Yasser Arafat Virus

WORM_GOLTEN.A Yasser Arafat Virus

จากข่าวการถึงแก่กรรมของนายอาราฟัดผู้นำแห่งปาเลสไตน์เมื่อไม่นานนี้ นับว่าเป็นข่าวที่โด่งดังไปทั่วโลกและกำลังฮ๊อตในปัจจุบัน ทำให้ผู้ไม่ประสงค์ดีฉวยโอกาสกับข่าวดังกล่าว ปล่อยหนอนอินเตอร์เน็ตผ่านทาง eMail ที่มีหัวข้อเกี่ยวกับการถึงแก่กรรมของนายอาราฟัด ตลอดจนมีรูปพิธีศพของนายอาราฟัดแนบมากับอีเมล์นั้นๆด้วย ซึ่งอีเมล์ดังกล่าวอาศัยช่องโหว่งของระบบปฎิบัติการของ Microsoft (MS04-032) http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx บนเครื่องคอมพิวเตอร์ในการแพร่กระจายไวรัสที่มากับรูปภาพ

ซึ่งช่องโหว่ของระบบปฏิบัติการที่มีผลกระทบนั้นได้แก่ระบบปฏิบัติการของ Windows 2000 และ Windows XP ซึ่งช่องโหว่ดังกล่าว เกิดจากการที่ไม่ได้ทำการตรวจสอบข้อมูลในหน่วยความจำก่อนที่จะนำไปใช้งาน ซึ่งเกิดขึ้นใน Process ที่ใช้ในการแสดงผลในรูปแบบของไฟล์ WMF (Window Metafile) และ EMS (Enhanced Metafile) ทำให้ผู้บุกรุกสามารถโจมตีเครื่องที่ไม่ได้ทำการอุดช่องโหว่ดังกล่าวผ่านทางระบบเครือข่ายเช่นทาง Internet

Virus ที่มากับข่าวของนาย Yasser Arafat นั้นก็ได้แนบไฟล์รูปภาพพิธีศพที่มีระบบไฟล์ EMS เข้ามาด้วย ทำให้ผู้ที่เปิดไฟล์รูปภาพเหล่านั้นติดหนอนอินเทอร์เน็ต ชนิดนี้ได้ทันที เนื่องจากหนอนอินเทอร์เน็ต ชนิดนี้มากับช่องโหว่ของการแสดงผล Graphic ที่มีปัญหาอยู่แล้ว เมื่อ Worm_Golten.A เข้ามาอยู่ในเครื่อง ก็จะทำให้เครื่องนั้นติดเชื้อและทำการสแกนหาเครื่องอื่นๆ ที่อยู่ในระบบเครือข่ายเดียวกันผ่านทาง share file ที่ Port TCP135 เมื่อทำการติดต่อหาเครื่องที่จะทำการส่งไวรัสนั้นได้แล้ว ก็จะพยายามติดต่อไปยัง share IPC$ จากนั้นก็พยายามใช้ account ของผู้บริหาร หรือ administrator โจมตีไปยังเครื่องที่มีระบบรหัสผ่านหรือ password ที่อ่อนแอ หรือที่ยังไม่ได้ตั้งรหัสผ่าน ซึ่งหนอน Golten.A จะมี password อยู่ใน list จำนวนมากซึ่งรหัสผ่านนั้นเป็นรหัสผ่านที่ง่ายๆ ที่ผู้ใช้ส่วน

ใหญ่ชอบใช้ตั้งเพื่อง่ายแก่การจดจำ ดังนั้น ถ้าท่านไม่ได้ตั้งรหัสผ่านที่ยากต่อการเดาก็อาจจะโดนหนอนชนิด นี้โจมตีได้ทันที
ตัวอย่าง Password เช่น

• !@#$
• 123
• 88888888
• !@#$%
• 123!@#
• admin
• !@#$%
• 1234
• 54321
• ~!@#
• 1234!@#$
fan@ing*
• 000000
• 12345
• Oracle
• 00000000
• 12345!@#$%
• Pass
• 111
• 123456
• Passwd
• 111
• 1234567
• Password
• 111111
• 12345678
• Root
• 11111111
• 54321
• Security
• 12
• 888888
• stgzs
• super

หลายท่านยังคงเข้าใจผิดอยู่ว่ารูปภาพไม่สามารถนำพาไวรัสเข้ามาได้ แต่ที่จริงแล้วในระบบเครือข่ายหรือเครื่องคอมพิวเตอร์ที่มีปัญหาของระบบปฏิบัติการที่มีช่องโหว่ ก็สามารถทำให้ไวรัสใหม่ๆ เข้ามาผ่านทางรูปภาพหรือกราฟฟิคได้ทันที อย่างเช่น Golten.A หรืออย่างไวรัสที่มากับภาพของ Yasser Arafat ดังนั้น ท่านผู้อ่านที่ใช้ระบบปฏิบัติการของไมโครซอฟ์ที่เป็น Windows 2000 และ Windows XP ทำการอัพเดจและอุดช่องโหว่ MS04-032 จากทาง website ของ Microsoft ที่ windowsupdate.microsoft.com และทำการอัพเดท pattern file ของระบบ Anti-Virus ที่ท่านใช้อยู่ให้ใหม่ล่าสุดทันที เพื่อป้องกันมิให้ติดเชื้อหนอนอินเทอร์เน็ต ดังกล่าว

เรื่องโดย นักรบ เนียมนามธรรม
ที่ปรึกษาเทคนิค บริษัท เทรนด์ ไมโคร อิงค์
[email protected]