Saturday, March 27, 2010

Malware faking Adobe update, Java and Windows

มัลแวร์ปลอมตัวมาในรูปแบบอัพเดทของโปรแกรม Adobe, Java และ Windows
บทความโดย: Thai Windows Administrator Blog

มีเรื่องเกี่ยวกับความปลอดภัยทางด้านคอมพิวเตอร์มาเตือนให้ทุกๆ ท่านระมัดระวังกันอีกแล้ว เนื่องจากมีรายงานว่าได้มีการตรวจพบมัลแวร์ที่ปลอมตัวมาในรูปแบบอัพเดท (Update) ของโปรแกรมแอพพลิเคชันที่ได้รับความนิยมใช้งานจำนวนมาก ตัวอย่างเช่น โปรแกรม Adobe, Java, DeepFreeze หรือแม้แต่ Windows

โดยมัลแวร์ดังกล่าวนี้จะใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้รับความนิยมใช้งานจำนวนมาก เพื่อหลอกให้ผู้ใช้หลงเชื่อและทำการรันไฟล์มัลแวร์ ถ้าผู้ใช้ทำการรันไฟล์มัลแวร์ดังกล่าวด้วยความรู้เท่าไม่ถึงการก็จะทำให้เครื่องคอมพิวเตอร์ติดไวรัสในทันที จากนั้นไวรัสก็จะจะทำการเปิดบริการ DHCP client, DNS client, Network share พร้อมทั้งเปิดพอร์ตสำหรับรอรับคำสั่งการทำงานจากแฮกเกอร์ที่เป็นผู้พัฒนาไวรัส

อนึ่ง มัลแวร์ที่ใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้รับความนิยมในการแพร่ระบาดนี้ถูกพัฒนาขึ้นด้วยโปรแกรม Microsoft Visual Basic และถูกตรวจพบโดยโปรแกรม Bkav ในชื่อ W32.Fakeupver.trojan

สำหรับรูปที่ 1 เป็นตัวอย่างมัลแวร์ที่ปลอมตัวเป็นโปรแกรม Acrobat Reader 9 โดยมัลแวร์จะทำการเขียนทับไฟล์ AdobeUpdater.exe ในโฟลเดอร์ Adobe/Reader 9.0/Reader ซึ่งจากการวิเคราะห์พบว่ามัลแวร์จะใช้เทคนิคใหม่ในการเขียนทับไฟล์อัพเดท

โดยมัลแวร์ที่ปลอมตัวเป็นอัพเดท (Update) ของโปรแกรมแอพพลิเคชันนี้มีข้อสังเกตคือ ข้อมูลเวอร์ชันจะไม่ตรงกับเวอร์ชันของซอฟต์แวร์ที่มันปลอมตัว ตัวอย่างเช่น การปลอมตัวเป็น Acrobat Reader 9 แต่เวอร์ชันของไฟล์จะเป็น 7.2.0.0 เป็นต้น

รูปที่ 1. Fake AdobeUpdater (Credit: BKIS)

สำหรับรูปที่ 2 เป็นตัวอย่างมัลแวร์ที่ปลอมตัวเป็นอัพเดทของโปรแกรม Java

รูปที่ 1. Fake Java’s update (Credit: BKIS)

สำหรับคำแนะเพื่อความปลอดภัยที่ดีที่สุด คือให้ผู้ใช้ทำการอัพเดทไวรัสซิกเนเจอร์ (หรือบางครั้งเรียกว่าไวรัสเดฟินิชัน) ของโปรแกรมป้องกันไวรัสให้เป็นปัจจุบันเสมอ เพื่อให้โปรแกรมมีประสิทธิภาพสูงสุดในการป้องกันไวรัส

แหล่งข้อมูลอ้างอิง
BKIS

© 2010 TWA Blog. All Rights Reserved.

Related Posts:

  • Virus VBS.Godzilla or Hacked by Godzillaชื่อไวรัส: VBS/Butsur.A (NOD32), VBS/IE-Title (McAfee), VBS.Zodgila (Symantec), VBS/Small (AVG)VBS_SOLOW.A (TrendMicro) VBS.Godzila หรือ Hacked By Godzillaเนื้อหาต่อไปนี้จะอธิบายถึงรายละเอียดของไวรัส VBS.Godzila หรือ VBS_Godz… Read More
  • Top 10 Virus ที่ระบาดในประเทศไทยในช่วงเดือนที่ผ่านมา มาสถิติการระบาดของไวรัสคอมพิวเตอร์ในประเทศไทย ซึ่งไวรัส 10 อันดับแรกพบระบาด มีรายชื่อดังนี้Top 10 Virus ที่ระบาดในประเทศไทยในเดือนพฤศจิกายน 25501. HTML_FUBALCA.AP2. WORM_RONTOKBRO.B3. WORM_SOHANAD.DW 4. W… Read More
  • Virus alert: WORM_FUBALCAชื่อไวรัส: WORM_FUBALCA Win32.Baser.w (Kaspersky), Downloader-AZG (McAfee), W32.Fubalca.E (Symantec), TR/Dldr.Baser.W.2 (Avira), W32/Versie-Gen (Sophos)รายละเอียดมีรายงานการระบาดของไวรัส WORM_FUBALCA สายพันธ์ AP และ AQ เป็นจำ… Read More
  • Virus alert: WORM_SOHANADชื่อไวรัส: WORM_SOHANAD, Generic Downloader.s (McAfee), W32.Imaut.AA (Symantec), Worm/VB.CK.7 (Avira), W32/VB-CXI (Sophos),รายละเอียด:มีรายงานการระบาดของไวรัส WORM_SOHANAD สายพันธ์ AG, AL AO และ DW เป็นจำนวนมาก โดยไวรัสตัวนี้… Read More
  • การป้องกันและวิธีแก้ไขไวรัสที่มากับแผ่นวีซีดีการป้องกันและวิธีแก้ไขไวรัสที่มากับแผ่นวีซีดีหลายท่านที่เช่าหนัง VCD มาดูด้วยเครื่องคอมพิวเตอร์ แล้วปรากฎว่าได้ของแถมเป็นไวรัส (หรือจะเรียกว่ามัลแวร์ก็ได้)โดยเจ้าไวรัสนี้จะอยู่ในไฟล์ชื่อ userinic.exe ซึ่งเมื่อไฟล์ไวรัสนี้ถูกร… Read More

0 Comment: