Tuesday, July 6, 2010

Backdoor:Win32/Yonsole.A

โทรจัน Win32/Yonsole.A โจมตี MBR ทำให้วินโดวส์บูทไม่ขึ้น
บทความโดย: Windows Administrator Blog

MMPC (Microsoft Malware Protection Center) ได้ประกาศว่าพบแบ็คดอร์โทรจัน (Backdoor Trojan) ตัวใหม่ชื่อ Win32/Yonsole.A ซึ่งเป็นโทรจันที่ทำหน้าที่เชื่อมต่อเครื่องคอมพิวเตอร์ที่มันติดอยู่กับเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี (Attacker) เพื่อทำการรับคำสั่งการทำงาน

โดยโทรจัน Win32/Yonsole.A สามารถทำการแก้ไขข้อมูล Master Boot Record (MBR) ของฮาร์ดดิสก์ของเครื่องคอมพิวเตอร์ที่ส่งผลให้ไม่สามารถบูทระบบได้ โดยโค้ดของ MBR ที่ถูกแก้ไขจะมีลักษณะดังรูปที่ 1

Credit: Microsoft

เมื่อทำการบูทเครื่องที่โดนโทรจัน Win32/Yonsole.A แก้ไข MBR จะแสดงหน้าจอดำพร้อมแบนเนอร์ดังรูปที่ 2

Credit: Microsoft

สำหรับรายละเอียดของโทรจัน Win32/Yonsole.A มีดังนี้

ชื่ออื่นๆ (Aliases):
- Win-Trojan/Torr.111104.AL (AhnLab) W32/OnlineGames.EI.gen!Eldorado (Authentium (Command))
- Backdoor.Win32.Torr.cep (Kaspersky)
- Trojan:Win32/Malagent (Microsoft)
- Backdoor.Torr.QS (VirusBuster)
- Trojan horse Dropper.Generic2.DJQ (AVG)
- Trojan.Generic.3777760 (BitDefender)
- Win32/Tnega.AJE (CA)
- Win32/Farfli.AK (ESET)
- Backdoor.Win32.Torr (Ikarus)
- Generic BackDoor!cqn (McAfee)
- Trj/Downloader.MDW (Panda)
- Trojan.Win32.Generic.5200D50B (Rising AV)
- Troj/Bckdr-RBZ (Sophos)
- Trojan.Win32.Generic!BT (Sunbelt Software)
- Mal_PClient (Trend Micro)

ระดับการเตือนภัย (Alert Level)
Severe

อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ f00165500k.cmd อยู่ในเครื่อง
• มีการแก้ไขรีจีสทรีย์ดังนี้
- Adds value: "ServiceDll"
- With data: "\f00165500k.cmd"
- Under key: HKLM\SYSTEM\CurrentControlSet\Services\F00165500K\Parameters

วิธีการป้องกัน
- เปิดใช้งาน Firewall
- ทำการอัพเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
- ทำการอัพเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัดโทรจัน Win32/Yonsole.A โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น
Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน

แหล่งข้อมูลอ้างอิง
Microsoft Technet
ไมโครซอฟท์ ไวรัสเอ็นไซโคพีเดีย

© 2010 TWA Blog. All Rights Reserved.

0 Comment: