Ghost Malware

Archive for February, 2005
06.02.05
Malware หน้าผี

เมื่อวานนี้ผมได้ร้องเรียน จาก เพื่อนสมาชิกให้ผม สืบหาไวรัสหน้าผี ให้ที ผมคิดต่อไปว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล และค้นคว้าว่าผีใน Internet หน้าตาเป็นเช่นไร
1717909331_7046cef196_o.png
เอาละครับเรามาดูกันว่าว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล ค้นไปพบว่ามีการ post กระทู้ไวรัสหน้าผี ใน pantip.com
1717909343_25ddf978ef_o.png
ผมถามคนที่ติดไวรัสหน้าผี ว่าติดจากที่ไหน เขาก็บอกว่าให้ไปดูที่ web
1717909353_87304aa6b9_o.png
web มานีมีตา ชื่อ web ก็ไม่น่าเข้าแล้วนะครับ แถมมีรูปให้ download กันอีกมากมาย ผู้ติดไวรัสกล่าวว่า ได้เลือก download file รวมภาพของ windows2000/XP

เอาล่ะเรามา Forensics กัน

1. ผมเริ่มเตรียมเครื่องใหม่ เพื่อจำลองสถานะการณ์ ลง windowsXP ที่ยังไม่มี program อะไร

2. ลง Tools ในการ Forensics เบื้องต้น ประกอบด้วย
File Mon , Regmon , Procexp , TCPview ใช้ 4 โปรแกรม ของ sysinternals
3. ตรวจสภาพว่าเครื่องคอมพิวเตอร์ของเราขณะที่ยังไม่ download จาก web ที่กล่าวว่ามีไวรัสหน้าผี
โดยใช้โปรแกรม Procexp
1717931921_10a17f77ac_o.png
process ปกติเมื่อลงเครื่อง WindowsXP
ตรวจดูที่สภาวะการเปิด port connect และโปรแกรมต่างๆ
1717931923_19339f179d_o.png
พบ ว่ามีการเปิด port ปกติดังนี้พบว่ามีโปรแกรมที่รอ connect เมื่อติดต่อ internet อยู่ คือ alg.exe , IEXPLORE.exe ,lsass.exe และ svchost.exe
เราจดและจำค่าพื้นฐานไว้นะครับ
4. เริ่มดาวโหลดโปรแกรมต้องสงสัย
1717931939_eaf4abc2d6_o.png
เราดาวโหลดโปรแกรมรวมภาพ2/winxp/2000 file ชื่อว่า Internet11.com (นามสกุล file ก็ไม่น่าดาวโหลดแล้วครับเป็น .com มาเลย)
1717931951_38499d1de1_o.png
พอโหลดโปรแกรมเสร็จแล้วดับเบิลคลิกจะพบข้อความดังภาพ เมื่อกด ok รอสักระยะ จะพบว่ามีรูปผีสาวญีปุ่นขึ้นมาแล้วมีเสียงกรีดร้อง เต็มจอ โผล่มาเป็นระยะๆ
5. เราวิเคราะห์ เครื่องกันว่าหลังจากดาวโหลด โปรแกรมดังกล่าวเสร็จแล้ว
1717931973_d0ce43bfc1_o.png
มีโปรแกรมที่ชื่อว่า Scanreg.com ปรากฏขึ้นมา
1718796248_c9e6f38022_o.png
เริ่มมากันเยอะเลยครับ ลองเข้าไปดูที่ registry windows ดู
1718796328_a8685df1fd_o.png
1718796336_b021f8f6f2_o.png
1718796362_320e02d2e5_o.png
มีการฝังโปรแกรมนี้อยู่ในหลายจุดบน registry หลายจุดเลย ที่พบหลายจุดเนื่องจากโปรแกรมผีญี่ปุ่นตัวนี้ ทำงานแล้วจะไปสั่งหลายส่วนใน registry windows ทำงานด้วยจาก file Scanreg.com นี้เอง
7. แล้วเราจะเอามันออกล่ะ
1718796382_18d6e340b1_o.png
พิมพ์ start –>run แล้วพิมพ์ regedit เข้าไปหน้า Registry Editor พิมพ์ค้นหา Scanreg และเจอตรงไหนให้ลบที่นั้น รู้สึกว่ายิ่งทิ้งนานก็ยิ่งเกาะหลายจุด
1718810754_41ba2796f7_o.png
เข้า ไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache พบว่ามีการสั่ง Start ทุกครั้งเมื่อเปิดเครื่อง เห็นเช่นนี้ก็ทำการลบ ส่วนนี้เสีย
1718810792_16d79826ac_o.png
ภาพนี้โชว์ให้เห็นว่าโปรแกรมตัวนี้จะแสดงทุก user ที่ logon เข้าเครื่องและเก็บค่าไว้ที่ startup ทุกครั้งที่เปิดเครื่องใหม่

จากนั้นเครื่องท่านจะกลับมาสงบอีกครั้ง

เท่า ที่ผมดูแล้วไม่ใช่ไวรัสคอมพิวเตอร์ แต่เป็นโปรแกรมไม่พึ่งประสงค์หรือที่เรียกว่า malware ที่บอกว่าไม่ใช่ไวรัสคอมพิวเตอร์เนื่องจากยังดูแล้วไม่มีส่วนไหนที่ทำให้ เครื่องคอมพิวเตอร์เสียหาย แต่อาจเกิดความลำคาญที่มี ผีโผล่มาทักทุกๆ 20-30 นาที แค่นั้นเอง และไม่ใช่ worm เพราะไม่มีการแพร่เชื้อไปเครื่องอื่น ผมขอเรียกว่า malware หน้าผีแล้วกันนะครับ

วิธีป้องกัน

1. ไม่ควรดาวโหลดโปรแกรมอันใดใน web ที่ไม่น่าเชื่อถือ ดูยากหน่อยนะ เมื่อไม่ทราบ ขอให้เครื่องของท่านมีระบบป้องกันภัยระดับหนึ่งเช่นมี anti-virus , personal Firewall หรือระบบตรวจจับอื่นๆ เสียก่อน และควร Update pacth บน windows บ่อยๆ โดยเฉพาะ patch ของ IE บราวเซอร์ที่เปิด Web นี้แหละครับ

2. เมื่อพบปัญหาเกิดขึ้นที่เครื่องแล้วควรต้องหาสาเหตุอย่างรวดเร็ว ไม่ควรติดแล้วติดเลยไม่แก้ไขเพราะถ้าเป็น worm หรือไวรัสชนิดอื่นที่ทำร้ายเครื่องจนเสียหายไปได้ เช่นเวลาเล่น Internet จะทำให้เครื่องช้ากว่าปกติมาก CPU เต็มบ่อยๆ เป็นต้น

3. ควรมีการ Backup ข้อมูลเป็นระยะๆ

เอา ละครับ มาถึงช่วงสุดท้ายแล้ว ก็ขอให้โชคดีสำหรับการเล่น Internet ในยุคปัจจุบัน ซึ่งอุดมไปด้วยภัยคุกคาม แต่หากเรามีความตะหนักในการใช้งาน เราก็ป้องกันตัวเองได้ และอย่างไร ความรู้ของท่านสามารถถ่ายทอดให้กับคนไม่รู้ต่อไป เพื่อสร้างให้สังคม online เราแข็งแรง

ขอทิ้งท้ายอีกนิดครับ สำหรับผู้ดูแล web site ที่ปล่อยไวรัสคอมพิวเตอร์ หรือปล่อยให้ผู้อื่น โพส ข้อความที่ไม่เหมาะสม ควรต้องหันมาดูหน่อยนะครับเพราะว่าในอนาคตอาจมีกฏหมายที่เข้ามาดูแลตรงนี้ และผู้ดูแลระบบควรรับผิดชอบหาก web site ของท่านทำให้ผู้อื่นติดไวรัส หรือทำให้เกิดความเข้าใจผิดในสังคม อาจมีผู้เสียหายเอาฆ้อนมาทุบเครื่อง web server ท่านได้ ในบทความหน้าอาจนำตัวอย่างกฏหมาย Sarbanes-Oxley Act ที่เริ่มพูดถึงเรื่องพวกนี้บ้างแล้วใน อเมริกา

ตรุษจีนนี้ ขอให้มีความสุขทุกคน

Nontawattana Saraman

6 กุมภาพันธ์ 2548

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License