กรุงเทพฯ--14 ต.ค.--At Your Service
Fortinet รายงานว่าในเดือนกันยายน 2548 ได้ตรวจสอบพบไวรัสตัวใหม่ที่เกิดขึ้นอย่างต่อเนื่องและมีเกิดขึ้นมาใหม่ตลอดเวลา โดยเรียงตามลำดับตามความอันตราย ดังนี้
อันดับ ชื่อไวรัส เปอร์เซ็นต์
1 W32/Netsky.P-mm 8 %
2 HTML/FileDownload.E 7 %
3 HTML/Ebay-phish 3 %
4 Download/Px 3 %
5 W32/Zafi.B-mm 3 %
6 W32/MyTob.EK-mm 3 %
7 Adware/180Solutions 2 %
8 W32/MyTob.AS-mm 2 %
9 Adware/ZangoSA 2 %
10 W32/Zafi.D-mm 2 %
ประเทศที่รายงานการโดนไวรัสโจมตีสูงสุด 10 อันดับแรก
ประจำเดือนกันยายน 2548
อันดับ ประเทศ เปอร์เซ็นต์
1 อเมริกา 29 %
2 เกาหลี 8 %
3 จีน 5 %
4 ไต้หวัน 5 %
5 เม็กซิโก 5 %
6 ญี่ปุ่น 4 %
7 อิตาลี 4 %
8 อินเดีย 3 %
9 แคนาดา 3 %
10 ประเทศไทย 2 %
Bagle/Mitglieder คุกคามอย่างหนักในเดือนกันยายน
ตั้งแต่ 19 กันยายน ม้าโทรจันที่ชื่อว่า Mitglieder ได้สร้างความปั่นป่วนอย่างหนักด้วยการแอบทำสำเนาตนเอง และส่งอีเมลล์ออกไปโดยอาศัยชื่อผู้ใช้ต่าง ๆ ซึ่งรูปแบบนี้ เหมือนกับการส่งออกมาคุกคามของม้าโทรจันซึ่งเคยมีมาก่อนหน้านี้ แล้ว
Guillaume Lovet ผู้นำทีมตอบสนองการคุกคามของ Fortinet กล่าวว่า " การสร้างไวรัสตัวใหม่ ๆ โดยการเปลี่ยนแปลงแก้ไขเพียงเล็กน้อยในรหัสก่อนการจัดเก็บ เป็นสิ่งที่ผู้สร้างไวรัสพยายามท้าทายผู้จำหน่ายผลิตภัณฑ์ป้องกันไวรัส ซึ่งการกระทำแบบนี้ไม่ประสบความสำเร็จ ดังเช่นความล้มเหลวของผู้สร้างไวรัส MyTob ที่เกิดขึ้นในเดือนพฤษภาคมของปีนี้ สิ่งหนึ่งที่เห็นได้อย่างชัดเจนคือ ผู้จำหน่ายส่วนมากสามารถป้องกันได้อย่างรวดเร็ว Bagle จำนวนมากจึงไม่เคยถูกดาวน์โหลด เห็นได้จากข้อพิสูจน์ที่ว่า Bagle ตัวแรกที่ปรากฏขึ้นมานั้นอยู่ต่ำกว่าลำดับที่ 50 ในไวรัส 100 ตัวแรกของ Fortinet ซึ่งมีคนรายงานว่าเห็น Virus ตัวนี้น้อยกว่า 1% จากการทำงานของไวรัสทั่วโลก"
การเพิ่มขึ้นของ Spyware- 10 อันดับแรกของการคุกคามในเดือนกันยายน
ฟอร์ติเน็ตได้จัดสิบอันดับรูปแบบการคุกคามของ Spyware จากประวัติที่ผ่านมา 10 รายการแรกของรูปแบบการคุกคามในทุกเดือนของ Fortinet ซึ่งส่วนใหญ่เป็นตัวหนอนแต่ในเดือนกันยายนเกือบครึ่งของ 10 รายการการคุกคามแรกๆไม่ใช่ตัวหนอน แต่ตัวใหม่ที่เพิ่มเข้ามา คือ HTML/ Ebay- phish และ Adware/ 180Solutions และมีไวรัสอื่น ๆ อีก 2 รูปแบบ คือ ZangoSA หรือเรียกว่า "ผู้ช่วยเหลือในการค้นหาข้อมูล" ( browser helper object ) โดยตัวมันเองจะสอดแนมการใช้ Internet ของ User ที่ติดไวรัส และส่งข้อมูลกลับไปหาผู้สร้างอย่าง เงียบ ๆ
เราจะสามารถกำจัด spyware ที่แฝงตัวมากับจดหมายจำนวนมากๆ และกำจัดออกไปจาก 10 รายการแรกของไวรัส เช่นเดียวกันกับ Zafis หรือ MyTob
โดยการพิจารณา 3 ทางหลักๆที่ได้รับผลจาก spyware คือ
1. จากผู้เข้า Webpage โดยคลิกเข้าไป ในเบราเซอร์ที่ยังไม่มีการติดตั้ง Service Patch
2. จากผู้ที่เข้าไปคลิกในอีเมล์ที่ประสงค์ร้ายโดยไม่รู้ตัว
3. จากการฝังตัวของไวรัสกับ spyware ที่ถูกแอบติดตั้ง
Guillaume Lovet กล่าว "อีเมล์มุ่งร้ายส่วนมากเป็นอีเมล์ลขยะ ที่มาจากการติดต่อสื่อสารของเครื่องที่ติดไวรัส ดังนั้นการคุกคามที่แอบแฝงอยู่ในเครื่อง (spyware) จึงสูงขึ้นเหมือนเป็นการสะท้อนให้เห็นแนวโน้มในการคุกคามของผู้ก่อการร้ายในโลกของ Internet (cybercriminal) เนื่องจากปัจจุบันนี้เครือข่าย Internet มีขนาดใหญ่มาก การเชื่อมโยงกับHost ต่างๆ (เช่น botnets) ที่สร้างขึ้นในขณะนี้ เป็นกิจกรรมทางธุรกิจประเภทหนึ่งของผู้เป็นเจ้าของทั้งหลายกำลังเติบโตอย่างมาก และมีอยู่สองกลุ่มที่ทำกำไรอย่างมากจาก อีเมล์ลขยะ และ การหลอกล่อเอาpassword (Phish) รวมทั้งการแอบฝังตัวอยู่ในเครื่องของผู้เข้าไปใช้ internet "
การโจมตีในรูปแบบของการปลอมแปลงอี-เมล์ หรือทำการสร้างเว็บไซต์ปลอมเพื่อหลอกล่อเอาข้อมูลด้านการเงินหรือรหัสผ่าน ( Phishing ) โดยฉวยโอกาสจากวิกฤตการณ์พายุเฮอริเคนแคทริน่า
น่าเสียดายเกี่ยวกับการป้องกันมากมายที่สามารถหยุดยั้งได้ก่อนเกิดความเสียหาย เหมือนกับความพยายามเข้าหลอกล่อเอารหัสผ่าน เพื่อเอาไปใช้ประโยชน์เหมือนกับคนที่เอาประโยชน์จากการเกิดพายุเฮอริเคน แคทริน่า ที่เกิดเหตุการณ์ขึ้นในเดือนกันยายน อีเมล์ที่หลอกล่อเอารหัสผ่านเหล่านี้ จะกระตุ้นผู้ใช้ให้ล็อคเข้าไปในเว็บไซท์ที่ประสงค์ร้ายที่ทำท่าเป็นผู้ใจบุญ และผู้ใช้เลือกที่จะบริจาคเงินทุนการบรรเทาภัย ซึ่งผู้ก่อการร้ายเหล่านี้เคยกระทำเช่นเดียวกันกับเหตุกการณ์ ซึนามิ การโจมตีของกลุ่มใต้ดินที่กรุงลอนดอน และอีกหลาย ๆ เหตุการณ์ที่เคยเกิดมาก่อนหน้านี้ เช่นเหตุการณ์พายุเฮอริเคนริต้า
( หลายโดเมนถูกลงทะเบียนเรียบร้อยแล้วเช่น "HURRICANE- RITA- RELIEF. net" หรือ" RITA- DONATIONS. com").
Guillaume Lovet กล่าว "น่าเสียใจที่จะพูดว่า ประสบการณ์ได้พิสูจน์ว่าเมื่อไหร่ที่เหตุการณ์สำคัญเกิดเป็นข่าว และมีผู้คนต้องการบริจาค ก็เกิดการพยายามพ็อพอัปหลอกล่อเอารหัสผ่านมากขึ้น Fortinet แนะนำให้ใช้บริการตัวกลั่นกรองการใช้เว็บ (Web Filtering Service) เพื่อตรวจสอบดู blacklist ที่มุ่งร้าย นอกจากนี้ยังมีระบบรักษาความปลอดภัยที่สมบูรณ์สำหรับการเข้าออก internet และปกป้องระบบของผู้ใช้ "
US- CERT ให้คำแนะนำแก่ผู้ใช้ทั้งหมดว่าให้ใช้ข้อมูลของ สหพันธ์ตัวแทนการจัดการภาวะฉุกเฉิน ( Federal Emergency Management Agency - FEMA ) ซึ่งเป็นเว็บไซท์ ที่สามารถให้เลือกใช้ในการบริจาคได้อย่างถูกต้องตามกฎหมายและปลอดภัย http:// www.fema.gov/news/newsrelease.fema ?ID= 18473
การเกิดเหตุการณ์ที่รุนแรงและทันทีทันใดในหลายเดือนที่ผ่านมา
เดือนกันยายนเพียงเดือนเดียว เกิดเหตุการณ์มากมาย เมื่อเทียบกับหลายเดือนที่ผ่านมา อย่างกรณีของ อีเมล์ในเยอรมัน มีการเลียนแบบเวบไซต์ ebay ซึ่งดูเหมือนและรู้สึกว่าเป็นการเรียกร้องมาจาก ebay.de เอง โดยออกมาเป็นอีเมลขยะจำนวนมากที่แนบแฟ้มที่ตั้งชื่อว่า " Ebay rechnung.pdf.exe ." เมื่อทำการคลิ๊กแฟ้มที่แนบมา กลุ่มของวิศวกรก็จะดึงเอาข้อมูลทุกอย่างของ ebay นอกจากแฟ้มต้นกำเนิด ซึ่งเป็นแฟ้มเล็กที่ดูเหมือนไม่มีค่าอะไร และเหมือนว่ามุ่งร้ายหรือถอดรหัสมากนัก หรือ อาจมาจาก ผู้ทำการดาวน์โหลด (W32 / agent.UF - dldr )ซึ่งจะเป็นแฟ้มข้อมูลของข้อความที่บรรจุดังต่อไปนี้
jvvr8--ig***-`caiwr,gzg
jvvr8--hmntcf,***,gzg
jvvr8--qkvc`mp,amo-***-20,gzg
jvvr8--qxc`cfcnokic***mpi-q{q,vzv
jvvr8--uuu,`qcvpclq,***-nmeq-3nm,gzg
ข้อมูลนี้ดูเหมือน URLs ที่ทำการเคลื่อนย้ายการเข้ารหัสอย่างง่ายๆ และจริงๆ มันเป็นแค่การใช้โปรแกรมเล็กๆตามข้อมูลด้านบน การแปลงข้อมูลนี้น้อยกว่า malware ที่ดาวน์โหลดสำเนาของตัวหนอน P2P หรือที่เรียกว่า W32 / Goldun และ A —net ที่เป็นขั้นตอนที่สองในกระบวนการการติดต่อของมัน
http://keraker.hu/***.exe
http://jolvad.hu/***.exe
http://sitabor.com/***/***/***.exe
http://szabadalmikamara.hu/***/***.txt
http://www.bsatrans.com/***/***/***.exe
Guillaume Lovet กล่าวว่า " ประโยชน์ในการดาวน์โหลดแฟ้มข้อมูล จากรายการการเก็บแฟ้มข้อมูลในแต่ละส่วน เมื่อเทียบกับตำแหน่งที่เก็บแฟ้มข้อมูลนั้นโดยตรงยังไม่ชัดเจนมากนัก เพราะโดยส่วนมากผู้สร้างคิดว่า สิ่งนั่นจะคิดว่าแฟ้มเอกสารปราศจากรูปแบบพิเศษและไร้ความหมาย บริษัทที่เป็นเจ้าของเว็บจะไม่ค่อยได้ปิดการเชื่อมสัญญาณ ทั้งๆที่รู้ว่าจะเกิดการค้นหาเพื่อคุกคามก็ตาม เจ้าของเว็บไซท์ควรทำการปิดเครื่อง และกำหนดตำแหน่งใหม่ และทำการเปลี่ยนแปลงการเข้ารหัสด้วยเช่นกัน"
ผู้ใช้ม้าโทรจันทำการตบตาให้เหมือนกับเป็นการปรับปรุงการป้องกันความปลอดภัยจากไมโครซอฟ
อีเมล์มุ่งร้ายที่ดูเหมือนมาจากไมโครซอฟและกระตุ้นผู้ใช้ให้ติดตั้งแฟ้มป้องกันความปลอดภัยที่แนบมา ซึ่งตามความเป็นจริงเป็นการทำงานของม้าโทรจัน ที่ถูกกระจายไปในเดือนกันยายน ตอนนี้เราเรียกว่า W32 / Zapchast.F —tr และปฏิบัติตามขั้นตอนของการคุกคามอื่นๆจำนวนมาก ซึ่งเจริญเติบโตเหมือนกับโครงสร้างเดียวกันกับ W32/Swen.A, W32/Sober.D, W32/Dumaru, W32/MyDoom.AD and W32/Pandem.B
Nick Bilogorskiy Manager of Antivirus Escalation and Research ของ Fortinet กล่าวว่า "กลุ่มโครงสร้างทางวิศวกรรมอย่างนี้เป็นเพียงการนับจำนวนผ่านมาจากผู้ใช้ และเพื่อเพิ่มการรับรู้ ผู้ใช้ต้องพัฒนานิสัยที่จะสงสัยการแนบแฟ้มมากับอีเมล์ที่เข้ามา ไม่ว่าจะมาจากไมโครซอฟ, สถาบันการเงิน หรือผู้บริหารระบบของตัวเอง หรือแม้แต่ผู้ให้บริการอินเตอร์เน็ต การพิจารณาสิ่งที่น่าสงสัยเป็นสิ่งที่ดี และควรจำไว้ว่า ไมโครซอฟไม่เคยส่งอีเมล์แก้ไขใดออกมา"
ข้อมูลของ Fortinet (www.fortinet.com)
Fortinet ผู้นำด้านระบบรักษาความปลอดภัยจากภัยคุกคามที่หลากหลายและเป็นเจ้าของผลิตภัณฑ์ในตระกูล FortiGateTM ASIC antivirus firewall ซึ่งได้รับรางวัลชนะเลิศสาขา ผลิตภัณฑ์รักษาความปลอดภัยประจำปี 2004 จากนิตยสาร เครือข่าย Computing และ รางวัลการป้องกันระบบเครือข่ายรุ่นใหม่จากอุตสาหกรรม เครือข่าย Firewall ในปี 2003 รางวัล Network Firewall Award ประจำปี 2003 FortiGate จะตรวจสอบและกำจัดอันตรายต่างๆ การคุกคามที่แฝงมากับเนื้อหาในอีเมล์และเว็ปไซด์ อาทิเช่น ไวรัส ตัวหนอน การคุกคาม และ เว็ปไซด์ที่มีข้อความไม่เหมาะสม โดยไม่ทำให้ประสิทธิภาพการทำงานของเครือข่ายลดลง FortiGate system เป็นเพียงรางวัลเดียวที่ได้รับการรับรอง โดย ICSA (antivirus, firewall, IPSec, NIDS) และเสนอบริการอย่างเต็มรูปแบบสำหรับเครือข่ายซึ่งสามารถจัดการได้โดยง่าย และได้รับการขนานนามว่าเป็นผลิตภัณฑ์ดีเด่นติดอันดับหนึ่งในร้อยจากบริษัทเอกชนจาก Red Herring โดยมีสำนักงานใหญ่ตั้งอยู่ที่เมืองซันนี่เวล รัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา--จบ--