Pages

7/26/2011

New Youtube malware on Facebook

แล้วก็มาถึงเราจนได้ กับ Malware ตัวใหม่ของ Facebook

ตัวนี้ก็เรียกได้ว่าใช้เทคนิคแบบเดิมๆเลย ก็คือ พอหลังจากติดแล้ว
ก็จะไปchat หาเพื่อนทุกคนของเรา แล้วก็ในที่สุดก็โพสต์ลิงค์ให้เข้าไปดู
พอกด link เข้าไปจะเป็นหน้า Youtube (ปลอมๆ) แล้วก็บอกว่าคุณจะดูยังไม่ได้ถ้ายังไม่ดาวน์โหลดโปรแกรมบางตัว
ถ้าเราดาวน์โหลดโปรแกรมนั้นมาแล้ว แล้วเผลอกดรันไป เครื่องก็จะติด และก็แพร่กระจายต่อให้กับเพื่อนๆเราต่อไปทางFacebook



อันนี้เป็นตัวอย่างในการสนทนา (คนแรกคือตัว malware คนสองคือผมเองที่ตอบเหมือนกันกลับไป)

   น่าสนใจที่ malware ตัวนี้ไม่ได้จู่ๆจะมาแปะลิงค์ลงไปในประโยคแรกเลย
แต่มีการทักทายก่อน แล้วรอ... จนกว่าคู่สนทนาด้วยจะตอบอะไรกลับไป
แล้วจึงพิมพ์ประโยคถัดไปต่อมา    และในที่สุดประโยคสุดท้ายที่ link ไปหาเวปอะไรก็ไม่รู้ที่บอกไว้ก่อนแล้วว่ามันจะเป็น video

พอกดเข้า URL อันนั้นเข้าไป ก็จะพบเจอหน้าแบบนี้
เป็นหน้าที่เหมือนกับ Youtube "แทบจะ"ทุกประการ

แต่ก็ยังมีจุดน่าสังเกตอย่างนึงที่ว่าหน้านี้"แทบจะ"เหมือน Youtube เพราะ
 1. Suggestion Video ด้านขวาไม่มี
 2. ตัวเลขจำนวน viewer ไม่มีลูกน้ำ(comma) คั่น  จริงๆมันควรจะเป็น 23,473 ต่างหาก
 3. URL ด้านบน ไม่ใช่ www.youtube.com/watch?v=......
 4. ปกติผมlogin ไว้ตลอดและเป็น https ไว้   แต่นี่ไม่มีเลย
 5. "Yourfavoritemartian" เป็นเจ้าของวีดีโอ ..(อีกแล้วครับท่าน)


แต่สิ่งที่เป็นนวัตกรรมใหม่คือ  เดี๋ยวนี้เริ่มจะมีการใส่ชื่อของเหยื่อที่เปิดเข้ามาลงไปด้วย(คาดว่าเอามาจากหน้า Facebook)  จะเห็นได้จากส่วนที่เบลอๆเอาไว้นั่นคือชื่อผม  จะมีทั้งบน Title ของหน้า มีทั้งชื่อวีดีโอ มีทั้ง description

รวมถึงด้านล่างของวีดีโอ ที่เป็นส่วน comment จะเห็นกับภาพนี้
เจอกับหน้าเพื่อนๆที่คุ้นเคยที่อยู่บน facebook ทุกคน มาคอมเมนต์ทิ้งไว้เรียบร้อยแล้ว
ไม่เนี๊ยน ไม่เนียน... ทุกคนพูดภาษาอังกฤษกันหมดเลย

คาดว่า ตรงนี้ เนื่องจากตั้งไว้ให้เพื่อนจะเห็นเพื่อนของเพื่อนได้   คนที่แพร่ malware มาให้คนนี้ ก็เลยไปเอาคนที่มี activity บนหน้า wall ผมล่าสุดขึ้นมาแสดง

คราวนี้มาลองดูโค้ดกันบ้างมีอะไรให้ดูบ้าง

ในโค้ดเนี่ยก็จะเห็นว่า...
 1. โค้ดตัวนี้ก๊อปมาจากหน้า Youtube จริงๆ โดยตอนก๊อปมาใช้ Locale เป็น en_US ซึ่งจะทำให้ link ทุกอย่างรวมถึงภาษาบนหน้าเพจ Youtube ต้นฉบับ เป็นภาษาอังกฤษหมด
 2. video จริงๆที่โดนก๊อปมาคือ  http://youtu.be/bbtDe5ldbd8  เป็นรูปรถขับฝ่าน้ำลึก (ดู Screenshot ด้านล่าง)
screenshot of the original video
3. ชุดตัวอักษร(Charset)ที่ใช้ ใช้เป็น "Windows-1251" ซึ่งความหมายบน Wikipedia บอกไว้ว่า
"Windows-1251 (a.k.a. code page CP1251) is a popular 8-bit character encoding, designed to cover languages that use the Cyrillic alphabet such as Russian, Bulgarian, Serbian Cyrillic and other languages." -- Wikipedia
    ก็คือเป็นชุดอักษรสำหรับประเทศที่ใช้ภาษาที่ต้องใช้ตัวอักษร Cyrillic เช่นภาษารัสเซีย,บัลแกเรียและอื่นๆ

4. เมื่อลองเช็ค GeoIP ว่า IP นี้มาจากไหนก็พบว่า...
มันมาจาก Ukraine และประเทศนี้ก็ใช้ภาษา Ukrainian ที่ต้องเขียนด้วยตัวอักษร Cyrillic พอดีเลย

แนวโน้มสูงมากที่อาจจะเป็นการโจมตีมาจากที่นั่น

แต่... ต้องดาวน์โหลดมาเช็คก่อน
ก่อนอื่นก็ลองส่งไปเช็คที่ VirusTotal ดู
http://www.virustotal.com/file-scan/report.html?id=a786e3a251b81246198f1cdf141716c3410a3891d03eaa9e461234281ffabf70-1311659774
ได้ผลออกมาว่า...
มีเพียง 5 Antivirus software เท่านั้นที่ตรวจเจอตัวนี้  คือ  Bitdefender, DrWeb, F-Secure, GData, Kaspersky  โดยสิ่งที่ตรวจพบเป็นแค่บอกว่าตัวนี้เป็น Trojan และมีการดาวน์โหลดเท่านั้นเอง

พอลองส่งไปที่ ThreatExpert บ้าง ก็ได้รายงานนี้ออกมา
http://www.threatexpert.com/report.aspx?md5=726b2dfb576e5cc2cd685a2200346bb7
dThreatExpert บอกว่า จากการวิเคราะห์ไฟล์แล้ว มีแนวโน้มว่าต้นกำเนิดจะมาจากประเทศฝรั่งเศษ
โดยหลังจากที่โปรแกรมตัวนี้ติดเครื่องเข้าไปแล้ว จะมีการแกะตัวเองออกไปไว้ในที่ต่างๆ
และที่สำคัญคือ มีการโหลดไฟล์ exe มาลงเพิ่มอีกต่างหาก  นี่น่าจะเป็นตัวpayloadจริงๆ
โดยเท่าที่เห็นมีอยู่สองที่คือ 207.XXX.XX.XXX กับที่ tgnxxxxxxx.cn  (ดูชื่อเต็มจากรูป)

ถ้าลองไปโหลดไฟล์นี้ลงมาดู (ไฟล์ขนาด 244KB)
ลองมาเช็คMD5ดูแล้วปรากฎว่า เป็นไฟล์เดียวกันกับอันแรกเลย
726b2dfb576e5cc2cd685a2200346bb7 Flash-Player.exe
726b2dfb576e5cc2cd685a2200346bb7 loader2.exe

726b2dfb576e5cc2cd685a2200346bb7  loader_lite_main.exe
สงสัยพวกนี้จะเอาไว้สำหรับ  ส่งลิงค์ให้คนอื่นกดต่อ

พวก stat2 นั่นก็ลองดูแล้วมันก็มีแค่คำว่า error winrar.exe  งงไปเลยว่าจะแปลว่าอะไร


สรุปแล้ว... ง่ายๆว่า ปลอดภัยไว้ก่อน  อย่าไปกดโหลดพวกไฟล์ exe ไฟล์มารัน
พวกนี้ซ่อนตัวอันตรายไว้มาก  ระวังกันด้วยนะครับ

No comments:

Post a Comment