เตือนภัยผู้ใช้คอมฯระวังไวรัสเวิร์ม-โทรจันสายพันธุ์ใหม่
หนังสือพิมพ์ไทยรัฐ 2 กันยายน 2547
บริษัท แพนด้า ซอฟต์แวร์ จำกัด รายงานสถานการณ์การเฝ้าระวังไวรัสคอมพิวเตอร์ล่าสุดว่า ขณะนี้มีไวรัสสายพันธุ์และโทรจันออกอาละวาด สร้างความเสียหายให้แก่ผู้ใช้คอมพิวเตอร์ทั่วโลก
โดยเวิร์มตัวแรก ได้แก่ Sasser.G ที่แพร่กระจายผ่านทางอินเทอร์เน็ต คอมพิวเตอร์ที่อยู่ในระยะไกล และอาศัยช่องโหว่ LSASS ได้ เวิร์มชนิดนี้ จะส่งการสืบค้น ICMP ไปยังไอพีแอดเดรสที่ได้จากการสุ่มโดยผ่านพอร์ต TCP ที่ 445 Sasser.G สามารถแพร่กระจายโดยอัตโนมัติในคอมพิวเตอร์ที่ใช้ Windows XP/2000 เท่านั้น แต่หากผู้ใช้เปิดไฟล์ของ Sasser.G ในระบบปฏิบัติการอื่น ไวรัสนี้ก็สามารถทำงานได้เช่นกัน ที่สำคัญ Sasser.G สามารถแพร่กระจายโดยใช้ช่องโหว่ LSASS โดยทำให้เกิดปัญหาบัฟเฟอร์ล้นในโปรแกรม LSASS.EXE เป็นผลให้คอมพิวเตอร์ต้องรีสตาร์ทตัวเอง
ฝ่ายข้อมูลไวรัส บริษัท แพนด้า ซอฟต์แวร์ รายงานอีกว่า เวิร์ม หรือหนอนเจาะระบบ Gaobot.AIR จะสร้างประตูหลังขึ้นในระบบ และมีวิธีการแพร่กระจายตัวเองได้หลายวิธี เช่น อาศัยช่องโหว่ LSASS, RPC DCOM และ WebDAV ในการแพร่กระจายผ่านทางอินเทอร์เน็ต ทำสำเนาตัวเองในทรัพยากรที่ใช้ร่วมกันในเครือข่ายที่ไวรัสเข้าไปถึง เข้าสู่ระบบที่ติดตั้ง SQL Server ไว้โดยปล่อยให้รหัสผ่านของผู้ดูแลระบบ (SA) เว้นว่าง เข้าสู่คอมพิวเตอร์ที่ติดตั้งโปรแกรมควบคุมจากระยะไกล DameWare Mini Remote Control program และคอมพิวเตอร์ที่ติดแบ็คดอร์โทรจัน เช่น Optix, NetDevil, Kuang และ SubSeven Gaobot.AIR ทำให้ผู้ไม่หวังดีสามารถควบคุมคอมพิวเตอร์ได้จากระยะไกล และดำเนินการต่างๆ ได้เช่น เรียกใช้คำสั่งต่างๆ ดาวน์โหลดและเปิดไฟล์ รวมทั้งจับข้อความที่ป้อนผ่านทางแป้นพิมพ์
ส่วน โทรจัน MhtRedir.S ที่แพร่กระจายผ่านทางช่องโหว่ โดยมีการกล่าวถึงใน Microsoft bulletin MS04-013 ว่า โทรจันชนิดนี้ จะทำงานเมื่อผู้ใช้เข้าสู่เว็บเพจที่มีชุดคำสั่งไม่ถูกต้องแอบแฝงอยู่ ในการทำงาน MhtRedir.S จะเชื่อมต่อไปยังเว็บเพจบางแห่งเพื่อดาวน์โหลดไฟล์ HELP.CHM ไฟล์นี้มีโทรจัน StartPage.JL แฝงอยู่ โดยโทรจันจะแก้ไขหน้าหลักของ Internet Explorer และตัวเลือกในการค้นหาอัตโนมัติ
นอกจากนี้ ยังมีไวรัส Shruggle.1318 ที่ข้อมูลของ แพนด้า ซอฟต์แวร์ รายงานว่า ไม่สามารถแพร่กระจายด้วยตนเองโดยอัตโนมัติได้ แต่จะแฝงตัวอยู่ในไฟล์เพื่อรอการแพร่ไปยังคอมพิวเตอร์เครื่องอื่นโดยทางฟล็อปปี้ดิสก์ อีเมล์พร้อมไฟล์แนบ ไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ต ไฟล์ที่ส่งผ่าน FTP, IRC channels และเครือข่ายแชร์ไฟล์แบบ P2P (peer-to-peer) เป็นต้น Shruggle.1318 จะแพร่ระบาดเข้าสู่ไฟล์ PE และ DLL (Dynamic Link Library) ในระบบปฏิบัติการ Windows 64-bit ที่ใช้กับหน่วยประมวลผลของ AMD