กรุงเทพฯ--28 ก.ย.--คอร์ แอนด์ พีค
การแพร่ระบาดของไวรัส ช่องโหว่ และการใช้ประโยชน์
วันที่ 9 สิงหาคม 2548 - มีการประกาศพบช่องโหว่ MS05-039 ในวินโดว์ส ปลั๊กแอนด์ เพลย์ หลังจากนั้นสี่วัน หนอนโซท็อบ (ZOTOB) ตัวแรกก็เริ่มแพร่ระบาดทางช่องทางดังกล่าว ซึ่งเชื่อกันว่ามีการพบและเผยแพร่ข้อมูลของช่องโหว่ทางเว็บไซต์แห่งหนึ่งหลายวันก่อนไมโครซอฟท์จะประกาศพบ
วันที่ 16 สิงหาคม 2548 - หนึ่งสัปดาห์ต่อมามีการเตือนภัยหนอน WORM_ZOTOB.D และWORM_RBOT.CBQ ซึ่งเป็นครั้งแรกในรอบเดือนสิงหาคม หลังจากที่ไม่ได้มีการประกาศเตือนภัยมัลแวร์ใดๆ เลยเมื่อเดือนกรกฎาคม บริษัท เทรนด์ ไมโครออกคำเตือนหนอนทั้งสองตัวพร้อมกัน และในวันเดียวกันยังพบมัลแวร์อีก 4 ตัว ซึ่งทุกตัวมีคุณสมบัติการทำงานเหมือนกัน คือมีความสามารถในการส่งอีเมล์ พร้อมกันในปริมาณมาก และมีวิวัฒนาการในการเปลี่ยนแปลงตัวเองอย่างรวดเร็ว ทั้งนี้ WORM_ZOTOB.D และ WORM_RBOT.CBQ (เปลี่ยนชื่อเป็น WORM_ZOTOB.E เมื่อวันที่ 30 ส.ค.) มีความโดดเด่นมากที่สุด ขณะที่ WORM_RBOT.CBR และ WORM_BOBAX.AD ก็เป็นตัววายร้ายเช่นกัน นอกจากนี้ บริษัทต้านไวรัสอื่นๆ ยังตรวจพบ WORM_RBOT.CBQ ในกลุ่มเดียวกับหนอนโซท็อบด้วย
ความสามารถของหนอนในตระกูลโซท็อบ คือจะเล่นงานเหยื่อด้วยการเปิดประตูหลังของระบบทิ้งไว้ เพื่ออำนวยความสะดวกให้ผู้ไม่หวังดีเข้ามาควบคุมคอมพิวเตอร์ที่ติดเชื้อจากระยะไกลได้
ผลกระทบของเจ้าหนอนร้ายที่เห็นได้ชัด คือจะดึงโหลดการใช้งานของซีพียู และหน่วยความจำให้ทำงานหนักขึ้น และยังสามารถลวงเหยื่อผ่านทางโปรแกรมสนทนาไออาร์ซี โดยที่ผู้ดูแลระบบไออาร์ซีไม่สามารถตรวจสอบได้
การแพร่ระบาดของหนอนร้ายโซท็อบ เชื่อว่าเป็นฝีมือของ HouseofDabus และ Diabl0 โดยชื่อของ Diabl0 ถูกเชื่อว่าเป็นผู้ที่อยู่เบื้องหลังหนอนมายท็อบตัวแรก ขณะที่ HouseofDabus เป็นตัวการนำช่องโหว่ MS05-039 มาใช้ประโยชน์
ไมโครซอฟท์ออกคำแนะนำแก่ผู้ใช้ระบบปฎิบัติการวินโดว์ส เอ็กซ์พี เอสพี1 ไม่กี่วันหลังจากมีการแพร่ระบาดของหนอน MS05-039 โดยเฉพาะผู้ใช้วินโดว์ส เอ็กซ์พี ที่มีคุณสมบัติของ “Simple File Sharing and ForceGuest” หากระบบยังไม่ถูกซ่อมแซม
“มีเหมือนกันที่มัลแวร์ ซึ่งไม่มีชื่อเสียงใช้รูปแบบการจู่โจมเหยื่อในลักษณะเดียวกันนี้” นางอีวาน แมคคาลินทัล นักวิเคราะห์ภัยคุกคามอาวุโส บริษัท เทรนด์ ไมโคร กล่าว และว่า “การประกาศเตือนของไมโครซอฟท์ จะช่วยให้ผู้ใช้ตระหนักถังภัยร้ายจากช่องโหว่นี้ด้วย”
ไม่ถึงสองสัปดาห์ต่อมา เอฟบีไอสามารถจับ “Diabl0” ได้ในเมืองราแบท ประเทศโมร็อกโค เมื่อวันที่ 25 สิงหาคม เป็นเด็กหนุ่มชาวโมร็อกโควัย 18 ปี ชื่อว่า ฟาริด เอสซีบาร์ ซึ่งเกิดในประเทศรัสเซีย ขณะเดียวกันและเพื่อนร่วมทีมของเขา เอทิลลา อีกิซี วัย 21 ปี ก็ถูกจับเช่นกันในตุรกี โดยเอฟบีไอตรวจพบการสื่อสารระหว่างกัน ผ่านข้อความ "Greetz to good friend Coder" ในรหัสมัลแวร์ของ Diabl0 ทำให้เชื่อได้ว่า อีกิซี จ้างให้เอสซีบาร์เขียนรหัสร้ายนี้ขึ้นมา
ขณะที่กลุ่ม HouseofDabus (หรือที่รู้จักกันในนาม HoD) เลือกใช้รหัสของหนอนแซสเซอร์ (SASSER) ที่ระบาดในช่วงไตรมาสที่สองของปีที่แล้ว ซึ่งโจมตีช่องโหว่ Microsoft Windows LSASS (MS04-011)
ทั้งนี้ บรรดาผู้เขียนมัลแวร์ มักจะมองหารหัสหรือโค้ดร้ายที่มีบางคนนำไปเผยแพร่ผ่านทางอินเทอร์เน็ต “ไม่แปลกที่เรา (อุตสาหกรรมต้านไวรัส) จะพบว่าทันทีที่ช่องโหว่ถูกเปิดเผย แฮคเกอร์และกลุ่มนอกรีตในโลกไซเบอร์ จะใช้ประโยชน์จากรหัสนี้ก่อนเป็นผู้แรก”แมคคาลินทัล กล่าว
ปริมาณมัลแวร์ที่ตรวจพบ
การตรวจจับมัลแวร์ในเดือนสิงหาคม 2548 พบว่ามีจำนวนเพิ่มขึ้นเป็นสองเท่าจากเดือนที่แล้ว และมากกว่ามัลแวร์ที่พบในเดือนสิงหาคมปี 2547 ที่มีเพียง 913 ครั้ง เทียบกับเดือนสิงหาคมของปีนี้ ซึ่งมีจำนวนถึง 2,062 ครั้ง โดยโทรจันและหนอน ยังครองอันดับสูงสุดด้วยจำนวนการตรวจพบ 734 และ 479 ครั้งตามลำดับ ขณะที่โทรจัน สปายแวร์ มาเป็นอันดับที่สามด้วยจำนวน 360 ครั้ง
จำนวนคอมพิวเตอร์ที่ติดเชื้อ
บริษัท เทรนด์ ไมโคร อิงค์
บริษัท เทรนด์ ไมโคร อิงค์ เป็นผู้นำระดับโลกด้านซอฟต์แวร์และการบริการด้านการป้องกันไวรัสบนเครือข่าย และการรักษาความปลอดภัยข้อมูลบนอินเทอร์เน็ต มีสำนักงานใหญ่ตั้งอยู่ ณ กรุงโตเกียว ประเทศญี่ปุ่น และมีหน่วยธุรกิจอยู่ทั่วโลก สำหรับผลิตภัณฑ์ของเทรนด์ ไมโคร ได้จำหน่ายไปยังองค์กรธุรกิจ ตัวแทนจำหน่ายแบบมูลค่าเพิ่ม และผู้ให้บริการสนใจข้อมูลและชุดทดลองใช้งานผลิตภัณฑ์จากเทรนด์ ไมโครได้ที่ เว็บไซต์ www.trendmicro.com
สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด
โทร. 0-2-439-4600 ต่อ 8300, 8302
อีเมล์: srisuput@corepeak.com--จบ--