บทความโดย: Thai Windows Administrator Blog
มีเรื่องเกี่ยวกับความปลอดภัยทางด้านคอมพิวเตอร์มาเตือนให้ทุกๆ ท่านระมัดระวังกันอีกแล้ว เนื่องจากมีรายงานว่าได้มีการตรวจพบมัลแวร์ที่ปลอมตัวมาในรูปแบบอัพเดท (Update) ของโปรแกรมแอพพลิเคชันที่ได้รับความนิยมใช้งานจำนวนมาก ตัวอย่างเช่น โปรแกรม Adobe, Java, DeepFreeze หรือแม้แต่ Windows
โดยมัลแวร์ดังกล่าวนี้จะใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้รับความนิยมใช้งานจำนวนมาก เพื่อหลอกให้ผู้ใช้หลงเชื่อและทำการรันไฟล์มัลแวร์ ถ้าผู้ใช้ทำการรันไฟล์มัลแวร์ดังกล่าวด้วยความรู้เท่าไม่ถึงการก็จะทำให้เครื่องคอมพิวเตอร์ติดไวรัสในทันที จากนั้นไวรัสก็จะจะทำการเปิดบริการ DHCP client, DNS client, Network share พร้อมทั้งเปิดพอร์ตสำหรับรอรับคำสั่งการทำงานจากแฮกเกอร์ที่เป็นผู้พัฒนาไวรัส
อนึ่ง มัลแวร์ที่ใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้รับความนิยมในการแพร่ระบาดนี้ถูกพัฒนาขึ้นด้วยโปรแกรม Microsoft Visual Basic และถูกตรวจพบโดยโปรแกรม Bkav ในชื่อ W32.Fakeupver.trojan
สำหรับรูปที่ 1 เป็นตัวอย่างมัลแวร์ที่ปลอมตัวเป็นโปรแกรม Acrobat Reader 9 โดยมัลแวร์จะทำการเขียนทับไฟล์ AdobeUpdater.exe ในโฟลเดอร์ Adobe/Reader 9.0/Reader ซึ่งจากการวิเคราะห์พบว่ามัลแวร์จะใช้เทคนิคใหม่ในการเขียนทับไฟล์อัพเดท
โดยมัลแวร์ที่ปลอมตัวเป็นอัพเดท (Update) ของโปรแกรมแอพพลิเคชันนี้มีข้อสังเกตคือ ข้อมูลเวอร์ชันจะไม่ตรงกับเวอร์ชันของซอฟต์แวร์ที่มันปลอมตัว ตัวอย่างเช่น การปลอมตัวเป็น Acrobat Reader 9 แต่เวอร์ชันของไฟล์จะเป็น 7.2.0.0 เป็นต้น
รูปที่ 1. Fake AdobeUpdater (Credit: BKIS)
สำหรับรูปที่ 2 เป็นตัวอย่างมัลแวร์ที่ปลอมตัวเป็นอัพเดทของโปรแกรม Java
รูปที่ 1. Fake Java’s update (Credit: BKIS)
สำหรับคำแนะเพื่อความปลอดภัยที่ดีที่สุด คือให้ผู้ใช้ทำการอัพเดทไวรัสซิกเนเจอร์ (หรือบางครั้งเรียกว่าไวรัสเดฟินิชัน) ของโปรแกรมป้องกันไวรัสให้เป็นปัจจุบันเสมอ เพื่อให้โปรแกรมมีประสิทธิภาพสูงสุดในการป้องกันไวรัส
แหล่งข้อมูลอ้างอิง
• BKIS
© 2010 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment