บทความโดย: Thai Windows Administrator Blog
U.S. Computer Emergency Response Team หรือ US-CERT ซึ่งเป็นหน่วยงานที่รับผิดชอบดูแลเกี่ยวกับการรักษาความปลอดภัยในระบบคอมพิวเตอร์ของประเทศสหรัฐอเมริกา ได้ประกาศว่ามีการตรวจพบโทรจัน (Trojan) ซึ่งทำหน้าที่ดาวน์โหลดแบ็คดอร์มัลแวร์ (Backdoor Malware) ลงบนเครื่องคอมพิวเตอร์ในซอฟต์แวร์ Battery Monitoring ซึ่งเป็นโปรแกรมมอนิเตอร์การทำงานเครื่องชาร์จแบตเตอรี่ Energizer DUO USB
ทั้งนี้ เมื่อมีการใช้ซอฟต์แวร์ Battery Monitoring มอนิเตอร์การทำงานเครื่องชาร์จแบตเตอรี่ Energizer Duo USB โทรจันก็จะทำการสำเนาไฟล์ .dll ลงเครื่องคอมพิวเตอร์จำนวน 2 ไฟล์ ไฟล์แรกชื่อ UsbCharger.dll จะถูกสำเนาลงในโฟลเดอร์ที่โปรแกรม Battery Monitoring ติดตั้งอยู่ และไฟล์ที่สองชื่อ Arucer.dll จะถูกสำเนาลงในโฟลเดอร์ Windows system32
โดยไฟล์ UsbCharger.dll นั้นจะทำหน้าที่เซ็ตค่ารีจีสทรี่ย์ให้ทำการรันไฟล์ Arucer.dll ทุกๆ ครั้งเมื่อวินโดวส์เริ่มต้นทำงาน สำหรับไฟล์ Arucer.dll นั้นจะเป็นแบ็คดอร์มัลแวร์ซึ่งเป็นช่องทางให้ผู้บุกรุกสามารถทำการเชื่อมต่อแบบรีโมทผ่านทางโปรโตคอล TCP ที่พอร์ตหมายเลข 7777 ได้
นอกจากนี้ จากการตรวจสอบของ US-CERT พบว่ามีข้อความภาษาจีนบรรจุอยู่ภายในโทรจันที่พบในครั้งนี้ สำหรับรายละเอียดทั้งหมดอ่านได้ที่เว็บไซต์ http://www.kb.cert.org/vuls/id/154421
สำหรับบน Windows XP SP2 หรือใหม่กว่าที่มีการเปิดใช้งาน Windows Firewall เมื่อไฟล์ Arucer.dll ถูกรันระบบจะทำการแจ้งเตือนให้ผู้ใช้ทราบดังรูปด้านล่าง หากผู้ใช้ทำการคลิก Keep Blocking ระบบก็จะไม่เกิดความเสี่ยงแต่คลิก Unblock จะส่งผลให้ระบบเกิดความเสี่ยงได้
Picture credit: US-Cert
สำหรับแท่นชาร์จแบตเตอรี่ Energizer Duo USB นั้นได้วางขายทั่วโลกมานานกว่า 3 ปีแล้ว โดยตัวเครื่องจะมีลักษณะดังรูปด้านล่าง
Picture credit: cnet
อนึ่ง ซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ของ Sunbelt จะตรวจพบโทรจันตัวนี้ในชื่อ Trojan.Arugizer
แหล่งข้อมูลอ้างอิง
• US-Cert
• Cnet
• Sunbelt
© 2010 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment