Ratcicle Kingdom (Formely Virus Uncyclopedia)

สวัสดีครับทุกท่าน เนื่องจากเอ็นทรีก่อนเรื่อง "สิ้นหวังแล้วกับการแจ้งปัญหาหน้าเว็บ" นั้นไม่มีสาระอะไร(เลยไม่ Tweet) เลยขอเขียนเอ็นทรีใหม่โดยที่เอ้นทรีเก่ายังมีอายุไม่ถึง 24 ชั่วโมงนะครับ

วันนี้มีสาระมาฝากกันครับ เป็นเรื่องของมัลแวร์อีกครั้ง

 (เป็นลิ้งแบบย่อ)

หนอนตัวนี้ชื่อ Worm/VB.aki.2 มัลแวร์ตัวนี้จัดอยู่ในกลุ่มหนอน ที่ระบาดผ่านทางแฟลชไดรฟ์
ชื่ออื่นๆ

Mcafee: W32/Autorun.worm.gen virus

Sophos: W32/Autorun-APK

Bitdefender: Worm.Generic.47242

Kaspersky: Worm.Win32.VB.aki

Panda: W32/VB.AER.worm

Nod32: Win32/VB.NQP

Fortinet: W32/VB.AKI!worm

Rising: Worm.Win32.VB.tk

การทำงานคือ เมื่อไฟล์หนอนถูกรันสำเร็จ จะสร้างไฟล์ชื่อแบบสุ่มที่มี ขนาดแบบสุ่มตั้งแต่ 20-200 กิโลไบต์ โดยมีส่วนขยายต่อไปนี้

• sys
• com
• ini
• bin
• inf
• dll
• ocx
• dat
• bas
• cat
• res
• cfg
• mp3
• doc
• txt
• hlp
• ax
• dot

และจะหยุดทำงานก็ต่อเมื่อฮาร์ดดิสก์เต็ม ซึ่งไฟล์เหล่านี้เป็นข้อมูลขยะที่ใช้งานไม่ได้และไม่ใช่ไฟล์ไวรัส

การทำงานอื่นๆ

1. สร้างไฟล์ usbdrv.exe ไว้ในไดรฟ์ และ Autorun.inf สำหรับรันตัวเองเมื่อคลิกเข้ามา
2. ลบไฟล์ ntldr, NTDETECT.COM, boot.ini ในไดรฟ์ C:\
3. เปลี่ยนค่ารีจิสตรีดังนี้
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "Adobe Reader"="%WINDIR%\acroread.exe"

ทางอาวีร่าบอกว่าหนอนตัวนี้เขียนขึ้นด้วย Visual Basic มีระดับการคุกคามในระดับต่ำถึงปานกลาง แต่มีระดับความเสียหายอยู่ในระดับสูงครับ

เพราะฉะนั้น อย่าประมาท ลงโปรแกรมป้องกันไวรัส และหมั่น Update และสแกน บ่อยๆ
อย่าปิด Antivirus บ่อยๆถ้าไม่จำเป็น เช่นตอนเข้าเกมไม่ได้ เพราะทาง GM ไม่มีส่วนรับผิดชอบหากเครื่องติดไวรัสครับ เลยตอบอะไรแบบไม่ได้คำนึงถึงปัญหาช่องโหว่เหล่านี้ครับ

เห็นที่พันทิปมีประกาศไว้ ว่ามีไวรัสที่บล๊อกการเข้าเว็บ Pantip แต่ไม่ได้บอกว่าตัวไหนชื่ออะไร

ซึ่งวันนี้ผมลองเข้าไปอ่านข้อมูลไวรัสครับ

ไปเจอตัวนี้เข้า TrojanDownloader.Losabel.axg จากเว็บ QuickHeal

ข้อมูลเต็มๆ

ชื่ออื่นๆ (หาจาก google อีกที)

Avira : TR/Crypt.XPACK.Gen

Mcafee : Generic Downloader.x trojan

AVG : Win32/Heur

Kaspersky : Trojan-Downloader.Win32.Bagle.axz

Rising : Packer.Win32.UnkPacker.b 

A-squared : Trojan-Downloader.Win32.Bagle!IK 

พอกดเข้าไปดูจะเป็นบรรทัดยาวๆนะครับ แต่ผมเจอกับบรรทัดนี้

การทำงานคือไวรัสตัวนี้จะเข้าไปแก้ไขไฟล์ Host ในเครื่อง ให้ Redirect เว็บต่างๆ ส่วนมากจะเป็นเว็บ Antivirus ให้กลายเป็น IP เครื่องคุณเอง 127.0.0.1 นั่นคือ เข้าไปแล้วจะเจอหน้าว่างๆครับ

 ดูๆไปแล้วเหมือนกับว่าไวรัสตัวนี้นอกจากจะบล๊อกเว็บ Antivirus แล้วยังบล๊อกเว็บที่เกียวกับคอมพิวเตอร์ที่มีผู้รู้เรื่องคอมเยอะ แล้วคนเขียนไวรัสไม่อยากให้คนติดมาวิธีแก้ได้ ก็เลยต้องบล๊อกเว็บพวกนี้ครับ

หวังว่าต่อไปคงไม่มีไวรัสบล๊อกห้ามเข้า Exteen นะ

จากหนังสือพืมพ์ไทยรัฐ

มีการแถลงเมือ 9 กค. ที่ผ่านมาว่าเว็บไซท์ของสหรัฐไม่สามารถแสดงผลได้อย่างถูกต้องเนื่องจากมีการโจมตีที่เรียกว่า Distributed Denial of Service (DDoS)

เป็นเหตุผลที่ทำให่เว็บางเว็บไม่สามารถแสดงผลได้อย่างถูกต้องและใช้เวลาโหลดนานผิดปกติ ทั้งนี้รวมถึงเว็บของกระทรวงกลาโหมและทำเนียบขาวของสหรัฐด้วย

นอกจากนี้ยังพบว่าแฮกเกอร์รายนี้กำลังโจมตีเว็บและระบบคอมพิวเตอร์ของเกาหลีใต้ด้วย
และหนังสือพิมพ์ยอนฮับ รายใหญ่ของเกาหลีใต้ได้กล่าวว่าผู้ก่อเหตุอาจจะเป็นหน่วยจู่โจมพิเศษของรัฐบาลเกาหลีเหนือ

เพราะไม่ได้มุ่งเอาความเสียหาย และการโจมตีในลักษณะที่บ่งบอกว่าระบบป้องกันภัยของเกาหลีใต้และสหรัฐมีช่องโหว่เยอะมาก

แต่ทว่า ทางสหรัฐไม่เห็นด้วยกับการรายงานข่าวลักษณะนี้ของเกาหลีใต้ เพราะอาจจะเป็นไปได้ว่าเป็นเพียวผู้ที่อยากลองวิชากับระบบคอมพิวเตอร์ของประเทศชาติ ดูไม่เหมือนการประการสงครามโลกไซเบอร์ของเกาหลีเหนือ

====================

ส่วนตัวแล้ว ผมคิดว่าเรื่องนี้เกาหลีใต้พยายามสร้างภาพให้เหมือนกับ "พี่น้องทะเลาะกัน" มากกว่า

ทั้งๆที่อเมริกาไม่เห็นด้วย แต่มีแค้เกาหลีใต้ที่บอกว่าเกาหลีเหนือเป็นคนทำ ทั้งๆที่ระบบอินเทอร์เน็ตและเทคโนโลยีของเกาหลีเหนือนั้นคงจะทำไม่ได้

งานนี้ผมอยากจะสมน้ำหน้าพวกเกาหลีใต้ด้วย ข้อหาชอบสร้างโปรแกรมที่มีปัญหากับเครื่องแล้วมาอ้างนักว่าดีที่สุด เก่งสุด เมพขิงๆ

ตอนนี้ผมลองเข้วเว็บโปรแกรมรักษาความปลอดภัยของเกาหลีพบว่าบางเว็บเข้าไม่ได้ เข้าได้ก็ช้า

พอเข้าได้ก็บางทีมีการแสดงผลเอ๋อๆ โหลดมาไม่ครบบ้าง แต่การเข้าไปเว็บไม่ได้ทำให้เราติดไวรัสแต่อย่างใดครับ

ซึ่งหลังจากเข้าไปเว็บโปรแกรมรักษาความปลอดภัยรายใหญ่ๆของชาติเกาแล้ว ก็เจอว่ามีข่าวเรื่องนี้ประกาศอยู๋ อ้อ ต้องเข้าเว็บเวอร์ชั่นภาษาเกาหลีนะ ใช้กูเกิ้ลแปลเอา ส่วนหน้าภาษาอังกฤษ เค้าเอาไว้โฆษณาให้เราซื้อโปรแกรมของพวกมัน ซึ่งนานๆมากๆ ถึงจะอัพทีนึง

สุดท้ายก็อยากบอกว่า "เรื่องของเขา เราไม่เกี่ยว"

ปล่อยให้พวก Local เค้าจัดการกันไปเถอะครับ

ประเทศเจริญกว่าตูซะเปล่า (เอ่อ! ว่าจะไม่พาดพิงแล้วนะเนี่ย แต่อดไม่ได้จริงๆ)

เอ็นทรีที่(น่าจะ)เกี่ยวข้อง

เตือนภัยมัลแวร์อาจโจมตีเว็บไซต์ได้

Oh My God ! โคเรียนซีเคียวริตี้ลงตับ มันเมพขิงๆ << ว่างๆแล้วจะแปลเป็นไทย

[ไร้สาระ]อย่ามาแอ๊บทำเป็น Global หน่อยเล๊ย ! 

โคเรียนซีเคียวริตี้ลงตับ !!

Mudder virus name for Korean Security apps users.

[บทที่11]No.1 in Security, Know How and Rootkit !?!? 

^

กล่าวถึงความ "โอ้อวด" สรรพคุณที่เกินจริง

ช่วงนี้ไวรัสหวัด 2009 ระบาดหนัก ยังไงก็รักษาสุขภาพไว้ด้วยนะครับ

หายจากไวรัสคน มาต่อกันที่ไวรัสคอมต่อ

 เมื่อต้นปีที่ผ่านมา หนอน Confiker ได้ระบาดหนัก จนมากเกินกว่าจะควบคุมได้ เหมือนไข้หวัดบ้านเรา

 มีผลการรายงานมาจาก MalwareCity ครับ เกี่ยวกับการระบาดของหนอน Confiker ที่เพิ้มขึ้นเรื่อยๆ

 พบว่าประเทศที่ติดและมีการแพร่ระบาดของหนอนตัวนี้ส่วนมากจะอยู่ในเอเชียครับ และมากที่สุดคือแถบอาเซียนนี่เอง (อินโดนีเซีย, มาเลเซีย, ฟิลิปปินส์, ไทย และ เวียดนาม)

ซึ่งจากการคาดเดาของผมแล้ว ประเทศเหล่านี้กำลังพัฒนาในเรื่องของการโทรคมนาคมและการสื่อสารอยู่ แต่ยังไม่มีมาตรการรองรับเรื่องความปลอดภัยครับ

เห็นแบบนี้แล้ว มาป้องกันกันเถอะ

เนื่องจากหนอนตัวนี้สามารถแพร่ระบาดทางวงแลน เช่นเครื่องคอมสาธารณะที่ต่อเครือข่าย รวมทั้ง Wireless ตามสถานที่ต่างๆเป็นแหล่งแพร่กระจายชั้นเยี่ยมของหนอนตัวนี้ด้วยครับ

หากเราจำเป็นต้องใช้โน๊ตบุ๊กต่อ Wireless และนำให้เปิด Antivirus และ Firewall ไว้ด้วยนะครับ

นอกจากนี้ก็กระจายตัวเอาทางแฟลชไดรฟ์ผ่านทางช่องโหว่ Autorun แนะนำให้ปิด Autorun ของวินโดวส์ไว้ด้วยนะครับ

เอ็นทรีที่เกี่ยวข้อง

ถ้าพูดถึงความปลอดภัย คุณอยู่ในกลุ่มไหน ?

1 เมษากับ Confiker

Variants of Win32.Confiker : เมื่อหนอนกลายพันธ์!

โหลดตัวแก้ Conficker, Kido หรือ Downadup ได้ที่นี่

เตือนเวิร์ม Downadup แพร่ตัวเข้าคอมพิวเตอร์เกือบ 9 ล้านเครื่องทั่วโลกแล้ว

อ่านข้อมูลไวรัส (Virus Encyclopedia) ที่ไหนดีน๊อ

เตือนภัยหนอนWin32.Kido จู่โจมผ่านช่องโหว่วินโดวส์

ลิ้งค์ที่เป็นประโยชน์

ปิด Autorun ป้องกันภัยร้ายในคอมพิวเตอร์คุณ

DOWNLOAD-> CPE17 Autorun Killer < สำหรับกำจัด AutoRunจากแฟลชไดรฟ์