SEO Affiliate Amazon CJ

ในเดือนมีนาคม 2251 เสิร็ชเอนจิ้นได้แคช (จัดเก็บข้อมูลที่เข้าถึงเป็นประจำไว้ชั่วคราวเพื่อให้เรียกดูได้อย่างง่าย ดาย) เว็บไซต์ที่ถูกต้องหลาย ๆ เว็บไซต์ซึ่งมีไฟล์จาวาสคริปต์ที่เป็นอันตราย การโจมตีนี้ใช้ URL ที่ปรับแต่งเป็นพิเศษเพื่ออัดฉีด IFRAME (หรือเฟรมแบบอินไลน์ (Inline Frame) ซึ่งเป็นองค์ประกอบ HTML ที่รองรับการฝังเอกสาร HTML อื่นไว้ภายในเอกสารหลัก) โดยเป็นคำที่ใช้ในการค้นหา วิธีนี้เป็นการอัดฉีดสคริปต์ไว้ในเว็บเพจที่ถูกต้อง เพื่อรวมส่วนอ้างอิงไปยังไฟล์จาวาสคริปต์ที่เป็นอันตราย ไฟล์ด้งกล่าวปรากฏอยู่ในสองส่วนของ HTML คือที่ส่วนเนื้อความ (Body) หรือส่วนชื่อเรื่อง (Title) และเพื่อป้องกันไม่ให้เจ้าของเว็บไซต์ตรวจพบ โดยปกติผู้บุกรุกจะใช้ส่วนประกอบ HTML ที่มองไม่เห็น เช่น IFRAME ที่มีพิกเซลเป็นศูนย์ เพื่อซ่อนเนื้อหาที่อัดฉีดเข้าไปในเว็บเพจ

แฮ็คเกอร์ แทรกโค้ด IFRAME ไว้ในผลลัพธ์การค้นหาที่บันทึกไว้สำหรับเว็บไซต์ที่ถูกกฎหมาย ดังนั้นเมื่อผู้เยี่ยมชมที่ใช้เครื่องมือการค้นหาที่ไม่มีการรักษาความ ปลอดภัยเพียงพอ โค้ด IFRAME ก็จะนำผู้ใช้ไปยังเว็บไซต์อื่น และไซต์ที่สองก็จะแสดงข้อความที่แจ้งผู้ใช้ว่าจำเป็นต้องติดตั้งตัวถอดรหัส (Codec) ใหม่ ถ้าผู้ใช้ยอมรับการติดตั้งนั้น เขาก็จะถูกนำไปยังไซต์อื่น ซึ่งที่จริงแล้่วประกอบด้วยมัลแวร์ (Malware) และไซต์นั้นก็จะติดตั้งมัลแวร์ดังกล่าวลงในคอมพิวเตอร์ของเหยื่อ ถ้าผู้ใช้ปฏิเสธการติดตั้งตัวถอดรหัสนั้น สตริงก็จะถูกยกเลิกและไม่ก่อให้เกิดอันตรายใด ๆ

การโจมตี IFRAME ที่ถูกอัดฉีดขยายขอบเขตกว้างขึ้น โดยอาศัยผลลัพธ์การค้นหาของเว็บไซต์ยอดนิยม ทั้งนี้ถือเป็นแนวทางปฏิบัติโดยทั่วไปในการแคชข้อมูลการค้นหาไว้ในเสริชเอน จิ้นเพื่อเพิ่มประสิทธิภาพในการค้นหา หนึ่งในเว็บไซต์ที่ติดเชื้อก็คือ ZDNet Asia และไซต์อื่น ๆ ในเครือข่าย CNET  การดาวน์โหลดในลักษณะดังกล่าวอาจมีมากกว่าการโจมตีในรูปแบบอื่น ๆ เพราะระบบรักษาความปลอดภัยแบบเก่า (เช่น ไฟร์วอลล์ การกำหนดแอดเดรสแบบไดนามิก พร็อกซี) ไม่สามารถสกัดกั้นการติดเชื้อได้ และผู้ใช้ที่ใช้ซอฟต์แวร์โดยไม่มีการติดตั้งแพตช์เพื่อแก้ไขจุดอ่อน ก็มีความเสี่ยงที่จะติดเชื้อได้มากกว่า

ผลกระทบ
มัลแวร์พยายามที่จะขโมยรหัสผ่านและสร้างประตูหลัง (Backdoor) ที่ทำให้สามารถติดตั้งโค้ดแปลกปลอมเพิ่มเติม

ในการเขียน IFRAME ไฟล์จาวาสคริปต์จะใช้สคริปต์ที่โหลดไฟล์ HTML ที่พยายามใช้ประโยชน์จากจุดอ่อนต่าง ๆ เช่น

• MS06-01
• MS06-014
• MS07-004
• MS06-067
• MS06-057
• RealPlayer playlist ActiveX
• Baofeng Storm ActiveX
• Xunlei Thunder DapPlayer ActiveX
• Ourgame GLWorld GlobalLink Chat ActiveX
• Qvod Player ActiveX

มัลแวร์ต่าง ๆ ที่ดาวน์โหลดไปยังคอมพิวเตอร์ของเหยื่อ:

• Downloader-BGX
• Exploit-RealPlay
• JS/Exploit-BO.gen
• VBS/Psyme
• Trojan-Downloader.W32/Zlob.HOG

การดำเนินการ
ผู้ ใช้สามารถปกป้องตนเอง ด้วยการปฏิเสธคำร้องขอใด ๆ สำหรับการดาวน์โหลดตัวถอดรหัสหรือโปรแกรมความปลอดภัยที่ไม่คาดคิด นอกจากนี้ควรปฏิเสธตามคำแนะนำต่อไปนี้

• ติดตั้งไฟร์วอลล์ส่วนบุคคล อัพเดตอย่างสม่ำเสมอ และกำหนดค่าให้ทำการเชื่อมต่อเฉพาะที่จำเป็นเท่านั้น
• ติดตั้งโปรแกรมป้องกันไวรัสและโปรแกรมป้องกันสปายแวร์ และทำการอัพเดตข้อมูลอย่างสม่ำเสมอ
• ติดตั้ง HIPS (Host Intrusion Prevention System) เพื่อป้องกันลักษณะการทำงานที่อาจเป็นอันตรายหรือผิดปกติบนเดสก์ทอป
• อัพเดตแพตช์ของซอฟต์แวร์อย่างสม่ำเสมอ สำหรับบริการเครือข่าย ระบบปฏิบัติการ เบราเซอร์ และโปรแกรมอีเมล์ทั้งหมด
• เอา ตัวอย่างหรือแฟ้มทดสอบทั้งหมดออกจากแอพพลิเคชั่นและฐานข้อมูล เพราะการติดตั้งเริ่มต้นส่วนใหญ่ไม่ได้คำนึงถึงปัญหาเรื่องความปลอดภัย
• จำกัดสิทธิ์การใช้งานแอพพลิเคชั่นและฐานข้อมูลบนเซิร์ฟเวอร์
• ทบทวน ทดสอบ และแก้ไขฟิลด์สำหรับการตรวจสอบอินพุต
• ปิดกั้นโดเมนที่ทราบว่ามีการเผยแพร่มัลแวร์ สำหรับข้อมูลเพิ่มเติม โปรดดูที่เว็บไซต์ www.malwaredomains.com
• ใช้โปรแกรมสแกนไวรัสที่ต่างออกไปบนเว็บพร็อกซี เพื่อรองรับการรักษาความปลอดภัยหลายระดับ
• ปิดกั้นพอร์ต IRC ซึ่งป้องกันบ็อตเน็ต (Botnet) รุ่นเก่า
• ปิดกั้นพอร์ตที่ไม่เหมาะสมทั้งหมดผ่านพร็อกซี ซึ่งจะสามารถตรวจสอบลักษณะการทำงานที่ไม่เปิดเผยชื่อผู้ใช้ได้
• ใช้การปิดกั้นเว็บเพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงไซต์อันตรายที่ไม่ได้รับอนุญาต
• สังเกต คำร้องขอ DNS ขอออกไปยังอินเทอร์เน็ต เพราะอาจบ่งชี้ว่ามัลแวร์บนเครื่องคอมพิวเตอร์ของเหยื่อกำลังพยายามที่จะ ข้ามเซิร์ฟเวอร์ DNS ที่ถูกต้อง
• ใช้เบราเซอร์แบบ No Script เช่น Firefox Noscript หรือ IE หรือปิดการใช้งาน ActiveX
• ระวังเอกสารสำนักงานในอีเมล์โดยเฉพาะอย่างยิ่งจากแหล่งที่หลอกลวง หาก IP ต้นทางไม่ตรงกับข้อมูลในส่วนเฮดเดอร์ให้ลบอีเมล์นั้นทันที

ที่มาบทความ  http://www.mvt.co.th

หากท่านสงสัยว่าเครื่องของท่านมีไวรัสชนิดนี้หรือป่าวลองตรวจสอบตามบทความนี้ครับ
Check ว่ามีแฟ้ม c:\windows\system32\explorer.exe โผล่ขึ้นมามั้ย แฟ้มนี้ปกติต้องอยู่ที่ c:\windows\ เท่านั้น ที่อื่นแน่นอน

วิธีแก้
เครื่องมือ:

1. Process Viewer: http://www.teamcti.com/pview/PrcView_5_2_15.zip
2. แผ่นติดตั้ง Windows ที่คุณกำลังใช้อยู่ (เอา service pack เดียวกันก็พอครับ) [ใครใช้ XP service pack 3 อยู่ ด้านล่างมี link ครับ]
3. โปรแกรม Winrar

วิธีแก้ไขนะครับ

1. ปิดโปรแกรมที่รันอยู่ให้หมด
2. start > run > cmd พอเปิดหน้าจอ command prompt ขึ้นมาได้แล้ว พับเก็บไว้ก่อน
3. เสียบแผ่น cd ติดตั้ง windows เข้าไป แล้วก็เปิดเข้าไปใน folder i386 หาแฟ้มชื่อ Explorer.ex_ ให้ก๊อปปี้ออกมา แล้ว rename เป็น explorer.cab
4. เปิดแฟ้ม explorer.cab ด้วย Winrar แล้วพับหน้าจอเก็บไว้
5. เปิดโปรแกรม Process Viewer ขึ้นมา จะได้หน้าจออย่างนี้หา process ชื่อ Explorer.exe ให้เจอ ตรงช่อง Full Path มันควรจะเป็น c:\windows\system32\explorer.exe นะครับคลิกเลือกเป็นแถบน้ำเงิน แล้วกดปุ่ม delete (หรือกดตรง icon กากบาทสีแดงๆ ตรง toolbar ด้านบนก็ได้)
   มันจะขึ้นหน้าจอคำถามแบบนี้ ให้กดปุ่ม kill ได้เลยครับ กดแล้ว task bar (แถบตรงปุ่ม start) จะหายวับไปกับตา อย่าตกใจครับอย่าตกใจ
6. กด alt แช่ไว้แล้วกดปุ่ม tab จนมันเลือกที่หน้าจอดำๆ แล้วปล่อยปุ่ม alt ที่หน้าจอ command prompt พิมพ์ del c:\windows\system32\explorer.exe แล้วกด enter แล้วพิมพ์ del c:\windows\explorer.exe แล้วกด enter
7. จากนั้นกด alt แช่ไว้แล้วกดปุ่ม tab จนมันเลือกที่ icon ของ winrar แล้วปล่อยปุ่ม alt
   กดปุ่ม extract all แล้วเลือก path เป็น c:\windows\ แล้วกด OK
8. กลับมาที่หน้าจอดำๆ ตะกี้ พิมพ์ explorer แล้วกด enter ครับ
9. แถบ start menu ควรจะกลับมาเหมือนเดิม และไม่ควรจะมีแฟ้ม c:\windows\system32\explorer.exe อยู่อีกแล้ว
10. ถึงตรงนี้ให้ restart เครื่องครับ เรียบร้อยและ

วิธีการนี้แหล่งที่มาบทความจาก http://www.thaihosttalk.com

ระมัดระวังกันนิดนึงนะครับ สำหรับผู้ที่พัฒนาเว็บไซต์ เว็บไซต์คุณอาจจะเป็นเว็บเผยแพร่เว็บไซต์โดยไ่ม่รู้ตัวครับ