ด้วยความสามารถในการแพร่กระจายสแปมเมล์ ในปริมาณมหาศาลทำให้หนอนอินเทอร์เน็ต WORM_BAGLE มีชื่อเสียงโด่งดังไปทั่วโลก และล่าสุดหนอนร้ายตัวนี้ได้ใช้เทคนิคใหม่ปลอมตัวเป็นบริษัทจำหน่ายตั๋วที่แจกจ่ายตั๋วฟรีในการเข้าชมมหกรรมการแข่งขันโอลิมปิกฤดูหนาว 2006 ณ เมืองตูริน ประเทศอิตาลี
‘เทรนด์แล็บส์’ ศูนย์สนับสนุนเทคโนโลยีและการวิจัยด้านการป้องกันไวรัสส่วนกลางของบริษัท เทรนด์ ไมโคร รายงานว่าได้ตรวจพบไวรัส Bagle สายพันธุ์ใหม่ในชื่อ WORM_BAGLE.EV ซึ่งเหมือนกับสายพันธุ์ก่อนหน้านี้ นั่นคือเจ้าหนอน BAGLE.EV ได้เริ่มต้นการโจมตีครั้งแรกโดยใช้โทรจันที่ฝังตัวอยู่ในไฟล์แนบท้ายอีเมล์ เมื่อผู้ใช้เปิดไฟล์ดังกล่าว หนอนร้ายก็จะทำสำเนาตัวเองไปยังโฟลเดอร์ต่างๆ ที่มีชื่อประกอบด้วยตัวอักษร “SHAR” รวมอยู่ เช่น โฟลเดอร์สำหรับใช้ร่วมกันของโปรแกรมถ่ายโอนไฟล์ในเครือข่ายเพียร์ทูเพียร์ (peer-to-peer : P2P) ดังนั้นหนอนสายพันธุ์นี้จึงสามารถแพร่กระจายตัวเองผ่านทางแอพพลิเคชั่นและภาพลามกต่างๆ ได้อย่างต่อเนื่อง
WORM_BAGLE.EV จะพยายามหลบหลีกการตรวจจับของซอฟต์แวร์รักษาความปลอดภัยมาตรฐาน ผู้ใช้จึงควรติดตั้งซอฟต์แวร์ป้องกันไวรัสที่สามารถแจ้งการเตือนภัยก่อนไวรัสสายพันธุ์ใหม่จะโจมตีได้ รวมทั้งสามารถอัพเดทระบบให้รู้จักรูปแบบของไวรัสชนิดล่าสุดได้เองโดยอัตโนมัติ นอกจากนี้ซอฟต์แวร์รักษาความปลอดภัยควรจะสามารถปิดการเชื่อมต่อกับเครือข่ายภายนอกอื่นเป็นการชั่วคราว ขณะกำลังอัพเดทรูปแบบไวรัสให้ระบบเพื่อลดความเสี่ยงในการติดไวรัสได้
บริษัท เทรนด์ ไมโครตั้งข้อสังเกตว่า อีเมล์ ที่มีหนอน WORM_BAGLE.EV แฝงตัวอยู่อาจมาในรูปของชื่อเรื่องและไฟล์แนบท้ายดังนี้
ในบรรทัดชื่อเรื่องอีเมล์ ที่อาจเป็นกลลวงของไวรัส
• FREE OLYMPIC TICKETS LOTTERY!
• 2006 Winter Games in Torino
• 2006 Torino Winter Games FREE Tickets
ไฟล์แนบท้ายที่อาจเป็นกลลวงไวรัส
• Generated_bill.exe
• Order_details.exe
• Service_receipt.exe
สำหรับเนื้อความของอีเมล์ หนอนสายพันธุ์นี้จะเหมือนกับอีเมล์ ทั่วไป นั่นคือจะมีข้อความจากบริษัท TicketWorld บริษัท Coast to Coast Tickets และบริษัท SuperTicketing Premium Seating ผู้จำหน่ายตั๋วชมโอลิมปิก นอกจากนี้ภายในอีเมล์ ยังอาจมีข้อความต่อไปนี้รวมอยู่ด้วยเพื่อเพิ่มความน่าเชื่อถือ อาทิ “Any trademarks used in this communication are for informational purposes only.” “All ticket prices are in US$ dollars.” และ “All Opening Ceremony tickets will be delivered via FedEx.” อีเมล์ เหล่านี้อาจใส่หมายเลขโทรศัพท์ของผู้จำหน่ายตั๋วเอาไว้ด้วยเพื่อยืนยันว่าเป็นอีเมล์ ของจริง สำหรับถ้อยคำล่อลวงหลักๆ ของอีเมล์ มักจะปรากฏดังนี้ “Open the attached file to find out how to receive your free tickets.” “Free ticket drawing – please see attachment for details.” หรือ “Note: the attached invitation includes your free tickets.”
ทันทีที่ไฟล์แนบท้ายถูกเปิด มัลแวร์ร้ายจะแสดงคำเตือนที่บอกให้รู้ว่าไฟล์แนบท้ายดังกล่าวไม่สามารถถูกเปิดได้ แต่จริงๆ แล้วเมื่อคลิกไฟล์แนบท้าย หนอน Bagle ได้เข้าไปในระบบคอมพิวเตอร์ของคุณเรียบร้อยแล้ว ด้วยการปลอมตัวเองเป็นข้อยกเว้นในไฟร์วอลล์ของผู้ใช้และจะเข้าไปลบค่ารีจิสเตอร์ของระบบที่เกี่ยวข้องกับความปลอดภัยเพื่อหลีกเลี่ยงการตรวจจับ
เทรนด์ ไมโคร กล่าวว่า WORM_BAGLE.EV ได้แจกจ่ายอีเมล์ ในปริมาณมหาศาลพร้อมๆ กับจำลองตัวเองผ่านทางเครือข่ายเพียร์ทูเพียร์ โดยโฟลเดอร์ของไฟล์ใดๆ ที่มีชื่อเป็นตัวอักษร “SHAR” รวมอยู่ สามารถถูกใช้เพื่อเข้าสู่กระบวนการสำเนาตัวหนอนได้ เช่น “My Shares” หรือ “ Shared Music” และอื่นๆ โดยชื่อไฟล์อาจเป็นชื่อของซอฟต์แวร์ยอดนิยม เช่น “Adobe Photoshop 9 full.exe,” “IE beta 7.exe,” “Windows Sourcecode update.doc.exe,” หรือไฟล์ภาพลามกอนาจาร เช่น “anna benson sex video.exe,” “barrett jackson nude photos,” “movies,” “porn video.exe” เป็นต้น
เทรนด์แล็บส์เปิดเผยว่าในช่วงไม่กี่ปีที่ผ่านมานี้ มัลแวร์ได้ใช้วิธีแจกจ่ายตัวเองไปยังระบบคอมพิวเตอร์หลากหลายรูปแบบ ตัวอย่างเช่น หนอน Bagle ซึ่งยังคงมีวิวัฒนาการอย่างต่อเนื่อง และแตกสายพันธุ์ใหม่ๆ ออกมาไม่หยุด ทั้งนี้ Bagle ใช้วีธีการโจมตีระบบหลากหลาย อาทิ เขียนการตั้งค่าการเริ่มต้นโปรแกรมได้เองโดยอัตโนมัติ ดาวน์โหลดหนอน ปิดการทำงานและลบไฟล์ทิ้ง ฝังตัวเองในไฟล์ DLL ลบแอพพลิเคชันอื่นๆ ทิ้งแล้วตั้งค่าเริ่มต้นการทำงานใหม่ สร้าง mutex (mutual exclusion objects) ที่มีผลต่อการทำงานของระบบ บรรจุโปรแกรมหรือบีบอัดไฟล์ใหม่อีกครั้ง ปิดการทำงานของบริการวินโดว์ส และเปลี่ยนชื่อไฟล์ใหม่ เป็นต้น
นอกจากนี้ เทรนด์ ไมโครยังเชื่อด้วยว่า มัลแวร์ร้ายตัวนี้อาจมีวิวัฒนาการและผลิตสายพันธุ์ใหม่ๆ ออกมาอย่างต่อเนื่อง ความกังวลที่มีอยู่ในขณะนี้คือการที่ผู้เขียนมัลแวร์ตัวนี้อาจใช้เทคโนโลยีรูทคิต (Rootkit) หรือใช้ประโยชน์จากไฟล์สกุล JPEG/EMF/WMF บริษัทแนะนำว่าผู้ใช้ควรติดตั้งซอฟต์แวร์รักษาความปลอดภัยให้กับพีซี ซึ่งสามารถขัดขวางการโจมตีของภัยคุกคามลูกผสมเหล่านี้ และสามารถปิดกั้นไวรัสร้ายได้อย่างสมบูรณ์ รวมทั้งกำจัดมัลแวร์ทุกชนิด อาทิ หนอน โทรจัน และไวรัสอื่นๆ
รายละเอียดเพิ่มเติมเข้าไปดูได้ที่เว็บไซต์ของเทรนด์ ไมโคร (www.trendmicro.com)
