Zotob หนอนร้ายผู้พิฆาตแอนตี้ แอดแวร์

Zotob หนอนร้ายผู้พิฆาตแอนตี้ แอดแวร์

Tharath

หลังจากที่วงการคอมพิวเตอร์เกิดความปั่นป่วน และโกลาหลจากการโจมตีของไวรัสเวิร์ม (หนอนอินเทอร์เน็ต) Sasser (แซสเซอร์) เมื่อวันที่ 30 เมษายน 2547 โดยอาศัยประโยชน์ จาก ข้อบกพร่อง หรือ รูโหว่ของซอฟต์แวร์ ที่ยังไม่ได้รับการแก้ไข หรือ ไม่เป็นที่รู้จัก เช่นข้อบกพร่องในระบบปฏิบัติการ วินโดวส์ LSASS (MS04-011) ที่ส่งผลให้คนทั้งโลก ตื่นกลัวว่าจะเกิด เหตุการณ์ซีโร่-เดย์ มากขึ้น จนไมโครซอฟท์ต้องเปิดให้ ดาวน์โหลดแพทช์แก้ไข ข้อบกพร่องทั้ง 17 รายการ

อย่างไรก็ตาม วันที่ 8 พฤษภาคม 2547 จากการตรวจสอบติดตามผู้เขียนหนอนร้าย อย่างเอาจริงเอาจัง ก็สามารถจับกุมผู้เขียนไวรัสแซสเซอร์ได้ จึงช่วยให้การแพร่ระบาดของไวรัสคอมพิวเตอร์ในไตรมาสที่ 1 และ 2 ของปีก่อนลดลง

รายงานจากแพนด้า แลป ของ บริษัท แพนด้า ซอฟต์แวร์ ผู้ผลิตโปรแกรมแอนตี้ไวรัส ให้ข้อมูลเกี่ยวกับไวรัสเวิร์ม ตัวใหม่ Zotob.A (โซทอบ เอ) ว่า เป็นหนอนที่เจาะผ่าน ช่องโหว่ใน Plug and Play (PnP) เพื่อรันคำสั่ง และยกระดับสิทธิ์ของตนจากระยะไกล เวิร์มนี้เป็นมัลแวร์แรกที่เจาะผ่านช่องโหว่ดังกล่าว หลังจากไมโครซอฟท์ประกาศเตือนไว้ใน จดหมายข่าวที่ MS05-039 เพียง 5 วัน โดย บริษัท ไมโครซอฟท์ ได้เตือนให้ผู้ใช้ติดตั้งชุดอัพเดท เพื่อแก้ไขปัญหานี้ด้วย

แพนด้า แลป ให้ข้อมูลเสริมว่า ลักษณะของ โซทอบ เอ จะสแกนไอพีแอดเดรสผ่านทางพอร์ท 445 เพื่อค้นหาระบบที่มีช่องโหว่ เมื่อพบ ก็จะส่งคำสั่งถ่ายโอนตัวเองไปยังคอมพิวเตอร์ดังกล่าว หรือ หากคอมพิวเตอร์นั้นติดตั้งโปรแกรม IRC client ที่สามารถเชื่อมต่อไปยัง IRC server ได้ เวิร์มนี้จะสามารถรันคำสั่ง เพื่อควบคุมระบบจากระยะไกลได้อีกด้วย

นอกจากนี้ แพนด้า แลป ยังพบการบุกรุกของ 2 โซทอบตัวใหม่ ได้แก่ Zotob.D และ IRCBot.KB ที่โจมตีระบบผ่านทางช่องโหว่ใน เซอร์วิส Plug and Play (PnP) โดยก่อนหน้านี้ไม่นานนัก ไมโครซอฟท์ได้ประกาศเตือนถึงข้อบกพร่องดังกล่าวไว้ใน จดหมายข่าวด้านความปลอดภัยฉบับที่ MS05-039 ว่าอาจเป็นช่องทางให้ผู้บุกรุก สามารถเข้าควบคุมระบบได้จากระยะไกล ในรายงานข่าวระบุด้วยว่า ทั้ง CNN, ABC และ The New York Times ล้วนได้รับผลกระทบ หรือ ตกเป็นเหยื่อจากการแพร่ระบาดครั้งนี้

แพนด้า แลป ให้ข้อมูลเพิ่มเติมว่า ในการเจาะผ่านช่องโหว่ดังกล่าว ไวรัสทั้งคู่จะสุ่มหา ไอพีแอดเดรสขึ้น เพื่อค้นหาระบบที่มีช่องโหว่โดยการลองเชื่อมต่อผ่านพอร์ท 445 เช่นเดียวกับ โซทอบ เอ หากสำเร็จ จะส่งคำสั่งดาวน์โหลดเวิร์มผ่านทาง TFTP (เวอร์ชันหนึ่งของ โปรโตคอล FTP แบบเดิมที่ได้รับการพัฒนาให้ง่ายขึ้น) เมื่อติดตั้งตัวเองเข้าสู่ระบบได้สำเร็จ ทั้งคู่จะแก้ไขค่ารีจิสทรีของระบบเพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่เปิดเครื่อง

โซทอบ ดี ยังสร้างแบ็คดอร์ขึ้นผ่านทาง IRC เหมือนโซทอป เอ เพื่อให้ผู้บุกรุกสามารถ ควบคุมได้จากระยะไกล โดยเวิร์มทั้งคู่สามารถแพร่กระจายไปยังระบบที่ใช้ วินโดวส์ 2000, XP และ วินโดวส์ เซิร์ฟเวอร์ 2003 เท่านั้น นอกจากนี้ Zotob.D ยังค้นหาโปรแกรม แอดแวร์ที่มีชื่อเสียงที่สุด เพื่อลบไฟล์และโครงสร้างไฟล์ของโปรแกรมดังกล่าวทิ้ง ผลที่สังเกตได้เมื่อติดไวรัสเวิร์มนี้ คือ ระบบจะชัตดาวน์ และ รีบู๊ตซ้ำๆ จึงเป็นภัยอย่างยิ่งต่อสภาวะแวดล้อมระดับองค์กร
ด้าน บริษัท เทรนด์ ไมโคร อิงค์ ผู้เชี่ยวชาญด้านความปลอดภัยบนอินเทอร์เน็ต และเครือข่ายได้ เตือนภัยผู้ใช้อินเทอร์เน็ตให้ระวังหนอนไวรัส Zotob.A หนอนไวรัสที่พุ่งเป้าโจมตีระบบปฏิบัติการวินโดว์ส 95, 98, เอ็มอี, เอ็นอี, 2000 และเอ็กซ์พี นอกจากนี้ ยังจะเปิดประตูหลังของระบบให้แฮคเกอร์เข้าควบคุมคอมพิวเตอร์จากระยะไกลได้ ทั้งนี้ สิ่งที่ทำให้หนอนไวรัส ?โซทอบ? มีความโดดเด่น คือ แพร่ระบาดด้วยระยะเวลาเพียง 4-5 วัน นับว่า เร็วที่สุดในประวัติศาสตร์ของมัลแวร์ หรือ ภัยร้าย นอกจากนี้ ยังสามารถส่งต่อหนอนร้ายไปติดคอมพิวเตอร์เครื่องอื่นๆ ที่อยู่ในเครือข่ายได้ ส่งผลให้เครือข่ายทำงานช้าลง ขณะที่ข้อมูลองค์กรและส่วนตัวอาจตกอยู่ใน สภาวะอันตรายที่อาจถูกผู้ไม่ประสงค์ดีนำไปใช้ประโยชน์
ข้อมูลจาก บริษัท เทรนด์ ไมโคร รายงานถึงสถานการณ์การแพร่ระบาดของหนอนไวรัส ?โซทอป? ที่อ้างรายงานจากสหรัฐฯ และเยอรมนี ว่า มีคอมพิวเตอร์นับร้อยเครื่องติดหนอนไวรัส ?โซทอบ? เพราะผู้ใช้งานคอมพิวเตอร์ส่วนใหญ่ไม่สนใจกับช่องโหว่ ด้านความปลอดภัยใหม่ที่ไมโครซอฟท์ประกาศ ดังนั้น จึงไม่ติดตั้งโปรแกรมซ่อมแซม (patch) ในช่วงสุดสัปดาห์ที่ผ่านมา อย่างไรก็ตาม คาดว่า หนอนไวรัสดังกล่าว จะแพร่ระบาดไปยังภูมิภาคเอเชียแปซิฟิคและอื่นๆ เพิ่มมากขึ้นด้วย
ส่วน ทางบริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด ก็ได้ออกแถลงการณ์เกี่ยวกับหนอน โซทอบ ว่า ไมโครซอฟท์ขอให้ลูกค้าระมัดระวังหนอนคอมพิวเตอร์ โซทอบ ที่กำลังโจมตีระบบปฏิบัติการ (โอเอส) วินโดวส์ 2000 ในขณะนี้ ส่วน วินโดวส์ XP และระบบปฏิบัติการวินโดวส์เวอร์ชันอื่นๆ จะไม่ได้รับผลกระทบจากหนอนโซทอบ แต่อย่างใด ทั้งนี้ ผู้ใช้คอมพิวเตอร์สามารถตรวจสอบข้อมูลได้จากเว็บไซต์ www.microsoft.com/secureity/incident/zotob.mspx ที่จะให้คำแนะนำ และซอฟต์แวร์ให้ดาวน์โหลดในการกำจัดหนอนโซทอบ ออกจากเครื่องคอมพิวเตอร์แบบอัตโนมัติ หลังจากผู้ใช้อัพเดทซอฟต์แวร์เรียบร้อยแล้ว
แถลงการณ์จากไมโครซอฟท์ ยังระบุเพิ่มเติมว่า ไมโครซอฟท์กำลังทำงานอย่างใกล้ชิดกับ ฝ่ายกฎหมาย เพื่อหาแหล่งที่มาและผู้รับผิดชอบของการกระทำที่ประสงค์ร้ายครั้งนี้ ขณะเดียวกัน ไมโครซอฟท์ ก็กำลังทำงานอย่างใกล้ชิดร่วมกับผู้ต่อต้านหนอนคอมพิวเตอร์ และพันธมิตรในอุตสาหกรรมเพื่อจะปกป้องลูกค้า โดยลูกค้าที่ใช้ไฟร์วอลล์จะได้รับการปกป้อง จาก การโจมตีของหนอน ?โซทอบ?

ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย หรือ ไทยเสิร์ท ได้แนะนำวิธีการป้องกันหนอนอินเทอร์เน็ต โซทอบ แก่ผู้ใช้งานคอมพิวเตอร์ว่า ควรลบอี-เมล์ที่น่าสงสัยว่ามีไวรัสแนบมา รวมทั้งอี-เมล์ขยะและอี-เมล์ลูกโซ่ทิ้งทันที ห้ามรันไฟล์ที่แนบมากับอี-เมล์ ที่มาจากบุคคลที่ไม่รู้จักหรือไม่มั่นใจว่าผู้ส่งเป็นใคร หรือ ไม่ทราบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์อะไร ตลอดจนไฟล์ที่ถูกส่งด้วยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือ Pirch เป็นต้น รวมทั้ง ติดตั้งโปรแกรมป้องกันไวรัส และต้องหมั่นปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
นอกจากนี้ ยังควรสร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบัติการ ให้เป็นเวอร์ชันใหม่ที่สุด IE 6.0 Service Pack 1 Windows 2000 Service Pack 4 Windows XP Service Pack 2 พร้อมทั้ง ตั้งค่า security zone ของ Internet Explorer ให้เป็น high ดังคำแนะนำที่http://www.thaicert.nectec.or.th/paper/virus/zone.php  สำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุ ขัดข้องขึ้น และติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ จาก ThaiCERT

เป็นที่คาดหมายว่า การระบาดของหนอนไวรัส โซทอบ อาจสร้างความเสียหาย หรือมีการระบาดที่กว้างขวาง เนื่องจากมีการประกาศเตือนจากทางไมโครซอฟท์เองด้วย ดังนั้น ผู้ใช้คอมพิวเตอร์จึงไม่ควรไว้ใจโปรแกรมแอนตี้ไวรัสที่ติดตั้งมากับเครื่องคอมพิวเตอร์ ที่ไม่มีการอัพเดทฐานข้อมูลไวรัสใหม่ๆ รวมถึง การอัพเดทแพทช์ของวินโดวส์ทุกครั้ง ที่มีการประกาศ เพราะเชื่อได้เลยว่า โซทอบจะต้องออกมาอีกในหลายสายพันธุ์…

จุลดิส รัตนคำแปง

 

ที่มา :  http://artsmen.net/content/show.php?Category=cyberboard&No=2708

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s