กรุงเทพฯ--17 พ.ย.--บริษัท คอร์ แอนด์ พีค
บทสรุป
ในช่วงระหว่าง 25 กันยายน — 25 ตุลาคม 2547 ค่อนข้างเงียบ เป็นช่วงปลอดการแพร่ระบาดที่ยาวนานสุดของปี
ไวรัสโทรจันมีจำนวน 47% ของจำนวนภัยร้ายทั้งหมด ผู้เขียนภัยร้ายได้เปลี่ยนวัตถุประสงค์จากต้องการชื่อเสียงเป็นผลประโยชน์และเงินทอง
แนวโน้มการโจมตีแบบบอต (Bot) เกิดจากแรงจูงใจทางการเงิน
หนอนไวรัสแซสเซอร์ ลดลง แต่เน็ตสกายเพิ่มขึ้น
ในช่วงเดือนดังกล่าวเป็นเดือนที่เงียบ จากศูนย์การตรวจจับไวรัสของเทรนด์ ไมโครทั่วโลก ได้รายงานรายชื่อ 10 รายชื่อ ซึ่งมีการเปลี่ยนแปลงเล็กน้อยเท่านั้นเมื่อเปรียบเทียบกับเดือนก่อน จำนวนการติดเชื้อลดลงมากกว่า 20% อย่างไรก็ตาม จำนวนการติดเชื้อที่เพิ่มขึ้นมาจากหนอนไวรัส เน็ตสกาย ดอต พี (WORM_NETSKY.P) ตารางที่ 1 แสดงให้เห็นถึง 10 อันดับของไวรัสในเดือนตุลาคม
สาเหตุการลดลงของหนอนไวรัสแซสเซอร์มาจากจำนวนพีซีที่ไม่มีแพตช์น้อยลงสำหรับช่องโหว่ LSASS ส่วนเน็ตสกายที่มีหลายสายพันธุ์มีจำนวนเพิ่มขึ้น 30% จากในเดือนกันยายน โดยเฉพาะเน็ตสกายดอตพี นับตั้งแต่เดือนมีนาคมมีการติดเชื้อถึง 3 เท่า นอกจากเน็ตสกายดอตพี แล้วยังมีเน็ตสกายอีก 4 ชนิด ที่พบใน 10 อันดับ ซึ่งคิดเป็น 45% ของจำนวนที่ติดเชื้อ
สำหรับในเดือนกันยายนที่ผ่านมา ได้แสดงแนวโน้มการลดลงของเน็ตสกายเช่นกัน จากตารางที่ 2 ได้แสดงให้เห็นเครื่องที่ติดเน็ตสกยจากเดือนกุมภาพันธ์ถึงเดือนตุลาคม 2547 ส่วนสำคัญของเน็ตสกายคือ การหลอกให้ผู้ใช้เปิดไฟล์แนบในอีเมล์แม้ว่าจะไม่รู้แหล่งที่มาก็ตาม ซึ่งไม่เหมือนกับแซสเซอร์ที่ไม่ต้องการผู้ใช้เป็นเครื่องมือในการแพร่ระบาด ผิดกับเน็ตสกายใช้จุดอ่อนของมนุษย์ในการแพร่ระบาด
จุดเด่นของเน็ตสกายและหนอนไวรัสที่ใช้การส่งเมล์เป็นเครื่องมืออื่นๆ ได้แพร่ระบาดเป็นเวลานาน ก่อนที่ผู้ใช้เรียนรู้ถึงผลร้ายโดยไม่เปิดไฟล์แนบในอีเมล์ที่ไม่รู้จัก
ไวรัสโทรจันและบอต โปรแกรมยังคงเติบโตอย่างต่อเนื่อง
เทรนด์แล็บ ได้รายงานจำนวนไวรัสทั้งหมดในเดือนตุลาคม 2004 มี 1,817 ไวรัส จำนวนดังกล่าวเพิ่มขึ้น 22% จากเดือนกันยายน ตารางที่ 3 จะแสดงการแพร่กระจายของไวรัสตามชนิดของไวรัส
ไวรัสโทรจันยังคงเติบโตและถูกจับเป็นเป็นจำนวนมากโดยเทรนด์ ไมโคร จำนวนไวรัสโทรจันที่ถูกพบในเดือนตุลาคมเพิ่มขึ้นเกือบ 30%จากเดือนกันยายนโดยคิดเป็น 47% ของไวรัสที่พบ ส่วนหนอนไวรัสเป็นอันดับสองคิดเป็นสัดส่วนเกือบ 30% ของไวรัสในเดือนตุลาคม และในจำนวนหนอนไวรัสเป็นบอต โปรแกรม 75%
บอตโปรแกรมมาพร้อมกับภัยร้ายแบบแบคดอร์ที่ทำให้ผู้มุ่งร้ายควบคุมระบบ โดยการทำให้ระบบปฎิเสธการทำงาน และยังใช้ช่องโหว่เป็นประโยชน์ในการแพร่ระบาดและรับเชื้อ
แนวโน้มที่เพิ่งเกิดขึ้นคือการโจมที่เกิดจากความจูงใจด้านการเงิน โดยการใช้บอตโปรแกรมที่มีความสามารถ ด้านแบคดอร์ ผู้มุ่งร้ายสามารถขโมยข้อมูลจากระบบที่ติดเชื้อและประกาศขายข้อมูลดังกล่าว
PE_ZAFI.B อยู่ในอันดับมา 5 เดือน
ในเดือนมิถุนายน ไวรัส PE_ZAFI.B ได้เกิดขึ้น และอยู่ใน 10 อันดับมาอย่างต่อเนื่องดูได้จากตารางที่ 4
อย่างไรก็ตาม จำนวนการติดเชื้อลดลงนับตั้งแต่เดือนมิถุนายน โดยเดือนตุลาคมลดลง 35% จากเดือนกันยายน แต่ก็ยังคงอยู่ใน 10 อันดับ ไวรัส PE_ZAFI.B ใช้วิธีเขียนไฟล์ใหม่โดยหาแฟ้มข้อมูลที่มี .EXE แล้วลบทิ้ง จากนั้นทิ้งไฟล์ที่ทำสำเนาจากไฟล์เดิมไว้ นอกจากนั้นใช้เทคนิคเช่นเดียวกับบาเกิล และเน็ตสกาย คือการส่งเมล์จำนวนมากจากระบบที่มีการติดเชื้อ เพื่อให้ผู้ใช้เปิดไฟล์โดยคิดว่าเป็นข้อความเสียง รูปภาพ หรือเป็นการ์ด พร้อมทั้งแพร่กระจายผ่านเน็ตเวิร์กแบบเพียร์ทูเพียร์ โดยทิ้งไฟล์ที่ทำสำเนาไว้ และให้ผู้ใช้คิดว่าเป็นการติดตั้งของโปรแกรมที่มีชื่อเสียง ซึ่งนับว่าประสบความสำเร็จอย่างมากในการใช้วิธีวิศวกรรมทางสังคมในการแพร่กระจาย
การฟื้นคืนชีพของมายดูมและบาเกิล ในช่วงของความเงียบ
ในขณะที่ช่วง 25 กันยายนถึง 25 ตุลาคม ค่อนข้างเงียบ ผู้เชียนมายดูมและบาเกิลได้ออก WORM_BAGLE.AU และ WORM_MYDOOM.AA
WORM_MYDOOM.AA เป็นสายพันธุ์ล่าสุดของหนอนไวรัสแบบใช้การกระจายผ่านเมล์ โดยมีโค้ดดังนี้
เพื่อโจมตีบริษัทป้องกันไวรัส ข้อความมีปฏิกิริยากับข่าวที่ว่า บริษัทระบบความปลอดภัยจ้างวัยรุ่นเยอมันเขียนไวรัสแซสเซอร์และเน็ตสกาย วัยรุ่นผู้นี้ชื่อว่าสเวน จาสชาน อายุ 18 ปี เป็นโปรแกรมเมอร์ฝึกหัดที่บริษัท ซีเคียวพอยต์ ส่วนบาเกิลขึ้นสู่ระดับการแพร่ระบาดระดับกลาง 11 ครั้ง ซึ่งแพร่ระบาดสูงสุดในปีนี้
ไวรัสได้ใช้ประโยชน์จากช่องโหว่ใหม่ๆทันทีเมื่อมีรายงานจากไมโครซอฟต์
ในวันที่ 12 ตุลาคมไมโครซอฟต์ ได้ออกการอัปเดตระบบรักษาความปลอดภัยถึง 10 ครั้ง โดย 8 ใน 10 ของช่องโหว่ที่ประกาศสามารถรีโมทโค้ดได้ แต่ 2 สัปดาห์หลังจากประกาศช่องโหว่ โค้ดร้าย HKTL_MS04-032 ก็เกิดขึ้นในช่องโหว่ MS04-032
HKTL_MS04-032 เป็นเครื่องมือด้านแฮกกิ้ง ที่ทำให้เกิด ไฟล์ EMF ที่หาผลประโยชน์จากช่องโหว่ ซึ่งพบในวันที่ 22 ตุลาคม 10 วันหลังจากไมโครซอฟต์ออกประกาศระบบป้องกันความปลอดภัย
เกี่ยวกับบริษัท เทรนด์ ไมโคร
บริษัท เทรนด์ ไมโคร อิงค์ จัดหาระบบการป้องกันไวรัสบนเซิร์ฟเวอร์ที่ควบคุมจากศูนย์กลาง และผลิตภัณฑ์และการบริการด้านการกลั่นกรองเนื้อหา เทรนด์ ไมโครให้บริษัททั่วโลกสามารถกำจัดไวรัส และโค้ดร้ายต่างๆ จากจุดศูนย์กลางก่อนมาถึงคอมพิวเตอร์เดสก์ทอป โดยการป้องกันข้อมูลที่ผ่านในอินเทอร์เน็ต เกตเวย์, อีเมล์ เซิร์ฟเวอร์ และไฟล์ เซิร์ฟเวอร์
สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด
โทร. 0-2439- 4600 ต่อ 8300
อีเมล์ srisuput@corepeak.com--จบ--