กรุงเทพฯ--9 ต.ค.--AtYourService
10 อันดับไวรัสประจำเดือน
1 Adware/BetterInternet 4.61%
2 W32/Netsky.P@mm 4.53%
3 HTML/Iframe_CID!exploit 3.82%
4 W32/Bagle.DY@mm 2.97%
5 W32/Grew.A!worm 2.64%
6 W32/WMF!exploit 2.58%
7 W32/BagleZip.GL@mm 2.40%
8 W32/Istbar.PK!tr.dldr 1.83%
9 W32/BagleZip.GM@mm 1.50%
10 W32/Bagz.E@mm 1.24%
ตลอดเดือนกันยายนที่ผ่านมาแม้แต่ทาง Microsoft ยังออกประกาศให้ผู้ใช้เข้าไปอุดช่องโหว่ที่โดนโจมตีจากไวรัส เรียกว่าเป็นปรากฏการณ์ Microsoft Explorer 0-day exploits เกิดจาก หนอนไวรัส W32/WMF! exploit (aka MS05-053) ที่ปรากฎใน 10 อันดับประจำเดือน
ภาพกราฟแสดงระดับการโจมตีของ W32/WMF!exploit vs. Netsky
เดือนกันยายนทีมวิจัยของ ฟอร์ติเน็ตพบ 2 ส่งที่น่าสนใจ คือ
- Strationเจ้าหนอนนักวางแผน
Guillaume Lovet ผู้นำทีมวิจัยป้องกันไวรัสของ Fortinet กล่าวว่า “ตลอดเดือนกันยายนพบหนอนไวรรัสใหม่ๆไม่ต่ำกว่าวันละ 2 ชนิด สรุปทั้งเดือนมากถึง 35 ชนิด แต่โดยส่วนใหญ่จะมีการแพร่กระจายต่ำ และแตกมาจาก 3 สายพันธ์ คือ W32/Stration.T@mm ,32/Stration.AC@mm, W32/Stration.AT@mm ”
ความจริงที่เกิดขึ้นคือ มีการโจมตีอย่างรุนแรงมากที่สุด โดยวิธีการ Hit-and-run fashion โดยผู้เขียนได้ปรับแก้ Code บางตัวโดยใช้ระบบเลขฐานสองแล้วส่งข้อมูลผ่านการตรวจจับไวรัสของโปรแกรมป้องกันไวรัสทั้งหลายไปเรื่อยๆจนกว่าโปรแกรมตรวจจับทั้งหมดตรวจไม่พบ จากนั้นพวกมันก็จะแพร่กระจายและเกิดการตายลงอย่างรุนแรงโดยตัวของมันเองเมื่อโปรแกรมป้องกันไวรัสทำการ อัพเดทเรียบร้อยแล้ว เจ้าหนอนรอเวลาอย่างทรหดอดทนที่จะกระทำการโจมตีซ้ำอีกครั้งหลังจากผู้ใช้อัพเดทโปรแกรมแล้ว
จากการเฝ้าติดตามอย่างใกล้ชิดของทีมวิจัยไวรัสฟอร์ติเน็ต พบว่ามีชื่อไวรัสและแหล่งที่มาที่ FortiGate จัดเก็บไว้ เนื่องจากการอัพเดทของพวกมันจะถูกขึ้นบัญชีไว้โดยมีโมดูลการกรองเนื้อหาเว็บของ FortiGate เป็นมาตรการการป้องกัน และใช้กลวิธีวิศวกรรมสังคม ในการส่งอีเมล์การเผยแพร่ออกไป เสมือนเป็น “พฤติกรรมที่ผิดปกติของการเตือนให้เกิดความตระหนักของผู้ใช้”
- The VML exploit: Window Dressing or just Smoke and Mirrors?
ตามที่เราได้แสดงความคิดเห็นแล้วข้างบน สิ่งที่เรียกว่า ช่องโหว่ “zero-day” VML หรือ MS06-055 ได้รับความสนใจจากสื่ออย่างมากมายในเดือนนี้ สำหรับคนที่พลาดข่าวนี้ นี่เป็นช่องโหว่หนึ่งที่สำคัญในการจัดการ XML tags ที่คลุมเครือบางอย่างของ Internet Explorer ที่ฝังอยู่ใน Web pages ได้ ทำให้เกิดข้อผิดพลาดของ host machine มีการแปลความว่า: บุคคลใดที่เข้าเยี่ยมเว็บเพจที่มุ่งร้ายสามารถติดเชื้ออย่างเงียบๆ ได้โดยการโหลด Trojans, Spyware, Adware, Keyloggers และสิ่งที่คล้ายคลึงกัน
ในที่นี้กระตุ้นให้เกิดการเคลื่อนไหวอย่างหวั่นวิตกสั้นๆ ภายในชุมชนการรักษาความปลอดภัย ซึ่งรู้ล่วงหน้าถึงเว็บไซต์ที่มุ่งร้ายจำนวนมากที่เกิดขึ้นอย่างไม่คาดคิด (ในทางเทคนิค กลยุทธ์ของผู้ใช้ประโยชน์จะทำให้ผู้ใช้ที่โชคร้ายเปลี่ยนทิศทางจากเว็บไซต์ “ที่ล่อใจ” ไปยังเว็บไซต์ “ตัวแทน” ส่วนกลาง ที่ทำหน้าที่เป็น malicious code ที่มองไม่เห็นในเว็บไซต์ที่ล่อใจและมีการโฆษณาอย่างมากโดยยุทธการการส่งอีเมล์ขยะจำนวนมากส่งผลทำให้ผู้ใช้จำนวนหลายล้านคนเข้าสู่กับดักของผู้ร้าย
ในขณะที่ Microsoft จะยึดติดกับถ้อยแถลงเป็นทางการที่มีการอ้างว่าความแพร่หลายของภัยคุกคามมีน้อย กลุ่มของนักวิจัยด้านการรักษาความปลอดภัยที่มีชื่อเสียงที่มีฉายาว่า ZERT (สำหรับ Zero-day Emergency Response Team) ได้ปล่อย patch ที่ไม่เป็นทางการออกสู่ตลาด ทำให้เกิดการปล่อย patch เฉพาะที่อยู่นอกเหนือจากวงจรการจัดจำหน่ายประจำเดือน ทั้งๆที่W32/MS06.XMLNS! exploit มีประมาณ 0.008% ของกิจกรรมที่มุ่งร้ายทั่วโลกเนื่องจากไม่ได้มีการเปิดเผยในวันที่ 19 กันยายน คนทั่วไปสามารถเข้าใจได้อย่างแท้จริงว่าผลกระทบของมันมี “น้อย” ไม่ใช่ “น้อยมากๆ”
จากทีมวิจัยไวรัสของฟอร์ติเน็ต
เกี่ยวกับ Fortinet ( )
Fortinet เป็นผู้บุกเบิกและผู้นำด้านเทคโนโลยี ASIC (accelerated multi-threat security systems) ที่ถูกเลือกใช้ในองค์กรธุรกิจและผู้ให้บริการ Fortinet ทำให้ระบบการรักษาความปลอดภัยขององค์กรเพิ่มมากขึ้นแต่สามารถลดรายจ่ายให้น้อยลง คุณสมบัติต่างๆของ Fortinet เกิดจากการรวบรวมทุกระดับการป้องกันการรักษาความปลอดภัย ที่รวบรวมทั้ง firewall, antivirus, intrusion prevention, VPN, spyware prevention และ antispam ทั้งหมดนี้ได้จัดเตรียมไว้สำหรับลูกค้าเป็นเทคโนโลยีการผสมผสานที่ดีที่สุดเพื่อการป้องกันในหลายๆระดับ สำหรับลูกค้าของระบบการรักษาความปลอดภัยแบบ ASIC และ unified interface Fortinet เสนอความสามารถที่เหนือกว่าระบบรักษาความปลอดภัยทั่วๆไปสามารถวิเคราะห์ผลจากศูนย์ที่อยู่ในระยะไกลได้ง่าย โดยการรวมกันของระบบการจัดการและการรายงานผลแบบเดิมๆ Fortinet ได้รับรางวัลชนะเลิศหลายรางวัลทั่วโลก ทั้งยังเป็นผลิตภัณฑ์ด้านการรักษาความปลอดภัยเพียงรายเดียวที่ได้รับที่ได้รับการรับรองถึง 8 ครั้งจาก ICSA (firewall, antivirus, IPSec, SSL, IDS, client antivirus detection, cleaning และ antispyware) Fortinet มีสำนักงานใหญ่ตั้งอยู่ที่เมืองซันนี่เวล รัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา
สามารถคลิกดูภาพประกอบได้ที่ www.thaipr.net