รายงานไวรัสและการบุกรุกรายสัปดาห์ (ฉบับ 487 วันที่ 6 ธันวาคม 2548)
รายงานรายสัปดาห์ในวันนี้จะกล่าวถึงช่องโหว่ BodyonLoad , โทรจัน AVKiller.V , และเวิร์ม Samony.B
BodyOnLoad เป็นโปรแกรมที่พัฒนาขึ้นเพื่อเจาะช่องโหว่ของการประมวลผลคำสั่ง _Javascript จากระยะไกลใน Internet Explorer จุดมุ่งหมายของโปรแกรมนี้คือเพื่อดาวน์โหลดไฟล์ประเภทต่างๆ ( ซึ่งเป็นอันตรายหากเป็นมัลแวร์ ) บนเว็บผู้ใหญ่บางแห่ง การแพร่ระบาดเริ่มต้นเมื่อผู้ใช้เข้าสู่เว็บเพจดังกล่าวและถูกรีไดเร็กต์ไปยังหน้าเว็บอื่นที่มี BodyOnLoad แฝงอยู่
BodyOnLoad ถูกใช้ในการดาวน์โหลดและรันโทรจันที่ Panda Software ตรวจพบในชื่อ Downloader.DLE โดยการเจาะช่องโหว่นี้จะมีการติดตั้งไฟล์ KVG.exe ซึ่งจะดาวน์โหลดและรันไฟล์อื่นอีกสองไฟล์ อันได้แก่ไฟล์ all.exe และไฟล์ XPsys.exe ไฟล์คู่นี้เป็นองค์ประกอบของ Downloader.DLE และออกแบบมาเพื่อลดระดับความปลอดภัยของบราวเซอร์ โดยทำหน้าที่เป็นจุดผ่านของมัลแวร์อื่นๆ และติดตั้งไฟล์จำนวนมากของโปรแกรม PicsPlace ซึ่งจะเปิดหน้าเว็บที่มีเนื้อหาสำหรับผู้ใหญ่อย่างต่อเนื่อง
ภัยคุกคามอันดับต่อไปที่เราจะกล่าวถึงในวันนี้ได้แก่ AVKiller.V ซึ่งไม่สามารถแพร่กระจายด้วยตัวเองได้เช่นเดียวกับโทรจันอื่นๆ การแพร่กระจายสามารถเกิดขึ้นได้ผ่านทางการรับส่งอีเมล์ การดาวน์โหลดจากอินเทอร์เน็ต การส่งข้อมูลผ่าน FTP เป็นต้น การดำเนินการของโทรจันนี้มีดังนี้
– พยายามดาวน์โหลดไฟล์ SERVER.EXE จากเว็บไซต์แห่งหนึ่ง โดยไฟล์ดังกล่าวเป็นโทรจันที่ Panda Software ตรวจพบในชื่อ Banker.BHD
– ลบข้อมูลของโปรแกรมรักษาความปลอดภัยในรีจิสทรี เพื่อมิให้โปรแกรมดังกล่าวทำงานได้เมื่อเปิด Windows
– ลบไฟล์ทั้งหมดในโฟลเดอร์ย่อย MICROSOFT ANTISPYWARE ซึ่งอยู่ภายในโฟลเดอร์ “Program files”
– สร้างไฟล์ใหม่สองไฟล์ได้แก่ STRT.EXE ซึ่งเป็นสำเนาของตัวเอง และ VM 2. DLL ซึ่งเป็นองค์ประกอบของ AVKiller.V ที่จะติดตั้งเข้าสู่คอมพิวเตอร์และทำงานทุกครั้งที่เปิด Internet Explorer
– เพิ่มข้อมูลในรีจิสทรีเพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่เปิดเครื่อง Samony.B เป็นเวิร์มที่มีลักษณะของแบ็คดอร์ แพร่กระจายผ่านทางอีเมล์ภายใต้หัวข้อ “Account # 394875948 JNO Wed, 28” , พร้อมไฟล์แนบ “MAIN_ 23 _C.EXE” หลังจากติดตั้งเข้าสู่คอมพิวเตอร์ได้สำเร็จ Samony.B จะดำเนินการต่างๆ ดังนี้
– รอฟังคำสั่งจากระยะไกลทางพอร์ต 321 เพื่อดาวน์โหลด รัน คัดลอก และลบไฟล์ตลอดจนไดเร็กทอรีต่างๆ เปิดช่องให้มีการเข้าควบคุมระบบได้จากระยะไกล
– ขโมยรหัสผ่านต่างๆ ที่เก็บไว้ในเครื่องคอมพิวเตอร์ เช่น ใน Protected Storage ซึ่งใช้สำหรับเก็บรหัสผ่านของ Outlook, Internet Explorer และอื่นๆ
– บันทึกการกดแป้นพิมพ์
– ดาวน์โหลดเว็บเพจบางแห่งที่มีหมายเลขปรากฏอยู่ หากหมายเลขดังกล่าวเท่ากับหรือมากกว่า 0013 Samony.B จะพยายามอัพเดตตัวเองโดยดาวน์โหลดไฟล์ DOWNLOAD.EXE จากเว็บเพจ
– ส่งสำเนาของตัวเองไปยังรายชื่อทั้งหมดในสมุดรายชื่อผู้ติดต่อของ Windows และแอดเดรสที่พบในไฟล์ HTML
