PE_VBAC เป็นตระกูลมัลแวร์ที่มีขนาดเล็กของไวรัสชนิด Polymorphic ที่ทำให้แฟ้ม.EXE และ .DLL ในคอมพิวเตอร์ติดเชื้อได้ มัลแวร์ตระกูลนี้อาจไม่มีอะไรพิเศษในเรื่องของลักษณะการทำให้ไฟล์ติดเชื้อ แต่ความร้ายกาจอยู่ตรงที่เป็นมัลแวร์ที่มีสร้างความวุ่นวายให้กับพื้นที่เป้าหมายที่ถูกโจมตีมาก และยังเป็นญาติใกล้ชิดกับตระกูลไวรัสที่หายไปนานแต่ใช้เทคนิคการโจมตีที่ละเอียดกว่ามาก
แน่นอนว่า แม้จะเป็นญาติสนิทของมัลแวร์ที่หายไปนาน VBAC อาจเป็นมัลแวร์ที่มีขนาดเล็ก แต่มีอำนาจในการโจมตีถึงสองรูปแบบ และได้รับการพิสูจน์ให้เห็นแล้วว่าเป็นภัยคุกคามที่น่ากลัว
บทโจมตีแรก: เป็นไฟล์วายร้าย
มีอยู่สองวิธีที่ใช้ประเมินความน่ากลัวของมัลแวร์ตัวนี้ที่มีต่อโลกคอมพิวเตอร์ อันดับแรกอยู่ที่ตัวโครงสร้างไฟล์ของมันเอง ซึ่งยากที่จะสแกนและล้างทำความสะอาด VBAC มาในรูปของไฟล์เข้ารหัส เมื่อมัลแวร์ VBAC ตัวแรก ที่ชื่อว่า PE_VBAC.A ได้รับการค้นพบเมื่อเดือนตุลาคมที่ผ่านมา และบริษัท เทรนด์ ไมโครได้สร้างรูปแบบการตรวจจับ และกำจัดเพื่อระบุปัญหาดังกล่าว เนื่องจากมันเป็นไวรัสที่ไม่ได้ก่อสิ่งผิดปกติใดๆ ดังนั้นโซลูชันของบริษัท เทรนด์ ไมโครจึงสามารถทำงานได้อย่างมีประสิทธิภาพ
ปัญหาเริ่มเกิดเมื่อมีการปล่อยมัลแวร์ตัวนี้วนซ้ำแล้วซ้ำเล่าในโลกประมวลผล เนื่องจากสายพันธุ์ VBAC ถูกเข้ารหัสไว้ โดยทางโครงสร้างแล้ว ทุกตัวจึงมีลักษณะเหมือนกัน ดังนั้นแม้ว่าจะมีการสร้างระบบตรวจจับเพิ่มเติมสำหรับสายพันธุ์ใหม่ที่เกิดตามมาจากสายพันธุ์ .A แต่กลไกการสแกนยังยึดตามสายพันธุ์ .A อยู่ ตัวอย่างเช่น เมื่อชุดซอฟต์แวร์ป้องกันไวรัสพยายามที่จะล้างทำความสะอาดไฟล์นั้น ก็จะมีการนำรูปแบบการล้างของสายพันธุ์ .A ไปใช้
รูปแบบการล้างจะคล้ายไฟล์ที่เข้ารหัสออก และพยายามที่จะทำความสะอาดไฟล์ที่ติดเชื้อ แต่เนื่องจากไฟล์ดังกล่าว ต่างจากไฟล์สายพันธุ์ .A ทางโครงสร้าง ความพยายามที่จะทำความสะอาดจึงอาจเป็นการทำลายไฟล์นั้นไปโดยไม่ตั้งใจ
โครงสร้างไฟล์ของสายพันธุ์ VBAC เป็นความท้าทายสำหรับกลไกการสแกนของบริษัท เทรนด์ ไมโคร เมื่อผลิตภัณฑ์ป้องกันไวรัสกลายเป็นตัวทำลายไฟล์ ทำให้เกิดความเสียหายของอุตสาหกรรมด้านการรักษาความปลอดภัยด้วย ถ้าตระกูลมัลแวร์เล็กๆ สามารถเป็นเหตุให้เกิดเหตุการณ์ร้ายแรงขึ้นแล้ว จะเกิดอะไรขึ้นเมื่อมัลแวร์ในลักษณะคล้ายกันนี้ถูกปล่อยออกมายังโลกภายนอก
บทโจมตีที่สอง: เป็นภัยคุกคามความปลอดภัย
ความวุ่นวายที่ VBAC ก่อเมื่อระบบมีการติดเชื้อนั้นไม่ได้จำกัดเฉพาะไฟล์ติดเชื้อเท่านั้น แต่ยังได้ดาวน์โหลดไฟล์ร้ายอื่นๆ เข้าสู่ระบบด้วย ลูกค้าที่พบว่าระบบของตัวเองติดเชื้อจาก VBAC จะพบด้วยว่ากำลังเผชิญหน้ากับภัยคุกคามอื่นๆ โดยเฉพาะการที่ VBAC ได้ดาวน์โหลดสปายแวร์โทรจันมายังคอมพิวเตอร์ของตัวเองด้วย
สปายแวร์โทรจันรู้จักกันดีว่าเป็นเครื่องมือที่ใช้โดยเหล่าวายร้ายในการรวบรวมข้อมูลจากระบบ ซึ่งเป็นข้อมูลที่สามารถใช้สร้างประโยชน์ด้านการเงินในภายหลังได้ การติดตั้งสปายแวร์โทรจันเหล่านี้จึงเป็นเรื่องเสี่ยงที่จะนำไปสู่การเปิดเผยข้อมูลสำคัญของผู้ใช้
สายพันธุ์ VBAC จะดาวน์โหลดไฟล์ในตระกูล TSPY_LINEAGE ซึ่งเป็นสปายแวร์โทรจันชนิดหนึ่ง โดยจะทำการขโมยข้อมูลที่เกี่ยวกับเกมออนไลน์ Lineage เหล่าวายร้ายจะขโมยข้อมูลบัญชีผู้ใช้ของเกม Lineage โดยใช้สายพันธุ์ TSPY_LINEAGE ที่สามารถขโมยชื่อและรหัสผ่านผู้ใช้เพื่อให้สามารถเข้าถึงบัญชีผู้ใช้เกมดังกล่าวได้
แต่การขโมยไม่ได้หยุดเพียงเท่านี้ บรรดาผู้เชี่ยวชาญจากบริษัท เทรนด์ ไมโคร ให้ความเห็นว่า TSPY_LINEAGE ที่ถูกดาวน์โหลดมายังคอมพิวเตอร์ของเหยื่อไม่ได้ดำเนินการขโมยข้อมูลบัญชีผู้ใช้เกมเพียงอย่างเดียว เพราะจริงๆ แล้ว สิ่งที่มีค่าที่แท้จริงของบัญชีผู้ใช้เกมก็คือเงิน ความนิยมของเกมออนไลน์ในรูปแบบของเกมที่ต้องสวมบทเป็นตัวละครต่างๆ ในเกมและต้องเล่นกับผู้คนจำนวนมาก ยังนำไปสู่การแลกเปลี่ยนเงินจริงๆ ด้วย (RMT หรือการทำธุรกรรมทางการเงินจริง) โดย “ทรัพย์สินที่โกงมาได้นั้น” หรือที่ภาษาเกมเรียกว่า ไอเท็ม (item) ที่มีค่าและหายาก จะถูกแลกเปลี่ยนหรือประมูลเป็นตัวเงิน ดังนั้นการเข้าควบคุมบัญชีผู้ใช้เกม Lineage จึงหมายถึงการเข้าควบคุมไอเท็มทั้งหมดในบัญชีผู้ใช้รายนั้น ซึ่งสามารถทำเงินได้จริง
ไม่แปลกที่การติดเชื้อมัลแวร์ร้าย VBAC จะเกิดขึ้นมากมายในเกาหลี และพื้นที่ที่ใช้ภาษาจีนสื่อสาร อย่าง ไต้หวัน เนื่องจากในภูมิภาคดังกล่าวมีประชากรเป็นสมาชิกของเกม Lineage จำนวนมาก โดย VBAC จะถูกใช้เป็นตัวโจมตีเนื่องจากสามารถช่วยให้ผู้ใช้สามารถเข้าสู่ระบบได้ หลังจากนั้นก็จะทำหน้าที่เหมือน
กับไวรัสที่ติดข้อมูลหรือโปรแกรมส่วนใหญ่ เพียงแต่ VBAC ตกเป็นเป้าสายตาน้อยกว่าโทรจันหรือหนอนที่เป็น สแปม และยังพิสูจน์ให้เห็นแล้วว่าการสแกน และล้างทำความสะอาดเป็นเรื่องยุ่งยาก จึงทำให้ผู้โจมตีสามารถยื้อเวลาในการขโมยข้อมูลได้ตามต้องการ
ตอบโต้การโจมตี
เมื่อมีการโจมตีทั้งสองรูปแบบเกิดขึ้น มัลแวร์ในตระกูล VBAC ยังฝากบทเรียนสองอย่างไว้กับเราด้วย บทเรียนแรกคือพื้นที่การก่อเหตุจะเปลี่ยนแปลงไป โดยดูเหมือนว่ามัลแวร์ตัวนี้จะพุ่งเป้าไปที่พื้นที่ที่ก่อประโยชน์ด้านการเงินมากกว่าที่จะขโมยเงินโดยตรง จึงเลือกที่จะเข้าไปยังพื้นที่หรือกลุ่มประชากรเฉพาะที่มีคนเข้าไปเกี่ยวข้องมากที่สุด
สำหรับบทเรียนที่สอง ก็คือกลไกการสแกนจะต้องมีความพร้อมเสมอในการตรวจหามัลแวร์แบบทันที ด้วยเหตุนี้ บริษัท เทรนด์ ไมโคร จึงได้สร้างและจะเปิดตัวกลไกรุ่นที่สร้างขึ้นเป็นพิเศษในการระบุภัยร้าย VBAC โซลูชันนี้จะครอบคลุมมัลแวร์ที่เป็นไปได้มากขึ้น โดยเฉพาะการย้อนรอยกลับมาโจมตีของ VBAC
บริษัท เทรนด์ ไมโคร อิงค์
บริษัท เทรนด์ ไมโคร อินคอร์ปอเรท เป็นผู้บุกเบิกด้านการจัดการเนื้อหาและภัยคุกคาม ซึ่งก่อตั้งในปี 1988 บริษัท เทรนด์ ไมโคร ได้จัดเตรียมซอฟต์แวร์ ฮาร์ดแวร์ และบริการด้านความปลอดภัยที่ได้รับรางวัลให้กับองค์กรในทุกขนาดและส่วนบุคคล โดยบริษัทมีสำนักงานใหญ่ตั้งอยู่ ณ กรุงโตเกียว ประเทศญี่ปุ่น และมีหน่วยธุรกิจกว่า 30 ประเทศ โซลูชันของบริษัท เทรนด์ ไมโคร จำหน่ายไปยังองค์กรธุรกิจ ตัวแทนจำหน่ายแบบมูลค่าเพิ่ม และผู้ให้บริการทั่วโลก สำหรับข้อมูลเพิ่มเติมและชุดทดลองใช้งานผลิตภัณฑ์และบริการจากบริษัท เทรนด์ ไมโคร เยี่ยมชมได้ที่ เว็บไซต์ www.trendmicro.com
สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น และคุณบุษกร สนธิกร ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด โทร. 02-439-4600 ต่อ 8202, 8300
อีเมล์ busakorns@corepeak.com, srisuput@corepeak.com
