ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comความรู้ทั่วไประวังภัยทางเน็ต (Beware of Scams and Frauds)รู้ทันกลโกงทางเน็ตชำแหละไวรัส Facebook ตัวใหม่ล่าสุด Mediafire ชำแหละการทำงานของไวรัสตัวนี้อย่างละเอียด
หน้า: [1] 2 3 ... 6   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ชำแหละไวรัส Facebook ตัวใหม่ล่าสุด Mediafire ชำแหละการทำงานของไวรัสตัวนี้อย่างละเอียด  (อ่าน 66099 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
mayaseven
Newbie
*

พลังน้ำใจ: 35
ออฟไลน์ ออฟไลน์

กระทู้: 25



ดูรายละเอียด เว็บไซต์
« เมื่อ: 06 พฤษภาคม 2013, 22:26:53 »

Facebook Worm Analysis [ mediafire.com ] ชำแหละไวรัส Facebook
    เมื่อคืนนี้ผมกำลังนั้ง Analyze Malware ตัวหนึ่งซึ่งเป็น Trojan ธรรมดาแต่มีวิธีการใช้ Unicode ได้น่าสนใจ ผมก็นั้งเขียนโปรแกรมขึ้นมา Proof of Concept ลองนั้นลองโน่นจนใกล้จะเช้ากำลังจะเข้านอน ทันใดนั้นผมก็ได้รับข้อความจาก Facebook Friend คนหนึ่งตามรูปด้านล่าง





อยู่ดีส่ง Link มาแบบไม่มีปี่ไม่มีขลุ่ยแบบนี้ผมก็ฟันธงไปเลยเพื่อนผมติด Worm และกำลังจะแพร่พันธ์ุสู่เพื่อนชาว Facebook ผมก็คิดในพึ่ง Analyze เสร็จไปตัว กำลังจะเข้านอน ><" ไหน Friend ผมก็อุตสาห์หวังดีขนาดนี้ก็จัดให้เขาซักหน่อยเริ่มสร้าง Lab ขึ้นมา Analyze เลย

เริ่มจากสิ่งแรก Link: http://www.mediafire.com/?5rkaj8tibydkffp/image0377.bmp ดูเหมือนจะเป็นไฟล์รูปเพราะนามสกุลเป็น .bmp แต่ไหงพอกดเข้าไปแล้วกลายเป็นให้โหลดไฟล์ image07.jpeg.exe ไปได้ละนั้น ถ้าไม่สังเกตุโหลดไปแล้วกดเปิดก็เรียบร้อยโรงเรียนจีนไปเลยน่ะครับ

* Link นั้นเป็น Malware จริงอย่าโหลดมาลองถ้าไม่แน่จริง เพราะอาจจะเป็นภาระเพื่อนฝูงใน Facebook ได้ Tongue *

** สำคัญ: ไม่ควรเปิดไฟล์ประมวลผลได้เช่น .exe, .bat, .com, ... ที่เรา Download มาจากแหล่งที่ไม่น่าเชื่อถือ ให้คิดไว้ก่อนเลยว่านั้นคือไวรัสแน่ๆ แล้วชีวิตจะไม่เศร้า Tongue ส่วนสาเหตุว่าทำไมถึงเป็นอย่างนั้น สามารถไปอ่านบทความย้อนหลังใน Blog ดูได้ครับผมได้เขียนไว้แล้วว่าทำไมพร้อมทำวิดีโอแสดงให้ดู Tongue **

กลับมาเข้าเรื่องต่อ Trick ตรงนี้ก็ไม่มีอะไรมากคือ จะอันนี้ http://www.mediafire.com/?5rkaj8tibydkffp
หรืออันนี้ http://www.mediafire.com/?5rkaj8tibydkffp/mayaseven.png มันก็จะไป Download ไฟล์  image07.jpeg.exe เหมือนเดิมนั้นก็คือหลัง http://www.mediafire.com/?5rkaj8tibydkffp/ ตรงนี้ใส่อะไรก็ได้ไม่มีผล เขาก็เลยใส่ให้เหมือนว่าเป็นรูปทั้งชื่อและนามสกุลไฟล์ เพื่อให้เชื่อสบายใจในการเปิดดูนั้นเอง [Social Engineering]

พอรูปมาเปิดปุํบก็จะได้ผลงานตามรูป




เมื่อ Malware ทำงานปุ๊บ มันก็จะเนี่ยสร้างไฟล์ชื่อ svchosts.exe นั้นแน่มีเนียนสร้างไฟล์ให้ชื่อเหมือนไฟล์ของระบบ หลังจากนั้นก็มีการเชื่อมต่อไปประมาณ 3-4 ที่นอกนั้งยังไม่พอ มันยังไป Download เพื่อน(Malware) ของมันมาอีกอยู่เบื้องหลังซึ่งเราไม่รู้หรอก เอ๊ะแต่ทำไมผมรู้ฮ่าๆ ที่อยู่ของเพื่อนมันคือ  http://www.mediafire.com/download.php?re6k3nnpftba8f2 เป็นไฟล์ชื่อว่า f.exe มันก็โหลดเพื่อนมันมาทำงานหน้าตาเฉย

ผลการ Scan Virus ไฟล์ image07.jpeg.exe จาก Virustotal



ผลการ Scan Virus ไฟล์ f.exe จาก Virustotal




มี Anti-Virus อยู่ 3 ตัวจาก 46 ตัวที่เห็นว่าเจ้าไฟล์นี้เป็น Malware หรือไวรัสตามภาษาชาวบ้าน ซึ่งเมื่อตอนเช้าที่ผมกำลัง Analyze นั้นมี Kaspersky  Scan เจออยู่ตัวเดียวว่าไฟล์นี้เป็น Malware แต่ตอนสายๆก็มีเพิ่มมาละเป็น 3 ตัว

แล้ว Malware มันทำอะไรกับเครื่องเราไปบ้างละ ?


เราจะมาดูกัน โดยทั่วไป Malware เมื่อสามารถ Inject เข้ามาที่เครื่องเหยื่อแล้วมันจะต้องวาง Backdoor หรือช่องทางที่จะเข้ามาควบคุมเครื่องเหยื่อเพื่อให้ทำงานได้อย่างที่ผู้สร้างต้องการ เช่น ขโมยความลับจากเครื่องเหยื่อหรือสั่งเครื่องเราไปยิงเครื่องชาวบ้าน เป็นต้น ซึ่งเจ้า Malware ตัวนี้ก็ไม่พลาดมีการ Reverse TCP ไปที่ Server ของผู้สร้างโดยใช้ IRC ในการสั่งการตามรูปด้านล่าง

* IRC นี่หลายคนอาจจะเกิดไม่ทัน มันเป็นช่องทาง Chat ที่เอาไว้คุยกันในสมัยก่อน ถ้าใครทันจะรู้จัก PIRCH พูดแล้วน้ำตาจะไหลมันคงเป็น 10 ปีแล้วซินะ Tongue ถ้าเปรียบเทียบกับสมัยนี้คงจะเป็นเหมือน Camfrog นั้นแล ซึ่ง IRC นี่นิยมมากในการเอามาใช้ควบคุม Bot ในกลุ่ม Hacker เรียกว่า Command and Conquer เอ้ยไม่ใช่ต้องเป็น Command and Control (C&C) Server นั้นแล ส่วนเครื่องเหยื่อที่ติด Malware ก็ถูกเรียกว่า Bot ในความหมายคือเหมือนหุ่นยนต์ที่สามารถเข้าไปบังคับควบคุมได้นั้นเอง *








จากรูปด้านบน ผู้สร้าง Malware เขาอาจจะตกใจเล็กน้อยที่มีแขกไม่ได้รับเชิญ บุกเข้าไปถึงห้องควบคุมเหล่า Bot ของเขา Tongue

คำถามต่อมาแล้ว C&C Server ที่มันใช้ควบคุมตั้งอยู่ที่ไหนบนโลกนะ ?

คำตอบตามรูปด้านล่าง



ได้ความว่าเป็น Server ตั้งอยู่ที่ Germany สำหรับเจ้าหน้าที่ ที่ต้องการสือบสวนหาผู้สร้าง Malware ก็ได้ข้อมูลเพิ่มในการสืบสวนพอสมควรจากส่วนนี้

Function ของ Malware ตัวนี้ที่เจ๋งอีกอันก็คือส่ง Private Message มาถามว่าเป็น Malware ver ล่าหรือยังต้อง Update ไหม

/PRIVMSG #o.O :{DL}:  http://www.mediafire.com/download.php?re6k3nnpftba8f2 - Update: no

เป็น Malware ที่เป็นจริงเป็นจังสไตล์ Europe  APT (advanced persistent threat)  ซะจริงๆ  Tongue

และก็มาถึง Function สุดท้ายที่สำคัญ ก็คือ Function ที่มันเอาไว้แพร่พันธุ์ตัวเองผ่านทาง Facebook นั้นเอง เมื่อผมทำการเปิด Web Browser และ Login Facebook ก็มี Process ไม่ได้รับเชิญเกิดขึ้นมาตามรูปด้านล่าง


                      

เจ้าไฟล์ regsrv64.exe ก็จะถูกเรียกขึ้นมาทำงาน ซึ่งที่น่าสนใจไฟล์นี้มีคำอธิบายด้วย Chocolate CupCake CupCake Chocolate Shit ซึ่งอาจจะเป็นชื่อเรียกเจ้า Malware นี้ในอนาคตก็เป็นได้ เมื่อไฟล์ ที่ regsrv64.exe ถูกเรียกขึ้นมาประมวลผลก็จะได้ผลดังรูปล่าง




พอถึงเวลาอันเหมาะสมเจ้า Malware ก็จะทำการส่งข้อความไปให้เพื่อนใน Facebook เหมือนอย่างที่ผมได้รับในตอนต้นเรื่องนั้นเอง



ซึ่งเทคนิคในการส่งข้อความนั้นผมจับ Signature บางอย่างได้ ทำให้ผมคิดว่าเขาน่าจะพัฒนา Script ในการส่งข้อความหา Friend ใน Facebook ของ Malware มาจาก Script การส่งข้อความหาเพื่อนทุกคนใน Facebook ของคุณ FiloSottile Source code ตาม Link: https://gist.github.com/FiloSo...31bce498543e9f27/krumiro_en.js


สรุป & การป้องกัน บทความนี้เราได้ชำแหละเจ้า Facebook Malware ตัวนี้ละเอียดประมาณหนึ่ง(ไม่ไหวที่จะเขียนยาวเพราะยังไม่ได้นอนเลย ~.~ ) เป็น Malware ที่มีความซับซ้อนอยู่ในระดับกลางๆ สำหรับวิธีการป้องกันนั้นก็อย่าคลิก Link มั่วซั่ว แม้กระทั้ง Link ที่เพื่อนเราส่งมาให้ ก็ให้ลองถามเขาดูก่อนว่าใช่เขาส่ง Link นั้นมาให้จริงๆไหม หรือเป็น Bot ที่ถูกควบคุมให้ส่ง Link นั้นมาให้กันแน่ และก็ทำการ Update Anti-Virus สม่ำเสมอครับ Smiley

สำหรับคนที่ติดเชื้อไปแล้วขั้นตอนที่ง่ายที่ทุกคนทำได้ในการแก้ไวรัสตัวนี้คือ
1.) ดูข้อความของเรา ว่ามีการส่ง Link แปลกๆไปหาเพื่อนๆใน Facebook หรือเปล่า
2.) ถ้ามีก็เริ่มจาก Update โปรแกรม Anti-Virus ที่เรามีก่อนแล้วลอง Scan ดูครับ
3.) ถ้า Scan แล้วเหมือนไม่เจออะไร และยังคงมีส่งข้อความ Link ไวรัสไปให้เพื่อนๆอยู่ ก็ให้ไปโหลด Kaspersky มาลงแล้ว Scan เพราะตัวนี้เป็นตัวแรกที่ Scan ไวรัสตัวนี้เจอและ ณ เวลาตอนเขียนบทความนี้ มีเพียง 3 ยี่ห้อที่ Scan เจอไวรัสตัวนี้
4.) พอ Clear เจ้าไวรัสออกไปได้ก็ทำการเปลี่ยนรหัสผ่าน และ Clear Session ที่ค้างอยู่ให้หมดซะเพราะผมยังไม่ได้ Analyze ลึกลงไปถึงตัว Process มันอาจจะมีการเก็บ Password ของเราส่งไปให้ผู้สร้าง ซึ่งมันทำแน่ๆอยู่แล้วเป็นผม ผมก็ทำ Tongue

สุดท้ายนี้ โชคดีปลอดภัยทุกคนครับ Tongue
สงสัยต้องการสอบถาม หรือ แนะนำ ติชม เพิ่มเติมสามารถเข้ามาพูดคุยกันได้ที่ https://www.facebook.com/pages/MaYaSeVeN/139105159494751

บทความต้นฉบับ http://www.mayaseven.com/2013/...orm-analysis-mediafirecom.html

Written by MaYaSeVeN
http://mayaseven.com
« แก้ไขครั้งสุดท้าย: 06 พฤษภาคม 2013, 22:31:19 โดย mayaseven » บันทึกการเข้า
ningnongkup
สมุนแก๊งเสียว
*

พลังน้ำใจ: 35
ออฟไลน์ ออฟไลน์

กระทู้: 773



ดูรายละเอียด
« ตอบ #1 เมื่อ: 06 พฤษภาคม 2013, 22:37:01 »

svchosts.exe  มันคืออะไรครับ.... ทำไมบางเครื่องก็ขึ้นเยอะ..บางเครื่องก็ขึ้นน้อย.....แถมยังเรียกซ้ำกันอีก...เช่น..มี svchosts.exe    system  ขึ้นมาสองตัว ไม่รู้ว่ามันปกติหรือเปล่าครับ... wanwan009
บันทึกการเข้า

เอาซะให้พอ งานนี้ลุยให้เต็มที่
mayaseven
Newbie
*

พลังน้ำใจ: 35
ออฟไลน์ ออฟไลน์

กระทู้: 25



ดูรายละเอียด เว็บไซต์
« ตอบ #2 เมื่อ: 06 พฤษภาคม 2013, 22:41:41 »

svchosts.exe เป็น Services ของ Windows ครับขึ้นหลายอันก็ไม่แปลก แต่ต้องดูให้ดีว่าของจริงหรือของปลอมครับ Smiley

svchosts.exe  มันคืออะไรครับ.... ทำไมบางเครื่องก็ขึ้นเยอะ..บางเครื่องก็ขึ้นน้อย.....แถมยังเรียกซ้ำกันอีก...เช่น..มี svchosts.exe    system  ขึ้นมาสองตัว ไม่รู้ว่ามันปกติหรือเปล่าครับ... wanwan009
บันทึกการเข้า
instant
ก๊วนเสียว
*

พลังน้ำใจ: 18
ออฟไลน์ ออฟไลน์

กระทู้: 296



ดูรายละเอียด เว็บไซต์
« ตอบ #3 เมื่อ: 06 พฤษภาคม 2013, 22:51:45 »

เด่วนี้ เห็นลิงค์มาแล้วสยอง เพื่อนส่งเว็บมายังไม่กล้ากดเลย 555 หลอน  Tongue
บันทึกการเข้า

konghyper
สมุนแก๊งเสียว
*

พลังน้ำใจ: 66
ออฟไลน์ ออฟไลน์

กระทู้: 665



ดูรายละเอียด
« ตอบ #4 เมื่อ: 06 พฤษภาคม 2013, 23:09:15 »

สุดยอดเลยท่าน คาราวะ 1 จอก  wanwan017
บันทึกการเข้า

รอคนคลิกโฆษณา วันหนึ่งจะได้เท่าไหร่กัน ?

ให้ทุกคนที่เข้าเว็บ ปั้มเงินให้คุณ ด้วย Popunder รับรายได้เป็น USD
ได้ทุกแนว PopAds , Popcash , สายขาว + เทา Propeller Ads , ติดโฆษณา Yengo สร้างรายได้ให้เว็บคุณ

k_malee
ก๊วนเสียว
*

พลังน้ำใจ: 14
ออฟไลน์ ออฟไลน์

กระทู้: 343



ดูรายละเอียด
« ตอบ #5 เมื่อ: 06 พฤษภาคม 2013, 23:13:59 »

เยี่ยมเลยครับ  wanwan020
บันทึกการเข้า

aofiezzangz
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 83
ออฟไลน์ ออฟไลน์

กระทู้: 1,134



ดูรายละเอียด เว็บไซต์
« ตอบ #6 เมื่อ: 06 พฤษภาคม 2013, 23:17:51 »

+1 ไป อย่ารอช้าๆ
บันทึกการเข้า

songwutk
คนรักเสียว
*

พลังน้ำใจ: 5
ออฟไลน์ ออฟไลน์

กระทู้: 167



ดูรายละเอียด เว็บไซต์
« ตอบ #7 เมื่อ: 06 พฤษภาคม 2013, 23:23:21 »

เจ๋งอ่ะ .. ใครทำได้นี่ SEO แรงเลยนะ

ฉันจะทำล้าน Like ในราคา 150 บาท (ไวรัสกรูเองเว้ย)
บันทึกการเข้า

thaidevtalk.com | อาชีพเสริม : รับจ้าง config unmanaged linux vps
G1
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 126
ออฟไลน์ ออฟไลน์

กระทู้: 1,307



ดูรายละเอียด
« ตอบ #8 เมื่อ: 06 พฤษภาคม 2013, 23:34:41 »

ตัวจริงเลยอะขอคาราวะ  wanwan017
« แก้ไขครั้งสุดท้าย: 06 พฤษภาคม 2013, 23:34:56 โดย G1 » บันทึกการเข้า

sarode
สมุนแก๊งเสียว
*

พลังน้ำใจ: 25
ออฟไลน์ ออฟไลน์

กระทู้: 531



ดูรายละเอียด
« ตอบ #9 เมื่อ: 06 พฤษภาคม 2013, 23:37:59 »

เพิ่งเจอมากับตัว เลยวันนี้ ดีนะที่สังเกตเห็น .exe
บันทึกการเข้า

สร้างรายได้คนทำเว็บ > >>> Adsterra <<< >>> Mgid <<<  
djart
คนรักเสียว
*

พลังน้ำใจ: 19
ออฟไลน์ ออฟไลน์

กระทู้: 155



ดูรายละเอียด
« ตอบ #10 เมื่อ: 06 พฤษภาคม 2013, 23:43:19 »

สุดยอดครับ นึกถึง IRC เหมือนกัน เมื่อก่อนมี script ฝั่ง เอาไว้ยิงห้องชาวบ้าน  wanwan016
บันทึกการเข้า
Tanut007
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 334
ออฟไลน์ ออฟไลน์

กระทู้: 3,647



ดูรายละเอียด เว็บไซต์
« ตอบ #11 เมื่อ: 06 พฤษภาคม 2013, 23:46:58 »

โหดครับ เห็นคำโปรยหัวก็รู้แล้วว่าใคร
บันทึกการเข้า

atikanzaa
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 245
ออฟไลน์ ออฟไลน์

กระทู้: 3,453



ดูรายละเอียด เว็บไซต์
« ตอบ #12 เมื่อ: 06 พฤษภาคม 2013, 23:48:21 »

สุดยอดครับ
บันทึกการเข้า

siamseo
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 167
ออฟไลน์ ออฟไลน์

กระทู้: 3,223



ดูรายละเอียด
« ตอบ #13 เมื่อ: 06 พฤษภาคม 2013, 23:50:41 »

โหดมาก
บันทึกการเข้า
banbanpom2
คนรักเสียว
*

พลังน้ำใจ: 8
ออฟไลน์ ออฟไลน์

กระทู้: 173



ดูรายละเอียด เว็บไซต์
« ตอบ #14 เมื่อ: 06 พฤษภาคม 2013, 23:55:59 »

 wanwan017 wanwan017 โหดจิง
บันทึกการเข้า

X-ZYTE
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 333
ออฟไลน์ ออฟไลน์

กระทู้: 1,641



ดูรายละเอียด เว็บไซต์
« ตอบ #15 เมื่อ: 06 พฤษภาคม 2013, 23:56:09 »

MaYaSeVeN
บันทึกการเข้า
kajonsak
ก๊วนเสียว
*

พลังน้ำใจ: 13
ออฟไลน์ ออฟไลน์

กระทู้: 219



ดูรายละเอียด
« ตอบ #16 เมื่อ: 06 พฤษภาคม 2013, 23:57:02 »

กดโหลดไปแล้วอะ  Lips Sealed
บันทึกการเข้า

yen032
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 254
ออฟไลน์ ออฟไลน์

กระทู้: 2,738



ดูรายละเอียด
« ตอบ #17 เมื่อ: 06 พฤษภาคม 2013, 23:59:10 »

ไม่ได้กินผมหรอก  Embarrassed
บันทึกการเข้า
pash
สมุนแก๊งเสียว
*

พลังน้ำใจ: 47
ออฟไลน์ ออฟไลน์

กระทู้: 596



ดูรายละเอียด
« ตอบ #18 เมื่อ: 06 พฤษภาคม 2013, 23:59:52 »

สุดยอดอธิบายได้ระเอียดมาก +1 ครับ
บันทึกการเข้า
terrorist[Denz]
คนรักเสียว
*

พลังน้ำใจ: 50
ออฟไลน์ ออฟไลน์

กระทู้: 169



ดูรายละเอียด เว็บไซต์
« ตอบ #19 เมื่อ: 07 พฤษภาคม 2013, 00:00:05 »

ผมก้โดน Cry
บันทึกการเข้า

หน้า: [1] 2 3 ... 6   ขึ้นบน
พิมพ์