เตือนไวรัสคอมฯใหม่ มุ่งโจมตีไฟล์เอกสาร

เตือนไวรัสคอมฯใหม่ มุ่งโจมตีไฟล์เอกสาร

ไซแมนเทค ประกาศเตือนถึงการมาของไวรัส W32.Dozer ที่แพร่กระจายผ่านอีเมล์ หลังจากก่อนหน้านี้ ทวิตเตอร์ โดนโจมตีด้วยหนอนอินเทอร์เน็ต...  ผู้สื่อข่าวรายงานว่า เมื่อเร็วๆ นี้ ฝ่ายปฏิบัติการตอบสนองภัยคุกคาม บริษัทไซแมนเทค คอร์ปอเรชั่น ได้ประกาศถึงการค้นพบองค์ประกอบใหม่ ในภัยคุกคามไวรัส W32.Dozer  โดยการคุกคามประเภทนี้จะมีโค้ดที่สั่งลบข้อมูลที่สำคัญบนดิสก์ ในเครื่องที่ติดไวรัสตัวดังกล่าว เมื่อนาฬิกาของเครื่องที่ติดไวรัสเริ่มเข้าสู่วันที่ 10 ก.ค.2552 ที่ผ่านมา ทั้งนี้โค้ดดังกล่าว พยายามหาและลบไฟล์ทั้งหมดที่อยู่ในตระกูลดังต่อไปนี้ .accdb, .alz, .asp, .aspx, .c, .cpp, .cpp, .db, .dbf, .doc, .docm, .docx .eml, .gho, .gul, .hna, .hwp, .java, .jsp, .kwp, .mdb, .pas, .pdf, .php, .ppt, .pptx, .pst, .rar, .rtf, .txt, .wpd, .wpx, .wri, .xls, .xlsx, .xml และ .zip รายงานข่าวแจ้งว่า ไฟล์ในตระกูลเหล่านี้มักจะเป็นไฟล์ที่เกี่ยวข้องกับโปรแกรมออฟฟิศ รวมถึงแอพลิเคชันที่ใช้เพื่อธุรกิจ และใช้ในการพัฒนาระบบ นอกจากโค้ดดังกล่าวจะเข้าไปลบไฟล์ข้อมูลแล้ว ยังเข้าไปเปลี่ยนการทำงานในส่วนของ มาสเตอร์บูทเรคคอร์ด (Master Boot Record) ทำให้ระบบไม่สามารถทำงานได้เมื่อมีการบูทเครื่องใหม่ W32.Dozer เริ่มมีการแพร่กระจายตั้งแต่วันที่ 4 ก.ค.2552 โดยวิธีการโจมตีแบบ DDOS (Distributed Denial of Service) ไปที่สถาบันการเงิน หน่วยงานภาครัฐบาล เว็บไซต์สื่อต่างๆ ที่อยู่ในสหรัฐอเมริกา และเกาหลีใต้ ทำให้เว็บไซต์เหล่านี้ไม่สามารถใช้งานได้ รายงานข่าวแจ้งต่อว่า W32.Dozer เป็นการคุกคามที่มากับไฟล์แนบในอีเมล์ ที่ในทันทีที่ผู้ใช้คลิกเข้าไปที่ไฟล์แนบ ไวรัสก็จะดำเนินการดาว์นโหลดแพคเกจ ประกอบไปด้วย Trojan.Dozer เพื่อเปลี่ยนเครื่องเหยื่อดังกล่าวให้เป็นสมาชิกของบ็อทเน็ต รายชื่อของไซต์ที่จะให้บ็อทเน็ต ทำการโจมตี รวมถึงหนอนไวรัส MyDoom ที่เชื่อกันว่าเป็นตัวที่ช่วยในการแพร่กระจายไวรัส W32.Dozer ผ่านการส่งเมล์จำนวนมากในเบื้องต้น ได้มีการรายงานว่าการจู่โจมครอบคลุมเครื่องคอมพิวเตอร์กว่า 50,000 เครื่องด้วยกัน ทั้งนี้เมื่อผู้ใช้ทำการอัพเดทระบบป้องกันการคุกคามดังกล่าว ก็จะช่วยลดการเติบโตของบ็อทเน็ตได้ นายแจสเปอร์ มานูเอล วิศวกรผู้เชี่ยวชาญด้านการป้องกันไวรัส ศูนย์วิจัยเทรนด์แล็บส์ บริษัทเทรนด์ ไมโคร ประกาศว่า หลังจากที่การแพร่ระบาดของหนอนทวิตเตอร์ (Twitter) ที่ส่งผลกระทบต่อ “ผู้ใช้นับหมื่นราย” การโจมตีดังกล่าวที่เกิดขึ้นกับเว็บไซต์บริการสมุดบันทึกบนเว็บยอดนิยม หรือ Twitter กลับไม่ได้รับความเสียหายใดๆ เพียงแต่ส่งผลให้การทำงานช้าลงเท่านั้น จริงๆ แล้วอาชญากรไซเบอร์กำลังใช้ประโยชน์จากความสนใจของสาธารณะชน และการเผยแพร่เหตุการณ์ต่างๆ ผ่านสื่อที่เพิ่มมากขึ้น เพื่อส่งต่อผู้ใช้งานอินเทอร์เน็ตไปยังลิงก์ที่เป็นอันตรายต่างๆ วิศวกรผู้เชี่ยวชาญฯ บ.เทรนด์ ไมโคร กล่าวอีกว่า ผลการค้นหาสูงสุด 10 อันดับแรกในกูเกิล คือ คำว่า “Twitter worm” และ “Mikeyy” (ไมกี้) ผู้เขียนหนอนทวิตเตอร์วัย 17 ปี และเป็นลิงก์ที่เชื่อมต่อผู้ใช้ไปยัง URL ที่เป็นอันตราย ที่จะดาวน์โหลดมัลแวร์ลงในระบบของผู้ใช้ ส่วนลิงก์ในหน้าผลลัพธ์นั้นเชื่อมต่อกับ URL ที่ตรวจพบว่าเป็น HTML_DLOADR.NIC โดย URL ดังกล่าวไม่สามารถเข้าถึงได้แล้วในขณะนี้ อย่างไรก็ตามนักวิเคราะห์เปิดเผยด้วยว่า มีการโหลดจาวาสคริปต์ ในชื่อ JS_DLOADR.NIB ลงในเครื่องคอมพิวเตอร์ของเหยื่อด้วย ทั้งนี้จะเชื่อมต่อผู้ใช้ไปยัง URL ด้วยการเปลี่ยนทิศทางของผู้ใช้ไปยังไซต์ต่างๆ ที่จะกระตุ้นให้มีการดาวน์โหลด TROJ_DLOADR และ TROJ_DLOADR.NIA ลงในระบบที่ติดเชื้อ นายแจสเปอร์ กล่าวด้วยว่า โทรจัน TROJ_DLOADR.NID จะดาวน์โหลด TROJ_FAKEAV.RAG และTROJ_AGENT.GDAG ลงในระบบ อย่างไรก็ตาม TROJ_DLOADR.NIA ไม่อาจทำงานได้อย่างสมบูรณ์เนื่องจากเกิดข้อผิดพลาดภายในโค้ดของตัวเอง ทั้งนี้กำลังตรวจสอบว่าโทรจันนี้มีความสามารถที่จะดาวน์โหลดมัลแวร์อื่นๆ อีกหรือไม่ ส่วนผู้เขียนหนอนทวิตเตอร์ ล่าสุดเพิ่งได้งานที่บริษัทพัฒนาเว็บแอพลิเคชันแห่งหนึ่ง แต่การงานด้วยการใช้หนอนไวรัสให้เป็นประโยชน์นั้น ไม่ใช่ตัวอย่างที่ดีนักสำหรับคนรุ่นใหม่เพราะผลลัพธ์ที่ได้อาจไม่เหมือนกับที่ “ไมกี้” ได้รับ