ไวรัสเวิร์ม Korgo: การทดลองมหันตภัย

ไวรัสเวิร์ม Korgo: การทดลองมหันตภัย

ไวรัสเวิร์มในตระกูล Korgo จากลักษณะบางอย่างในหลายสายพันธุ์ที่ตรวจพบ เราพบว่าผู้ผลิตไวรัสกำลังพยายามแก้ไขไวรัสนี้ให้สามารถสร้างความเสียหายร้ายแรง เพื่อทำให้ผู้ใช้ประหลาดใจ

ในตอนแรก คิดว่า Korgo.A เป็นเพียงสำเนาของของ Sasser เท่านั้น เนื่องจากมีลักษณะคล้ายกันตรงที่จู่โจมผ่านช่องโหว่ LSASS เพื่อการแพร่กระจายในอินเทอร์เน็ต ข้อแตกต่างกับ Sasser อยู่ที่ไวรัสเหล่านี้จะพยายามไม่ปรากฏตัวเมื่อเข้าสู่คอมพิวเตอร์ได้แล้ว ผู้ใช้จึงไม่สามารถสังเกตเห็นอาการบ่งชี้ต่างๆ เช่น การรีสตาร์ทอย่างต่อเนื่องในเครื่องที่ติดไวรัส ไวรัสนี้บางสายพันธุ์สามารถลบไฟล์บางไฟล์ เปิดพอร์ตสื่อสารและพยายามเชื่อมต่อไปยัง IRC servers หลายแห่ง

ลักษณะที่สำคัญอีกประการหนึ่งของไวรัสนี้คือ บางสายพันธุ์จะใช้ mutex (mutual exclusion objects) เพื่อควบคุมการใช้ทรัพยากรของระบบ และป้องกันกระบวนงานที่ใช้ทรัพยากรเดียวกันทำงานพร้อมกันมากกว่าหนึ่งกระบวนงาน โดย mutex ที่ไวรัสนี้สร้างขึ้น มีชื่อว่า “utermXX” (XX เป็นเลขลำดับง่ายๆ) ดังนั้น เมื่อ Korgo.C ใช้ mutex ที่ชื่อ “utwrm7”, Korgo.J จะใช้ mutex ชื่อ “uterm12”

ไวรัสเหล่านี้จะแก้ไขค่าใน Windows Registry โดยสายพันธุ์ใหม่แต่ละสายพันธุ์จะลบการเปลี่ยนแปลงที่สายพันธุ์เิดิมได้กระทำไว้ แล้วเพิ่มการเปลี่ยนแปลงใหม่ลงไป นั่นหมายความว่าลำดับที่สร้างไวรัสนี้สามารถตรวจสอบได้จากการเปลี่ยนแปลงที่ไวรัสได้กระทำ เช่น Korgo.D จะลบข้อมูลที่ Korgo.F สร้างขึ้น ซึ่งชี้ให้เห็นอย่างหนึ่งว่า แท้ที่จริงแล้ว Korgo.D สร้างขึ้นภายหลัง Korgo.F

จุดมุ่งหมายของการสร้างไวรัสเหล่านี้ยังไม่ปรากฏแน่ชัด นาย Luis Corrons หัวหน้าศูนย์วิจัย PandaLabs อธิบายว่า “ปริมาณงานที่ป้อนลงไปในการพัฒนาไวรัสเวิร์ม Korgo บอกเราว่านี่ไม่ใช่แค่การเ่ล่นสนุกของใครสักคน และไม่ใช่ไวรัสประเภทที่แพร่ระบาดให้มากๆ และเร็วๆ เข้าไว้ เนื่องจากไวรัสนี้จะลบข้อมูลของสายพันธุ์เดิมออก”

ดูเหมือนว่าผู้ผลิตไวรัสนี้กำลังพยายามปรับปรุงไวรัสของตนเพื่อสร้างความเสียหายร้ายแรงให้ผู้ใช้ประหลาดใจ ไม่เช่นนั้นก็กำลังก่อมหันตภัย “เงียบ” เนื่องจากลักษณะที่สำคัญอย่างหนึ่งของไวรัส Korgo คือ สามารถดำเนินการต่างๆ ได้โดยที่ผู้ใช้ไม่ทันสังเกต

รายละเอียดประการหนึ่งที่ดูจะขัดแย้งกันในตัวคือ ทั้งๆ ที่ผู้ผลิตไวรัสใช้เทคนิคอันชาญฉลาด แต่ Korgo กลับใช้ช่องโหว่ LSASS ในการแพร่กระจาย ซึ่งหากผู้ใช้ติดตั้งโปรแกรมเสริมเพื่อแก้ปัญหานี้แล้ว ไวรัสจะไม่สามารถแพร่กระจายได้อีกต่อไป เรื่องนี้อาจไม่ใช่ปัญหาสำหรับผู้ผลิตไวรัสดังกล่าว ดังที่นาย Corrons อธิบายว่า "ผู้ผลิตไวรัสอาจจู่โจมผ่านช่องโหว่อื่นที่มีการค้นพบได้ เราจึงแนะนำให้จับตาดูสายพันธุ์ใหม่ๆ ซึ่งต้องปรากฏขึ้นแน่นอนอย่างไม่ต้องสงสัย ยิ่งจับผู้ผลิตไวรัสได้เร็วเท่าใดก็ยิ่งดี”

เพื่อป้องกันภัยจากไวรัสเิวิร์ม Korgo ทาง Panda Software จึงขอแนะนำให้ผู้ใช้เพิ่มความระมัดระวัง และอัพเดตโปรแกรมป้องกันไวรัสของตนโดยทันที และเพื่อป้องกันมิให้ Korgo เข้าสู่ระบบได้ ผู้ใช้จำเป็นต้องลงโปรแกรมเสริมจาก Microsoft เพื่อแก้ปัญหา LSASS โดยสามารถดาวน์โหลดได้จาก

http://www.microsoft.com/technet/security/…n/MS04-011.mspx

หรือ

http://www.thaihosttalk.com/index.php?showtopic=461