Clear
Lead Graphic Papers

ระวังภัย โทรจัน GetShell.A ทำงานได้ทั้งบน Windows, Mac และ Linux

วันที่ประกาศ: 12 กรกฎาคม 2555
ปรับปรุงล่าสุด: 12 กรกฎาคม 2555
เรื่อง: ระวังภัย โทรจัน GetShell.A ทำงานได้ทั้งบน Windows, Mac และ Linux

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

บริษัท F-Secure ผู้พัฒนาโปรแกรมแอนตี้ไวรัส ได้ค้นพบวิธีการเผยแพร่โปรแกรมไม่พึงประสงค์บนหน้าเว็บไซต์ที่ถูกแฮ็ก [1] [2] ผู้ไม่ประสงค์ดีฝัง Java applet ไว้ในเว็บไซต์ เมื่อผู้ใช้เข้ามายังเว็บไซต์ดังกล่าวก็จะพบกับหน้าต่างขอยืนยันการทำงานของ Java applet ที่ถูก Sign โดย CA ที่ไม่น่าเชื่อถือ (Untrusted) ดังรูปที่ 1 และ 2

Al2012co0014-1.png
รูปที่ 1 หน้าต่างขอยืนยันการทำงานของ Java applet ไม่พึงประสงค์บนระบบปฏิบัติการ Windows

Al2012co0014-2.png
รูปที่ 2 หน้าต่างขอยืนยันการทำงานของ Java applet ไม่พึงประสงค์บนระบบปฏิบัติการ Mac OS X

ผลกระทบ

หากผู้ใช้อนุญาตให้ Java applet ดังกล่าวทำงาน applet นั้นจะตรวจสอบเครื่องของผู้ใช้ว่าเป็นระบบปฏิบัติการอะไร จากนั้นจะเชื่อมต่อไปยังเครื่อง C&C เพื่อดาวน์โหลดโทรจัน GetShell.A มาติดตั้งลงในเครื่องของผู้ใช้

โทรจัน GetShell.A เป็น Backdoor ที่จะเปิดพอร์ตไว้เพื่อรอให้ผู้ไม่ประสงค์ดีเชื่อมต่อเข้ามาสั่งงานเครื่อง คอมพิวเตอร์ที่ตกเป็นเหยื่อให้ประมวลผลคำสั่งไม่พึงประสงค์ [3]

ระบบที่ได้รับผลกระทบ

จากข้อมูลในไฟล์ Java applet ดังรูปที่ 3 แสดงให้เห็นว่า โปรแกรมไม่พึงประสงค์ดังกล่าวสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows เวอร์ชัน 32 บิตและ 64 บิต รวมทั้งระบบปฏิบัติการ Mac OS X และ Linux ด้วย

Al2012co0014-3.png
รูปที่ 3 ข้อมูลในไฟล์ Java applet

อย่างไรก็ตาม โทรจัน GetShell.A บนระบบปฏิบัติการ Mac OS X นั้นจะทำงานได้บนเครื่องที่ใช้ CPU PowerPC เท่านั้น หากนำไฟล์นี้มารันบนเครื่องที่เป็น CPU Intel ระบบจะแสดงหน้าจอแจ้งเตือนว่าต้องรันผ่านโปรแกรม Rosetta ดังรูปที่ 4

Al2012co0014-4.png
รูปที่ 4 หน้าจอการแจ้งเตือนว่าต้องรันโทรจันผ่านโปรแกรม Rosetta

ข้อแนะนำในการป้องกันและแก้ไข

หากผู้ใช้ตกเป็นเหยื่อของโทรจัน GetShell.A สามารถกำจัดโทรจันนี้ออกจากระบบได้โดยใช้โปรแกรมแอนตี้ไวรัสที่ได้รับการอัพเดตฐานข้อมูลเป็นเวอร์ชันล่าสุด

อย่างไรก็ตาม เพื่อเป็นการป้องกันความเสียหายที่อาจจะเกิดขึ้นได้ในอนาคต ผู้ใช้ไม่ควรเข้าชมเว็บไซต์ที่ไม่รู้จัก เช่น ไม่ควรคลิกลิงก์ที่มากับอีเมล เป็นต้น รวมทั้งก่อนการคลิกอนุญาตให้รัน Java applet บนเว็บไซต์ใดๆ ผู้ใช้ควรตรวจสอบให้แน่ใจว่าต้องการรัน applet นั้นจริงๆ หากไม่แน่ใจควรปิดเว็บไซต์นั้นทันที เพราะ applet ดังกล่าวอาจนำมาซึ่งโปรแกรมไม่พึงประสงค์ก็ได้

อ้างอิง

  1. https://www.f-secure.com/weblog/archives/00002397.html
  2. http://www.computerworld.com/s/article/9228972/Java_based_Web_attack_installs_backdoors_on_Windows_Linux_Mac_computers
  3. http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader%3AJava%2FGetShell.A&ThreatID=-2147308694

Clear