Virus กับ Script IFRAME...! ในเดือนมีนาคม 2251 เสิร็ชเอนจิ้นได้แคช (จัดเก็บข้อมูลที่เข้าถึงเป็นประจำไว้ชั่วคราวเพื่อให้เรียกดูได้อย่างง่าย ดาย) เว็บไซต์ที่ถูกต้องหลาย ๆ เว็บไซต์ซึ่งมีไฟล์จาวาสคริปต์ที่เป็นอันตราย การโจมตีนี้ใช้ URL ที่ปรับแต่งเป็นพิเศษเพื่ออัดฉีด IFRAME (หรือเฟรมแบบอินไลน์ (Inline Frame) ซึ่งเป็นองค์ประกอบ HTML ที่รองรับการฝังเอกสาร HTML อื่นไว้ภายในเอกสารหลัก) โดยเป็นคำที่ใช้ในการค้นหา วิธีนี้เป็นการอัดฉีดสคริปต์ไว้ในเว็บเพจที่ถูกต้อง เพื่อรวมส่วนอ้างอิงไปยังไฟล์จาวาสคริปต์ที่เป็นอันตราย ไฟล์ด้งกล่าวปรากฏอยู่ในสองส่วนของ HTML คือที่ส่วนเนื้อความ (Body) หรือส่วนชื่อเรื่อง (Title) และเพื่อป้องกันไม่ให้เจ้าของเว็บไซต์ตรวจพบ โดยปกติผู้บุกรุกจะใช้ส่วนประกอบ HTML ที่มองไม่เห็น เช่น IFRAME ที่มีพิกเซลเป็นศูนย์ เพื่อซ่อนเนื้อหาที่อัดฉีดเข้าไปในเว็บเพจ
แฮ็คเกอร์แทรกโค้ด IFRAME ไว้ในผลลัพธ์การค้นหาที่บันทึกไว้สำหรับเว็บไซต์ที่ถูกกฎหมาย ดังนั้นเมื่อผู้เยี่ยมชมที่ใช้เครื่องมือการค้นหาที่ไม่มีการรักษาความ ปลอดภัยเพียงพอ โค้ด IFRAME ก็จะนำผู้ใช้ไปยังเว็บไซต์อื่น และไซต์ที่สองก็จะแสดงข้อความที่แจ้งผู้ใช้ว่าจำเป็นต้องติดตั้งตัวถอดรหัส (Codec) ใหม่ ถ้าผู้ใช้ยอมรับการติดตั้งนั้น เขาก็จะถูกนำไปยังไซต์อื่น ซึ่งที่จริงแล้่วประกอบด้วยมัลแวร์ (Malware) และไซต์นั้นก็จะติดตั้งมัลแวร์ดังกล่าวลงในคอมพิวเตอร์ของเหยื่อ ถ้าผู้ใช้ปฏิเสธการติดตั้งตัวถอดรหัสนั้น สตริงก็จะถูกยกเลิกและไม่ก่อให้เกิดอันตรายใด ๆ
การโจมตี IFRAME ที่ถูกอัดฉีดขยายขอบเขตกว้างขึ้น โดยอาศัยผลลัพธ์การค้นหาของเว็บไซต์ยอดนิยม ทั้งนี้ถือเป็นแนวทางปฏิบัติโดยทั่วไปในการแคชข้อมูลการค้นหาไว้ในเสริชเอน จิ้นเพื่อเพิ่มประสิทธิภาพในการค้นหา หนึ่งในเว็บไซต์ที่ติดเชื้อก็คือ ZDNet Asia และไซต์อื่น ๆ ในเครือข่าย CNET การดาวน์โหลดในลักษณะดังกล่าวอาจมีมากกว่าการโจมตีในรูปแบบอื่น ๆ เพราะระบบรักษาความปลอดภัยแบบเก่า (เช่น ไฟร์วอลล์ การกำหนดแอดเดรสแบบไดนามิก พร็อกซี) ไม่สามารถสกัดกั้นการติดเชื้อได้ และผู้ใช้ที่ใช้ซอฟต์แวร์โดยไม่มีการติดตั้งแพตช์เพื่อแก้ไขจุดอ่อน ก็มีความเสี่ยงที่จะติดเชื้อได้มากกว่า
ผลกระทบ
มัลแวร์พยายามที่จะขโมยรหัสผ่านและสร้างประตูหลัง (Backdoor) ที่ทำให้สามารถติดตั้งโค้ดแปลกปลอมเพิ่มเติม
ในการเขียน IFRAME ไฟล์จาวาสคริปต์จะใช้สคริปต์ที่โหลดไฟล์ HTML ที่พยายามใช้ประโยชน์จากจุดอ่อนต่าง ๆ เช่น
* MS06-01
* MS06-014
* MS07-004
* MS06-067
* MS06-057
* RealPlayer playlist ActiveX
* Baofeng Storm ActiveX
* Xunlei Thunder DapPlayer ActiveX
* Ourgame GLWorld GlobalLink Chat ActiveX
* Qvod Player ActiveX
มัลแวร์ต่าง ๆ ที่ดาวน์โหลดไปยังคอมพิวเตอร์ของเหยื่อ:
* Downloader-BGX
* Exploit-RealPlay
* JS/Exploit-BO.gen
* VBS/Psyme
* Trojan-Downloader.W32/Zlob.HOG
(ตัวอย่างผลลัพธ์การค้นหาที่มี IFRAME ซึ่งพยายามที่จะนำผู้เยี่ยมชมไปยังเว็บไซต์อันตราย)
การดำเนินการ
ผู้ใช้สามารถปกป้องตนเอง ด้วยการปฏิเสธคำร้องขอใด ๆ สำหรับการดาวน์โหลดตัวถอดรหัสหรือโปรแกรมความปลอดภัยที่ไม่คาดคิด นอกจากนี้ควรปฏิเสธตามคำแนะนำต่อไปนี้
* ติดตั้งไฟร์วอลล์ส่วนบุคคล อัพเดตอย่างสม่ำเสมอ และกำหนดค่าให้ทำการเชื่อมต่อเฉพาะที่จำเป็นเท่านั้น
* ติดตั้งโปรแกรมป้องกันไวรัสและโปรแกรมป้องกันสปายแวร์ และทำการอัพเดตข้อมูลอย่างสม่ำเสมอ
* ติดตั้ง HIPS (Host Intrusion Prevention System) เพื่อป้องกันลักษณะการทำงานที่อาจเป็นอันตรายหรือผิดปกติบนเดสก์ทอป
* อัพเดตแพตช์ของซอฟต์แวร์อย่างสม่ำเสมอ สำหรับบริการเครือข่าย ระบบปฏิบัติการ เบราเซอร์ และโปรแกรมอีเมล์ทั้งหมด
* เอา ตัวอย่างหรือแฟ้มทดสอบทั้งหมดออกจากแอพพลิเคชั่นและฐานข้อมูล เพราะการติดตั้งเริ่มต้นส่วนใหญ่ไม่ได้คำนึงถึงปัญหาเรื่องความปลอดภัย
* จำกัดสิทธิ์การใช้งานแอพพลิเคชั่นและฐานข้อมูลบนเซิร์ฟเวอร์
* ทบทวน ทดสอบ และแก้ไขฟิลด์สำหรับการตรวจสอบอินพุต
* ปิดกั้นโดเมนที่ทราบว่ามีการเผยแพร่มัลแวร์ สำหรับข้อมูลเพิ่มเติม โปรดดูที่เว็บไซต์
www.malwaredomains.com * ใช้โปรแกรมสแกนไวรัสที่ต่างออกไปบนเว็บพร็อกซี เพื่อรองรับการรักษาความปลอดภัยหลายระดับ
* ปิดกั้นพอร์ต IRC ซึ่งป้องกันบ็อตเน็ต (Botnet) รุ่นเก่า
* ปิดกั้นพอร์ตที่ไม่เหมาะสมทั้งหมดผ่านพร็อกซี ซึ่งจะสามารถตรวจสอบลักษณะการทำงานที่ไม่เปิดเผยชื่อผู้ใช้ได้
* ใช้การปิดกั้นเว็บเพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงไซต์อันตรายที่ไม่ได้รับอนุญาต
* สังเกต คำร้องขอ DNS ขอออกไปยังอินเทอร์เน็ต เพราะอาจบ่งชี้ว่ามัลแวร์บนเครื่องคอมพิวเตอร์ของเหยื่อกำลังพยายามที่จะ ข้ามเซิร์ฟเวอร์ DNS ที่ถูกต้อง
* ใช้เบราเซอร์แบบ No Script เช่น Firefox Noscript หรือ IE หรือปิดการใช้งาน ActiveX โปรดดูคำแนะนำเพิ่มเติมที่
www.cert.org/tech_tips/securing_browser/#internet_Explorer * ระวังเอกสารสำนักงานในอีเมล์โดยเฉพาะอย่างยิ่งจากแหล่งที่หลอกลวง หาก IP ต้นทางไม่ตรงกับข้อมูลในส่วนเฮดเดอร์ให้ลบอีเมล์นั้นทันที
* อา เซียนยังคงเป็นแหล่งการโจมตีที่สำคัญ ขณะที่การโจมตีจากเอเชียเหนือและอเมริกาเหนือมีสัดส่วนเพิ่มขึ้น เมื่อเทียบกับไตรมาสสุดท้ายของปี 2007 ส่วนญี่ปุ่นและเกาหลี ยุโรปและรัสเซีย ตะวันออกกลาง และแอฟริกาใต้ มีแนวโน้มเพิ่มขึ้นทั้งหมด เมื่อเทียบกับตัวเลขของไตรมาสที่แล้ว ในขณะที่จำนวนการโจมตีเอเชียใต้ ออสเตรเลียและนิวซีแลนด์ และอเมริกากลางและอเมริกาใต้กลับลดลง
: ช่วงนี้มีเพื่อนๆ ที่ทำเว็บและทำ hosting ที่พอรู้จักกัน หลายๆท่านประสบปัญหาเกี่ยวกับไวรัสตัวนี้ไปฝังในหน้า index หรือกระจายไปทั่ว ตามที่มาและเทคนิค จากข้อมูลเบื้องต้น และตอนนี้ที่ผมรวบรวมและศึกษาข้อมูลอยู่ ยังไม่พบวิธีแก้ไขและป้องกันโดยแน่ชัด
ที่ผมเดาๆเอาเองได้นะตอนนี้ อาจเกิดจากที่ท่านได้ไปเข้าเว็บที่ถูกฝังไวรัสตัวนี้ไว้ และเมื่อท่านเข้าเว็บนั้นๆแล้ว ไวรัสจะเข้าสู่เครื่องของท่านโดยไม่รู้ตัว เมื่อเครื่องของท่านติดไวรัสแล้ว และเวลาท่านแก้ไขเว็บ หรือ upload file ทาง ftp ก็เหมือนกับท่านได้ส่ง virus เข้าสู่ เว็บ หรือ host ของท่านเองโดยไม่รู้ตัว แล้่วลักษณะการแพร่กระจายมันก็จะเป็นแบบนี้ไปเรื่อยๆ นะครับ
เว็บที่ถูกฝังไวรัสประเภทนี้ ที่ผมทดลองใช้ตัว scan virus มาตอนนี้ ก็มี Avast ,AVG, McSfee ที่เจอนะครับ
และหากท่านสงสัยว่าเครื่องของท่านมีไวรัสชนิดนี้หรือป่าวลองตรวจสอบตามบทความนี้ครับ
check ว่ามีแฟ้ม c:\windows\system32\explorer.exe โผล่ขึ้นมามั้ย แฟ้มนี้ปกติต้องอยู่ที่ c:\windows\ เท่านั้น ที่อื่นแน่นอน
วิธีแก้
เครื่องมือ:
1. Process Viewer:
http://www.teamcti.com/pview/PrcView_5_2_15.zip2. แผ่นติดตั้ง Windows ที่คุณกำลังใช้อยู่
3. โปรแกรม Winrar
วิธีแก้ไขนะครับ
1. ปิดโปรแกรมที่รันอยู่ให้หมด
2. start > run > cmd พอเปิดหน้าจอ command prompt ขึ้นมาได้แล้ว พับเก็บไว้ก่อน
3. เสียบแผ่น cd ติดตั้ง windows เข้าไป แล้วก็เปิดเข้าไปใน folder i386 หาแฟ้มชื่อ Explorer.ex_ ให้ก๊อปปี้ออกมา แล้ว rename เป็น explorer.cab
4. เปิดแฟ้ม explorer.cab ด้วย Winrar แล้วพับหน้าจอเก็บไว้
5. เปิดโปรแกรม Process Viewer ขึ้นมา จะได้หน้าจออย่างนี้
หา process ชื่อ Explorer.exe ให้เจอ ตรงช่อง Full Path มันควรจะเป็น c:\windows\system32\explorer.exe นะครับ
คลิกเลือกเป็นแถบน้ำเงิน แล้วกดปุ่ม delete (หรือกดตรง icon กากบาทสีแดงๆ ตรง toolbar ด้านบนก็ได้)
มันจะขึ้นหน้าจอคำถามแบบนี้
ให้กดปุ่ม kill ได้เลยครับ กดแล้ว task bar (แถบตรงปุ่ม start) จะหายวับไปกับตา อย่าตกใจครับอย่าตกใจ
6. กด alt แช่ไว้แล้วกดปุ่ม tab จนมันเลือกที่หน้าจอดำๆ แล้วปล่อยปุ่ม alt
ที่หน้าจอ command prompt พิมพ์ del c:\windows\system32\explorer.exe แล้วกด enter
แล้วพิมพ์ del c:\windows\explorer.exe แล้วกด enter
7. จากนั้นกด alt แช่ไว้แล้วกดปุ่ม tab จนมันเลือกที่ icon ของ winrar แล้วปล่อยปุ่ม alt
กดปุ่ม extract all แล้วเลือก path เป็น c:\windows\ แล้วกด OK
8. กลับมาที่หน้าจอดำๆ ตะกี้ พิมพ์ explorer แล้วกด enter ครับ
แถบ start menu ควรจะกลับมาเหมือนเดิม และไม่ควรจะมีแฟ้ม c:\windows\system32\explorer.exe อยู่อีกแล้ว
ถึงตรงนี้ให้ restart เครื่องครับ เรียบร้อยและ
ส่วนวิธีการตรวจหา script ทางฝั่งเซอร์เวอร์ ตอนนี้ยังไม่ทราบ
