Tuesday, March 9, 2010

Energizer USB charger infected with Trojan

ตลึง! พบ Trojan ในซอฟต์แวร์มอนิเตอร์การทำงานเครื่องชาร์จแบตเตอรี่ Energizer Duo USB
บทความโดย: Thai Windows Administrator Blog

U.S. Computer Emergency Response Team หรือ US-CERT ซึ่งเป็นหน่วยงานที่รับผิดชอบดูแลเกี่ยวกับการรักษาความปลอดภัยในระบบคอมพิวเตอร์ของประเทศสหรัฐอเมริกา ได้ประกาศว่ามีการตรวจพบโทรจัน (Trojan) ซึ่งทำหน้าที่ดาวน์โหลดแบ็คดอร์มัลแวร์ (Backdoor Malware) ลงบนเครื่องคอมพิวเตอร์ในซอฟต์แวร์ Battery Monitoring ซึ่งเป็นโปรแกรมมอนิเตอร์การทำงานเครื่องชาร์จแบตเตอรี่ Energizer DUO USB

ทั้งนี้ เมื่อมีการใช้ซอฟต์แวร์ Battery Monitoring มอนิเตอร์การทำงานเครื่องชาร์จแบตเตอรี่ Energizer Duo USB โทรจันก็จะทำการสำเนาไฟล์ .dll ลงเครื่องคอมพิวเตอร์จำนวน 2 ไฟล์ ไฟล์แรกชื่อ UsbCharger.dll จะถูกสำเนาลงในโฟลเดอร์ที่โปรแกรม Battery Monitoring ติดตั้งอยู่ และไฟล์ที่สองชื่อ Arucer.dll จะถูกสำเนาลงในโฟลเดอร์ Windows system32

โดยไฟล์ UsbCharger.dll นั้นจะทำหน้าที่เซ็ตค่ารีจีสทรี่ย์ให้ทำการรันไฟล์ Arucer.dll ทุกๆ ครั้งเมื่อวินโดวส์เริ่มต้นทำงาน สำหรับไฟล์ Arucer.dll นั้นจะเป็นแบ็คดอร์มัลแวร์ซึ่งเป็นช่องทางให้ผู้บุกรุกสามารถทำการเชื่อมต่อแบบรีโมทผ่านทางโปรโตคอล TCP ที่พอร์ตหมายเลข 7777 ได้

นอกจากนี้ จากการตรวจสอบของ US-CERT พบว่ามีข้อความภาษาจีนบรรจุอยู่ภายในโทรจันที่พบในครั้งนี้ สำหรับรายละเอียดทั้งหมดอ่านได้ที่เว็บไซต์ http://www.kb.cert.org/vuls/id/154421

สำหรับบน Windows XP SP2 หรือใหม่กว่าที่มีการเปิดใช้งาน Windows Firewall เมื่อไฟล์ Arucer.dll ถูกรันระบบจะทำการแจ้งเตือนให้ผู้ใช้ทราบดังรูปด้านล่าง หากผู้ใช้ทำการคลิก Keep Blocking ระบบก็จะไม่เกิดความเสี่ยงแต่คลิก Unblock จะส่งผลให้ระบบเกิดความเสี่ยงได้

Picture credit: US-Cert

สำหรับแท่นชาร์จแบตเตอรี่ Energizer Duo USB นั้นได้วางขายทั่วโลกมานานกว่า 3 ปีแล้ว โดยตัวเครื่องจะมีลักษณะดังรูปด้านล่าง

Picture credit: cnet

อนึ่ง ซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ของ Sunbelt จะตรวจพบโทรจันตัวนี้ในชื่อ Trojan.Arugizer

แหล่งข้อมูลอ้างอิง
US-Cert
Cnet
Sunbelt

© 2010 TWA Blog. All Rights Reserved.

0 Comment: