS;%WINDIR%\MSTART.SYS
    -TypesSupported=dword:7
  5. และลูกไม้เดิมคือ สร้างไฟล์ Autorun.inf และ zipsetup.exe ในแฟลชไดรฟ์เพื่อให้รันตัวเองตอนดับเบิ้ลคลิกเข้า

สามขั้นตอนง่ายๆ แต่กผลออกมาอันตรายกว่าที่คิด

ปล.ในขั้นที่ 2 จะไม่สามารถทำกับ OS แบบ 64 Bit ได้นะครับ แต่อย่าเพิ่งสบายใจไป เพราะค่า Registry มันเปลี่ยนได้กับทุกวินโดวส์

การทำงานในระบบ 

เมื่อหนอนรันแล้ว แล้วจะได้หน้าต่างแบบนี้

  มีข้อความ error ขึ้นมาพให้ Restart เครื่อง

มีข้อความ error ขึ้นมาให้ Restart เครื่อง

 

เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ 

แต่เมื่อ Restart เครื่องแล้ว จะไม่สามารถ Boot เข้า OS ได้ตามปกติ

ทั้งนี้เนื่องจาก MBR ถูกทำลายไปแล้ว

เนื่องจากมันจะไปลบไฟล์ NTDETECT.COM, NTLDR, BOOTMGR, HYBERFIL.SYS และ BOOT.INI ในไดรฟ์ C:\ ออก

ข้อมูลจากทาวอาวีร่าบอกว่ามัลแสรืตัวนี้เขียนขึ้นด้วยภาษา C++ ครับ

เพราะฉะนั้น ทางที่ดีที่สุดในการป้องกันมัลแวร์แบบนี้ คือการติดตั้งโปรแกรมป้องกัน และอย่าคลิกลิ้งค์อะไรมั่วซั่วตามเว็บ

บางคนปิดโปรแกรมป้องกันไปเลย (สำหรับคนที่เชื่อคำแนะนำของ GM ไร้สมองบางคน) เพื่อเล่นเกมที่ตัวมันแสนแสนจะ "สำออย" โดนกระทบอะไรหน่อยไม่ได้ ขี้งอน Error ตลอดแถมชอบปิดตัวเองไปบ่อยๆ

แต่เมื่อไวรัสสร้างความเสียหายแล้ว เราอาจจะมานั่งเครียดเพราะเข้า OS ไม่ได้ ก็ไม่รู้ว่าที่เครียดเนื่ย เพราะเสียดายไฟล์งาน หรือกลัวว่าจะไม่ได้เข้าไปเล่นเกมกันแน่นะ (ไม่วายแอบกัดเล็กน้อย)

ป้องกันไว้และอย่าประมาท แล้วจะรู้ว่า USER คือ Antivirus และ Internet Security ที่ดีที่สุดในโลกที่ไม่ต้องเสียเงินซื้อครับ

Links

ด่วน!!! พบ"หนอนไวรัส"พันธุ์ใหม่ร้ายกาจมาก เล่นงานฮาร์ดดิสก์จนใช้การไม่ได้ แพร่บนเน็ต & USB < via Arip

Be aware that there is a Hard-Disk Wrecking Worm out there, < via MalwareCity

Worm/Zimuse.A - Worm Description < via Avira

สวัสดีครับทุกท่าน เนื่องจากเอ็นทรีก่อนเรื่อง "สิ้นหวังแล้วกับการแจ้งปัญหาหน้าเว็บ" นั้นไม่มีสาระอะไร(เลยไม่ Tweet) เลยขอเขียนเอ็นทรีใหม่โดยที่เอ้นทรีเก่ายังมีอายุไม่ถึง 24 ชั่วโมงนะครับ

 

วันนี้มีสาระมาฝากกันครับ เป็นเรื่องของมัลแวร์อีกครั้ง

 

 (เป็นลิ้งแบบย่อ)

 

หนอนตัวนี้ชื่อ Worm/VB.aki.2 มัลแวร์ตัวนี้จัดอยู่ในกลุ่มหนอน ที่ระบาดผ่านทางแฟลชไดรฟ์
ชื่ออื่นๆ

Mcafee: W32/Autorun.worm.gen virus

Sophos: W32/Autorun-APK

Bitdefender: Worm.Generic.47242

Kaspersky: Worm.Win32.VB.aki

Panda: W32/VB.AER.worm

Nod32: Win32/VB.NQP

Fortinet: W32/VB.AKI!worm

Rising: Worm.Win32.VB.tk

การทำงานคือ เมื่อไฟล์หนอนถูกรันสำเร็จ จะสร้างไฟล์ชื่อแบบสุ่มที่มี ขนาดแบบสุ่มตั้งแต่ 20-200 กิโลไบต์ โดยมีส่วนขยายต่อไปนี้

  • sys
  • com
  • ini
  • bin
  • inf
  • dll
  • ocx
  • dat
  • bas
  • cat
  • res
  • cfg
  • mp3
  • doc
  • txt
  • hlp
  • ax
  • dot



และจะหยุดทำงานก็ต่อเมื่อฮาร์ดดิสก์เต็ม ซึ่งไฟล์เหล่านี้เป็นข้อมูลขยะที่ใช้งานไม่ได้และไม่ใช่ไฟล์ไวรัส



การทำงานอื่นๆ

  1. สร้างไฟล์ usbdrv.exe ไว้ในไดรฟ์ และ Autorun.inf สำหรับรันตัวเองเมื่อคลิกเข้ามา
  2. ลบไฟล์ ntldr, NTDETECT.COM, boot.ini ในไดรฟ์ C:\
  3. เปลี่ยนค่ารีจิสตรีดังนี้
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader"="%WINDIR%\acroread.exe"


ทางอาวีร่าบอกว่าหนอนตัวนี้เขียนขึ้นด้วย Visual Basic มีระดับการคุกคามในระดับต่ำถึงปานกลาง แต่มีระดับความเสียหายอยู่ในระดับสูงครับ

เพราะฉะนั้น อย่าประมาท ลงโปรแกรมป้องกันไวรัส และหมั่น Update และสแกน บ่อยๆ
อย่าปิด Antivirus บ่อยๆถ้าไม่จำเป็น เช่นตอนเข้าเกมไม่ได้ เพราะทาง GM ไม่มีส่วนรับผิดชอบหากเครื่องติดไวรัสครับ เลยตอบอะไรแบบไม่ได้คำนึงถึงปัญหาช่องโหว่เหล่านี้ครับ

Av-Comparatives Malware Removal Test.

posted on 28 Oct 2009 20:53 by warbandit in AntiVirus-Comparison

สวัสดีครับทุกท่าน หลังจากที่หายไปหลายวัน เพราะมัวไปขลุกกับ Twitter อยู่ เลยทำให้อัพบล๊อกน้อยลง เพราะว่าบางเรื่องมันสั้นเกินกว่าจะเอามาอัพบล๊อก เพราะงั้น ใครอยากติดตามชีวิตเน่าๆ ของผมเองก็ Follow มาได้นะครับ (ไม่รับสแปมกับ Robot นะ)

เอาหล่ะเข้าเรื่องเลย

การทดสอบของ Av-Comparatives ที่ผ่านๆมาคือการจับไวรัสมาฝูงใหญ่ๆ แล้วสั่งสแกน ดังนั้นผลจะออกมาดีหรือไม่ดีก็ขึ้นอยู่กับว่าอัพเดตบ่อยแค่ไหน

คราวนี้ทาง Av-Comparatives ก็ทดสอบกันอีกครั้ง แต่คราวนี้เป็น Malware Removal Test คือการทดสอบการกำจัดมัลแวร์ในเครื่องที่ติด

ใช่ครับ การป้องกันมันง่าย แต่การแก้ไขมันยากกว่า การทดสอบนี้ทดลองกับมัลแวร์ 10 ตัวคือ

  1. NetSky
  2. RJump
  3. Sysrutrk
  4. FakeAV
  5. Autorun
  6. Brontok
  7. Vundo
  8. Rustock
  9. Agent
  10. ZBot

ทาง Av-Comparatives ไม่ได้เปิดเผยสายพันธุ์ของมัลแวร์ดังกล่าว เพื่อความยุติธรรม เพราะ Antivirus ทีดีจะต้องยืดหยุ่นพอกำจัดมัลแวร์นั้นๆได้ ถึงจะมีหลายสายพันธุ์ก็ตาม

การตั้งค่า Heurestic เป็นค่าเดิมของโปรแกรม

สรุปผลออกมาเป็นตามตารางครับ(ผมทำตารางเองแหล่ะ)

 

สีที่ใช้หมายความตามนี้ครับ

  • เขียว = หมดจรด
  • เหลือง = กำจัดได้และมี Registry ตกค้าง
  • ส้ม = กำจัดได้แค่มี Registry และไฟล์ที่ไม่เป็นอันตรายตกค้าง
  • แดง = เมื่อลบแล้วบุตใหม่จะเกิดข้อความ Error แต่ลบสำเร็จ
  • เทา = แฮ้งค์ระหว่างกำจัด แต่กำจัดได้และมีสิ่งตกค้าง
  • ดำ = ล้มเหลวในการกำจัด

จากภาพ ถ้าไวรัสตัวไหนมีสีแดง เทา หรือ ดำ แปลว่ากำจัดออกยากมาก แต่ทาง Av-Comparatives ก็บอกมาว่า ไฟล์ที่ใช้รันมัลแวร์นั้น Antivirus ทุกตัวจับได้แล้ว แต่คราวนี้ทดสอบบนระบบที่ติดไวรัส แปลว่าถึงตรวจเจอไฟล์ แต่ถ้าไวรัสเริ่มคุกคามเมื่อไหร่ ก็ตัวใครตัวมันนะ

สังเกตนะครับว่าไวรัสที่เราๆเคยเจอกันอย่าง Brontok และ Autorun ที่มีหลากหลายสายพันธุ์และกำจัดได้ยากมาก ดังนั้นแปลว่าถ้ากำจัดได้หมดแปลว่าโปรแกรมนั้นๆมีความคล่องตัวสูง ตัวอย่างเช่น F-Secure หรือ eScan ครับ ที่สแกนช้าแต่ชัวร์

ถึงได้ย้ำนักย้ำหนาว่าการป้องกันไวรัสก็ยากแล้ว แต่การกำจัด ถ้าเราหวังพึ่งโปรแกรมมากๆ ก็แย่นะ เพราะยังไงบางตัวกำจัดได้แค่ตัวไฟล์ แต่ทิ้ง Registry ไว้ให้ User ตามล้างตามเช็ดเอาเอง

"ถึงจะมีโปรแกรมดี แต่ User นี่แหล่ะที่ต้องมีความรู้ด้วย"

เอ็นทรีก็แค่นี้ครับ ไว้เจอกันเอ็นทรีหน้า

ช่วงนี้ไวรัสหวัด 2009 ระบาดหนัก ยังไงก็รักษาสุขภาพไว้ด้วยนะครับ

หายจากไวรัสคน มาต่อกันที่ไวรัสคอมต่อ

 เมื่อต้นปีที่ผ่านมา หนอน Confiker ได้ระบาดหนัก จนมากเกินกว่าจะควบคุมได้ เหมือนไข้หวัดบ้านเรา

 มีผลการรายงานมาจาก MalwareCity ครับ เกี่ยวกับการระบาดของหนอน Confiker ที่เพิ้มขึ้นเรื่อยๆ

Confiker Chart

 พบว่าประเทศที่ติดและมีการแพร่ระบาดของหนอนตัวนี้ส่วนมากจะอยู่ในเอเชียครับ และมากที่สุดคือแถบอาเซียนนี่เอง (อินโดนีเซีย, มาเลเซีย, ฟิลิปปินส์, ไทย และ เวียดนาม)

ซึ่งจากการคาดเดาของผมแล้ว ประเทศเหล่านี้กำลังพัฒนาในเรื่องของการโทรคมนาคมและการสื่อสารอยู่ แต่ยังไม่มีมาตรการรองรับเรื่องความปลอดภัยครับ

เห็นแบบนี้แล้ว มาป้องกันกันเถอะ

เนื่องจากหนอนตัวนี้สามารถแพร่ระบาดทางวงแลน เช่นเครื่องคอมสาธารณะที่ต่อเครือข่าย รวมทั้ง Wireless ตามสถานที่ต่างๆเป็นแหล่งแพร่กระจายชั้นเยี่ยมของหนอนตัวนี้ด้วยครับ

หากเราจำเป็นต้องใช้โน๊ตบุ๊กต่อ Wireless และนำให้เปิด Antivirus และ Firewall ไว้ด้วยนะครับ

นอกจากนี้ก็กระจายตัวเอาทางแฟลชไดรฟ์ผ่านทางช่องโหว่ Autorun แนะนำให้ปิด Autorun ของวินโดวส์ไว้ด้วยนะครับ

 

เอ็นทรีที่เกี่ยวข้อง

ถ้าพูดถึงความปลอดภัย คุณอยู่ในกลุ่มไหน ?

1 เมษากับ Confiker

Variants of Win32.Confiker : เมื่อหนอนกลายพันธ์!

โหลดตัวแก้ Conficker, Kido หรือ Downadup ได้ที่นี่

เตือนเวิร์ม Downadup แพร่ตัวเข้าคอมพิวเตอร์เกือบ 9 ล้านเครื่องทั่วโลกแล้ว

อ่านข้อมูลไวรัส (Virus Encyclopedia) ที่ไหนดีน๊อ

เตือนภัยหนอนWin32.Kido จู่โจมผ่านช่องโหว่วินโดวส์

 

ลิ้งค์ที่เป็นประโยชน์

ปิด Autorun ป้องกันภัยร้ายในคอมพิวเตอร์คุณ

DOWNLOAD-> CPE17 Autorun Killer < สำหรับกำจัด AutoRunจากแฟลชไดรฟ์