รายงานไวรัสและการบุกรุกรายสัปดาห์ (ฉบับ 483 วันที่ 28 พฤศจิกายน 2548)
รายงานไวรัสในสัปดาห์นี้จะกล่าวถึงเวิร์ม Sober.AH , Mops.A , โทรจัน Mitglieder.GB , และโปรแกรมไม่พึงประสงค์ SpyMon
ในสัปดาห์นี้มีการหมุนเวียนของอีเมล์ที่ติดไวรัสเวิร์ม Sober.AH นับล้านฉบับ ตามความจริงแล้ว เวิร์มนี้ได้เข้าสู่อันดับภัยคุกคามที่พบบ่อยที่สุดจากการรายงานของ Panda ActiveScan โปรแกรมสแกนไวรัสฟรีแบบออนไลน์จาก Panda Software โดยสาเหตุการแพร่ระบาดอย่างรุนแรงนี้เกิดจากการใช้กลไก social engineering ในการดึงดูดความสนใจและลวงให้ผู้ใช้เปิดไฟล์แพร่ระบาด ซึ่งลวงว่าเป็นวิดีโอของ Paris Hilton และ Nicole Richie หรือไม่ก็เป็นคำเตือนจาก FBI หรือ CIA เกี่ยวกับการเข้าสู่เว็บไซต์ผิดกฎหมาย
Sober.AH แพร่กระจายทางอีเมล์ที่มีหลากหลายรูปแบบโดยมีไฟล์แนบจุด ZIP เมื่อผู้ใช้เปิดไฟล์ เวิร์มจะแพร่เข้าสู่คอมพิวเตอร์และแสดงข้อความแจ้งเตือนข้อผิดพลาด หากแอดเดรสของผู้รับมีนามสกุล de ( เยอรมันนี ), ch ( สวิตเซอร์แลนด์ ), at ( ออสเตรีย ) หรือ li ( ลิคเท่นสไตน์ ), อีเมล์จะเป็นภาษาเยอรมัน หากนอกเหนือจากนี้ จะแสดงเป็นภาษาอังกฤษ
Sober.AH จะหยุดการทำงานของกระบวนงานต่างๆ จำนวนมาก โดยเฉพาะที่เป็นของโปรแกรมรักษาความปลอดภัย ซึ่งในกรณีนี้จะแสดงข้อความว่า “No viruses, Trojans or Spyware found! Status OK” (ไม่พบไวรัส โทรจัน หรือสปายแวร์ ! สถานะ ปลอดภัย) นอกจากนี้ยังสร้างไฟล์ใหม่ๆ เช่น SERVICES.EXE, CSRSS.EXE และ SMSS.EXE ซึ่งล้วนแต่เป็นสำเนาของไวรัสเวิร์มนี้ และเมื่อไฟล์ CSRSS.EXE และ SMSS.EXE ทำงาน กระบวนงานที่เกี่ยวข้องจะทำงานในรูปของกระบวนงานย่อยภายใต้ SERVICES.EXE เพื่อให้มีสิทธิ์เช่นเดียวกับกระบวนงานของ Windows โดยไม่ทำให้ผู้ใช้ที่ตรวจสอบรายชื่อกระบวนงานอยู่เกิดความสงสัย
ภัยคุกคามอันดับต่อมาที่จะกล่าวถึงได้แก่ Mitglieder.GB โทรจันที่เริ่มแพร่กระจายอย่างรวดเร็วและแซงหน้า Sober.AH ขึ้นไปอยู่อันดับแรกของรายการภัยคุกคามที่พบบ่อยจากการตรวจจับของ Panda ActiveScan
Mitglieder.GB ไม่มีการแพร่ระบาดด้วยตัวเองโดยปราศจากน้ำมือมนุษย์ จากตัวอย่างที่พบ โทรจันนี้มาพร้อมกับอีเมล์ในลักษณะต่างๆ ในรูปของไฟล์แนบจุด ZIP เมื่อโทรจันทำงาน มันจะเปิดโปรแกรมดูภาพที่เป็นดีฟอลต์ของ Windows แล้วแสดงสัญลักษณ์ของ Windows ทันทีที่ติดตั้งเข้าสู่คอมพิวเตอร์ได้สำเร็จ Mitglieder.GB จะพยายามดาวน์โหลดไฟล์ทุกสี่ชั่วโมงผ่านทางสคริปต์ PHP และเว็บเพจต่างๆ
เวิร์มอันดับต่อมาที่จะกล่าวถึงในวันนี้ได้แก่ Mops.A ซึ่งแพร่กระจายผ่านทาง Yahoo Messenger และ AOL Instant Messenger โดยส่งตัวเองในรูปของข้อความพร้อมการเชื่อมโยง เมื่อผู้ใช้คลิกที่ข้อความเชื่อมโยงดังกล่าว ระบบจะดาวน์โหลดไฟล์จุด RAR ซึ่งเป็นของ Mops.A, Sdbot.FAR และแถบเครื่องมือสำหรับ Internet Explorer
เราจะปิดรายงานฉบับนี้ด้วย SpyMon ‘ โปรแกรมซึ่งอาจไม่พึงประสงค์ ‘ โปรแกรมนี้ใช้สำหรับควบคุมคอมพิวเตอร์โดยยอมให้ผู้ใช้สามารถดำเนินการต่างๆ ได้ เช่น บันทึกการกดแป้นพิมพ์ ดูกระบวนงานที่ทำงานอยู่ และจับภาพหน้าจอ เป็นต้น
หากต้องการดูรายละเอียดเพิ่มเติมเกี่ยวกับไวรัสและภัยคุกคามต่างๆ โปรดดูในสารานุกรมไวรัสของ Panda Software โดยไปที่ http://www.pandasoftware.com/virus_info/encyclopedia/
เกี่ยวกับ PandaLabs
นับตั้งแต่ปี 1990 ศูนย์วิจัย PandaLabs มีพันธกิจในการที่จะวิเคราะห์ภัยคุกคามใหม่ๆ ให้ได้เร็วที่สุดเพื่อความปลอดภัยของลูกค้า ทีมงานของเราที่เชี่ยวชาญมัลแวร์แต่ละประเภท ( ไวรัส เวิร์ม โทรจัน สปายแวร์ ฟิชชิ่ง สแปม ฯลฯ ) ทำงานกันตลอด 24 ชั่วโมงโดยไม่มีวันหยุด เพื่อการคุ้มครองอย่างทั่วถึง ผนวกกับการสนับสนุนจาก TruPrevent? Technologies ที่ทำหน้าที่เสมือนเป็นระบบเตือนภัยอย่างรวดเร็วจากทั่วโลกคอยสกัดกั้นภัยคุกคามใหม่ๆ และส่งข้อมูลไปยังศูนย์วิจัย PandaLabs เพื่อการวิเคราะห์ในเชิงลึก รายงานจาก Av.Test.org แจ้งว่า PandaLabs จัดเป็นศูนย์วิจัยที่จัดเตรียมการอัพเดตแก่ผู้ใช้ได้รวดเร็วที่สุดของวงการในปัจจุบัน ( สำหรับรายละเอียดเพิ่มเติม โปรดดูใน www.pandasoftware.com/pandalabs.asp)
Panda Software เป็นหนึ่งในผู้พัฒนาผลิตภัณฑ์รักษาความปลอดภัยแก่ระบบคอมพิวเตอร์ในระดับชั้นนำของโลก ที่มีสำนักงานในกว่า 50 ประเทศ บริษัทเป็นผู้กำหนดมาตรฐานด้านนวัตกรรมใหม่ๆ และการสร้างความพึงพอใจแก่ลูกค้า ที่ต้องการสุดยอดเทคโนโลยี ผลิตภัณฑ์ และการบริการ ในการป้องกันไวรัสและภัยคุกคามอื่นๆ โดยมีต้นทุนการเป็นเจ้าของต่ำสุด TruPrevent Technologies อันโดดเด่นของบริษัทเป็นเทคโนโลยีอัจฉริยะสำหรับต่อสู้กับไวรัสและผู้บุกรุกที่ยังไม่ปรากฏในฐานข้อมูล ช่วยในการปกป้องลูกค้าทุกระดับ ตั้งแต่ลูกค้าองค์กรขนาดใหญ่ที่สุดตลอดไปจนถึงลูกค้าองค์กรขนาดกลางและเล็ก และผู้ใช้ทั่วไป
