หนอนใหม่มาอีกแล้ว แพร่พันธุ์ทางไอเอ็ม

หนอนใหม่มาอีกแล้ว แพร่พันธุ์ทางไอเอ็ม
S! Hitech

สนับสนุนเนื้อหา

สำนักข่าวไอดีจีรายงานว่าสามารถตรวจพบหนอนเวอร์ชันใหม่ที่มีต้นตอมาจากเครื่องเว็บเซิร์ฟเวอร์หลายเครื่องในประเทศรัสเซีย อูรุกวัยและสหรัฐฯ ที่รันระบบปฏิบัติการของไมโครซอฟท์ จากการตรวจสอบพบว่าเว็บเซิร์ฟเวอร์เหล่านี้ติดเชื้อมาตั้งแต่ช่วงเดือนมิถุนายน แพร่พันธุ์โดยอาศัยข้อความไอเอ็มเป็นตัวลวงให้ยูสเซอร์หลงกลคลิกลิงค์เข้ามายังเว็บไซต์ที่มีโฮสต์ในประเทศเหล่านี้ หนอนนี้มีผลทำให้หน้าโฮมเพจเว็บเบราเซอร์ หรือหน้าเพจเสิร์ชอีเมลของโปรแกรมเอาท์ลุคในเครื่อง กลายเป็นเว็บไซต์ลามกอนาจาร ธอร์ ลาร์โฮล์ม (Thor Larholm) นักวิจัยอาวุโสด้านซีเคียวริตี้ของ PivX Solutions แห่งย่าน Newport Beach แคลิฟอร์เนีย กล่าวว่ากลุ่มนักวิจัยจาก PivX Solutions เป็นผู้ดักจับโค้ดหนอนคอมพิวเตอร์นี้ได้ โดยโค้ดที่ดักจับได้นั้นมีลักษณะเดียวกับโค้ดของหนอน "Scob" หรือ "Download.ject" หนอนไวรัสที่เคยออกอาละวาดในเดือนมิถุนายน แต่สิ่งที่แตกต่างก็คือการอาศัยข้อความไอเอ็ม (instant message (IM) : ข้อความที่ส่งไปทางโปรแกรมที่ให้ผู้ใช้สามารถส่งถึงกันเพื่อคุยตอบโต้กันในแบบเรียลไทม์ ผ่านเครือข่ายอินเทอร์เน็ต) จำนวนมากเพื่อล่อยูสเซอร์ให้เข้ามายังเว็บไซต์ที่มีโค้ดนี้ฝังอยู่ วิธีการแพร่กระจายของหนอนชนิดนี้ก็คล้ายกับหนอน Download.ject เดิม เพราะมีการล่อยูสเซอร์ให้เข้าสู่เว็บไซต์ ด้วยโค้ดที่มุ่งโจมตีผู้ใช้ไออี (Microsoft Internet Explorer) และเอาท์ลุค (Outlook) แม้ว่าในขณะนั้นไมโครซอฟท์จะออกชุดแพตช์ออกมาซ่อมจุดอ่อนนี้ในไออีและเอาท์ลุคแล้ว แต่การแพร่กระจายก็ยังคงลุกลามไปยังเครื่องที่ไม่ได้อัปเดท ชุดแพตช์นี้ไมโครซอฟท์ออกมาเมื่อปี 2003 ได้แก่ M3-025 และ MS03-040M อย่างไร การป้องกันหนอน Download.ject หรือ Scob เกิดขึ้นเมื่อวันที่ 24 เดือนมิถุนายน หนอน Scob ที่ออกมาถูกกล่าวหาว่าเป็นฝีมือของแฮคเกอร์ชาวรัสเซีย ในนามกลุ่ม "HangUP team" หนอนนี้ใช้ช่องโหว่ที่ปัจจุบันถูกอุดไปแล้วด้วยการป้องกันการเกิดบัฟเฟอร์โอเวอร์โฟล์ว (buffer overflow) โดยไมโครซอฟท์ได้ปรับปรุงการเข้ารหัส Secure Sockets Layer ในระบบปฏิบัติการ Windows 2000 ที่รัน Internet Information Server Version 5 ที่นิยมใช้กันบนเว็บเซิร์ฟเวอร์ เหล่าบริษัทที่ใช้ IIS เวอร์ชัน 5 และยังไม่ได้อัปเดทชุดแพตช์ล่าสุด MS04-011 จึงมีความเสี่ยงในการติดเชื้อหนอนชนิดนี้อย่างยิ่ง การแพร่หลายของหนอนเมื่อเดือนมิถุนายนนั้น อาศัยจุดอ่อนของวินโดวส์และไออี เพื่อหาช่องทางเข้าไปรันโค้ดที่ถูกส่งมาจากเซิร์ฟเวอร์ IIS หลังจากที่ได้เข้าไปในเว็บไซต์นั้นๆ โดยมีโปรแกรมม้าโทรจันที่คอยเก็บข้อมูลทั่วไป ซึ่งจะดาวน์โหลดอัตโนมัติเมื่อยูสเซอร์หลงเข้ามาในเว็บไซต์ จากนั้นเครื่องจะถูกควบคุมและเปิดแบคดอร์ให้โค้ดสามารถเข้ามารันบนเครื่องได้ การแพร่ระบาดครั้งใหม่นี้ ใช้ข้อความไอเอ็มเป็นตัวล่อ ข้อความไอเอ็มจะถูกส่งไปยังผู้ใช้โปรแกรม AOL Instant Messenger ของ America Online หรือโปรแกรมไอซีคิว (ICQ) ข้อความเหล่านี้จะมีเนื้อหาเชื้อเชิญให้ผู้รับคลิกลิงค์เว็บเพจที่ส่งมา อย่างเช่นเนื้อความว่า "Check out my new home page!" หลอกให้ยูสเซอร์ลองเข้ามาดูโฮมเพจใหม่ ที่น่าตกใจกว่านั้น คือข้อความเหล่านี้ อาจจะส่งมาจากคนแปลกหน้าหรือปลอมตัวมาในรูปคนคุ้นเคยก็ได้ ลาร์โฮล์มกล่าวกับสำนักข่าวไอดีจี เมื่อยูสเซอร์หลงคลิกเข้าไปในลิงค์เว็บไซต์ที่มีโฮสต์อยู่ใน อุรุกย รัสเซีย และสหรัฐฯ เมื่อนั้นเครื่องจะดาวน์โหลดโปรแกรมม้าโทรจันมาโดยอัตโนมัติ เช่นเดียวกับวิถีการระบาดเมื่อเดือนมิถุนายน อาการหลังติดเชื้อ ต่อมาก็จะเป็นขั้นตอนการเปิดแบคดอร์ (back door) บนเครื่องของเหยื่อ ซึ่งจะเป็นการเปิดทางให้โค้ดหนอนสามารถเข้ามารันบนเครื่องได้ โดยจะเปลี่ยนแปลงหน้าโฮมเพจเว็บเบราเซอร์ หรือหน้าเพจเสิร์ชอีเมลของโปรแกรมเอาท์ลุค ให้กลายเป็นเว็บไซต์ลามกอนาจารหรือที่เรียกกันว่า เว็บไซต์เนื้อหาผู้ใหญ่ PivX ยังคงวิเคราะห์การแพร่พันธุ์ของโค้ดชุดนี้ต่อไป เบื้องต้นนั้นสามารถสังเกตได้ว่า กลุ่มที่โดนโค้ดชุดนี้เล่นงานอยู่นั้นเป็นกลุ่มเดียวกับที่โดนหนอน Scob เล่นงานไปเมื่อเดือนมิถุนายน ลาร์โฮล์มกล่าวอีกครั้ง สำหรับความคืบหน้ารายละเอียดจำนวนผู้ติดเชื้อและวิธีการแก้ไข ยังไม่มีการรายงานเพิ่มเติมในขณะนี้