Ghost Malware

malware หน้าผี

เมื่อวานนี้ผมได้ร้องเรียนจาก เพื่อนสมาชิกให้ผม สืบหาไวรัสหน้าผี ให้ที ผมคิดต่อไปว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล และค้นคว้าว่าผีใน Internet หน้าตาเป็นเช่นไร

เอาละครับเรามาดูกันว่าว่าคอมพิวเตอร์ นอกจากจะมีไวรัส แล้วยังมีผีอีกเหรอ ด้วยความอยากรู้ผมจึงขอข้อมูล

ค้นไปพบว่ามีการ post กระทู้ไวรัสหน้าผี ใน pantip.com

ผมถามคนที่ติดไวรัสหน้าผี ว่าติดจากที่ไหน เขาก็บอกว่าให้ไปดูที่ web

web มานีมีตา ชื่อ web ก็ไม่น่าเข้าแล้วนะครับ แถมมีรูปให้ download กันอีกมากมาย ผู้ติดไวรัสกล่าวว่า ได้เลือก download file รวมภาพของ windows2000/XP

เอาล่ะเรามา Forensics กัน

1. ผมเริ่มเตรียมเครื่องใหม่ เพื่อจำลองสถานะการณ์ ลง windowsXP ที่ยังไม่มี program อะไร

2. ลง Tools ในการ Forensics เบื้องต้น ประกอบด้วย

FileMon , Regmon , Procexp , TCPview ใช้ 4 โปรแกรม ของ sysinternals

3. ตรวจสภาพว่าเครื่องคอมพิวเตอร์ของเราขณะที่ยังไม่ download จาก web ที่กล่าวว่ามีไวรัสหน้าผี

โดยใช้โปรแกรม Procexp

process ปกติเมื่อลงเครื่อง WindowsXP

ตรวจดูที่สภาวะการเปิด port connect และโปรแกรมต่างๆ

พบว่ามีการเปิด port ปกติดังนี้พบว่ามีโปรแกรมที่รอ connect เมื่อติดต่อ internet อยู่ คือ alg.exe , IEXPLORE.exe ,lsass.exe และ svchost.exe

เราจดและจำค่าพื้นฐานไว้นะครับ

4. เริ่มดาวโหลดโปรแกรมต้องสงสัย

เราดาวโหลดโปรแกรมรวมภาพ2/winxp/2000 file ชื่อว่า Internet11.com (นามสกุล file ก็ไม่น่าดาวโหลดแล้วครับเป็น .com มาเลย) พอโหลดโปรแกรมเสร็จแล้วดับเบิลคลิกจะพบข้อความดังภาพ เมื่อกด ok รอสักระยะ จะพบว่ามีรูปผีสาวญีปุ่นขึ้นมาแล้วมีเสียงกรีดร้อง เต็มจอ โผล่มาเป็นระยะๆ

5. เราวิเคราะห์ เครื่องกันว่าหลังจากดาวโหลด โปรแกรมดังกล่าวเสร็จแล้ว

มีโปรแกรมที่ชื่อว่า Scanreg.com โผล่มา

เริ่มมากันเยอะเลยครับ ลองเข้าไปดูที่ registry windows ดู

ดูสิครับนี้ยังไม่หมด ฝังใน registry หลายจุดเลย ที่พบหลายจุดเนื่องจากโปรแกรมผีญี่ปุ่นตัวนี้ ทำงานแล้วจะไปสั่งหลายส่วนใน registry windows ทำงานด้วยจาก file Scanreg.com นี้แหละ

7. แล้วเราจะเอามันออกล่ะ

พิมพ์ start -->run แล้วพิมพ์ regedit เข้าไปหน้า Registry Editor พิมพ์ค้นหา Scanreg และเจอตรงไหนให้ลบที่นั้น รู้สึกว่ายิ่งทิ้งนานก็ยิ่งเกาะหลายจุด

เข้าไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache พบว่ามีการสั่ง Start ทุกครั้งเมื่อเปิดเครื่อง เห็นเช่นนี้ก็ทำการลบ ส่วนนี้เสีย

ภาพนี้โชว์ให้เห็นว่าโปรแกรมตัวนี้จะแสดงทุก user ที่ logon เข้าเครื่องและเก็บค่าไว้ที่ startup ทุกครั้งที่เปิดเครื่องใหม่

จากนั้นเครื่องท่านจะกลับมาสงบอีกครั้ง

เท่าที่ผมดูแล้วไม่ใช่ไวรัสคอมพิวเตอร์ แต่เป็นโปรแกรมไม่พึ่งประสงค์หรือที่เรียกว่า malware ที่บอกว่าไม่ใช่ไวรัสคอมพิวเตอร์เนื่องจากยังดูแล้วไม่มีส่วนไหนที่ทำให้เครื่องคอมพิวเตอร์เสียหาย แต่อาจเกิดความลำคาญที่มี ผีโผล่มาทักทุกๆ 20-30 นาที แค่นั้นเอง และไม่ใช่ worm เพราะไม่มีการแพร่เชื้อไปเครื่องอื่น ผมขอเรียกว่า malware หน้าผีแล้วกันนะครับ

วิธีป้องกัน

1. ไม่ควรดาวโหลดโปรแกรมอันใดใน web ที่ไม่น่าเชื่อถือ ดูยากหน่อยนะ เมื่อไม่ทราบ ขอให้เครื่องของท่านมีระบบป้องกันภัยระดับหนึ่งเช่นมี anti-virus , personal Firewall หรือระบบตรวจจับอื่นๆ เสียก่อน และควร Update pacth บน windows บ่อยๆ โดยเฉพาะ patch ของ IE บราวเซอร์ที่เปิด Web นี้แหละครับ

2. เมื่อพบปัญหาเกิดขึ้นที่เครื่องแล้วควรต้องหาสาเหตุอย่างรวดเร็ว ไม่ควรติดแล้วติดเลยไม่แก้ไขเพราะถ้าเป็น worm หรือไวรัสชนิดอื่นที่ทำร้ายเครื่องจนเสียหายไปได้ เช่นเวลาเล่น Internet จะทำให้เครื่องช้ากว่าปกติมาก CPU เต็มบ่อยๆ เป็นต้น

3. ควรมีการ Backup ข้อมูลเป็นระยะๆ

เอาละครับ มาถึงช่วงสุดท้ายแล้ว ก็ขอให้โชคดีสำหรับการเล่น Internet ในยุคปัจจุบัน ซึ่งอุดมไปด้วยภัยคุกคาม แต่หากเรามีความตะหนักในการใช้งาน เราก็ป้องกันตัวเองได้ และอย่างไร ความรู้ของท่านสามารถถ่ายทอดให้กับคนไม่รู้ต่อไป เพื่อสร้างให้สังคม online เราแข็งแรง

ขอทิ้งท้ายอีกนิดครับ สำหรับผู้ดูแล web site ที่ปล่อยไวรัสคอมพิวเตอร์ หรือปล่อยให้ผู้อื่น โพส ข้อความที่ไม่เหมาะสม ควรต้องหันมาดูหน่อยนะครับเพราะว่าในอนาคตอาจมีกฏหมายที่เข้ามาดูแลตรงนี้ และผู้ดูแลระบบควรรับผิดชอบหาก web site ของท่านทำให้ผู้อื่นติดไวรัส หรือทำให้เกิดความเข้าใจผิดในสังคม อาจมีผู้เสียหายเอาฆ้อนมาทุบเครื่อง web server ท่านได้ ในบทความหน้าอาจนำตัวอย่างกฏหมาย Sarbanes-Oxley Act ที่เริ่มพูดถึงเรื่องพวกนี้บ้างแล้วใน อเมริกา

ตรุษจีนนี้ ขอให้มีความสุขทุกคน

นนทวรรธนะ สาระมาน
Nontawattana Saraman

6 กุมภาพันธ์ 2548