Perrun ไวรัสเกาะไฟล์รูป jpeg
หัวข้อ:
Perrun ไวรัสเกาะไฟล์รูป jpeg
การติดตั้งตัวเองของหนอน Yaha.F
หากเราหลงเชื่อและเรียกใช้ไฟล์แนบท้ายจดหมายเจ้าหนอน Yaha.F ก็จะขึ้นมาทำงานอยู่บนหน่วยความจำ หลังจากนั้นมันจะเริ่มกระบวนการติดตั้งตัวเองดังนี้ มันจะสร้างสำเนาของตัวมันเอาไว้ที่ไดเรกทอรีของ Recycled Bin หรือไดเรกทอรีของ Windows ในเครื่องของเราโดยใช้ชื่อไฟล์เป็นตัวอักษร 4 ตัวที่เลือกสุ่มขึ้นมา และทำการแก้ไข registry เพื่อตั้งค่าให้มีการเรียกใช้งานมันโดยแก้ไขค่า registryHKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand
โดยการลบค่าเก่าทิ้งและเปลี่ยนค่าเป็น
WormName]" %1 %*
ซึ่งจะส่งผลให้ตัวมันถูกเรียก ขึ้นมาทำงานบนหน่วยความจำทุกครั้งที่เราเรียกใช้งานไฟล์ชนิด .exe ครับ นอกจากนี้มันยังสร้างไฟล์ข้อความ (ชนิด .txt) ที่มีชื่อแบบสุ่มเอาไว้ในไดเรกทอรีของวินโดวส์ อีกด้วยซึ่งในไฟล์ดังกล่าวมีข้อความที่ระบุถึงชื่อของผู้พัฒนาไวรัสนี้ขึ้น มาครับ
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK shites
bY
sNAkeeYes,c0Bra
<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
ในขณะที่เราเรียกใช้ไฟล์แนบท้ายนั้นเจ้าไวรัสหนอนอาจแสดงกรอบข้อความขึ้นมา โดยข้อความในกรอบนั้นจะเลือกจากข้อความดังต่อไปนี้
 |
| รูปที่ 1 ภาพ Screen Saver ที่ไวรัสแสดงขึ้นมาบนจอ |
หรือ เจ้าหนอน Yaha.F อาจแสดง Screen Saver ขึ้นมาบนจอภาพ ส่วนประกอบในรูปจะมีการเลื่อนขึ้นลง รูปที่ 1 แสดงตัวอย่างของรูปที่ไวรัสแสดงขึ้นมาครับ รูปที่ 1
การแพร่กระจายตัวเองของหนอน Yaha.F
หนอน W32.Yaha.F@mm จะทำการค้นหาและรวบรวมชื่ออีเมล์แอดเดรสจากสมุดรายชื่อของวินโดวส์, รายชื่อในโปรแกรม MSN Messenger , contact list ของโปรแกรม Yahoo Pager, ฐานข้อมูลของโปรแกรม ICQ, และไฟล์ต่างๆ ในเครื่องของเราที่มีนามสกุลประกอบด้วยอักษร "ht" หลังจากนั้นมันจะส่งจดหมายอิเล็กทรอนิกส์ออกไปยังชื่อที่มันรวบรวมมาได้ เหล่านี้ โดยแฝงตัวเองไปในรูปของไฟล์แนบท้ายจดหมาย เจ้าหนอน Yaha.F มีเอนจิ้นในการทำโพรโตคอล SMTP อยู่ในตัวของมันเองโดยในขั้นแรกมันจะหาชื่อ SMTP Server ที่เป็นค่า default ในเครื่องของเราจากค่า registryHKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts
ถ้า หากมันไม่พบข้อมูลดังกล่าวมันก็จะใช้ค่า SMTP Server address ที่เก็บอยู่ในตัวโปรแกรมของมันแทน นอกจากนี้มันยังเก็บสำเนาของตัวมันที่ถูกเข้ารหัสในรูปของ MIME ไว้ในไฟล์ชื่อ kitkat ในไดเรกทอรี TEMP ซึ่งจะถูกใช้ขณะที่มันแพร่ระบาดตัวเองออกไปทางจดหมายอิเล็กทรอนิกส์
ฤทธิ์เดชของไวรัสหนอน Yaha.F
เจ้าไวรัสหนอน Yaha.F ไม่มีอันตรายโดยตรงเพราะมันไม่ได้ทำลายข้อมูลหรือโปรแกรมในเครื่องของเราเลย อย่างไรก็ตามการแผลงฤทธิ์ของมันอาจสร้างอันตรายทางอ้อมให้กับเราได้เพราะ เจ้าหนอน Yaha จะพยายามยกเลิก (disable) การทำงานของโปรแกรมตรวจสอบไวรัสที่ตั้งให้ทำงานเมื่อเราเรียกใช้ไฟล์ชนิด ต่างๆ โดยการหยุดการทำงานของ process ใดๆ ที่ active อยู่ในหน่วยความจำ นอกจากนั้นเจ้าหนอนก็ยังพยายามหยุดการทำงานของโปรแกรมประเภท FireWall ด้วย รายชื่อของ process ที่หนอน Yaha หยุดการทำงานคือการที่มันหยุดการทำงานของโปรแกรมตรวจ สอบไวรัสและโปรแกรมประเภท FireWall นี่เองที่ทำให้ผู้ผลิตโปรแกรมตรวจสอบไวรัสพากันเตือนให้ผู้ใช้ตามบ้านระวัง ไวรัส Yaha มากเป็นพิเศษเพราะมันจะปล่อยให้เครื่องคอมพิวเตอร์ของเราปราศจากการป้องกัน ใดๆ และอาจกลายเป็นเหยื่อของไวรัสตัวอื่นๆ ในเวลาต่อมาได้โดยง่าย
ในบางกรณีเจ้าไวรัสอาจใช้จุดโหว่ด้านความปลอดภัยเรื่อง Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Vulnerability ด้วย ถ้าหากจดหมายที่ไวรัสแฝงมานี้ถูกเปิดอ่านด้วยโปรแกรมไมโครซอฟท์เอาต์ลุก หรือโปรแกรมเอาต์ลุกเอ็กซ์เพรสที่ยังไม่ได้รับการติดตั้งโปรแกรม patch ไฟล์แนบท้ายจดหมายซึ่งก็คือโปรแกรมของไวรัส Yaha.F นั่นเองก็จะถูกประมวลผลโดยอัตโนมัติ ข้อมูลเกี่ยวกับจุดบกพร่องด้านการรักษาความปลอดภัยเรื่องนี้และโปรแกรม patch เพื่อแก้ไขจุดโหว่ดังกล่าวสามารถดาวน์โหลดได้จาก
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ความคิดเห็น
ประกาศล่าสุดในบอร์ดเดียวกัน
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา
14 ปีที่ผ่านมา