View previous topic :: View next topic |
Author |
Message |
pattharachai
1st Class Pass (Air)
Joined: 27/03/2006 Posts: 6536
Location: ราชอาณาจักรไทย
|
Posted: 30/07/2006 10:39 pm Post subject: |
|
|
ผมเจอเยอะเหลือเกิน เมล์ที่มีข้อความแบบนี้ นั่งลบแทบไม่หวาดไม่ไหว |
|
Back to top |
|
|
CivilSpice
1st Class Pass (Air)
Joined: 18/03/2006 Posts: 11192
Location: หนองวัวหนุ่มสเตชั่น
|
Posted: 09/09/2006 8:32 am Post subject: |
|
|
พอดีวันก่อนได้รับเมล์อัพเดตข่าว จาก Antivirus Community โดยแพนด้าซอฟต์แวร์ เลยขออนุญาต เอามาแนะนำให้ทุกๆ ท่านได้ทราบ ถึงข่าวคราวความเคลื่อนไหวเกี่ยวกับไวรัสในรอบสัปดาห์ ว่ามีอะไรเกิดขึ้นบ้างนะครับ
ก้าวทันไวรัสกับแพนด้า
รายงานไวรัสและการบุกรุกรายสัปดาห์
(ฉบับที่ 592 วันที่ 8 กันยายน 2549)
รายงานจาก PandaLabs ในสัปดาห์นี้จะกล่าวถึงโทรจัน Clagge.B , Rizalof.HT, และโปรแกรมสปายแวร์ Zcodec
Clagge.B เป็นโทรจันนักดาวน์โหลดที่เข้าฝังตัวในหน่วยความจำของระบบและเปลี่ยนแปลงแก้ไขข้อมูลใน Windows Registry เพื่อป้องกันการตรวจจับจากไฟร์วอลล์ โทรจันจะเชื่อมต่อไปยังอินเทอร์เน็ตแอดเดรสบางแห่งเพื่อดาวน์โหลดไฟล์ suhoy341.exe ซึ่งเป็นของโทรจัน Trj/Banker.CZI โดยไฟล์ดังกล่าวออกแบบมาเพื่อขโมยข้อมูลธนาคาร เช่นเดียวกับโทรจันทั่วไป Clagge.B ไม่สามารถแพร่กระจายได้โดยอัตโนมัติ โดยโทรจันจะเข้าสู่ระบบผ่านทางการดาวน์โหลดจากอินเทอร์เน็ต โปรแกรม P2P หรือแนบมาพร้อมกับอีเมล์ เป็นต้น
โทรจันอันดับต่อมาที่จะกล่าวถึงได้แก่ Rizalof.HT ซึ่งจะสร้าง anonymous proxy server ขึ้นในระบบเพื่อประโยชน์ในการส่งสแปม โดยในการทำงาน โทรจันนี้จะเชื่อมต่อไปยังเซิร์ฟเวอร์แห่งหนึ่งเพื่อดาวน์โหลดคอมโพเนนต์อื่นๆ และติดตั้งเข้าสู่ระบบ โดยหนึ่งในคอมโพเนนต์ดังกล่าวจะใช้สำหรับการส่งสแปม นอกจากนี้แล้ว โทรจันนี้ยังพยายามหยุดการทำงานของฟังก์ชันอัพเดตและรักษาความปลอดภัยของ Windows อีกด้วย
อันดับสุดท้ายที่จะกล่าวถึงได้แก่สปายแวร์โปรแกรม Zcodec ซึ่งมาพร้อมกับโปรแกรมติดตั้ง codec ที่ใช้ในการเล่นไฟล์มัลติมีเดียบางรูปแบบ โดยทันทีที่เข้าสู่ระบบ โปรแกรมจะติดตั้ง rootkit ( โปรแกรมซ่อนกระบวนงาน ไฟล์ หรือข้อมูลรีจิสทรี) เพื่อไม่ให้ผู้ใช้เห็นไฟล์ที่กำลังทำงาน โดยในขั้นตอนนี้ Zcodec จะติดตั้งไฟล์สั่งการสองไฟล์ ไฟล์แรกจะแก้ไขค่า DNS ภายในเครื่องเพื่อแสดงหน้าเว็บของตนขึ้นเมื่อผู้ใช้คลิกผลลัพธ์ในการค้นหาโดยใช้เสิร์ชเอนจิ้นอย่างเช่น Google เทคนิคนี้ ผู้สร้างโปรแกรมจัดทำขึ้นเพื่อหวังผลตอบแทนจากระบบ pay-per-click หรือรีไดเร็กต์ผู้ใช้ไปยังหน้าเว็บที่ออกแบบมาเพื่อขโมยข้อมูลลับต่างๆ
ไฟล์สั่งการอีกไฟล์หนึ่งสามารถทำงานได้ในสองลักษณะ ขึ้นอยู่กับการสุ่ม ในลักษณะแรก ไฟล์จะติดตั้งโทรจัน Ruins.MB เพื่อดาวน์โหลดมัลแวร์อื่นเข้าสู่เครื่องคอมพิวเตอร์ ส่วนอีกลักษณะหนึ่ง ไฟล์จะเปิดโปรแกรมคาสิโนและขออนุญาตผู้ใช้ในการติดตั้งโปรแกรมเข้าสู่ระบบ อย่างไรก็ตาม ไม่ว่าผู้ใช้จะยินยอมให้ติดตั้งโปรแกรมหรือไม่ ไฟล์นี้จะสร้างไอคอนขึ้นบนหน้าจอเดสก์ท็อป โดยเมื่อคลิก โปรแกรมดังกล่าวจะถูกติดตั้งทันที
เพื่อให้ผู้ใช้สามารถป้องกันและกำจัดมัลแวร์ต่างๆ ในระบบ Panda Software จึงขอเสนอ Panda ActiveScan โปรแกรมสแกนมัลแวร์ฟรีแบบออนไลน์ ที่ http://www.activescan.com
เกี่ยวกับ PandaLabs
นับตั้งแต่ปี 1990 ศูนย์วิจัย PandaLabs มีพันธกิจในการที่จะวิเคราะห์ภัยคุกคามใหม่ๆ ให้ได้เร็วที่สุดเพื่อความปลอดภัยของลูกค้า ทีมงานของเราที่เชี่ยวชาญมัลแวร์แต่ละประเภท ( ไวรัส เวิร์ม โทรจัน สปายแวร์ ฟิชชิ่ง สแปม ฯลฯ ) ทำงานกันตลอด 24 ชั่วโมงโดยไม่มีวันหยุด เพื่อการคุ้มครองอย่างทั่วถึง ผนวกกับการสนับสนุนจาก TruPrevent Technologies ที่ทำหน้าที่เสมือนเป็นระบบเตือนภัยอย่างรวดเร็วจากทั่วโลกคอยสกัดกั้นภัยคุกคามใหม่ๆ และส่งข้อมูลไปยังศูนย์วิจัย PandaLabs เพื่อการวิเคราะห์ในเชิงลึก รายงานจาก Av.Test.org แจ้งว่า PandaLabs จัดเป็นศูนย์วิจัยที่จัดเตรียมการอัพเดตแก่ผู้ใช้ได้รวดเร็วที่สุดของวงการในปัจจุบัน
ที่มา : Panda Software (Thailand) |
|
Back to top |
|
|
Naranong
3rd Class Pass
Joined: 04/07/2006 Posts: 126
Location: บ้านทับช้าง ซอยวัดลานบุญ ลาดกระบัง พระจอมเกล้า หัวตะเข้
|
Posted: 09/09/2006 9:05 am Post subject: |
|
|
ผมก็โดนโจมตีครับแต่จากอะไรไม่รู้ NOD32 หาไม่เจอ IE พังเลยครับแต่อย่างอื่นปกติ เลยใช้ Fire fox ดีมากเลยเร็วกว่าเดิมอีก |
|
Back to top |
|
|
narita_express
1st Class Pass (Air)
Joined: 28/03/2006 Posts: 1170
Location: PSU. Original Campus
|
Posted: 09/09/2006 9:36 am Post subject: |
|
|
ขอบคุณมากครับสำหรับรายละเอียดที่นำมาฝากกัน ผมก็เคยโดนและยังโดนอยู่บ่อยๆเหมือนกัน มีอยู่ครั้งหนึ่งมีคนที่ทำงานผมได้รับเมลล์จากผม พี่แกเล่นโทรมาโวยวายใหญ่ ผมก็บอกไม่รู้เรื่อง คุยกันตั้งนานกว่าจะเข้าใจกัน
เซ็งอย่างแรงครับพี่น้อง... |
|
Back to top |
|
|
rimura
2nd Class Pass (Air)
Joined: 16/08/2006 Posts: 778
Location: Suan luang Rama IX, Pravet, Bangkok
|
Posted: 09/09/2006 12:18 pm Post subject: |
|
|
เครื่องสุดรักที่บ้านผมก็ใช้ NOD32 ครับก็อัพเดทอยู่เรื่อยๆ ทิ้งเครื่องไว้นานๆกว่าจะได้กลับไปเปิดที ก็ต้องรัดกุมล่ะครับ กลับไปถึงก็ต้องเปิดอัพเดทก่อนเป็นอันดับแรก.... ขอบคุณสำหรับคำเตือนและข้อแนะนำครับ เนี่ยล่ะเป็นสาเหตุนึงที่เล่นเอาคอมผมเคยรวนมาแล้วครั้งนึง ตอนนี้บูรณะใหม่หมดแล้วก็ต้องเปลี่ยนพฤติกรรมให้ระมัดระวังมากขึ้นล่ะครับ 8) |
|
Back to top |
|
|
CivilSpice
1st Class Pass (Air)
Joined: 18/03/2006 Posts: 11192
Location: หนองวัวหนุ่มสเตชั่น
|
Posted: 08/12/2006 11:12 am Post subject: |
|
|
รายงานไวรัสและการบุกรุกรายสัปดาห์
ฉบับที่ 621 วันที่ 7 ธันวาคม 2549
ไวรัสสิบอันดับแรกที่พบบ่อยจากรายงานของ Panda ActiveScan ในเดือนพฤศจิกายน
การจัดอันดับมัลแวร์ที่พบบ่อยในเดือนพฤศจิกายนนี้เราได้เห็นมัลแวร์ใหม่ๆ เข้าสู่อันดับเป็นครั้งแรก เริ่มต้นด้วย เวิร์ม W32/Nuwar ซึ่งเข้ามาเป็นอันดับสี่โดยตรง โดยแพร่กระจายผ่านอีเมล์ที่มีข้อความอ้างอิงถึงสงครามโลกครั้งที่สามหรือ Third World War และความตายของบุชหรือปูติน
มัลแวร์ใหม่อีกหนึ่งตัวในรายการได้แก่ Banbra.DJM ซึ่งเป็นโทรจันสำหรับขโมยข้อมูลล็อกอินของบริการธนาคารในประเทศบราซิล
มัลแวร์ใหม่ตัวสุดท้ายได้แก่โทรจัน Trj/Spamer.T ซึ่งเป็นตัวอย่างของมัลแวร์ที่ถูกนำมาใช้เป็นเครื่องมือในการเจาะระบบโดยการลอบเข้าสู่เครื่องคอมพิวเตอร์ และเปลี่ยนคอมพิวเตอร์นั้นให้เป็นเครื่องมือสำหรับส่งสแปม
ท่ามกลางไวรัสต่างๆ เราพบว่า Sdbot.ftp ได้ขึ้นครองอันดับหนึ่งอีกครั้ง โดยมัลแวร์นี้เป็นเวิร์มในตระกูล Sdbot ที่ดาวน์โหลดตัวเองเข้าสู่เครื่องคอมพิวเตอร์โดยผ่านทาง FTP แม้ว่ามัลแวร์นี้จะครองอันดับหนึ่งมาตลอดปี 2006 แต่ในเดือนพฤศจิกายนเราพบว่าคอมพิวเตอร์ที่ติดเชื้อมีจำนวนลดลงเล็กน้อย จากร้อยละ 2.08 ในเดือนตุลาคมเหลือเพียงร้อยละ 1.9 ในเดือนพฤศจิกายน
และในอันดับที่สอง เป็นอีกครั้งที่เราพบว่า Torpig.A เริ่มจะอยู่ตัวหลังจากขึ้นมาโดดเด่นอย่างรวดเร็วในเดือนตุลาคม โดยในเดือนพฤศจิกายนนี้มีอัตราการแพร่ระบาดอยู่ที่ร้อยละ 1.5 ขณะที่ Trj/Abwiz.A ยังคงอยู่ในอันดับสามโดยไม่เปลี่ยนแปลง โทรจันนี้สามารถใช้ขโมยรหัสผ่านที่เก็บอยู่ในระบบต่างๆ
เวิร์ม Netsky.P ซึ่งเจาะผ่านช่องโหว่ใน Internet Explorer เพื่อเรียกตัวเองขึ้นทำงานโดยอัตโนมัติร่วงลงไปหลายอันดับในเดือนนี้ ผนวกกับการลดลงของ Sdbot.ftp อาจเป็นสัญญาณบ่งชี้ว่ามีการปรับปรุงการติดตั้งในเครื่องคอมพิวเตอร์ต่างๆ มากขึ้น เนื่องจากมัลแวร์ทั้งคู่นี้เจาะผ่านช่องโหว่ต่างๆ ที่ได้รับการแก้ไขมานานแล้วโดยตรง
อย่างไรก็ตาม Luis Corrons ผู้อำนวยการศูนย์วิจัย PandaLabs ยังคงมีข้อสงสัย แม้ข้อมูลจะแสดงว่าระบบปฏิบัติการนั้นใหม่ขึ้นกว่าแต่ก่อน แต่การปรากฏตัวของ Netsky.P ในอันดับไวรัสที่พบบ่อยยังคงน่าเป็นกังวล สำหรับเหตุผลในข้อนี้ Corrons กล่าวว่า การขาดความตระหนักในการอัพเดตระบบป้องกันอาจนำไปสู่ความสูญเสียในช่วงระหว่างเทศกาลคริสต์มาส การซื้อสินค้าผ่านระบบออนไลน์โดยไม่มีการป้องกันที่ดีพอไม่เพียงเป็นอันตรายต่อข้อมูลในดิสก์เท่านั้น แต่ยังนำไปสู่ความสูญเสียทางการเงินอย่างร้ายแรงได้ โดยเฉพาะอย่างยิ่งในผู้ที่ใช้บริการธนาคารออนไลน์
--- End ---
|
|
Back to top |
|
|
CivilSpice
1st Class Pass (Air)
Joined: 18/03/2006 Posts: 11192
Location: หนองวัวหนุ่มสเตชั่น
|
Posted: 23/01/2007 7:56 am Post subject: แพนด้า สาธุ!! |
|
|
แพนด้า สาธุ!!
ฉบับที่ 639
วันที่ 22 มกราคม 2550
รายงานจาก PandaLabs ในสัปดาห์นี้ จะกล่าวถึง แบ็คดอร์โทรจัน SCVMan .B, โทรจัน Killav.FG, และไวรัส Radoppan.T
SCVMan .B เป็นแบ็คดอร์โทรจันที่หยุดการทำงานของกระบวนการต่างๆ ซึ่งรวมถึงกระบวนการของโปรแกรมรักษาความปลอดภัย นอกจากนี้ยังเก็บข้อมูลระบบปฏิบัติการ ไอพีแอดเดรส และอื่นๆ ของคอมพิวเตอร์ที่ติดเชื้อ SCVMan .B จะเปิดพอร์ตในคอมพิวเตอร์เพื่อให้แฮคเกอร์สามารถเข้าควบคุมระบบได้จากระยะไกล จากนั้นจะส่งข้อมูลทั้งหมดที่ได้และชื่อของพอร์ตที่เปิดไปยังเว็บเพจแห่งหนึ่ง SCVMan .B สามารถเชื่อมต่อไปยังเว็บเพจบางแห่งเพื่ออัพเดตตัวเองได้ การแพร่ระบาดของ SCVMan.B จะกระทำผ่านทางอีเมล์หรืออินเทอร์เน็ตโดยมีผู้ใช้เป็นผู้ดำเนินการ
ในเดือนนี้ได้มีการปรากฏตัวของ Radoppan สายพันธุ์ใหม่ นั่นคือ Radoppan.T ซึ่งเป็นไวรัสที่แพร่ระบาดในไฟล์สั่งการและไฟล์ HTML ไวรัสนี้จะสร้างสำเนาของตัวเองขึ้นในไดรฟ์ของระบบและทำงานทุกครั้งเมื่อมีการเข้าถึงจากผู้ใช้ การแพร่กระจายไวรัสนี้สามารถเกิดขึ้นได้ผ่านทางเครือข่ายคอมพิวเตอร์ ลักษณะที่สำคัญเมื่อมีการติดเชื้อคือไวรัสจะเปลี่ยนไอคอนของโปรแกรมที่ติดเชื้อเป็นภาพแพนด้ากำลังจุดธูป
ถ้าเห็น Icon โปรแกรมของคุณ กลายเป็นเจ้าแพนด้าตัวนี้ แสดงว่าคุณเสียทีเจ้าโทรจัน Radoppan.T ไปซะแล้ว
Killav.FG เป็นโทรจันที่หยุดการทำงานของกระบวนการต่างๆ ซึ่งรวมถึงกระบวนการของโปรแกรมรักษาความปลอดภัย เพื่อหลีกเลี่ยงจากการถูกตรวจจับ โทรจันนี้จะเชื่อมต่อไปยังเซิร์ฟเวอร์แห่งหนึ่งเพื่อเปิดโอกาสให้มีการเข้าถึงและควบคุมคอมพิวเตอร์ที่ติดเชื้อได้จากระยะไกล ทำให้แฮคเกอร์สามารถเข้าถึงข้อมูลลับได้โดยที่ผู้ใช้ไม่ทันได้ตระหนัก โทรจันนี้เข้าสู่คอมพิวเตอร์โดยทางอีเมล์หรือจากการดาวน์โหลดผ่านทางอินเทอร์เน็ต
|
|
Back to top |
|
|
New_Henry
2nd Class Pass
Joined: 19/11/2006 Posts: 562
Location: สถานีรถไฟ
|
Posted: 23/01/2007 6:34 pm Post subject: |
|
|
ผมโดนไวรัสอีกแล้วครับ พึ่งไปล้างเครื่องมาหมาดๆ _________________
|
|
Back to top |
|
|
saraburi
1st Class Pass (Air)
Joined: 03/07/2006 Posts: 3321
Location: ถิ่นเนื้อนุ่ม นมดี กะหรี่(ปํ๊บ)ดัง สระบุรี
|
Posted: 17/01/2008 9:57 pm Post subject: |
|
|
ประกาศ จากคณะ หน้าสามทัวร์ เพิ่อความบันเทิงและหน้า.... ฉบับที่เท่าไหร่ไม่รู้ ความว่า
ณ ตอนนี้ มีลิ้งค์หน้าสงสัยส่งมาทางผม โดยที่เจ้าตัวไม่ได้เป็นคนส่งมา ซึ่ง อาจจะเป็นไวรัสตัวไหม่ระบาดมาทาง MSN
ท่านใดที่ได้พบเห็นสิ่งนี้(ในรูป)โปรดอย่าได้กดเป็นอันขาด แล้วแจ้งต่อผู้ที่ส่งมาด่วน ว่า ท่านโดนอะไรแล้วถ้าท่านใดพบเจอแล้วโปรดรายงานด้วย
ตอนนี้ ผู้ที่ผมเจอ มี 2 ท่าน คือพี่เต้ E&O HUNTER กับ น้องปู้นๆ ณ บุรีรัมย์
ท่านทั้ง 2 โปรดจักการสืบหาด้วยครับ
จึงขอประกาศเตือนไว้ ณ ที่นี้
_________________ ช่างภาพระดับพื้นโลก
|
|
Back to top |
|
|
CivilSpice
1st Class Pass (Air)
Joined: 18/03/2006 Posts: 11192
Location: หนองวัวหนุ่มสเตชั่น
|
Posted: 10/06/2010 9:59 am Post subject: |
|
|
ไม่ค่อยได้เข้ามาอัพเดตเสียนาน พักหลังๆ เริ่มจะมีอีเมล์แปลกๆ ที่มักจะใช้วิธีการปลอม E-Mail Address จากในเว็บรถไฟไทย ส่งไปหาชาวบ้านชาวช่อง แล้วก็แอบ Attched ไฟล์ไวรัส หรือ Trojan ติดไปด้วย โดยจะใช้วิธีการเขียนข้อความในเมล์ ให้ดูน่าเชื่อถือ เช่นการแจ้งเตือนจากระบบ แจ้งให้อัพเดต Patch ใหม่ๆ แจ้งให้รันซอฟต์แวร์ที่ส่งมา เพื่อใช้คอนเน็คกับเว็บ เป็นต้น ซึ่งพอ User ไปเปิด Attched ไฟล์ดังกล่าว ก็เรียบร้อยโรงเรียนโจร ทำให้คอมพิวเตอร์เครื่องนั้น หนีบเอาไวรัสหรือ Trojan ไปแพร่ระบาดในเครื่อง รวมถึงส่งต่อไปยังเครื่องอื่นๆ
เท่านั้นยังไม่พอ บางทีก็ยังการส่ง SPAM Mail, เมล์ขยะ ออกไปภายนอก หรือส่งภายใน Rotfaithai.Com ด้วยกันเอง เช่นพวก Discount ยาไวอากร้า, ชวนทำธุรกิจออนไลน์ หรือโปรโมชั่นอื่นๆ ดังนั้น ผู้ที่ได้รับอีเมล์ลักษณะดังกล่าวนี้ โปรดใช้ความรอบคอบ และระมัดระวังในการตรวจสอบอีเมล์เป็นอย่างยิ่ง จะได้ไม่ต้องมานั่งเจ็บใจ ปวดหัวกับไวรัส หรือเสียเวลา Format เครื่องแล้วลงโปรแกรมต่างๆ กันใหม่
บางท่านอาจจะสงสัย .... อ้าว แบบนี้ Server ของรถไฟไทยดอทคอม เป็นตัวแพร่ไวรัสด้วยหรือเปล่า คำตอบคือ "ไม่" เพราะว่าเมล์ขยะพวกนี้ จะใช้วิธีปลอม Address ของผู้ส่ง ซึ่งทำให้ดูเหมือนว่าถูกส่งมาจาก Server ต้นทางแทน (จริงๆ ส่งจากที่ไหนก็ไม่รู้ แต่ดันบอกว่ามาจาก @rotfaithai.com)
ช่องทางการติดต่อสื่อสารระหว่างเว็บไซต์กับสมาชิก น้อยครั้งมากที่เราจะใช้การส่งเมล์ เพราะส่วนใหญ่จะใช้ PM ซึ่งมีความปลอดภัย และระบุตัวตนที่แน่นอนชัดเจนมากกว่า (ยกเว้นเฉพาะตอนสมัครสมาชิกแรกเข้าเท่านั้น ที่ยังคงใช้การส่งอีเมล์อนุมัติการสมัคร) หรือหากมีการส่งออกไปจริง ก็จะมีรูปแบบที่แน่นอน มีการลงชื่อ ที่อยู่ ในการติดต่อกลับทุกครั้ง และร้อยละ 99.99 จะส่งออกไปเป็นภาษาไทย ไม่ใช่ภาษาอังกฤษนะจ๊ะ
ลองดูตัวอย่างจากภาพประกอบด้านล่างนี้ ซึ่งเป็นเพียงตัวอย่างเล็กๆ น้อยๆ ที่เจอมาเท่านั้น ดังนั้น หากท่านเจออีเมล์ทำนองนี้ ก็ไม่ต้องคิดมากแต่ประการใด ให้ "ลบทิ้ง" สถานเดียว และพึงระลึกว่า "อย่าเปิด Attached File โดยเด็ดขาด"
ด้วยความปรารถนาดี
Rotfaithai.Com Team
|
|
Back to top |
|
|
|