กรุงเทพฯ--6 ก.ค.--คอร์ แอนด์ พีค
ตระกูลของหนอน WORM_RONTKBR.GEN (รวมถึง WORM_RONTOKBRO และ WORM_BRONTOK) ที่ถูกพบเมื่อปลายปี 2548 ยังคงแพร่ระบาดอย่างต่อเนื่องในปีนี้ และกำลังขยายตัวเป็นวงกว้างในเอเชีย ความเสียหายที่เกิดขึ้นและศักยภาพการแพร่กระจายของหนอนร้ายตัวนี้ทำให้บริษัท เทรนด์ ไมโครจัดอันดับให้อยู่ในความเสี่ยงระดับสูง หนอนในตระกูลนี้ส่วนใหญ่จะแพร่ผ่านทางอีเมล์ที่มีบรรทัดเรื่อง (subject) ของอีเมล์จะว่างเปล่าไม่มีข้อความใดๆ และใช้โฟลเดอร์ที่เป็นไอคอนของวินโดว์สชักชวนให้ผู้ใช้หลงเชื่อและเปิดใช้งานมัลแวร์ในที่สุด โดยเมื่อเหยื่อคลิกไอคอน โฟลเดอร์ My Documents (เอกสารของฉัน) จะเปิดขึ้นมาเพื่อซ่อนการดำเนินการของมัลแวร์ นายเจมซ์ ยาเนซ่า นักวิจัยอาวุโสด้านการป้องกันไวรัส บริษัท เทรนด์ ไมโคร กล่าวว่า "การจัดการกับมัลแวร์ตระกูล BRONTOK / RONTOKBR เป็นเรื่องสุดหิน เพราะหนอนร้ายเหล่านี้จะเริ่มเปิดการทำงานของระบบคอมพิวเตอร์ใหม่ทันทีเมื่อการเปลี่ยนแปลงใดๆ ในรีจีสทรีถูกลบ ซึ่งเป็นระบบป้องกันปกติของคำสั่งการลบด้วยตนเอง ของซอฟต์แวร์ป้องกันไวรัสและแม้แต่ไฟล์วอลล์ส่วนบุคคล นอกจากนี้ หนอนเหล่านี้ยังจะปรับเปลี่ยนไฟล์ HOSTS ซึ่งป้องกันผู้ใช้ไม่ให้ได้รับความช่วยเหลือจากเว็บไซต์ป้องกันไวรัสด้วยการเปลี่ยนทิศทางใหม่ไปยังหน้าเว็บอื่นแทน"
ตัวอย่างของสแปมที่ถูกส่งโดยตระกูล WORM_RONTKBR.GEN เป็นเรื่องราวเกี่ยวกับอินโดนีเซีย และเลือกใช้เทคนิควิศวกรรมทางสังคม (social engineering) เป็นตัวลวง ผู้ใช้ที่มีนิสัยอยากรู้อยากเห็นมีแนวโน้มที่จะคลิกไฟล์แนบท้าย ซึ่งนั่นเป็นสาเหตุให้เกิดการแพร่ระบาดของหนอนร้ายจำนวนมากในมาเลเซียและอินโดนีเซีย บริษัท เทรนด์ ไมโครขอเตือนภัยอีเมล์ใดๆ ก็ตามที่ไม่มีข้อความในบรรทัดเรื่อง (subject) และอย่าเปิดไฟล์ที่แนบมาด้วยหลากสายพันธุ์ในหลากประเทศ
ศูนย์ติดตามไวรัสโลกของบริษัทเทรนด์ ไมโคร เปิดเผยว่า ปัจจุบันมีสายพันธุ์ของ WORM_RONTOKBRO มากถึง 26 สายพันธุ์ มีคอมพิวเตอร์ติดเชื้อไปแล้วทั้งสิ้น 15,886 เครื่อง โดยประเทศไทย จีน ไต้หวัน และญี่ปุ่นติดอยู่ในกลุ่มสิบอันดับแรกที่มีการติดเชื้อในภูมิภาคสูงสุด ขณะที่ในมาเลเซียและอินโดนีเซียก็กำลังมีอัตราการเติบโตของเชื้ออย่างรวดเร็วเช่นกัน แต่ละประเทศจะพบสายพันธุ์แตกต่างกันออกไป ดังนี้
- 13 สายพันธุ์กำลังแพร่ระบาดในจีน โดย WORM_RONTOKBRO.D น่าวิตกที่สุด นอกจากบรรทัดเรื่อง (subject line) ที่ว่างเปล่าแล้ว สายพันธุ์นี้ยังไม่มีข้อความใดๆ ปรากฏในเนื้อความอีเมล์ด้วย ขณะที่ไฟล์แนบท้ายที่ชื่อว่า Kangen.exe ก็จำลองตัวเป็นไอคอนของโปรแกรมอินเทอร์เน็ต เอ็กซ์พลอเรอร์ (ไออี) หนอนตัวนี้ใช้ตัวกำหนดตารางเวลางาน (Microsoft Job Scheduler) เพื่อกำหนดการทำงานของตัวเองให้เป็นอัตโนมัติ
- มี 10 สายพันธุ์กำลังแพร่ระบาดในไต้หวันขณะนี้ โดย WORM_RONTOKBRO.B เป็นตัวการใหญ่ที่ทำให้คอมพิวเตอร์ติดเชื้อ หนอนสายพันธุ์นี้จะเอารายการตัวเลือกโฟลเดอร์ (Folder Options) ออกจากแถบเครื่องมือไออี และทำให้ระบบหยุดชะงักชั่วคราวในระหว่างเครื่องเริ่มต้นการทำงาน ผู้ใช้ต้องกดแป้นเพื่อดำเนินการต่อ ซึ่งเป็นเหตุให้ระบบไปดำเนินการมัลแวร์ในทุกครั้งที่เริ่มต้นการทำงานของคอมพิวเตอร์
- สายพันธุ์ที่พบบ่อยในมาเลเซียคือ WORM_RONTOKBR.AT ซึ่งป้องกันผู้ใช้ไม่ให้เข้าไปยังเว็บไซต์ 366 แห่ง ซึ่งส่วนใหญ่เป็นเว็บไซต์ที่เกี่ยวข้องกับผู้ให้บริการซอฟต์แวร์ป้องกันไวรัส สายพันธุ์นี้สามารถป้องกันการตรวจจับในระดับเบื้องต้นได้ดีมาก
- ประเทศไทยพบ 9 สายพันธุ์ และเป็นเหยื่อรายใหญ่ที่สุดของหนอนสายพันธุ์ WORM_RONTOKBR.AT นอกจากนี้ ประเทศไทยยังมีจำนวนการตรวจพบซีรีส์ต่างๆ ของ WORM_RONTKBR.GEN มากที่สุดอีกด้วย
วิธีหลบเลี่ยงการตรวจจับของหนอนร้าย
บริษัท เทรนด์ ไมโคร อธิบายว่าหนอนในตระกูล WORM_RONTKBR.GEN จะป้องกันการดำเนินการปกติของ Registry Editor และ ตัวจัดการงาน (Task Manager) โดยจะเริ่มการทำงานของระบบใหม่ทันที เมื่อใดก็ตามที่มีสตริงบางตัวถูกพบในแถบชื่อเรื่องของไออี และเพื่อให้ตัวกรองเนื้อหาของระบบตรวจจับไม่ได้ สายพันธุ์เหล่านี้จะใช้ประโยชน์จากกลไก Simple Mail Transfer Protocol (SMTP) ของตัวเองเพื่อแพร่พันธุ์ตัวมันเอง ดังนั้นจึงไม่จำเป็นต้องพึ่งพาแอพพลิเคชั่นอีเมล์อื่น เช่น Outlook Express นอกจากนี้ พวกมันยังสามารถรวบรวมที่อยู่อีเมล์ได้ด้วยการค้นหาระบบคอมพิวเตอร์ที่ติดเชื้อเพื่อหาไฟล์ที่มีนามสกุลว่า ASP, CSV, DOC, EML, HTM, PHP, TXT หรือ WAB อย่างไรก็ตาม หนอนเจ้าเล่ห์เหล่านี้จะหลีกเลี่ยงที่อยู่อีเมล์ที่เกี่ยวข้องกับผู้ให้บริการด้านความปลอดภัย บริษัทที่มีชื่อเสียง หรือผู้ดูแลระบบ เพื่อหลีกเลี่ยงการส่งตัวมันไปยังกล่องจดหมาย (mailbox) ที่มีความปลอดภัยอยู่ในระดับสูง
บริษัท เทรนด์ ไมโคร ได้จัดเตรียมกลยุทธ์ป้องกันการติดหนอนอีเมล์ของผู้ใช้องค์กรดังต่อไปนี้
1. ติดตั้งซอฟต์แวร์กรองเนื้อหาที่ระดับเกตเวย์ ได้แก่ WEB/SMTP/POP3 เพื่อป้องกันการแพร่ระบาดของหนอนผ่านทางอีเมล์
2. ผู้ใช้ Trend Micro IMSS5.x หรือ ISVW6.0 ควรตั้งค่า Intellitrap เป็น ‘Enable Intellitrap’
3. ผู้ใช้ระดับล่างต้องหมั่นปรับปรุงไฟล์รายชื่อไวรัส (virus pattern files) ของตัวเองให้ทันสมัยอยู่เสมอ
4. ใช้ประโยชน์ DCS หรือ Housecall ระบบตรวจจับไวรัสออนไลน์ และเอาไวรัสออกโดยอัตโนมัติ ณ เวลาจริง
บริษัท เทรนด์ ไมโคร: www.trendmicro.com
สอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณศรีสุพัฒ เสียงเย็น ที่ปรึกษาประชาสัมพันธ์
บริษัท คอร์ แอนด์ พีค จำกัด โทร. 02-439-4600 ต่อ 8300
srisuput@corepeak.com