OmElEt

ผู้เขียน : OmElEt

อัพเดท: 16 ม.ค. 2008 08.02 น. บทความนี้มีผู้ชม: 3850 ครั้ง

พบโทรจันจำนวนมากใช้การโจมตีรูปแบบใหม่ร่วมกับ rootkits


ก้าวทันไวรัส ฉบับที่ 737

ก้าวทันไวรัส ฉบับที่ 737
วันพุธที่ 16 มกราคม 2551
 
พบโทรจันจำนวนมากใช้การโจมตีรูปแบบใหม่ร่วมกับ rootkits

            ศูนย์วิเคราะห์และตรวจจับมัลแวร์ ตรวจพบโทรจันที่มาพร้อมกับ rootkits (MBRtool.A, MBRtool.B, MBRtool.C, เป็นต้น ) ซึ่งสามารถแทนที่ master boot record (MBR) ด้วยข้อมูลของตนเอง นับเป็นวิวัฒนาการของการใช้ rootkits ทำให้มัลแวร์ยากแก่การถูกตรวจจับยิ่งขึ้น

“ การโจมตีแบบนี้ทำให้การตรวจจับ rootkits และมัลแวร์ที่ถูกซ่อนไว้ไม่สามารถกระทำได้ในทางปฏิบัติ ” นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของ PandaLabs กล่าว “ หนทางเดียวในการป้องกันคือเราต้องทำการตรวจจับก่อนที่ rootkits เหล่านี้จะเข้าสู่คอมพิวเตอร์ เนื่องจาก rootkits เข้ามาพร้อมกับมัลแวร์ต่างๆ เราจึงจำเป็นต้องใช้เทคโนโลยีเชิงรุกที่สามารถตรวจจับภัยคุกคามต่างๆ ได้โดยไม่ต้องนำมาจำแนกไว้ก่อน ”

เหล่าอาชญากรใช้ rootkits ในการซ่อนการทำงานของมัลแวร์ ทำให้ตรวจจับได้ลำบาก ก่อนหน้านี้การติดตั้ง rootkits จะกระทำในกระบวนงานของระบบ แต่ในปัจจุบัน PandaLabs ตรวจพบการติดตั้ง rootkits ในส่วนของฮาร์ดดิสก์ที่ทำงานก่อนเริ่มต้นระบบปฏิบัติการเสียด้วยซ้ำ

ในการทำงาน rootkits ใหม่เหล่านี้จะคัดลอก MBR เดิมพร้อมกับดัดแปลงเป็นคำสั่งต่างๆ ที่ไม่ถูกต้อง ซึ่งหมายความว่าหากมีการพยายามเข้าถึง MBR เมื่อใด rootkit จะเปลี่ยนเส้นทางนั้นไปยังของเดิม ทำให้ผู้ใช้หรือแอพพลิเคชันต่างๆ ไม่พบสิ่งต้องสงสัย

จากการเปลี่ยนแปลงดังกล่าว เมื่อเริ่มต้นระบบ MBR ที่ถูกดัดแปลงจะทำงานก่อนการโหลดระบบปฏิบัติการ โดยรันชุดคำสั่งของตนเพื่อซ่อนตัวและซ่อนมัลแวร์อื่นๆ ที่เกี่ยวข้อง

ก่อนหน้านี้ ถูกใช้ในการซ่อนนามสกุลของไฟล์หรือกระบวนงานต่างๆ แต่จากตัวอย่างใหม่ๆ ที่ตรวจพบล่าสุด rootkits เป็นภัยต่อระบบโดยตรง การติดตั้งตัวเองในตำแหน่งดังกล่าวทำให้ผู้ใช้ไม่สามารถสังเกตเห็นการเปลี่ยนแปลงในกระบวนงานต่างๆ ของระบบ เนื่องจาก rootkit ที่โหลดเข้าสู่หน่วยความจำจะคอยเฝ้าสังเกตการเข้าถึงดิสก์เพื่อซ่อนมัลแวร์ที่เกี่ยวข้องมิให้ปรากฏตัว

ผู้ใช้จึงควรระมัดระวังภัยดังกล่าว โดยเฉพาะอย่างยิ่ง อย่าเปิดไฟล์ใดๆ โดยไม่ทราบที่มา

ในการลบมัลแวร์นี้ ผู้ใช้ต้องเริ่มต้นระบบของตนด้วยซีดีที่เป็นแผ่นบู๊ตเพื่อหลีกเลี่ยงการรัน MBR จากนั้นต้องคืนค่า MBR โดยใช้ยูทิลิตีอย่าง fixmbr ใน Windows recovery console หากมีการติดตั้งระบบปฏิบัติการไว้แล้ว

“rootkits เหล่านี้สามารถเข้าสู่ระบบปฏิบัติการอื่นๆ เช่น Linux ได้ เนื่องจากการดำเนินการที่กล่าวมาไม่ขึ้นอยู่กับระบบปฏิบัติการของเครื่องคอมพิวเตอร์ ” นาย Corrons กล่าวเสริม

 
 


ที่มา: Panda Security

บทความนี้เกิดจากการเขียนและส่งขึ้นมาสู่ระบบแบบอัตโนมัติ สมาคมฯไม่รับผิดชอบต่อบทความหรือข้อความใดๆ ทั้งสิ้น เพราะไม่สามารถระบุได้ว่าเป็นความจริงหรือไม่ ผู้อ่านจึงควรใช้วิจารณญาณในการกลั่นกรอง และหากท่านพบเห็นข้อความใดที่ขัดต่อกฎหมายและศีลธรรม หรือทำให้เกิดความเสียหาย หรือละเมิดสิทธิใดๆ กรุณาแจ้งมาที่ ht.ro.apt@ecivres-bew เพื่อทีมงานจะได้ดำเนินการลบออกจากระบบในทันที