Hot Blood
วิธีกำจัด เวิร์ม MSN-pic.zip (Win32/Delf.ADS trojan)
posted on 21 Jan 2008 16:37 by misikaormk in Other-Techniqueเริ่มระบาดกันใหม่อีกรอบ เมื่ออาทิตย์ที่แล้ว สำหรับไวรัส MSN
โดนกันระนาว โดยเฉพาะคนที่ set ให้ Auto accept. ในการรับ file
เพราะงั้นใครตั้ง Auto ไว้ รบกวนเปลี่ยนด่วนเน้ เพื่อตัวท่านเอง (ส่วนตัวเรารอด 555 เพราะอ่านเจอมานานแระเกี่ยวกะการระบาด และวิธีป้องกัน ที่แสนจะง่าย คือ ไม่กดรับไฟล์)แต่ถ้าใครโดยไปแล้วก้อเชิญอ่านข้างล่างได้ตามซำบายเลยค่ะ
virus msn remover.zip คลิ๊ก
(up by tom_saranya@rainthailand.net)
^
โหลดได้ภายใน 7 วัน นับจากวันนี้ 15 มกราคม 2551
เวิร์ม MSN-pic.zip (Win32/Delf.ADS trojan)
เวิร์มตัวนี้แพร่กระจายตัวเองผ่านทาง MSN ทันทีที่มันติดเชื้อเครื่องของเหยื่อแล้ว
ไวรัสจะสร้างไฟล์ pic.zip ซึ่งในไฟล์สกุล zip จะมีไฟล์ ชื่อ IMG34814.pif ซึ่งคือเวิร์ม(ไม่ได้บบีบอัดไฟล์)ลงในโฟลเดอร์ของระบบและจะส่งไฟล์ไวรัสนี้
ไปยังรายชื่อผู้ติดต่อที่อยู่ใน MSN โดยอาศัยเทคนิคลากแล้ววาง
เหมือนผู้ใช้ส่งไฟล์ทั่วไป ชื่อที่ใช้ส่ง คือ pic.zip มีข้อความดังนี้ (วิเคราะห์โดย trackerx90)
"Hey :-), I just took this picture, sexy isnt it :-P?"
"What do you think of my photo editing skills?"
"Which one do you like in this pic, the black one or the blue one?"
"This is what happens when you eat to many chips :-P"
"Look what i made out of cans!! haah :-P!"
":-p this was halarious at that party a while back"
"Hey I have a new pic, what do ya think?"
"Check this out this pic is so freaking cool"
"Hahahaha, do you remember this picture?"
":-O Check this out! Nearly laughed my ass off!!"
"hey wats up.. have you seen this pic of harry potter?"
ตามด้วยไฟล์ของเวิร์มหากผู้ใช้เลือกดาวน์โหลดไฟล์ดังกล่าวมา
และรันก็จะทำให้ติดเวิร์มตัวนี้และจะกลายเป็นฐานในการแพร่กระจายไปยังผู้อื่นๆต่อไป
ไฟล์เวิร์มมีขนาด 138KB เวิร์มจะยกเลิกการใช้งาน regedit
และปิดระบบรักษาความปลอดภัย (Security Center)จากนั้นจะติดต่อไปยัง down.basecore.info
ไอพีแอดเดรส 72.249.12.79 ซึ่งการตรวจสอบเส้นทางบนเครือข่าย ปรากฎตำแหน่งของไอพีแอดเดรสนี้อยู่ใกล้ที่สุดกับรัฐ Dallas ของสหรัฐ
เวิร์มติดต่อกลับไปที่พอร์ต 1863/tcp ซึ่งจะเห็นว่ามันคือพอร์ตของ MSN แต่แฮกเกอร์ที่เขียนเวิร์มจงใจจะอำพรางการทำงาน
ในความเป็นจริงพอร์ตนี้ถูกนำมาใช้สำหรับบริการ IRC ซึ่ง IRC เซิร์ฟเวอร์ที่ทำงานอยู่บนเครื่องที่เวิร์มตัวนี้ติดต่อกลับไปคือ
Unreal 3.2-beta19 ทำงานอยู่บนระบบปฏิบัติการ Windows 2003 เวิร์มจะสุ่ม nick name ขึ้นมา และใช้รหัสผ่าน letmein ในการล็อกอินเข้าใช้งาน
เมื่อเวิร์มส่งไฟล์ แล้ว จะรายงานกลับไปยังเซิร์ฟเวอร์ดังกล่าว ว่าได้ส่งไฟล์ไปให้เหยื่อใหม่ไปแล้วกี่รายจากนั้นจะรอคำสั่งจากแฮกเกอร์
เซิร์ฟเวอร์ดังกล่าวยังเปิดพอร์ต 1864/tcpไว้เป็นบริการ IRC
เพิ่มเติม พอร์ต 4643/tcp,139/tcp NetBios และ 21/tcp FTP Server เวิร์มลักษณะนี้มีโอกาสที่จะได้รับการพัฒนาการทำงานใหม่ๆได้ตลอดเวลา จากแฮกเกอร์ อย่างไรก็ตามคาดว่าอาจจะมีการขโมยข้อมูลสำคัญๆ ของผู้ใช้ตามมาได้ ในอนาคตเมื่อเวิร์มตัวนี้ติดเชื้อเครื่องคอมพิวเตอร์ได้มาก เช่น รหัสผ่าน หมายเลขบัตรเครดิตรวมไปถึงข้อม ลส่วนบุคคล เนื่องจากตรวจพบการพยายามของเวิร์มที่จะดาวน์โหลดไฟล์จากอินเตอร์เน็ต
และรันไฟล์ดังกล่าวบนเครื่องเหยื่อ
ซึ่งคำสั่งดังกล่าวนี้แฮกเกอร์สามารถควบคุมผ่านทาง IRC เซิร์ฟเวอร์ได้
credit - www.trackerx90.th.gs
Source : www.trackerx90.th.gs / www.rainthailand.net
Posted by : tom_saranya@rainthailand.net
edit @ 21 Jan 2008 19:55:37 by misika
edit @ 6 Aug 2008 19:42:54 by misika