ในเดือนมีนาคม 2251 เสิร็ชเอนจิ้นได้แคช (จัดเก็บข้อมูลที่เข้าถึงเป็นประจำไว้ชั่วคราวเพื่อให้เรียกดูได้อย่างง่าย ดาย) เว็บไซต์ที่ถูกต้องหลาย ๆ เว็บไซต์ซึ่งมีไฟล์จาวาสคริปต์ที่เป็นอันตราย การโจมตีนี้ใช้ URL ที่ปรับแต่งเป็นพิเศษเพื่ออัดฉีด IFRAME (หรือเฟรมแบบอินไลน์ (Inline Frame) ซึ่งเป็นองค์ประกอบ HTML ที่รองรับการฝังเอกสาร HTML อื่นไว้ภายในเอกสารหลัก) โดยเป็นคำที่ใช้ในการค้นหา วิธีนี้เป็นการอัดฉีดสคริปต์ไว้ในเว็บเพจที่ถูกต้อง เพื่อรวมส่วนอ้างอิงไปยังไฟล์จาวาสคริปต์ที่เป็นอันตราย ไฟล์ด้งกล่าวปรากฏอยู่ในสองส่วนของ HTML คือที่ส่วนเนื้อความ (Body) หรือส่วนชื่อเรื่อง (Title) และเพื่อป้องกันไม่ให้เจ้าของเว็บไซต์ตรวจพบ โดยปกติผู้บุกรุกจะใช้ส่วนประกอบ HTML ที่มองไม่เห็น เช่น IFRAME ที่มีพิกเซลเป็นศูนย์ เพื่อซ่อนเนื้อหาที่อัดฉีดเข้าไปในเว็บเพจ
แฮ็คเกอร์ แทรกโค้ด IFRAME ไว้ในผลลัพธ์การค้นหาที่บันทึกไว้สำหรับเว็บไซต์ที่ถูกกฎหมาย ดังนั้นเมื่อผู้เยี่ยมชมที่ใช้เครื่องมือการค้นหาที่ไม่มีการรักษาความ ปลอดภัยเพียงพอ โค้ด IFRAME ก็จะนำผู้ใช้ไปยังเว็บไซต์อื่น และไซต์ที่สองก็จะแสดงข้อความที่แจ้งผู้ใช้ว่าจำเป็นต้องติดตั้งตัวถอดรหัส (Codec) ใหม่ ถ้าผู้ใช้ยอมรับการติดตั้งนั้น เขาก็จะถูกนำไปยังไซต์อื่น ซึ่งที่จริงแล้่วประกอบด้วยมัลแวร์ (Malware) และไซต์นั้นก็จะติดตั้งมัลแวร์ดังกล่าวลงในคอมพิวเตอร์ของเหยื่อ ถ้าผู้ใช้ปฏิเสธการติดตั้งตัวถอดรหัสนั้น สตริงก็จะถูกยกเลิกและไม่ก่อให้เกิดอันตรายใด ๆ
การโจมตี IFRAME ที่ถูกอัดฉีดขยายขอบเขตกว้างขึ้น โดยอาศัยผลลัพธ์การค้นหาของเว็บไซต์ยอดนิยม ทั้งนี้ถือเป็นแนวทางปฏิบัติโดยทั่วไปในการแคชข้อมูลการค้นหาไว้ในเสริชเอน จิ้นเพื่อเพิ่มประสิทธิภาพในการค้นหา หนึ่งในเว็บไซต์ที่ติดเชื้อก็คือ ZDNet Asia และไซต์อื่น ๆ ในเครือข่าย CNET การดาวน์โหลดในลักษณะดังกล่าวอาจมีมากกว่าการโจมตีในรูปแบบอื่น ๆ เพราะระบบรักษาความปลอดภัยแบบเก่า (เช่น ไฟร์วอลล์ การกำหนดแอดเดรสแบบไดนามิก พร็อกซี) ไม่สามารถสกัดกั้นการติดเชื้อได้ และผู้ใช้ที่ใช้ซอฟต์แวร์โดยไม่มีการติดตั้งแพตช์เพื่อแก้ไขจุดอ่อน ก็มีความเสี่ยงที่จะติดเชื้อได้มากกว่า
ผลกระทบ
มัลแวร์พยายามที่จะขโมยรหัสผ่านและสร้างประตูหลัง (Backdoor) ที่ทำให้สามารถติดตั้งโค้ดแปลกปลอมเพิ่มเติม
ในการเขียน IFRAME ไฟล์จาวาสคริปต์จะใช้สคริปต์ที่โหลดไฟล์ HTML ที่พยายามใช้ประโยชน์จากจุดอ่อนต่าง ๆ เช่น
- MS06-01
- MS06-014
- MS07-004
- MS06-067
- MS06-057
- RealPlayer playlist ActiveX
- Baofeng Storm ActiveX
- Xunlei Thunder DapPlayer ActiveX
- Ourgame GLWorld GlobalLink Chat ActiveX
- Qvod Player ActiveX
มัลแวร์ต่าง ๆ ที่ดาวน์โหลดไปยังคอมพิวเตอร์ของเหยื่อ:
- Downloader-BGX
- Exploit-RealPlay
- JS/Exploit-BO.gen
- VBS/Psyme
- Trojan-Downloader.W32/Zlob.HOG
การดำเนินการ
ผู้ ใช้สามารถปกป้องตนเอง ด้วยการปฏิเสธคำร้องขอใด ๆ สำหรับการดาวน์โหลดตัวถอดรหัสหรือโปรแกรมความปลอดภัยที่ไม่คาดคิด นอกจากนี้ควรปฏิเสธตามคำแนะนำต่อไปนี้
- ติดตั้งไฟร์วอลล์ส่วนบุคคล อัพเดตอย่างสม่ำเสมอ และกำหนดค่าให้ทำการเชื่อมต่อเฉพาะที่จำเป็นเท่านั้น
- ติดตั้งโปรแกรมป้องกันไวรัสและโปรแกรมป้องกันสปายแวร์ และทำการอัพเดตข้อมูลอย่างสม่ำเสมอ
- ติดตั้ง HIPS (Host Intrusion Prevention System) เพื่อป้องกันลักษณะการทำงานที่อาจเป็นอันตรายหรือผิดปกติบนเดสก์ทอป
- อัพเดตแพตช์ของซอฟต์แวร์อย่างสม่ำเสมอ สำหรับบริการเครือข่าย ระบบปฏิบัติการ เบราเซอร์ และโปรแกรมอีเมล์ทั้งหมด
- เอา ตัวอย่างหรือแฟ้มทดสอบทั้งหมดออกจากแอพพลิเคชั่นและฐานข้อมูล เพราะการติดตั้งเริ่มต้นส่วนใหญ่ไม่ได้คำนึงถึงปัญหาเรื่องความปลอดภัย
- จำกัดสิทธิ์การใช้งานแอพพลิเคชั่นและฐานข้อมูลบนเซิร์ฟเวอร์
- ทบทวน ทดสอบ และแก้ไขฟิลด์สำหรับการตรวจสอบอินพุต
- ปิดกั้นโดเมนที่ทราบว่ามีการเผยแพร่มัลแวร์ สำหรับข้อมูลเพิ่มเติม โปรดดูที่เว็บไซต์ www.malwaredomains.com
- ใช้โปรแกรมสแกนไวรัสที่ต่างออกไปบนเว็บพร็อกซี เพื่อรองรับการรักษาความปลอดภัยหลายระดับ
- ปิดกั้นพอร์ต IRC ซึ่งป้องกันบ็อตเน็ต (Botnet) รุ่นเก่า
- ปิดกั้นพอร์ตที่ไม่เหมาะสมทั้งหมดผ่านพร็อกซี ซึ่งจะสามารถตรวจสอบลักษณะการทำงานที่ไม่เปิดเผยชื่อผู้ใช้ได้
- ใช้การปิดกั้นเว็บเพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงไซต์อันตรายที่ไม่ได้รับอนุญาต
- สังเกต คำร้องขอ DNS ขอออกไปยังอินเทอร์เน็ต เพราะอาจบ่งชี้ว่ามัลแวร์บนเครื่องคอมพิวเตอร์ของเหยื่อกำลังพยายามที่จะ ข้ามเซิร์ฟเวอร์ DNS ที่ถูกต้อง
- ใช้เบราเซอร์แบบ No Script เช่น Firefox Noscript หรือ IE หรือปิดการใช้งาน ActiveX
- ระวังเอกสารสำนักงานในอีเมล์โดยเฉพาะอย่างยิ่งจากแหล่งที่หลอกลวง หาก IP ต้นทางไม่ตรงกับข้อมูลในส่วนเฮดเดอร์ให้ลบอีเมล์นั้นทันที
ที่มาบทความ http://www.mvt.co.th
หากท่านสงสัยว่าเครื่องของท่านมีไวรัสชนิดนี้หรือป่าวลองตรวจสอบตามบทความนี้ครับ
Check ว่ามีแฟ้ม c:\windows\system32\explorer.exe โผล่ขึ้นมามั้ย แฟ้มนี้ปกติต้องอยู่ที่ c:\windows\ เท่านั้น ที่อื่นแน่นอน
วิธีแก้
เครื่องมือ:
- Process Viewer: http://www.teamcti.com/pview/PrcView_5_2_15.zip
- แผ่นติดตั้ง Windows ที่คุณกำลังใช้อยู่ (เอา service pack เดียวกันก็พอครับ) [ใครใช้ XP service pack 3 อยู่ ด้านล่างมี link ครับ]
- โปรแกรม Winrar
วิธีแก้ไขนะครับ
- ปิดโปรแกรมที่รันอยู่ให้หมด
- start > run > cmd พอเปิดหน้าจอ command prompt ขึ้นมาได้แล้ว พับเก็บไว้ก่อน
- เสียบแผ่น cd ติดตั้ง windows เข้าไป แล้วก็เปิดเข้าไปใน folder i386 หาแฟ้มชื่อ Explorer.ex_ ให้ก๊อปปี้ออกมา แล้ว rename เป็น explorer.cab
- เปิดแฟ้ม explorer.cab ด้วย Winrar แล้วพับหน้าจอเก็บไว้
- เปิดโปรแกรม Process Viewer ขึ้นมา จะได้หน้าจออย่างนี้หา process ชื่อ Explorer.exe ให้เจอ ตรงช่อง Full Path มันควรจะเป็น c:\windows\system32\explorer.exe นะครับคลิกเลือกเป็นแถบน้ำเงิน แล้วกดปุ่ม delete (หรือกดตรง icon กากบาทสีแดงๆ ตรง toolbar ด้านบนก็ได้)
มันจะขึ้นหน้าจอคำถามแบบนี้ ให้กดปุ่ม kill ได้เลยครับ กดแล้ว task bar (แถบตรงปุ่ม start) จะหายวับไปกับตา อย่าตกใจครับอย่าตกใจ
- กด alt แช่ไว้แล้วกดปุ่ม tab จนมันเลือกที่หน้าจอดำๆ แล้วปล่อยปุ่ม alt ที่หน้าจอ command prompt พิมพ์ del c:\windows\system32\explorer.exe แล้วกด enter แล้วพิมพ์ del c:\windows\explorer.exe แล้วกด enter
- จากนั้นกด alt แช่ไว้แล้วกดปุ่ม tab จนมันเลือกที่ icon ของ winrar แล้วปล่อยปุ่ม alt
กดปุ่ม extract all แล้วเลือก path เป็น c:\windows\ แล้วกด OK
- กลับมาที่หน้าจอดำๆ ตะกี้ พิมพ์ explorer แล้วกด enter ครับ
- แถบ start menu ควรจะกลับมาเหมือนเดิม และไม่ควรจะมีแฟ้ม c:\windows\system32\explorer.exe อยู่อีกแล้ว
- ถึงตรงนี้ให้ restart เครื่องครับ เรียบร้อยและ
วิธีการนี้แหล่งที่มาบทความจาก http://www.thaihosttalk.com
ระมัดระวังกันนิดนึงนะครับ สำหรับผู้ที่พัฒนาเว็บไซต์ เว็บไซต์คุณอาจจะเป็นเว็บเผยแพร่เว็บไซต์โดยไ่ม่รู้ตัวครับ
