Pages - Menu

Pages - Menu

Pages

Monday, November 7, 2011

Virus Alert: Duqu Trojan, Fix solution is available from Microsoft

ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังโทรจัน Duqu โจมตีระบบผ่านช่องโหว่ความปลอดภัยของ TrueType Font, พร้อมออก Fix It สำหรับใช้ป้องกันแล้ว
ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีจากโทรจัน Duqu (Win32/Duqu) ซึ่งเป็นมัลแวร์ประเภทแบ็คดอร์โทรจัน (Trojan) ที่มีความสามารถในการขโมยข้อมูล และจากการวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยพบว่าโค้ดจำนวนมากที่พบในโทรจัน Duqu เหมือนกับที่พบในไวรัส Stuxnet ทำให้มีความเป็นไปได้ว่ามัลแวร์สองตัวนี้สร้างขึ้นจาก Source Code เดียวกัน (บางเว็บไซต์เรียก Duqu ว่าเป็นลูกชายของ Stuxnet) ซึ่งข้อแตกต่างระหว่างมัลแวร์สองตัวนี้คือ โทรจัน Duqu ไม่ได้มีเป้าหมายในการโจมตีระบบควบคุมในอุตสาหกรรม (Industrial Control Systems) แต่จะมีเป้าหมายเพื่อการขโมยข้อมูลเป็นหลัก

ประเภท (Type): Trojan
สายพันธ์ (Variants): มัลแวร์สายพันธ์ Duqu มีหลายตัวกัน เช่น Trojan:WinNT/Duqu.A, Trojan:Win32/Duqu.A, Trojan:Win32/Duqu.B, และ Trojan:Win32/Duqu.C
ชื่ออื่นๆ (Aliases):
  • Worm/Win32.Stuxnet (AhnLab)
  • TR/Dropper.Gen (Avira)
  • PWS-Duqu (McAfee)
  • Duqu.A (AVG)
  • Trojan.Duqu.2 (Dr.Web)
  • Win32/Duqu.A (ESET)
  • Trojan.Win32.Duqu.a (Kaspersky)
  • Duqu_gen.A (Norman)
  • W32/Duqu-A (Sophos)
  • W32.Duqu (Symantec)
ระดับการเตือนภัย (Alert Level): Severe
รายละเอียดทางเทคนิค (Technical Information):
โทรจัน Duqu จะโจมตี Windows ผ่านช่องโหว่ความปลอดภัยที่พบไฟล์ Win32k.sys ซึ่งเป็นพาร์ซิ่งเอนจิน TrueType Font ของ Windows และมีผลกระทบกับ Windows ทุกเวอร์ชันรวมถึง Windows 7 SP1 ด้วย โทรจัน Duqu จะแพร่ระบาดผ่านทางอีเมลโดยจะแฝงมากับไฟล์เอกสาร Microsoft Word ที่แนบมากับอีเมล อย่างไรก็ตามโค้ดไวรัสจะทำงานได้ก็ต่อเมื่อมีการเปิดไฟล์แนบบนระบบที่มีช่องโหว่ความปลอดภัยเท่านั้น

ทั้งนี้ เมื่อโทรจัน Duqu ติดในเครื่องคอมพิวเตอร์มันจะทำการสร้างแบ็คดอร์เพื่อใช้เป็นช่องทางการเข้าถึงระบบจากระยะไกล (Unauthorized Remote Access) และจะทำการสร้างไฟล์ต่อไปนี้บนระบบ
  • %systemroot%\inf\netp191.PNF
  • %systemroot%\inf\cmi4432.PNF
และโทรจัน Duqu จะทำการสร้างรีจีสเตอร์เอนทรี่ ดังนี้
  • HKLM\SYSTEM\CurrentControlSet\Services\JmiNET3\FILTER
  • HKLM\SYSTEM\CurrentControlSet\Services\cmi4432\FILTER
และโทรจัน Duqu จะทำการติดตั้งไฟล์ไดรเวอร์ชื่อ "JmiNET3.sys" หรือ "cmi4432.sys" และทำการโหลดเซอร์วิสทุกครั้งที่เริ่มต้นระบบ Windows โดยมันจะสร้างอุปกรณ์บนระบบดังนี้
  • \Device\{3093AAZ3-1092-2929-9391}
  • \Device\Gpd1
นอกจากนี้ โทรจัน Duqu จะทำการฉีดโค้ด (Injects Payload Instructions) โทรจัน Win32/Duqu.A เข้าในโปรเซสของระบบ Windows อย่างเช่น "services.exe" โดย โทรจัน Duqu จะ พยายามทำการปลอมเป็นโปรเซสที่กำลังแอคทีฟอยู่ ดังนี้
  • avp.exe
  • mcshield.exe
  • avguard.exe
  • bdagent.exe
  • umxcfg.exe
  • fsdfwd.exe
  • rtvscan.exe
  • ccSvcHst.exe
  • ekrn.exe
  • tmproxy.exe
  • RavMonD.exe
ถ้าบนระบบไม่มีโปรเซสด้านบนแอคทีฟ มันจะทำการเปิดโรเซสที่กำหนดไว้ล่วงหน้าอย่างเช่น "lsass.exe" และจะทำการฉีดโค้ด (Injects Payload Instructions) โทรจัน Win32/Duqu.B เข้าในโปรเซสดังกล่าว

อาการ (Symptoms):
การติดตามร่องรอยของโทรจัน Duqu นั้นทำได้ค่อนข้างยาก เนื่องจากองค์ประกอบส่วนใหญ่จะทำงานอยู่ภายในหน่วยความจำจึงทำให้มันทิ้งร่องรอยไว้เพียงเล็กน้อย โดยอาการของระบบที่ติดโทรจัน Duqu มีลักษณะดังนี้
  • มีไฟล์ .PNF และ .EXE ตามรายการด้านบน
  • มีรีจีสเตอร์เอนทรี่ FILTER ตามรายการด้านบน

วิธีการป้องกันโทรจัน Duqu
โทรจัน Duqu จะทำการโจมตี Windows ผ่านช่องโหว่ความปลอดภัยในพาร์ซิ่งเอนจินของ TrueType Font ซึ่งปัจจุบันยังไม่มีแพตช์สำหรับแก้ไข โดยไมโครซอฟท์ได้อธิบายรายละเอียดพร้อมคำแนะนำในการป้องกันการถูกโจมตีใน Microsoft Security Advisory 2639658 และได้ออกเครื่องมือ Microsoft Fix It สำหรับทำการป้องกันการโจมตีระบบโดยอัตโนมัติที่ Microsoft Fix It: Vulnerability in TrueType font parsing could allow elevation of privileges

นอกจากนี้ ไมโครซอฟท์ยังแนะนำวิธีการเพิ่มระดับความปลอดภัยในการป้องกันการโจมตีจากไวัส ดังนี้
  • เปิดใช้งาน Firewall
  • ทำการอัพเดท Windows และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
  • ทำการอัพเดทโปรแกรมป้องกันไวรัส
  • จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
  • ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
  • ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
  • หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
  • ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (Social engineering)
  • ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัด Duqu โดยการสแกนด้วยโปรแกรมป้องกันไวรัสด้วยไวรัสเดฟินิชันเวอร์ชันใหม่ล่าสุด

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง
บทความโดย: Thai Windows Administrator Blog

Copyright © 2011 TWA Blog. All Rights Reserved.

No comments:

Post a Comment

เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML