กรุงเทพฯ--18 เม.ย.--คอร์ แอนด์ พีค
เกิดการโจมตีเพิ่มขึ้นของภัยร้ายหรือมัลแวร์ทั้ง 4 คือ เวิร์มประเภท อินสแตนท์ เมสเซนจิ้ง, โทรจันที่แอนตี้-ไมโครซอฟท์, การโจมตีอุปกรณ์เคลื่อนที่ และภัยร้ายที่รวมกันโจมตี หรือมัลแวร์ แทนเด็ม
เทรนด์แลบส์ของเทรนด์ ไมโคร เปิดเผยรายงานสรุปแนวโน้มการแพร่ระบาดไวรัสในไตรมาสแรกของปีนี้ โดยระบุว่า เวิร์มหรือหนอนไวรัส อินสแตนท์ เมสเซสจิ้ง (ไอเอ็ม), โทรจันที่เป็นแอนตี้-ไมโครซอฟท์, มัลแวร์สำหรับอุปกรณ์เคลื่อนที่ และแทนเด็ม จะเป็นภัยร้ายที่โจมตีแบบใหม่ไปยังระบบรักษาความปลอดภัยของข้อมูลข่าวสาร
นายเจมซ์ ยาเนซ่า ที่ปรึกษาอาวุโสด้านป้องกันไวรัสของเทรนด์แลบส์ กล่าวว่า แม้การโจมตีเหล่านี้จะไม่ใช่รูปแบบใหม่ทั้งหมด แต่แฮกเกอร์ก็ใช้เทคนิคที่ทันสมัยมากขึ้นเพื่อให้การโจมตีได้ผลตามที่ต้องการมากที่สุด ตัวอย่างเช่น การใช้การโจมตีแบบแทนเด็ม ไวรัสตัวหลักอาจจะไม่เป็นอันตราย แต่ไวรัสระดับรองลงมาจะเข้าสู่ระบบและสั่งโจมตีได้จากระยะไกล ทั้งนี้ เมื่อ 3 เดือนที่แล้ว บาเกิลสายพันธุ์ล่าสุด และเวิร์มเอ็มเอสเอ็น 2 สายพันธุ์ ใช้รูปแบบการโจมตีที่ว่านี้ และเป็นเหตุให้คอมพิวเตอร์ติดเชื้อเป็นจำนวนมาก
Malware Level Date Day Propagation Medium
WORM_BAGLE.AZ Yellow January 27 Thu email, shared folders
WORM_BROPIA.F Yellow February 2 Wed instant messenger
WORM_MYDOOM.BB Yellow February 16 Wed email
WORM_BAGLE.BE Yellow March 1 Tue email (downloaded by a Trojan)
WORM_KELVIR.B Yellow March 7 Mon instant messenger
WORM_FATSO.A Yellow March 7 Mon instant messenger, peer-to-peer
การประกาศแจ้งเตือนไวรัส 6 ครั้งในไตรมาสแรกของปีนี้ บ่งชี้ชัดเจนว่า การแพร่ระบาดของไวรัสลดลงเมื่อเทียบกับไตรมาสแรกของปีที่แล้ว ที่มีการแจ้งเตือนมากถึง 12 ครั้ง
อย่างไรก็ดี หลังจากไวรัสอีเมล์ ใช้ทุกวิธีที่จะสามารถใช้ได้แล้ว ส่งผลให้ไวรัสที่ประสบความสำเร็จในการคุกคามคอมพิวเตอร์ในอดีต อัพเกรดเป็นไวรัสตัวร้ายในปีนี้ได้
ข้อมูลจากเทรนด์แลบส์ของเทรนด์ ไมโคร ระบุว่า ปีที่แล้ว มีไวรัสเพียง 2 สายพันธุ์เท่านั้นที่ไม่ใช้อีเมล์ในการแพร่ระบาด แต่สำหรับปีนี้ ตรวจพบเวิร์มที่เป็นไอเอ็ม 2 สายพันธุ์ออกแพร่ระบาดในวันเดียวกันคือเมื่อวันที่ 7 มีนาคมที่ผ่านมา
อย่างไรก็ดี ในรอบ 4 ปีที่ผ่านมา พบว่า มีการแพร่ระบาดเพียงครั้งเดียวเท่านั้นที่มีสาเหตุมาจากเวิร์มไอเอ็ม แต่ในไตรมาสแรกของปีที่แล้ว เทรนด์ไมโคร ได้ออกประกาศแจ้งเตือนเกี่ยวกับภัยร้ายของเวิร์มชนิดดังกล่าว 3 ครั้งหรือคิดเป็นครึ่งของการแจ้งเตือนไวรัสในปีนี้
ขณะที่มีมัลแวร์โจมตีโทรศัพท์มือถือที่โดดเด่น 10 ตัว ก็เกิดขึ้นในช่วงเวลาดังกล่าว ซึ่งรวมไปถึงไวรัส 4 สายพันธุ์ ที่ตรวจพบเมื่อเดือนมีนาคมที่ผ่านมา และมีเป้าหมายโจมตีอุปกรณ์ที่รองรับการเชื่อมต่อไร้สายผ่านบลูทูธ
นายยาเนซ่า อธิบายว่า ทั้งเวิร์มอินสแตนท์ เมสเซสจิ้ง และเวิร์มโทรศัพท์มือถือ มีอัตราการเพิ่มขึ้นอย่างรวดเร็ว และชัดเจนว่าผู้เขียนโปรแกรมมัลแวร์ค้นพบวิธีใหม่ที่ทำให้ไวรัสแพร่พันธุ์ได้เร็วกว่าอีเมล์
ช่วงเวลาที่มัลแวร์เพิ่มจำนวนขึ้นเร็วที่สุดในรอบหลายปี และเป็น 3 เท่าในช่วงเดียวกันของปีที่ผ่านมา
ในช่วง 3 เดือนที่ผ่านมา เทรนด์ไมโคร ตรวจจับมัลแวร์ใหม่ได้ทั้งสิ้น 7,598 ตัว ซึ่งคิดเป็นสัดส่วนราว 64% ของตัวอย่างมัลแวร์ที่ได้รับรายงานทั้งหมด โดยตัวเลขมัลแวร์ใหม่ในช่วงนี้ เพิ่มขึ้นจากไตรมาสก่อนหน้านี้ 200% และเพิ่มขึ้นจากช่วงเดียวกันของปีที่แล้ว 300%
อีกทั้งยังเป็นครั้งแรกที่มัลแวร์ใหม่มียอดรวมทะลุหลัก 7,000 ตัว ทั้งนี้ ในช่วง 5 ไตรมาสที่ผ่านมา ตัวเลขมัลแวร์ใหม่เพิ่มขึ้นจาก 2,695 ตัวในไตรมาสแรกของปี 2547 เป็น 6,500 ตัวในไตรมาสสาม แต่ในไตรมาสสุดท้ายของปีเดียวกัน ตัวเลขมัลแวร์กลับลดลงเหลือเพียง 3,990 ตัว อย่างไรก็ดี สำหรับการเพิ่มขึ้นอย่างรวดเร็วของมัลแวร์ใหม่ในไตรมาสแรกของปีนี้ เป็นสัญญาณบ่งชี้ว่ามัลแวร์จะเพิ่มขึ้นอย่างต่อเนื่องตลอดทั้งปีนี้
เวิร์มไอเอ็มลดเวลาวงจรการติดเชื้อ
ในช่วงที่ WORM_MENGER.A ซึ่งเป็นไวรัสไอเอ็มตัวแรก ออกแพร่ระบาดเมื่อปี 2544 นั้น ยังไม่ได้ขโมยความโดดเด่นจากไวรัสอีเมล์ จนกระทั่งไตรมาสแรกของปีนี้ ในช่วงเดือนกุมภาพันธ์และมีนาคม มีไวรัสเอ็มเอสเอ็นออกอาละวาดมากถึง 3 ตัว คือ WORM_BROPIA.F, WORM_FATSO.A และ WORM_KELVIR.B จนเป็นเหตุให้เกิดการแพร่ระบาดครั้งใหญ่ โดยทุกวันนี้ ไวรัสไอเอ็ม กลายเป็นหนึ่งในการคุกคามระบบรักษาความปลอดภัยบนอินเทอร์เน็ตที่สำคัญ
เมื่อ 4 ปีที่แล้ว มีเวิร์มไอเอ็มเพียงตัวเดียวเท่านั้นที่มีอันตรายในระดับที่ต้องออกประกาศแจ้งเตือนภัย อย่างไรก็ดี หากพิจารณาตัวเลขการแพร่ระบาดในไตรมาสแรกของปีนี้ พบว่า เวิร์ม ที่ใช้ซอฟต์แวร์เมสเซนเจอร์เป็นสื่อในการแพร่ระบาดนั้น ได้กลายมาเป็น “ประเด็นร้อน” ที่หลายฝ่ายให้ความสนใจ จากการแจ้งเตือนไวรัส 6 ครั้งในช่วง 3 เดือนที่ผ่านมา พบว่า เป็นการแจ้งเตือนเวิร์มที่ใช้ไอเอ็มในการแพร่ระบาด 3 ครั้ง และเวิร์มไอเอ็ม 2 ตัวจากทั้งหมด 3 ตัว ได้ทิ้งเวิร์มบอท (bot worms)ไว้ในเครื่องที่ติดเชื้อด้วย
นายยาเนซ่า ตั้งข้อสังเกตว่า ซอฟต์แวร์ป้องกันไวรัสสามารถลบไฟล์ประสงค์ร้ายได้ แต่ไม่สามารถควบคุมพฤติกรรมการออนไลน์ของประชาชนได้ ไวรัสอีเมล์ ที่เป็นฉนวนให้เกิดการแพร่ระบาดหลายต่อหลายครั้งในปีนี้ อาศัยหัวเรื่องที่น่าสนใจหลอกล่อให้ผู้ใช้จำนวนมากคลิ๊กดู เพื่อทำให้โปรแกรมไวรัสทำงาน
ส่วนโปรแกรมสนทนาออนไลน์ ซึ่งช่วยให้ผู้ใช้สามารถพูดคุยกันได้อย่างใกล้ชิดและทันถ่วงทีนั้น ไม่เพียงทำให้ระยะทางระหว่างคนสองคนสั้นลง แต่ยังลดเวลาที่มัลแวร์ใช้ในการโจมตีระบบอีกด้วย เวิร์มไอเอ็ม ใช้ประโยชน์จากความอยากรู้อยากเห็น มิตรภาพ และความไว้วางใจของผู้ใช้อินเทอร์เน็ต อีกทั้งทำให้ประชาชนลืมเรื่องความปลอดภัย “ไม่เปิดไฟล์ที่ไม่ส่งมาจากคนที่ไม่รู้จัก” และ “ไม่คลิ๊กลงบนลิงค์” ได้ โดยใช้การเชื่อมต่อที่อยู่ และชื่อไฟล์ที่น่าสนใจ
เวิร์มไอเอ็ม ประสบความสำเร็จในการแพร่ระบาดจนได้รับการกล่าวถึงอย่างกว้างขวาง โดยส่วนหนึ่งอาจเป็นผลมาจากการเปิดเผยโค้ดดั้งเดิมของโปรแกรมประสงค์ร้ายที่ว่านี้
นายโจ ฮาร์ทมานน์ ผู้อำนวยการศูนย์วิจัยระบบรักษาความปลอดภัยเครือข่ายของเทรนด์ไมโคร เปิดเผยว่า แฮกเกอร์ หรือผู้เขียนโปรแกรมประสงค์ร้าย สามารถหาซอร์สโค้ดที่เวิร์มเหล่านี้ใช้ได้อย่างง่ายดาย จึงเชื่อแน่ว่าจะมีการโจมตีระบบคอมพิวเตอร์ออกมาอีกเป็นจำนวนมากในอนาคตอันใกล้นี้ รวมถึงไวรัสสายพันธุ์ใหม่ๆ ที่มีอันตรายมากขึ้นกว่าเดิม
นอกเหนือจากสายพันธุ์ของไวรัสทั้ง 3 ตัว ที่อ้างถึงข้างบนแล้ว ไอซีคิว และเอไอเอ็มเอง ก็กลายเป็นสื่อในแพร่ระบาดของ WORM_VAMPIRE.A และ WORM_AIMDES.A ด้วย
ภัยร้ายแทนเด็ม รวม 2 การโจมตีเข้าด้วยกัน
ข้อมูลของเทรนด์แลบส์ ระบุว่า เมื่อปีที่แล้ว มีไวรัสเพียง 2 สายพันธุ์เท่านั้นที่ไม่ได้ใช้อีเมล์ในการแพร่ระบาด และถือเป็นครั้งแรกที่ตรวจพบเวิร์มไอเอ็ม 2 ตัว คือ WORM_KELVIR.B and WORM_FATSO.A ในวันเดียวกัน ดังนั้น เวิร์มไอเอ็ม จึงไม่ใช่มัลแวร์ร้ายเพียงบางโอกาส แต่อาจจะกลายเป็นวิธีแพร่ระบาดรูปแบบใหม่ของมัลแวร์
ในไตรมาสแรก เอ็มเอสเอ็น ที่มีผู้ใช้อยู่เป็นจำนวนมากนั้น ตกเป็นเป้าหมายของเวิร์ม 3 สายพันธุ์ คือ WORM_BROPIA.F และ WORM_FATSO.A ซึ่งอาศัยชื่อไฟล์ที่ดึงดูดใจหลอกให้ผู้ใช้คลิ๊กลงบนโปรแกรมประสงค์ร้าย ส่วน WORM_KELVIR.B ใช้วิธีส่งลิงค์ไปพร้อมกับอีเมล์ โดยเมื่อผู้ใช้คลิ๊ก เวิร์มดังกล่าวจะถูกดาวน์โหลดลงไปในเครื่องคอมพิวเตอร์ของผู้ใช้แต่โชคไม่ดีที่ทั้ง WORM_BROPIA.F และ WORM_KELVIR.B ใช้วิธีแทนเด็ม ซึ่งทำให้เวิร์มทั้งสองตัวทิ้งเวิร์มบอทไว้ในเครื่องที่ติดเชื้อได้ หรือในอีกนัยหนึ่ง ก็คือ หากเวิร์มไอเอ็มไม่โจมตี เวิร์มบอทจะสามารถสั่งโจมตีระบบได้
ในไตรมาสแรกของปีนี้ มีการแพร่ระบาด 2 ครั้งที่ใช้วิธีแทนเด็ม ภัยร้าย โดยแทนเด็ม มัลแวร์ที่ว่านี้ จะรวมภัยร้าย2 ตัวเพื่อโจมตีระบบ ซึ่งอาจจะเป็น “เวิร์ม-เวิร์ม” และ “เวิร์ม-โทรจัน” ทั้งนี้ เวิร์มไอเอ็ม อาทิ WORM_KELVIR.B และ WORM_BROPIA.F แต่ละตัวจะมาพร้อมกับเวิร์มบอท เพื่อโจมตีคอมพิวเตอร์ที่แตกต่างกันผ่านทางเอ็มเอสเอ็น
ในไตรมาสแรก TROJ_BAGLE.BE ซึ่งดาวน์โหลด WORM_BAGLE.B จากหลายเวบไซต์ เป็นต้นเหตุให้เกิดการแพร่ระบาดในเอเชีย และสหรัฐ ขณะที่ WORM_BAGLE.B จะจัดส่ง TROJ_BAGLE.BE ไปพร้อมกับไฟล์แนบอีเมล์ ความสัมพันธ์เชิงสัญลักษณ์ในลักษณะนี้ สร้างความแข็งแกร่งให้กับความสามารถในการโจมตีของมัลแวร์เหล่านี้
นายยาเนซ่า บอกว่า เทรนด์ไมโคร เป็นกังวลเกี่ยวกับวิธีที่โปรแกรมบอทใช้แทนเดิม ภัยร้ายโจมตีและทำให้เครือข่ายมากมายติดเชื้อ ทั้งนี้ เมื่อเวิร์มบอทแฮกเข้าสู่ระบบ จะต้องปรับระดับการแจ้งเตือนความปลอดภัยให้สูงขึ้น เพราะเวิร์มดังกล่าว ซึ่งอาศัยข้อบกพร่องในการแพร่ระบาดนั้น จะสุ่มเปิดพอร์ตเพื่อเปิดทางให้แฮกเกอร์บันทึก หรือเข้าถึงข้อมูลได้จากระยะไกล อีกทั้งยังสามารถสั่งให้มัลแวร์ทำงาน และสร้างปัญหาเรื่องความปลอดภัยของข้อมูลให้กับเครือข่ายได้ เวิร์มที่ว่านี้ สามารถเปลี่ยนรูปแบบได้หลายสายพันธุ์ภายในช่วงเวลาสั้นๆ เพื่อขโมยข้อมูลสำคัญ ระงับการทำงานของโปรแกรมรักษาความปลอดภัย หรือสั่งโจมตีแบบ denial of service
ซอฟต์แวร์ต่อต้านไมโครซอฟท์ เป้าหมายใหม่ของแฮกเกอร์
ในอดีต เราได้เห็นสแปมเมอร์โจมตีเครือข่ายป้องกันสแปมเมล์และไวรัส เพื่อทำลายแอพพลิเคชั่นรักษาความปลอดภัย และป้องกันไวรัส ในไตรมาสแรกของปีนี้ ผู้สนับสนุนสปายแวร์ เริ่มให้ความสนใจกับไมโครซอฟท์ ที่โปรแกรมป้องกันสปายแวร์กำลังจะกลายเป็นสนามรบแห่งใหม่ของโทรจัน TROJ_ASH.A ซึ่งตรวจพบครั้งแรกเมื่อวันที่ 9 กุมภาพันธ์ที่ผ่านมา ได้ยกเลิกการทำงานแอนตี้สปายแวร์ของไมโครซอฟท์ และลบทิ้งไฟล์ที่เกี่ยวข้องทั้งหมด นอกจากนี้ มัลแวร์ดังกล่าว ยังแทรกซึมเข้าสู่ระบบแบงค์ออนไลน์เพื่อขโมยข้อมูลของเหยื่อ ส่วนสายพันธุ์ TROJ_ASH.B ซึ่งตรวจพบในเวลาต่อมานั้น จะเปลี่ยนโครงร่างโฮมเพจของไออี สายพันธุ์ใหม่อีกตัว ถูกตรวจพบเมื่อวันที่ 18 มีนาคมที่ผ่านมา โดยสามารถอัพเดทตัวเองได้ผ่านทางการดาวน์โหลดจากระยะไกล ยาเนซา อธิบายว่า สปายแวร์ ขโมยข้อมูลทุกชนิด รวมถึงข้อมูลธนาคารสำคัญ ซึ่งดึงดูดความสนใจขององค์กรอาชญากรรมเป็นอย่างมาก นอกจากนี้ ฐานะที่โดดเด่นของไมโครซอฟท์ ยังทำให้ระบบปฏิบัติการของบริษัทกลายเป็นเป้าหมายยอดนิยมของเหล่าแฮกเกอร์ เพราะแอนตี้สปายแวร์ของไมโครซอฟท์เป็นอุปสรรคในการแสวงหาความมั่งคั่งของแฮกเกอร์เหล่านี้
มือถือยิ่งฟังก์ชั่นสูงยิ่งอันตราย
ตั้งแต่เดือนมกราคมถึงเดือนมีนาคมที่ผ่านมา เทรนด์ไมโคร ตรวจจับมัลแวร์ที่มุ่งโจมตีโทรศัพท์มือถือได้ทั้งสิ้น 10 ตัว และเฉพาะมีนาคมเพียงเดือนเดียวสามารถตรวจจับได้ 4 ตัว โดยแสดงให้เห็นว่า ไม่เพียงมัลแวร์ที่ว่านี้จะเพิ่มขึ้นเท่านั้น แต่ยังปรับปรุงเทคนิคการใช้งานอีกด้วย จากรูปแบบวิวัฒนาการของไวรัสที่ผ่านมา มัลแวร์ตัวใหม่ จะกลายเป็นโมเดลของแฮกเกอร์ ซึ่งจะนำมัลแวร์ที่ว่านี้ไปดัดแปลงและทำให้มีอันตรายมากขึ้น สำหรับเป้าหมายต่อไปของมัลแวร์ประเภทนี้ คือ โทรศัพท์มือถือ ซึ่งมาพร้อมฟังก์ชั่นบลูทูธ
โทรศัพท์มือถือที่มาพร้อมกับฟังก์ชันใช้งานมากมาย ช่วยให้มัลแวร์มีช่องทางในการแพร่ระบาดมากขึ้น อาทิเช่น SYMBOS COMWARE.B ซึ่งใช้เอ็มเอ็มเอส (บริการรับส่งข้อความมัลติมีเดีย) ในการแพร่ระบาด เมื่อเอ็มเอ็มเอส ส่งข้อมูลมัลติมีเดีย ที่ประกอบด้วยภาพ ข้อความ และเสียงออกไป ทั้งนี้ อีเมล์ 23 ฉบับที่ SYMBOS COMWARE.B ส่งออกไป จะเป็นข้อความหลอกทั้งหมด เช่น แจ้งเตือนผู้รับให้อัพเดทบริการรักษาความปลอดภัย หรือแชร์ภาพโป๊กัน (ดูตัวอย่างข้างล่าง)
Subject: Security update
Message: Significant security update. See www.symbian.com
Subject: Porno images
Message: Porno images collection with nice viewer!
ในรอบ 3 เดือนที่ผ่านมา เทรนด์แลบส์ พบว่า เวิร์มโทรศัพท์มือถือไม่เพียงมีเทคนิคที่ก้าวหน้ามากขึ้น แต่ยังลบทิ้งได้ยากขณะที่แพร่ระบาดได้ง่ายขึ้น มัลแวร์ที่โจมตีโทรศัพท์มือถือ เป็นสาเหตุให้ไฟล์และสมุดบันทึกที่อยู่ของผู้ใช้ถูกลบทิ้งได้ ขณะที่ผู้ใช้บางคนอาจจะใช้งานโทรศัพท์มือถือของตัวเองได้ยากขึ้น
โทรจันยังคงมุ่งมั่นคุกคามการสื่อสารทางอินเทอร์เน็ต
มัลแวร์ที่พบในไตรมาสแรกส่วนใหญ่ ยังคงเป็นโทรจัน เทรนด์ไมโคร ตรวจจับได้ทั้งสิ้น 2,997 ตัว หรือคิดเป็นสัดส่วนราว 39% ของมัลแวร์ทั้งหมด ขณะที่ตัวเลขโทรจันใหม่มีทั้งสิ้น 2,292 ตัว หรือราว 47% ของมัลแวร์ที่ตรวจพบใหม่
ปัจจัยที่มีผลทำให้จำนวนโทรจันเพิ่มมากขึ้นเป็นเรื่องสำคัญ อัตราการเติบโตในลักษณะนี้ เพิ่มความเสี่ยงให้กับการ การสื่อสารบนอินเทอร์เน็ต เพราะตัวเลขโทรจันที่พยายามขโมยรหัสผ่าน หรือ พิน โค้ด เพิ่มจำนวนขึ้นอย่างรวดเร็ว
ตัวอย่างเช่น TROJ_BANKER, TROJ_BANCOS และ TROJ_BANCBAN ใช้เทคนิคที่มีอยู่มากมาย (เช่น คีย์ ล็อกกิ้ง และฟิชชิ่ง ) เพื่อขโมยข้อมูลที่สำคัญ ซึ่งเป็นการพิสูจน์ให้เห็นว่า ผู้เขียนโปรแกรมมัลแวร์ใช้โทรจันในการแสวงหาผลประโยชน์ทางด้านการเงิน
รูปแบบการโจมตีอีกหนึ่งวิธีที่ไม่ควรมองข้าม คือ โปรแกรมแบ็คดอร์ ซึ่งคิดเป็นสัดส่วนราว 11% ของมัลแวร์ที่ตรวจจับได้ทั้งหมดนั้น โดยโปรแกรมแบ็คดอร์นี้ เป็นโทรจันที่ควบคุมได้จากระยะไกล ดังนั้น จึงสามารถสรุปได้ว่า กว่า 50% ของจำนวนมัลแวร์ทั้งหมด 3,831 ตัว อาจถูกใช้เพื่อแสวงหาผลประโยชน์อย่างผิดกฎหมายจากระบบแบงกิ้งออนไลน์
ค้นหารายละเอียดเพิ่มเติมได้ที่ www.trendmicro.com
สื่อมวลชน สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด โทร. 0-2-439-4600 ต่อ 8300, 8302
srisuput@corepeak.com--จบ--