 |
| ThaiCERT:
Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย |
|
|
||||||||
|
|
|||||||
Badtrans Report
Sanya Klongnaivai
First published: Dec 03 2001
ภาพรวม
ตัวหนอน Badtrans.B จะอาศัยฟังก์ชั่นการทำงานของ MAPI (Messaging Application Program
Interface) ในการกระจายตัวเองผ่านทางอี-เมล์ โดยมีชื่อไฟล์ที่สุ่มขึ้นมาแตกต่างกันออกไปเมื่อหนอนทำงานมันจะทำงานในลักษณะต่างๆ
กันขึ้นกับการตั้งค่ารหัสควบคุมการทำงานของหนอน นอกจากนี้หนอนยังทำการปล่อยม้าโทรจันเพื่อดักจับเอาการกดคีย์บอร์ดที่สำคัญ
สำหรับการเข้าโจมตีระบบในลักษณะต่างๆต่อไป และมีความเป็นไปได้ที่หนอนสามารถทำงานได้เองเมื่อโปรแกรมอ่านเมลล์ที่เป็น
Microsoft Outlook และ Outlook Express ถูกเรียกขึ้นมาทำงาน หรือเมลล์ที่ใช้การทำงานของ
MAPI
ผลกระทบ
24 พฤศจิกายน 2544 ได้มีรายงานเกี่ยวกับไวรัส Badtrans.B ซึ่งมีระดับการแพร่กระจายในระดับที่
ปานกลางถึงสูง มีการกระจายรวดเร็วในวงกว้าง ซึ่งช่วงนี้เองจากการเฝ้าติดตามความเคลื่อนไหว
เราได้รับจดหมายที่มีไวรัสแนบมาด้วยส่งถึงเราเป็นจำนวนมาก จำนวนนับร้อยฉบับ จากกรณีดังกล่าว
เราได้วิเคราะห์พบว่า จดหมายไวรัสมักจะมาจากผู้ใช้ทั่วไปเป็นส่วนใหญ่ ในขณะที่จดหมายไวรัส
จากหน่วยงานหรือองค์กรพบการเข้าโจมตี หรือติดไวรัสน้อยมาก ทำไมถึงเป็นเช่นนั้น
? ทั้งๆที่ไวรัส Badtrans.B เองก็ได้อาศัยช่องโหว่ในการทำงานเดียวกันกับ Nimda
ในการบุกรุกระบบ เหตุการณ์ดังกล่าว สามารถอธิบายได้ว่า ช่วงที่ไวรัส Nimda ได้แพร่กระจายในกลุ่มองค์กร
เป้าหมายส่วนใหญ่เป็นพวกเครื่อง server เป็นหลัก และองค์กรเหล่านั้นได้ป้องกัน
ทำการตรวจสอบ การอัพเดต patch ต่างๆ ด้านความปลอดภัยของระบบที่ใช้งานระบบปฏิบัติการแบบวินโดว์
ของไมโครซอฟท์ ในส่วนนี้ไปแล้วนั้น ทำให้เกิดผลกระทบจาก Badtrans.B ในระดับต่ำ
ผลกระทบส่วนใหญ่กลับตกอยู่ที่ผู้ใช้ทั่วไปในขณะนี้ และมีแนวโน้มการกระจายมากขึ้นในวงกว้าง
แสดงให้เห็นว่าผู้ใช้ทั่วไปจำนวนไม่น้อย ที่ไม่ได้ติดตามข่าวสารการอัพเดตความปลอด
ภัยต่างๆ ของระบบปฏิบัติการ หรือการปรับตั้งค่า security ในโปรแกรมเมลล์ โดน Badtrans.B
โจมตี ซึ่งการโจมตีของ Badtrans.B ในครั้งนี้แทบไม่เกิดผลกระทบต่อ server หรือคอมพิวเตอร์
ที่ได้รับการ patch ด้านความปลอดภัยแล้ว
ถึงแม้ความเสียหายที่เกิดจาก Badtrans.B ไม่ได้ทำให้ระบบ โปรแกรม หรือไฟล์ข้อมูลต่างๆ เสียหายแต่อย่างใด แต่ Badtrans.B เป็นลักษณะของหนอน และไวรัสอยู่ในตัวเอง (จัดได้ว่าเป็น Hybrid Virus) การทำงานของหนอนจะคอยดักจับการกดคีย์ หรือรหัสที่สำคัญ รหัสผ่านต่างๆ และส่งกลับไปยังผู้ไม่ประสงค์ดีต่อระบบ ซึ่งอาจเป็นช่องให้บุคคลที่ไม่ได้รับอนุญาติ เข้าควบคุม หรือโจมตีระบบได้ นอกจากนี้การที่มีไวรัสส่งออกไปพร้อมกับเมลล์ อาจยังผลต่อความน่าเชื่อถือในการดำเนินธุรกรรมต่างๆ ขององค์กร หน่วยงาน หรือบุคคลเหล่านั้นได้
ศึกษาข้อมูลเพิ่มเติม และวิธีการกำจัด Badtrans.B ได้ที่
http://thaicert.nectec.or.th/advisory/alert/badtransb.php
| Home
|| เอกสารเผยแพร่ || Report
ThaiCERT Disclaimer | Copyright © 2001 ThaiCERT(NECTEC). All rights reserved. |