Backdoor:Win32/Yonsole.A ~ Windows Administrator Blog

Tuesday, July 6, 2010

Backdoor:Win32/Yonsole.A

By dtp 2:08:00 PM No comments

โทรจัน Win32/Yonsole.A โจมตี MBR ทำให้วินโดวส์บูทไม่ขึ้น
บทความโดย: Windows Administrator Blog

MMPC (Microsoft Malware Protection Center) ได้ประกาศว่าพบแบ็คดอร์โทรจัน (Backdoor Trojan) ตัวใหม่ชื่อ Win32/Yonsole.A ซึ่งเป็นโทรจันที่ทำหน้าที่เชื่อมต่อเครื่องคอมพิวเตอร์ที่มันติดอยู่กับเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี (Attacker) เพื่อทำการรับคำสั่งการทำงาน

โดยโทรจัน Win32/Yonsole.A สามารถทำการแก้ไขข้อมูล Master Boot Record (MBR) ของฮาร์ดดิสก์ของเครื่องคอมพิวเตอร์ที่ส่งผลให้ไม่สามารถบูทระบบได้ โดยโค้ดของ MBR ที่ถูกแก้ไขจะมีลักษณะดังรูปที่ 1

Credit: Microsoft

เมื่อทำการบูทเครื่องที่โดนโทรจัน Win32/Yonsole.A แก้ไข MBR จะแสดงหน้าจอดำพร้อมแบนเนอร์ดังรูปที่ 2

Credit: Microsoft

สำหรับรายละเอียดของโทรจัน Win32/Yonsole.A มีดังนี้

ชื่ออื่นๆ (Aliases):
- Win-Trojan/Torr.111104.AL (AhnLab) W32/OnlineGames.EI.gen!Eldorado (Authentium (Command))
- Backdoor.Win32.Torr.cep (Kaspersky)
- Trojan:Win32/Malagent (Microsoft)
- Backdoor.Torr.QS (VirusBuster)
- Trojan horse Dropper.Generic2.DJQ (AVG)
- Trojan.Generic.3777760 (BitDefender)
- Win32/Tnega.AJE (CA)
- Win32/Farfli.AK (ESET)
- Backdoor.Win32.Torr (Ikarus)
- Generic BackDoor!cqn (McAfee)
- Trj/Downloader.MDW (Panda)
- Trojan.Win32.Generic.5200D50B (Rising AV)
- Troj/Bckdr-RBZ (Sophos)
- Trojan.Win32.Generic!BT (Sunbelt Software)
- Mal_PClient (Trend Micro)

ระดับการเตือนภัย (Alert Level)
Severe

อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ f00165500k.cmd อยู่ในเครื่อง
• มีการแก้ไขรีจีสทรีย์ดังนี้
- Adds value: "ServiceDll"
- With data: "\f00165500k.cmd"
- Under key: HKLM\SYSTEM\CurrentControlSet\Services\F00165500K\Parameters

วิธีการป้องกัน
- เปิดใช้งาน Firewall
- ทำการอัพเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
- ทำการอัพเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัดโทรจัน Win32/Yonsole.A โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน

แหล่งข้อมูลอ้างอิง
• Microsoft Technet
• ไมโครซอฟท์ ไวรัสเอ็นไซโคพีเดีย

© 2010 TWA Blog. All Rights Reserved.

Understanding virus namesบทความโดย: Thai Windows Administrator Blogถอดรหัสพันธุกรรมไวรัสสำหรับผู้ใช้คอมพิวเตอร์ประจำอย่างเราๆ ท่านๆ ปัญหาไวรัสคอมพิวเตอร์คงเป็นหนึ่งในปัญหาที่ประสบกันบ่อยๆ โดยเฉพาะอย่างยิ่งถ้าท่านเป็นเจ้าหน้าที่แผนกไอทีที่ต้องซัพพอร์ต… Read More
April Fools Virus เรื่องจริงในวันโกหกConficker.c ออกโจมตีระบบอีกครั้งบทความโดย: Thai Windows Administrator Blogไมโครซอฟต์และไซแมนเทครวมถึงบริษัทผู้พัฒนาซอฟต์แวร์ความปลอดภัยอีกหลายแห่ง ได้ประกาศเตือนให้ผู้ใช้คอมพิวเตอร์ระวังการโจมตีของไวรัส Conficker.c (ไวรัสตัวล… Read More
ไวรัส Conficker สายพันธุ์ใหม่ โจมตีโปรแกรมรักษาความปลอดภัยบทความโดย: Thai Windows Administrator Blogดูเหมือนว่าการระบาดของไวรัส Conficker หรือรู้จักกันในอีกชื่อว่า Downadup คงจะไม่จบลงง่ายๆ เนื่องจากมีรายงานถึงการระบาดของไวรัสตัวใหม่ๆ ของสายพันธ์นี้ออกมาเรื่อยๆ ล่าสุดมีรายงานว่า พบก… Read More
พบการแพร่ระบาดไวรัสสายพันธุ์ Conficker ตัวใหม่พบการแพร่ระบาดไวรัสสายพันธุ์ Conficker ตัวใหม่มีรายงานว่าพบการแพร่ระบาดไวรัส Conficker.B ซึ่งเป็นสายพันธุ์ใหม่ของไวรัส Conficker หรือ Downadup ซึ่งนักวิจัยเกี่ยวกับความปลอดภัยระบบคอมพิวเตอร์เชื่อว่า ไวรัสตัวใหม่นี้ถูกออกแบบมา… Read More
SANS เตือนให้ระวังไวรัสโจมตีระบบผ่านช่องโหว่ Internet Explorer[อัพเดท 21 กุมภาพันธ์ 2552]Trend Micro เรียก Malicious code ที่อยู่ในไฟล์ .DOC ซึ่งส่งมาทางอีเมลว่า "XML_DLOADR.A" และเรียกมัลแวร์ตัวนี้ว่า "HTML_DLOADER.AS" มัลแวร์ตัวนี้จะทำการขโมยข้อมูลโดยทำการส่งออกผ่านทางพอร์ตหมายเลข 443… Read More