Tweet
ที่มา : Panda Software (Thailand)
ในสัปดาห์นี้ PandaLabs จะรายงานเกี่ยวกับเวิร์ม Ridnu.C โทรจัน Evilx.A และ Clagge.G
Ridnu.C เป็นมัลแวร์ที่แฝงความโรแมนติกไว้ในตัว โดยการเขียนข้อความรักๆ ใคร่ๆ ใน Notepad เมื่อผู้ใช้เปิดโปรแกรมดังกล่าว ตัวอย่างข้อความที่เขียนได้แก่ dear my princess, I wanna take you to my palace หรือ I miss you cute smile นอกจากนี้ยังสร้างไฟล์ชื่อ Message for my princess ไว้บนหน้าจอเดสก์ท็อป เมื่อทำงาน เวิร์มจะเปิด Notepad และแสดงข้อความในข้างต้น
Ridnu.C ยังเขียนข้อความ (MR COOLFACE!) เมื่อผู้ใช้พยายามใช้งานคำสั่ง Run จากเมนู Start ของ Windows แม้จะมีความโรแมนติก แต่ก็ยังเป็นที่น่ารำคาญอยู่ดี เนื่องจากเวิร์มนี้จะเปิดถาดซีดีและเปิด/ปิดหน้าจอมอนิเตอร์สลับกันตลอดเวลา นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของ PandaLabs กล่าว
เวิร์มนี้แพร่กระจายผ่านทางอีเมล์ที่สร้างขึ้นเอง โดยไฟล์แนบที่บรรจุเวิร์มมีชื่อดังนี้ Sahang dan Timah.scr, Bangka Island.scr หรือ Pantai Pasir Padi.scr
PandaLabs ได้จัดทำวิดีโอแสดงพฤติกรรมของเวิร์มดังกล่าวเพื่อให้ผู้ใช้สามารถเปิดดูได้ที่ http://www.pandasoftware.com/img/enc/Ridnu.C.wmv
โทรจัน Evilx.A จะแก้ไขข้อมูลใน Windows registry ในส่วนที่เกี่ยวข้องกับไฟร์วอลล์ เพื่อให้ตนสามารถเข้าสู่เว็บเพจแห่งหนึ่งเพื่อดาวน์โหลดไฟล์ในรูปแบบต่างๆ ตลอดจนมัลแวร์
เพื่อให้ยากแก่การตรวจจับ โทรจันนี้ใช้ rootkit 2 โปรแกรมในการซ่อนการทำงาน ข้อมูลรีจิสทรี และไฟล์ที่ตนสร้างขึ้น นอกจากนี้ยังลบไฟล์ต้นฉบับที่เข้าสู่คอมพิวเตอร์เพื่อปกปิดร่องรอยของตนอีกด้วย
Clagge.G ออกแบบมาเพื่อดาวน์โหลดมัลแวร์จากอินเทอร์เน็ตเช่นกัน โทรจันนี้จะเข้าถึง URL ต่างๆ เพื่อดาวน์โหลดโทรจัน Cimuz.BE โทรจันนี้ออกแบบมาเพื่อขโมยข้อมูลจากคอมพิวเตอร์
Clagge.G จะสร้างสำเนาของตนขึ้นในระบบ และเพิ่มข้อมูลลงใน Windows Registry เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ
ในสัปดาห์นี้ PandaLabs จะรายงานเกี่ยวกับเวิร์ม Ridnu.C โทรจัน Evilx.A และ Clagge.G
Ridnu.C เป็นมัลแวร์ที่แฝงความโรแมนติกไว้ในตัว โดยการเขียนข้อความรักๆ ใคร่ๆ ใน Notepad เมื่อผู้ใช้เปิดโปรแกรมดังกล่าว ตัวอย่างข้อความที่เขียนได้แก่ dear my princess, I wanna take you to my palace หรือ I miss you cute smile นอกจากนี้ยังสร้างไฟล์ชื่อ Message for my princess ไว้บนหน้าจอเดสก์ท็อป เมื่อทำงาน เวิร์มจะเปิด Notepad และแสดงข้อความในข้างต้น
Ridnu.C ยังเขียนข้อความ (MR COOLFACE!) เมื่อผู้ใช้พยายามใช้งานคำสั่ง Run จากเมนู Start ของ Windows แม้จะมีความโรแมนติก แต่ก็ยังเป็นที่น่ารำคาญอยู่ดี เนื่องจากเวิร์มนี้จะเปิดถาดซีดีและเปิด/ปิดหน้าจอมอนิเตอร์สลับกันตลอดเวลา นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของ PandaLabs กล่าว
เวิร์มนี้แพร่กระจายผ่านทางอีเมล์ที่สร้างขึ้นเอง โดยไฟล์แนบที่บรรจุเวิร์มมีชื่อดังนี้ Sahang dan Timah.scr, Bangka Island.scr หรือ Pantai Pasir Padi.scr
PandaLabs ได้จัดทำวิดีโอแสดงพฤติกรรมของเวิร์มดังกล่าวเพื่อให้ผู้ใช้สามารถเปิดดูได้ที่ http://www.pandasoftware.com/img/enc/Ridnu.C.wmv
โทรจัน Evilx.A จะแก้ไขข้อมูลใน Windows registry ในส่วนที่เกี่ยวข้องกับไฟร์วอลล์ เพื่อให้ตนสามารถเข้าสู่เว็บเพจแห่งหนึ่งเพื่อดาวน์โหลดไฟล์ในรูปแบบต่างๆ ตลอดจนมัลแวร์
เพื่อให้ยากแก่การตรวจจับ โทรจันนี้ใช้ rootkit 2 โปรแกรมในการซ่อนการทำงาน ข้อมูลรีจิสทรี และไฟล์ที่ตนสร้างขึ้น นอกจากนี้ยังลบไฟล์ต้นฉบับที่เข้าสู่คอมพิวเตอร์เพื่อปกปิดร่องรอยของตนอีกด้วย
Clagge.G ออกแบบมาเพื่อดาวน์โหลดมัลแวร์จากอินเทอร์เน็ตเช่นกัน โทรจันนี้จะเข้าถึง URL ต่างๆ เพื่อดาวน์โหลดโทรจัน Cimuz.BE โทรจันนี้ออกแบบมาเพื่อขโมยข้อมูลจากคอมพิวเตอร์
Clagge.G จะสร้างสำเนาของตนขึ้นในระบบ และเพิ่มข้อมูลลงใน Windows Registry เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ
Comment