รายงานไวรัสในสัปดาห์นี้จะกล่าวถึงแบ็คดอร์โทรจัน Ryknos.A ช่องโหว่สามรายการในเอนจิ้นสำหรับเรนเดอร์ภาพของ Windows เวิร์ม Lupper.A และโทรจัน Zagaban.H
Ryknos.A เป็นแบ็คดอร์โทรจันที่เปิดพอร์ต 8080 และเชื่อมต่อไปยังไอพีแอดเดรสหลายแห่งเพื่อรอรับคำสั่งควบคุมจากระยะไกล เช่น ดาวน์โหลดหรือรันไฟล์ เป็นต้น ทั้งนี้ เพื่อควบคุมคอมพิวเตอร์ดังกล่าว Ryknos.A จะติดตั้งตัวเองในไดเร็กทอรีระบบของ Windows ในชื่อ “$SYS$DRV.EXE” ในระบบที่มีซอฟต์แวร์ Sony Digital Rights Management ติดตั้งอยู่ โทรจันนี้จะใช้เครื่องมือหลักที่มาพร้อมกับซอฟต์แวร์ซ่อนไฟล์ต่างๆ ที่มีชื่อขึ้นต้นด้วยอักขระ “$SYS$” ไม่ให้ปรากฏใน Windows Explorer
ปัญหาด้านความปลอดภัยสามรายการที่เราจะกล่าวถึงในวันนี้ได้แก่ Graphics Rendering Engine, Windows Metafile (WMF) และ Enhanced Metafile (EMF) ซึ่งอาจเปิดโอกาสให้ผู้ใช้จากระยะไกลสามารถเข้าควบคุมคอมพิวเตอร์ได้โดยใช้สิทธิ์เดียวกับผู้ใช้ที่เริ่มต้นเซสชัน หรือเพื่อเริ่มการโจมตีแบบ denial of service ช่องโหว่ดังกล่าวซึ่งได้รับการจัดระดับความรุนแรงเป็น ‘critical’ เกิดจากการประมวลผลไฟล์ภาพ Windows metafile (WMF) และ enhanced metafiles (EMF) ทำให้ส่งผลกระทบต่อแอพพลิเคชันที่เรนเดอร์ภาพ WMF หรือ EMF ใน Windows 2000, Windows XP และ Windows Server 2003
ปัญหาด้านความปลอดภัยดังกล่าวนี้อาจเป็นช่องให้ผู้โจมตีเจาะเข้ามาได้โดยอาศัยไฟล์ภาพที่ประดิษฐ์ขึ้นเป็นพิเศษซึ่งอาจส่งมาทางอีเมล์ จัดเก็บไว้บนเว็บ ฝังในเอกสารออฟฟิศ หรือเก็บในไดรฟ์เครือข่ายที่แชร์ไว้ ผู้บุกรุกสามารถเจาะช่องโหว่ดังกล่าวได้ หากสามารถเปิดโลคัลเซสชันและรันโปรแกรมที่สร้างขึ้นเพื่อการนี้ ในการป้องกันปัญหาดังกล่าว ไมโครซอฟท์ได้ออกชุดอัพเดตสำหรับ Windows 2003, Windows XP และ Windows 2000 ( ระบบที่ได้รับผลกระทบ ) ผู้ใช้สามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับแอดเดรสในการดาวน์โหลดชุดอัพเดตหรือการใช้ Windows Update ได้ในจดหมายข่าวฉบับที่ MS05-053 ของไมโครซอฟท์ โดยไปที่ http://www.microsoft.com/technet/security/bulletin/MS05-053.mspx Lupper.A เป็นเวิร์มที่แพร่ระบาดในระบบ Linux โดยเจาะช่องโหว่ด้านความปลอดภัยสองรายการ ได้แก่ AWStats Rawlog Plugin Input Vulnerability และ XML-RPC for PHP Remote Code Execution Exploit โดย Lupper.A จะดาวน์โหลดสำเนาของตนเองจากไอพีแอดเดรสแห่งหนึ่ง จากนั้นจะบันทึกไว้ ( ใน /tmp/lupii) และเรียกใช้งาน นอกจากนี้ เวิร์มนี้ยังเปิดประตูหลังในพอร์ต 7111 ซึ่งอาจเปิดโอกาสให้ผู้โจมตีสามารถเข้าควบคุมระบบได้
เราจะปิดรายงานของวันนี้ด้วย Zagaban.H โทรจันที่ไม่สามารถแพร่กระจายด้วยตัวเองได้เช่นเดียวกับโทรจันอื่นๆ การแพร่กระจายต้องดำเนินการผ่านทางอีเมล์ การดาวน์โหลดจากอินเทอร์เน็ต การถ่ายโอนไฟล์ผ่าน FTP และอื่นๆ เท่านั้น
Zagaban.H มีการดำเนินการต่างๆ ในระบบ ดังนี้
– เฝ้าสังเกตเว็บแอดเดรส ( ที่ผู้ใช้เข้าดูจาก Internet Explorer) ค้นหาอักขระข้อความที่เกี่ยวข้องกับธนาคาร เมื่อพบข้อความที่กำหนดไว้ โทรจันนี้จะบันทึกแอดเดรสและการกดแป้นพิมพ์ของผู้ใช้เพื่อขโมยข้อมูลลับ ( รหัสผ่าน หมายเลขบัญชี รหัส pin เป็นต้น ) จากนั้นจะส่งข้อมูลที่ได้ไปยังเว็บเซิร์ฟเวอร์แห่งหนึ่ง
– สร้างไฟล์คู่หนึ่งขึ้นในไดเร็กทอรีระบบของ Windows ได้แก่ ไฟล์ IPREG.EXE ซึ่งเป็นสำเนาของโทรจันเอง และไฟล์ SPDR.DLL ซึ่งจะอัดฉีดเข้าไปในกระบวนงานทั้งหมดที่เปิดใช้งาน
หากต้องการดูรายละเอียดเพิ่มเติมเกี่ยวกับไวรัสและภัยคุกคามต่างๆ โปรดดูในสารานุกรมไวรัสของ Panda Software โดยไปที่ http://www.pandasoftware.com/virus_info/encyclopedia/
เกี่ยวกับ PandaLabs
นับตั้งแต่ปี 1990 ศูนย์วิจัย PandaLabs มีพันธกิจในการที่จะวิเคราะห์ภัยคุกคามใหม่ๆ ให้ได้เร็วที่สุดเพื่อความปลอดภัยของลูกค้า ทีมงานของเราที่เชี่ยวชาญมัลแวร์แต่ละประเภท ( ไวรัส เวิร์ม โทรจัน สปายแวร์ ฟิชชิ่ง สแปม ฯลฯ ) ทำงานกันตลอด 24 ชั่วโมงโดยไม่มีวันหยุด เพื่อการคุ้มครองอย่างทั่วถึง ผนวกกับการสนับสนุนจาก TruPrevent? Technologies ที่ทำหน้าที่เสมือนเป็นระบบเตือนภัยอย่างรวดเร็วจากทั่วโลกคอยสกัดกั้นภัยคุกคามใหม่ๆ และส่งข้อมูลไปยังศูนย์วิจัย PandaLabs เพื่อการวิเคราะห์ในเชิงลึก รายงานจาก Av.Test.org แจ้งว่า PandaLabs จัดเป็นศูนย์วิจัยที่จัดเตรียมการอัพเดตแก่ผู้ใช้ได้รวดเร็วที่สุดของวงการในปัจจุบัน ( สำหรับรายละเอียดเพิ่มเติม โปรดดูใน www.pandasoftware.com/pandalabs.asp)
Panda Software เป็นหนึ่งในผู้พัฒนาผลิตภัณฑ์รักษาความปลอดภัยแก่ระบบคอมพิวเตอร์ในระดับชั้นนำของโลก ที่มีสำนักงานในกว่า 50 ประเทศ บริษัทเป็นผู้กำหนดมาตรฐานด้านนวัตกรรมใหม่ๆ และการสร้างความพึงพอใจแก่ลูกค้า ที่ต้องการสุดยอดเทคโนโลยี ผลิตภัณฑ์ และการบริการ ในการป้องกันไวรัสและภัยคุกคามอื่นๆ โดยมีต้นทุนการเป็นเจ้าของต่ำสุด TruPrevent Technologies อันโดดเด่นของบริษัทเป็นเทคโนโลยีอัจฉริยะสำหรับต่อสู้กับไวรัสและผู้บุกรุกที่ยังไม่ปรากฏในฐานข้อมูล ช่วยในการปกป้องลูกค้าทุกระดับ ตั้งแต่ลูกค้าองค์กรขนาดใหญ่ที่สุดตลอดไปจนถึงลูกค้าองค์กรขนาดกลางและเล็ก และผู้ใช้ทั่วไป
