กรุงเทพฯ--26 ม.ค.--คอร์แอนด์พีค
TROJ_SMALL.EDW / WORM_NUWAR.CQ
ภัยคุกคามบนเว็บที่บริษัท เทรนด์ ไมโคร ตรวจจับได้เป็นม้าโทรจันที่ชื่อว่า TROJ_SMALL.EDW ซึ่งถูกสร้างขึ้นมาด้วยไฟล์ร้ายหลากหลายชนิดและสามารถแพร่กระจายได้หลายวิธี ได้แก่
- เป็นไฟล์ที่ถูกทิ้งไว้โดยมัลแวร์ตัวอื่น โดยเฉพาะ WORM_NUWAR.CQ หนอนจดหมายเวียนที่แพร่ระบาดโดยใช้ชื่อหัวเรื่อง (subject) ในอีเมลเกี่ยวกับความรัก เช่น “The Miracle of Love”, “My Perfect Love” และ“A Bouquet of Love” และสามารถใช้ชื่ออื่นๆ ได้อีกหลากหลายชื่อ
- เป็นไฟล์ที่แนบมากับสแปมเมลที่ใช้หัวเรื่องเกี่ยวกับเหตุการณ์เฉพาะ เช่น “230 Dead as Storm Batters Europe” เพื่อชักจูงให้ผู้รับเปิดอีเมล โดยหัวเรื่องที่เป็นไปได้อื่นๆ เช่น “A Killer at 11, He’s Free at 21 to Kill Again”; “British Muslims Genocide” และ “U.S. Secretary of State Condoleeza Rice has Kicked German Chancellor Angela Merkel”
มัลแวร์ตัวนี้จะใช้เว็บค้นหาตัวดาวน์โหลดโทรจันเพื่อดาวน์โหลดชิ้นส่วนเพิ่มเติม เมื่อพีซีติดมัลแวร์แล้ว ก็จะกลายเป็นส่วนหนึ่งของเครือข่ายที่มัลแวร์จะใช้ร่วมกัน เพื่อดาวน์โหลดโมดูลเพิ่มเติมของการโจมตีไปใช้งานนั่นเอง ระบบนี้กลายเป็นบ็อต แม้ว่าจะไม่ได้ใช้เทคนิคทั่วไปของบ็อตก็ตาม ที่สำคัญภัยคุกคามนี้ไม่เพียงแต่แพร่ระบาดทางเว็บเท่านั้น แต่ยังสามารถถูกควบคุมผ่านทางเว็บได้ด้วย
นอกจากนี้ ชิ้นส่วนของโทรจันที่ชื่อว่า WINCOM32.SYS ยังมีความสามารถของรูทคิตติดมาด้วยเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งนั่นทำให้โทรจันสามารถซ่อนไฟล์ของตัวเองและดำเนินการต่างๆ ได้ตามต้องการ
นายอีวาน แมคาลินทอล นักวิเคราะห์อาวุโสของบริษัท เทรนด์ ไมโคร กล่าวว่า แม้โทรจันตัวนี้จะใช้เทคนิคทั่วไปของการแพร่ระบาด แต่ก็มีเอกลักษณ์เฉพาะตัว “เราพบว่าโทรจันตัวนี้ได้สร้างบ็อตเน็ต P2P (peer-to-peer) ขนาดใหญ่ โดยทั่วไปแล้วบ็อตเน็ตจะใช้ IRC (Internet Relay Chat) สำหรับฟังก์ชันการออกคำสั่งและควบคุม แต่เมื่อ IRC สามารถตรวจจับได้ง่าย ผู้เขียนมัลแวร์จึงใช้เทคนิคใหม่นี้”
วิธีการส่งผ่านมัลแวร์ด้วยอีเมลได้ปรับใช้เทคนิควิศวกรรมด้านสังคมทั่วไปในรูปแบบของพาดหัวที่เกี่ยวข้องกับเหตุการณ์ปัจจุบันและหัวเรื่องเกี่ยวกับ “ความรัก” โดยเฉพาะในเทศกาลวาเลนไทน์ โดยสิ่งนี้จะชักจูงให้ผู้ใช้เปิดสิ่งที่แนบมาด้วย ซึ่งดูเหมือนว่าเป็นวิดีโอของเรื่องราวข่าวสารที่จั่วหัวอีเมลไว้ ไฟล์ร้ายดังกล่าวมักใช้ชื่อ เช่น full Clip.exe, full Story.exe, full Video.exe และ read More.exe.
ข้อแนะนำด้านความปลอดภัย
บริษัท เทรนด์ ไมโครแนะนำแนวทางด้านความปลอดภัยต่อไปนี้เพื่อป้องกันทั้งองค์กรธุรกิจและผู้บริโภคทั่วไป
- ตรวจสอบให้แน่ใจว่าคุณป้องกันพีซีและ/หรือเครือข่ายของคุณด้วยระบบกรองยูอาร์แอล (URL) ตัวสแกนรูทคิต และตัวสแกนอีเมล
- ถ้าคุณเป็นผู้ดูแลระบบไอทีต้องช่วยป้องกันผู้ใช้และเครือข่ายของคุณด้วยการปิดกั้นยูอาร์แอลทั้งหมดที่มีรายชื่อแสดงอยู่ในหน้ารายละเอียดด้านเทคนิค (Technical) ในคำอธิบายเรื่อง TROJ_SMALL.EDW ของบริษัท เทรนด์ ไมโคร
- ถ้าคุณไม่มีระบบกรองยูอาร์แอลที่ดีพอให้ปิดกั้นยูอาร์แอลที่แสดงรายการไว้ที่นี่: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSMALL%2EEDW&VSect=T และให้เข้าไปเยี่ยมชมเว็บไซต์ที่คุณคุ้นเคยเท่านั้น อย่าดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จัก
- อย่าเปิดอีเมลหรือสิ่งที่แนบมาใดๆ จากอีเมลที่คุณไม่รู้จัก อย่าเปิดไฟล์ปฏิบัติการ (.exe) ที่แนบมากับอีเมล
- ถ้าคุณต้องการแน่ใจว่าคุณจะไม่ติดเชื้อโทรจันตัวดังกล่าว ให้เรียกใช้โปรแกรมสแกนไวรัสด้วยตนเอง โดยใช้ผลิตภัณฑ์ที่อัพเดทแล้วของบริษัท เทรนด์ ไมโคร หรือตัวสแกนไวรัสออนไลน์ที่ไม่เสียค่าใช้จ่ายของบริษัท เทรนด์ ไมโคร นั่นคือ HouseCall สามารถใช้งานได้ที่ http://housecall.trendmicro.com/
สำหรับข้อมูลเพิ่มเติม
Anti-Malware Blog ของบริษัทเทรนด์ ไมโคร มีบทความและข้อมูลที่เกี่ยวกับเรื่องนี้ เยี่ยมชมได้ที่ http://blog.trendmicro.com/
สำหรับข้อมูลเพิ่มเติมหรือข้อมูลที่ปรับปรุงแล้วเกี่ยวกับภัยคุกคามนี้ ให้ดูที่ Virus Encyclopedia ของ บริษัท เทรนด์ ไมโคร ได้ที่ http://www.trendmicro.com/vinfo/virusencyclo/default5.asp ? VName=TROJ%5FSMALL%2EEDW&VSect=P.
สำหรับข้อมูลเฉพาะในการป้องกันและกำจัดมัลแวร์ร้ายให้ดูที่http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSMALL%2EEDW&VSect=Sn.
สื่อมวลชนสอบถามรายละเอียดเพิ่มเติม กรุณาติดต่อ:
คุณบุษกร สนธิกร และคุณศรีสุพัฒ เสียงเย็น
ที่ปรึกษาประชาสัมพันธ์ บริษัท คอร์ แอนด์ พีค จำกัด
โทร. 02-439-4600 ต่อ 8202, 8300
อีเมล์ busakorns@corepeak.com