Tweet
รายงานจาก PandaLabs ในสัปดาห์นี้จะกล่าวถึงโทรจัน Bankey.A, BankFake.A, Ketawa.A และ Opticibot.A จากนั้นจะกล่าวถึงเวิร์ม Braban.F ที่แพร่ระบาดผ่านโปรแกรม MSN Messenger
BanKey.A และ BankFake.A มีลักษณะบางอย่างที่คล้ายคลึงกัน โดยทั้งคู่จะแสดงหน้าเว็บจำลองของธนาคารเพื่อลวงให้ผู้ใช้ป้อนข้อมูลต่างๆ เช่น หมายเลขบัญชีและรหัสผ่าน เป็นต้น จากนั้นจะส่งข้อมูลที่ได้ไปยังผู้สร้างโทรจันโดยทางอีเมล์
อย่างไรก็ตาม ทั้งคู่มีวิธีการส่งข้อมูลที่แตกต่างกัน โดยโทรจัน BankFake.A จะเชื่อมต่อไปยังพอร์ต 465 ผ่านโปรโตคอล SMTP ที่มีการรักษาความปลอดภัย และส่งข้อมูลที่มีการเข้ารหัสเพื่อป้องกันการเข้าถึงข้อมูล ในขณะที่โทรจัน BanKey.A จะส่งข้อมูลไปยังบัญชี Gmail โดยใช้เทมเพลตที่สร้างขึ้นจากในตัว
และเพื่อมิให้เป็นที่สงสัย ทันทีที่ผู้ใช้ป้อนข้อมูล โทรจันจะแสดงข้อความเตือนข้อผิดพลาดชั่วคราวขึ้น จากนั้น BankFake .A จะนำผู้ใช้ไปยังเว็บของธนาคารที่แท้จริงซึ่งผู้ใช้สามารถป้อนข้อมูลซ้ำอีกครั้ง ด้วยวิธีการดังกล่าวนี้ ผู้ใช้จึงไม่ตระหนักถึงภัยคุกคามดังกล่าว
ทั้งคู่สามารถถูกส่งผ่านทางอีเมล์และติดตั้งเข้าสู่คอมพิวเตอร์ได้โดยใช้ปุ่มลัดที่เป็นสัญลักษณ์ของ Windows Internet Explorer นอกจากนี้ BankFake.A ยังอาจถูกดาวน์โหลดเข้าสู่ระบบได้โดยการกระทำของโทรจัน Downloader.OPY
โทรจัน Ketawa.A สามารถเข้าถึงผู้ใช้ได้โดยทางอีเมล์หรือจากการดาวน์โหลดข้อมูลทางอินเทอร์เน็ต ในการทำงาน ไฟล์จะเปิดหน้าต่างเบราว์เซอร์แสดงขำขันในภาษาอินโดนีเซียเช่นเดียวกับที่พบในสแปมเมล์บางฉบับ
โทรจันนี้จะแก้ไขข้อมูลใน Windows registry เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ นอกจากนี้ยังแก้ไขไฟล์บางไฟล์ที่ซ่อนอยู่และข้อมูลในรีจิสทรีเพื่อปกปิดการเปลี่ยนแปลงแก้ไขของตน
Opticibot.A เป็นโทรจัน นักล้วงข้อมูล ที่ใช้เทคนิค rootkit ในการซ่อนไฟล์และข้อมูลรีจิสทรีที่สร้างขึ้น เพื่อป้องกันการตรวจจับจากโปรแกรมรักษาความปลอดภัย
จุดมุ่งหมายหนึ่งของการเพิ่มข้อมูลในรีจิสทรีนั้น ก็เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ นอกจากนี้ยังเชื่อมต่อไปยังเว็บเพจแห่งหนึ่ง เพื่อดาวน์โหลดมัลแวร์หรือไฟล์อื่นๆ
มัลแวร์ทั้งสี่สายพันธุ์สื่อให้เห็นถึงความเคลื่อนไหวของมัลแวร์ที่เกี่ยวข้องกับผลตอบแทนทางการเงิน โทรจันเป็นเครื่องมือที่เหมาะสมที่สุดสำหรับวัตถุประสงค์ดังกล่าว เนื่องจากเปิดโอกาสให้เหล่าอาชญากรสามารถขโมยข้อมูลลับอย่างมากมายได้โดยเงียบเชียบกว่าวิธีการอื่น นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของ PandaLabs อธิบาย
เวิร์ม Braban.F แพร่กระจายทาง MSN Messenger โดยส่งการเชื่อมโยงไปยังรายชื่อผู้ติดต่อทั้งหมดของผู้ใช้ที่ติดเชื้อ การเชื่อมโยงจะถูกส่งไปพร้อมกับภาษาโปรตุเกสที่แจ้งให้ผู้ใช้คลิก เมื่อผู้ใช้หลงกล เวิร์มจะถูกดาวน์โหลดเข้าสู่ระบบ
การเชื่อมโยงดังกล่าวจะนำผู้ใช้ไปยังหน้าเว็บภาษาบราซิลหน้าหนึ่งซึ่งขออนุญาตผู้ใช้ในการเรียกไฟล์ขึ้นทำงาน เมื่อผู้ใช้อนุญาต ระบบจะนำผู้ใช้ไปยังหน้าเว็บในภาษารัสเซียซึ่งจะแสดงภาพของผู้หญิงถือกล้อง ในขั้นตอนนี้ ผู้ใช้ได้ติดแบงค์เกอร์โทรจัน Banbra.EJX โทรจัน Nabload.BJG และเวิร์ม Braban.F เรียบร้อยแล้ว
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไวรัสและภัยคุกคามอื่นๆ โปรดดูที่สารานุกรมไวรัสของ Panda Software
ผู้ที่ต้องการทราบว่าคอมพิวเตอร์ของตนถูกโจมตีโดยมัลแวร์เหล่านี้หรือมัลแวร์อื่นๆ หรือไม่ สามารถใช้ TotalScan หรือ NanoScan beta ซึ่งเป็นโปรแกรมฟรีแบบออนไลน์ได้ที่ www.infectedornot.com
BanKey.A และ BankFake.A มีลักษณะบางอย่างที่คล้ายคลึงกัน โดยทั้งคู่จะแสดงหน้าเว็บจำลองของธนาคารเพื่อลวงให้ผู้ใช้ป้อนข้อมูลต่างๆ เช่น หมายเลขบัญชีและรหัสผ่าน เป็นต้น จากนั้นจะส่งข้อมูลที่ได้ไปยังผู้สร้างโทรจันโดยทางอีเมล์
อย่างไรก็ตาม ทั้งคู่มีวิธีการส่งข้อมูลที่แตกต่างกัน โดยโทรจัน BankFake.A จะเชื่อมต่อไปยังพอร์ต 465 ผ่านโปรโตคอล SMTP ที่มีการรักษาความปลอดภัย และส่งข้อมูลที่มีการเข้ารหัสเพื่อป้องกันการเข้าถึงข้อมูล ในขณะที่โทรจัน BanKey.A จะส่งข้อมูลไปยังบัญชี Gmail โดยใช้เทมเพลตที่สร้างขึ้นจากในตัว
และเพื่อมิให้เป็นที่สงสัย ทันทีที่ผู้ใช้ป้อนข้อมูล โทรจันจะแสดงข้อความเตือนข้อผิดพลาดชั่วคราวขึ้น จากนั้น BankFake .A จะนำผู้ใช้ไปยังเว็บของธนาคารที่แท้จริงซึ่งผู้ใช้สามารถป้อนข้อมูลซ้ำอีกครั้ง ด้วยวิธีการดังกล่าวนี้ ผู้ใช้จึงไม่ตระหนักถึงภัยคุกคามดังกล่าว
ทั้งคู่สามารถถูกส่งผ่านทางอีเมล์และติดตั้งเข้าสู่คอมพิวเตอร์ได้โดยใช้ปุ่มลัดที่เป็นสัญลักษณ์ของ Windows Internet Explorer นอกจากนี้ BankFake.A ยังอาจถูกดาวน์โหลดเข้าสู่ระบบได้โดยการกระทำของโทรจัน Downloader.OPY
โทรจัน Ketawa.A สามารถเข้าถึงผู้ใช้ได้โดยทางอีเมล์หรือจากการดาวน์โหลดข้อมูลทางอินเทอร์เน็ต ในการทำงาน ไฟล์จะเปิดหน้าต่างเบราว์เซอร์แสดงขำขันในภาษาอินโดนีเซียเช่นเดียวกับที่พบในสแปมเมล์บางฉบับ
โทรจันนี้จะแก้ไขข้อมูลใน Windows registry เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ นอกจากนี้ยังแก้ไขไฟล์บางไฟล์ที่ซ่อนอยู่และข้อมูลในรีจิสทรีเพื่อปกปิดการเปลี่ยนแปลงแก้ไขของตน
Opticibot.A เป็นโทรจัน นักล้วงข้อมูล ที่ใช้เทคนิค rootkit ในการซ่อนไฟล์และข้อมูลรีจิสทรีที่สร้างขึ้น เพื่อป้องกันการตรวจจับจากโปรแกรมรักษาความปลอดภัย
จุดมุ่งหมายหนึ่งของการเพิ่มข้อมูลในรีจิสทรีนั้น ก็เพื่อเรียกตัวเองขึ้นทำงานทุกครั้งที่มีการเริ่มต้นระบบ นอกจากนี้ยังเชื่อมต่อไปยังเว็บเพจแห่งหนึ่ง เพื่อดาวน์โหลดมัลแวร์หรือไฟล์อื่นๆ
มัลแวร์ทั้งสี่สายพันธุ์สื่อให้เห็นถึงความเคลื่อนไหวของมัลแวร์ที่เกี่ยวข้องกับผลตอบแทนทางการเงิน โทรจันเป็นเครื่องมือที่เหมาะสมที่สุดสำหรับวัตถุประสงค์ดังกล่าว เนื่องจากเปิดโอกาสให้เหล่าอาชญากรสามารถขโมยข้อมูลลับอย่างมากมายได้โดยเงียบเชียบกว่าวิธีการอื่น นาย Luis Corrons ผู้อำนวยการด้านเทคนิคของ PandaLabs อธิบาย
เวิร์ม Braban.F แพร่กระจายทาง MSN Messenger โดยส่งการเชื่อมโยงไปยังรายชื่อผู้ติดต่อทั้งหมดของผู้ใช้ที่ติดเชื้อ การเชื่อมโยงจะถูกส่งไปพร้อมกับภาษาโปรตุเกสที่แจ้งให้ผู้ใช้คลิก เมื่อผู้ใช้หลงกล เวิร์มจะถูกดาวน์โหลดเข้าสู่ระบบ
การเชื่อมโยงดังกล่าวจะนำผู้ใช้ไปยังหน้าเว็บภาษาบราซิลหน้าหนึ่งซึ่งขออนุญาตผู้ใช้ในการเรียกไฟล์ขึ้นทำงาน เมื่อผู้ใช้อนุญาต ระบบจะนำผู้ใช้ไปยังหน้าเว็บในภาษารัสเซียซึ่งจะแสดงภาพของผู้หญิงถือกล้อง ในขั้นตอนนี้ ผู้ใช้ได้ติดแบงค์เกอร์โทรจัน Banbra.EJX โทรจัน Nabload.BJG และเวิร์ม Braban.F เรียบร้อยแล้ว
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไวรัสและภัยคุกคามอื่นๆ โปรดดูที่สารานุกรมไวรัสของ Panda Software
ผู้ที่ต้องการทราบว่าคอมพิวเตอร์ของตนถูกโจมตีโดยมัลแวร์เหล่านี้หรือมัลแวร์อื่นๆ หรือไม่ สามารถใช้ TotalScan หรือ NanoScan beta ซึ่งเป็นโปรแกรมฟรีแบบออนไลน์ได้ที่ www.infectedornot.com
Comment