 |
| ThaiCERT:
Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย |
|
|
||||||||
|
|
|||||||
เจาะลึก Malicious Mobile Code ( MMC ) ตอนที่ 2
เรียบเรียงโดย : อ.ปริญญา หอมเอนก
เผยแพร่เมื่อ : 31 พฤษภาคม 2545
จากฉบับที่แล้ว ท่านผู้อ่านคงได้ศึกษาข้อมูลเบื้องต้นของ MMC ( Malicious Mobile
Code ) , ความแตกต่างระหว่าง VIRUS , WORM และ TROJAN HORSE ซึ่งเป็นแนวโน้มในอนาคตของ
VIRUS รุ่นใหม่ๆที่เราจะต้องเผชิญในอนาคตอันใกล้ ล่าสุดไวรัส
W32.Badtrans.B@MM Worm ระบาดอย่างหนักผ่านทางอีเมล์โดย SUBJECT ของอีเมล์จะไม่แน่นอน
ส่วนใหญ่จะขึ้นต้นด้วย "Re:" คล้ายๆอีเมล์ที่มีการตอบกลับมาจากผู้ที่เราติดต่ออยู่เป็นประจำ
แค่เรานำเม้าส์ไปวางบน SUBJECT ของอีเมล์ ( ผมใช้ OUTLOOK อยู่ ) ไวรัสก็จะทำงานทันที
เราจะมีความรู้สึกเหมือนหน้าจอคอมพิวเตอร์ของเราจะหยุดไปสักพักหนึ่ง ขณะที่ไวรัสกำลัง
COPY ตัวเองลงในฮาร์ดดิสก์ของเรา โดยเรายังไม่ทันจะดับเบิ้ลคลิ๊กเม้าส์เลยด้วยซ้ำไป
(ไวรัสอาศัยช่องโหว่ของ OUTLOOK แบบ Incorrect MIME Header
Can Cause IE to Execute E-mail Attachment ) ข้อมูลเพิ่มเติมและจุดที่เราจะดาวน์โหลด
PATCH มาแก้ปัญหาใน IE 5.01 หรือ IE 5.5 ของเรา ไปดูได้ที่ <http://www.microsoft.com/technet/security/bulletin/MS01-020.asp>
จากนั้นเจ้า MMC ตัวแสบก็จะทำการ COPY ตัวเองลงในฮาร์ดดิกส์ของเราในชื่อไฟล์ว่า
kernel32.exe, KERN32.EXE, HKSDLL.DLL, KDLL.DLL
เก็บอยู่ใน SUB DIRECTORY \WINDOWS\SYSTEM หรือ \WINNT\SYSTEM32 จากนั้น MMC ก็จะเรียกตัวเองขึ้นมาทำงานโดยมันจะฝังคำสั่งเรียกตัวเองไว้ใน
REGISTRY KEY HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
ชื่อ Name: Kernel32 Data Kernel32.exe ก็เป็นอันเรียบร้อย เราจะเห็นว่า
MMC นั้น มาได้ง่ายดายมากตามอีเมล์ที่เรารับส่งอยู่เป็นประจำ แถมยังทำให้เราเข้าใจผิดว่า
มาจากคนที่เรารู้จักอีกด้วย เมื่อ MMC เข้ามาอยู่ในเครื่องเราแล้วความเสียหายที่เกิดขึ้นก็คือ
มันจะมีการทำงานในลักษณะ TROJAN HORSE นั่นคือจะมีการรันโปรแกรม KEY LOGGER ดักจับบันทึกข้อมูลการกด
Keyboard ซึ่งรวมไปถึงรหัสผ่าน ( password ), หมายเลขบัตรเครดิต และข้อมูลที่สำคัญอื่นๆ
และมีการเปิด BACKDOOR เพื่อให้ Hacker สามารถขโมยข้อมูลออกไปจากเครื่องเราได้
( การแก้ไขเพิ่มเติมดูได้ที่ www.topsecure.net
)
ไวรัส W32.Badtrans.B@MM Worm นั้นถือว่าเป็นลูกผสมทั้ง
WORM และ TROJAN HORSE ที่มาในลักษณะของ MMC ตามที่เราได้คาดการณ์ไว้ว่าไวรัสรุ่นใหม่ๆมักจะมาในรูปแบบนี้
ไวรัสตัวนี้มีผลกระทบกับผู้ใช้งาน Microsoft Windows โดยทั่วไป MMC นั้นไม่ได้มีผลกระทบเฉพาะ
PC เท่านั้นแต่มันสามารถจะกระจายไปถึง PDA และ Mobile Phone ได้ด้วยเทคโนโลยีไร้สายใหม่ๆไม่ว่าจะเป็น
GPRS, WAP, Bluetooth ก็ล้วนแต่ช่วยส่งเสริมให้ไวรัสแพร่กระจายได้รวดเร็วทันใจมากขึ้น
เครื่อง PDA ทุกวันนี้ที่ใช้กันโดยทั่วไปเช่น Palm Pilot, Psion, PDA ที่ใช้ Windows
CE เป็น Operating System MMC สามารถจะแพร่ผ่านทางการ SYNC ของเครื่อง PDA กับเครื่อง
PC เช่น HOTSYNC ( palm ) , ACTIVE SYNC ( Windows CE ) , EPOC Connect ( Psion
) และล่าสุดแพร่จากการต่อเชื่อม PDA เข้ากับ Internet
การติดต่อกันระหว่างเครื่อง PDA ด้วยกันเช่นการใช้งาน IR (Infrared) Port ก็เป็นทางหนึ่งในการแพร่กระจายของ
MMC ด้วย ผู้พัฒนา MMC ทั้งหลายสามารถจะใช้ Programming Library ในการโปรแกรม Socket
ของ PDA ผ่านทาง Port IR ได้ ซึ่งสามารถส่งอีเมล์หรือทำตัวเป็น TROJAN HORSE รอรับคำสั่งเหมือนใน
PC รวมทั้งสามารถรันพวก Script Language ได้ด้วย ไวรัส W97M.Melissa A และ VBS.Loveletter
เป็นตัวอย่างของ MMC ที่มาในรูปของ Script Language ในสถานการณ์ปัจจุบัน เรายังไม่ค่อยได้ใช้
PDA ในการ check อีเมล์ ส่วนใหญ่มักจะใช้เครื่อง PC แล้ว SYNC ลงมาเก็บใน PDA มากกว่า
เรื่องของ MMC จึงยังไม่ค่อยเด่นชัดมากนัก แต่ในอนาคตนั้น เราอาจจะได้ใช้ PDA ในการ
check อีเมล์โดยตรงเลยเช่น ผ่านทางโทรศัพท์มือถือระบบ GPRS เป็นต้น MMC จึงจะมีการแพร่ระบาดมากขึ้น
ถึงตอนนั้นเราก็คงต้องติดตั้งโปรแกรม Anti-virus for PDA กันโดยทั่วไป ซึ่งขณะนี้ยังไม่เคยเห็นใครเลยที่ลงโปรแกรม
Anti-virus ในเครื่อง PDA ( แม้กระทั่งตัวผมเองก็ตาม )
หนทางการแก้ปัญหาก็คือ เราควรมี Anti-virus Solution เพื่อทำการตรวจจับ MMC เสียตั้งแต่ที่อีเมล์เกตเวย์
( E-mail Gateway) เลย เพื่อดักไม่ให้ MMC เข้าถึง PC และ PDA ของเราได้ง่าย วิธีนี้จะช่วยได้มากและไม่ต้องคอยพะวงกับ
PC และ PDA จำนวนมากซึ่งเราไม่สามารถที่จะดูแลได้ทั่วถึงทั้งหมด นอกจากนี้เราควรจะต้องมีการกำหนด
Security Policy ในการใช้งานอีเมล์ไม่ว่าจาก PC หรือ PDA ให้มีการติดต่อเข้า-ออก
โดยผ่านทาง Gateway ที่เราได้ติดตั้งโปรแกรม Anti-virus เอาไว้ ถ้าเราปล่อยให้
USER จัดการกับ MMC ที่ปลายทางแล้ว จะทำให้ USER ต้องตัดสินใจและมีความรู้พื้นฐานค่อนข้างมากที่จะจัดการกับ
MMC เพราะ MMC บางตัวนั้นสามารถทำงานได้โดยที่ USER ยังไม่ทันจะรู้สึกตัวเลยด้วยซ้ำ
เช่น VBS Bubbleboy และ Wscript.Kak Worm สามารถแพร่กระจายได้โดย USER ยังไม่ทันดับเบิ้ลคลิ๊กเพื่อเปิด
attachment MMC ก็ทำงานทันที เป็นต้น
สรุปได้ว่าในโลกใบนี้ไม่มี Digital Device ใดๆ ที่ปลอดภัยจาก MMC ได้ 100% แต่เรายังพอมีหนทางที่ป้องกันได้
และสถานการณ์ขณะนี้ สำหรับ PDA ยังนับว่าไม่รุนแรงนัก จึงน่าจะเป็นจังหวะดีของ
System Admin ที่จะต้องค้นคว้าหาความรู้ ตลอดจนฝึกอบรม เพื่อให้เข้าใจการทำงานของไวรัสได้ดีขึ้น
สำหรับคอร์สฝึกอบรมเกี่ยวกับไวรัส ดูได้ที่ http://www.nectec.or.th/ite
ฉบับหน้าผมจะได้กล่าวถึง MMC ที่มากับ Mobile Phone ที่ใช้ WAP ต่อไปนะครับ หากมีคำถามเพิ่มเติม
ติดต่อผมได้ที่ http://www.topsecure.net
WEB BOARD หรืออีเมล์มาคุยกันที่ prinya@netengtel.com
สวัสดีครับ
| Home
|| เอกสารเผยแพร่ || Virus
ThaiCERT Disclaimer | Copyright © 2001 ThaiCERT(NECTEC). All rights reserved. |