อันตรายจาก Attach File + ไวรัสทาง Mail, MSN, FB

CivilSpice · Last edited by CivilSpice on 04/11/2010 10:15 am; edited 1 time in total

สวัสดีครับทุกท่าน

ว่าจะแวะมาเตือนพวกเราเกี่ยวกับเรื่องนี้มานานละ แต่ไม่มีเวลาและโอกาสเหมาะสักกะที จนกระทั่งปิดเว็บไปพักใหญ่ ก็ไม่รู้จะเตือนยังไงดี วันนี้เลยขอถือโอกาสเอาซะหน่อยละกันนะครับ ผมเชื่อว่าหลายๆ ท่าน คงจะเคยเจอกับปัญหานี้ทางอีเมล์ ก็คือ มีเมล์ที่มีการ Attach File จากเพื่อนสนิท หรือคนคุ้นเคยเองนี่แหล่ะ ส่งเข้ามาที่ Mail Box ของท่าน พร้อมเขียนโฆษณาซะดิบดี หรือเขียนด้วยข้อความที่น่าสนใจ จนเราอดไม่ได้ที่จะเปิดไฟล์นั้นขึ้นมา ด้วยความอยากรู้อยากเห็น ว่าเพื่อนมันส่งอะไรมาให้ แต่หลังจากนั้นเพียงชั่วอึดใจ ไอ้ที่คิดว่าจะเห็นก็ไม่ได้เห็น และกลับกลายเป็นว่าเครื่องคอมพิวเตอร์ของเรา ดันกลายเป็นแหล่งเพาะพันธุ์ไวรัสเข้าให้แล้ว เหอๆๆๆๆ เพราะนอกจากไวรัสจะมาสิงสถิตอยู่ในเครื่องคุณแล้ว มันยังมีความสามารถพิเศษในการแพร่กระจายตัวเองต่อไปยังคนอื่นๆ ด้วย (แถมมันยังปลอมอีเมล์เป็นตัวคุณหรือเพื่อนคุณเองได้อีกต่างหาก เนียนมั้ยล่ะ)

ปัจจุบันไวรัสคอมพิวเตอร์ มีการพัฒนาตัวเองจากเดิมมาก โดยเฉพาะการอาศัยความสะดวกสบายทางอินเทอร์เน็ต ความอยากรู้อยากเห็น ความมักง่ายและความประมาทตามนิสัยของมนุษย์ ทำให้มันแพร่กระจายได้เร็ว จากเดิมที่ติดทางแผ่นดิสก์ เดี๋ยวนี้เพียงแค่ต่อเน็ต เปิดเว็บ เปิดเมล์ แค่คลิกเดียว คุณก็เสียวได้แล้ว หรือแม้แต่ในระบบมือถือ ที่คิดว่าไม่น่าจะมีอะไร ก็โดนไวรัสเล่นงานเสียสะบักสะบอม

เมื่อไวรัสมันแพร่ระบาดได้เร็วอย่างนี้ ก็อย่าหวังเลยครับว่าจะมีใครมาช่วยเป็นหูเป็นตาแทนคุณได้ นอกจากเราจะต้องรู้จักวิธีการป้องกันตัวเองให้เข้มแข็ง และไม่เสียท่าให้เจ้าไวรัสง่ายๆ ก่อนเป็นสำคัญ ดังนั้น จึงขอฝากเตือนทุกๆ ท่านให้ระมัดระวังในเรื่องดังกล่าวด้วย โดยเฉพาะทางอีเมล์ โดยถ้าเห็นเมล์ประหลาดๆ ไม่แน่ใจ แถมยังมี Attach File นามสกุลแปลกๆ ติดมาด้วย เช่น .bat, .pif, .com, .exe หรืออื่นๆ เพื่อความปลอดภัยให้ลบไปก่อนดีที่สุดครับ อีกทั้งที่ลืมไม่ได้ ก็คือต้องอัพเดต Definition ของโปรแกรม Antivirus ประจำเครื่องของท่านอยู่เสมอด้วย

และขอเรียนชี้แจงเพิ่มเติม ณ ที่นี้ด้วยว่า ในระบบอีเมล์ติดต่อไปยังสมาชิกของเว็บไซต์รถไฟไทยดอทคอม จะไม่มีการส่ง Attach File ใดๆ ไปยังสมาชิก เพราะด้วยมาตรฐานด้านความปลอดภัยและความน่าเชื่อถือ หากสมาชิกท่านใดได้รับเมล์ที่มี Attache File พร้อมทั้งเนื้อความในจดหมายแบบแปลกๆ เช่น How are you ?, Hello, Photo to you, Fwd : images และอื่นๆ ให้ลบทิ้งโดยทันที และอย่าเปิดไฟล์ดังกล่าวขึ้นมาเป็นอันขาดนะครับ

อ้อ ... และหลังจากที่คุณได้รับเมล์ที่คาดว่าน่าจะเป็นไวรัสแล้ว สิ่งที่คุณควรจะต้องทำต่อไป ก็คือ ตั้งสติ อย่าเพิ่งโวยวาย หรือตีโพยตีพาย ว่าโดนเพื่อนแกล้ง หรือมีใครคิดอะไรสกปรกๆ กับคุณ เพราะถึงเวลาจริงๆ ที่คุณคุยกับเพื่อน เพื่อนอาจจะบอกว่าเขาไม่รู้อะไรเลยซักกะติ๊ดก็ได้ และคนที่จะเสียก็คือตัวคุณเอง เพราะนอกจากจะถูกตราหน้าว่าเป็นพวกหลังเขา ไม่อัพเดตข่าวสาร IT แล้ว ยังขึ้นชื่อว่าถูกไวรัสมันหลอกเอาให้เจ็บใจเล่นอีกด้วย

เราเตือนคุณแล้วนะ ฮ่าๆๆๆๆๆ

ส่งท้ายด้วยภาพตัวอย่างจาก Mail Box ของผมเองครับ มาจากใครก็ไม่รู้ ไม่เคยรู้จัก บางทีขำกว่านั้น เพราะไวรัสมันเอาอีเมล์ของเว็บไซต์ ส่งกลับมาให้ผมเองอีกด้วย เอากะมันสิ

Click on the image for full size

ติดตามอัพเดตข่าวสารไวรัสต่างๆ ได้ที่

http://thaicert.nectec.or.th
http://www.symantec.com
http://www.mcafee.com
http://www.trendmicro.com
http://www.pandasoftware.com
http://www.avast.com/

alderwood · Posted: 17/07/2006 9:26 pm Post subject:

มีโปรแกรมฆ่าไวรัสดีๆ แต่ไม่หมั่นอัพเดท ก็เหมือนกับปืนที่ไม่มีลูก มีอาวุธดีๆแต่กลับใช้ไม่ได้ อัพเดทโปรแกรม Anti Virus บ่อยๆแล้วกันครับ

pattharachai · Posted: 17/07/2006 9:37 pm Post subject:

ต้องระมัดระวังให้มากเลยครับ ผมเองจะเปิดเมล์แต่ละทีต้องคอยลุ้นว่าจะเจอไวรัสเข้าให้หรือเปล่า

ขอย้ำนะครับ ว่า รถไฟไทยดอทคอม และทีมงาน ไม่มีนโยบายส่งไวรัสไปเยี่ยมใครเด็ดขาด ดังนั้นหากให้ได้รับเมล์ไวรัสที่มาจากเมล์ @rotfaithai.com ก็อย่าเพิ่งโวยวายนะครับว่าเวปไซด์เล่นตลก

อิอิ Laughing

Gunnersaurus · Posted: 17/07/2006 9:44 pm Post subject:

ผมก็เคยได้รับโปรแกรมแก้บล็อกอะไรไม่รู้จากน้องฟางทาง MSN แต่เปิดออกมากลับเป็นโทรจัน ถามเจ้าฟางบอกว่าผมก็ไม่รู้เหมือนกันพี่ อยู่ๆ เครื่องมันก็ส่งไปเอง ผมต้องหาโปรแกรมป้องกันไวรัสตัวใหม่มาลงกันให้วุ่นวายเลยครับ เรื่องนี้ความผิดก็อยู่ที่ผมเองนั่นแหละที่ดันเปิดอะไรออกไปไม่ดูตาม้าตาเรือ โทษใครไม่ได้เลยจริงๆ ว่าแต่ไม่รู้ป่านนี้ฟางกำจัดเจ้าตัวนั้นไปได้หรือยัง

stupid

Main_Reservoir · Posted: 17/07/2006 9:49 pm Post subject:

alderwood · Posted: 17/07/2006 10:53 pm Post subject:

Air_Reservoir · Posted: 17/07/2006 11:54 pm Post subject:

ปกติถ้าเจอเมล์ประเภทนี้ก็ไม่เคยเปิดอยู่แล้ว ลบทิ้งอย่างเดียว แต่ที่บ้านก็ไม่ได้ลงโปรแกรม Anti virus ทั้งหลายอยู่แล้ว (เนื่องด้วยขี้เกียจลง) แต่ก็อุตสาห์รอดปากเหยี่ยวปากกาได้ทุกที อิอิ อ้อ แล้วปกติก็ไม่เคยส่งเมล์พวกนี้ไปให้ใครต่อใครด้วย ส่วนถ้าใครได้ ก็ตัวใครตัวมันล่ะค้าบบบบบบ 5555
_________________
ขบวนรถด่วนพิเศษที่ 13 กรุงเทพ - เชียงใหม่, สถานีห้างฉัตร, จังหวัดลำปาง
Click on the image for full size

nOo-Neung · Posted: 18/07/2006 12:40 am Post subject:

เดี๋ยวนี้ virus ติดมาทาง usb handy drive ก็เยอะครับ ไปเสียบเครื่องที่ไหนๆ เอากลับมาบ้าน เจอทุกทีเลย Sad

Sammy · Posted: 18/07/2006 1:32 am Post subject:

ต้องหมั่นอัพเดทโปรแกรม Antivirus เป็นประจำ ถ้าเจอเมล์ไหนที่ไม่รู้จัก ลบอย่างเดียว เพื่อความปลอดภัยในทรัพย์สินครับ Wink

CivilSpice · Posted: 30/07/2006 10:36 pm Post subject:

พอดีวันนี้ แว่บเข้าไปอ่านข่าวสารอัพเดตเพิ่มเติมเกี่ยวกับไวรัส เลยขออนุญาตหยิบเอาข้อมูล
ของเจ้าไวรัส ตัวที่มันส่งอะไรประหลาดๆ มาที่เมล์ของผมให้ทราบกันครับ ว่ามันชื่อว่าอะไร
และมีพิษสงอะไรบ้าง (ภาษาอังกฤษนะครับ ยังไม่ได้แปล)

ข้อมูลจาก http://www.avast.com/eng/win32-vb-cd-alias-kamasutra.html

Name : Win32:VB-CD alias Kamasutra

The worm Win32:VB-CD [Wrm] or Win32:VB-CD2 [Wrm] is a mail worm known also as Nyxem-E, Blackmal-F, MyWife-D or Grew or (perhaps locally and usually in news) as Kamasutra.

This worm spreads by e-mail and by network shares. It kills processes of miscelaneous antivirus and security programs and deletes files of them. The worm is destructive, tries to delete files of certain types every 3-rd day in month.

When executed, the worm creates one of the listed files:

%windows%\Rundll16.exe
%system%\New winzip file.exe
%system%\sample.zip
%system%\winzip_tmp.exe
and files:

%system%\scanregw.exe
%system%\update.exe
%system%\sample.zip
%system%\winzip.exe

The worm is autostarted with Windows using the registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Its item „ScanRegistry” has the value “%System%\scanregw.exe /scan”

The worm collects mail addresses from documents on the infected computer. The infected mail has one of the Subjects:

*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny : )
Fw: Picturs
Fw: Sexy
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
the file
Word file
You Must View This Videoclip!

The infected attachment is in the file named

007.pif
04.pif
677.pif
document.pif
DSC-00465.Pif
eBook.PIF
image04.pif
New_Document_file.pif
photo.pif
School.pif

Sometimes, the attachment is MIME encoded and uses one of the names

3.92315089702606E02.UUE
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
eBook.Uu
Original Message.B64
SeX.mim
Sex.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu

In such case, special tool is needed to unpack and execute the worm.

On every 3-rd day of month, the worm tries to delete data files with the extensions *.dmp, *.doc, *.mdb, *.mde, *.pdf, *.pps, *.ppt, *.psd, *.rar, *.xls, *.zip