เตือนโทรจัน Messenger ตัวใหม่แพร่ไวมาก

หลังจากข่าวไวรัสดักควาย Image.zip เพิ่งจะซาๆ ไป เช้านี้มีข่าวโทรจันตัวใหม่แพร่ผ่าน MSN Messenger อย่างรวดเร็ว ลักษณะมาในแนวคล้ายๆ กับ Image.zip แต่เนียนกว่าโดยใช้ชื่อไฟล์ที่คล้ายชื่อไฟล์ที่มาจากกล้องถ่ายดิจิตอล กล้องถ่ายจากโทรศัพท์มือถือ และเครื่องแสกนเนอร์ โทรจันดังกล่าวติดในหลายพันเครื่องทั่วโลก และระบาดในอัตราต่อชั่วโมงที่ค่อนข้างสูงโทรจันดังกล่าว เป็น IRC bot แพร่ผ่าน MSN Messenger โดยการส่งตัวเองออกไปในรูปแบบไฟล์ .zip ในสองชื่อ ชื่อหนึ่งจะมีคำว่า “pics” เป็นแบบ double extension executable โดยเลียนแบบชื่อไฟล์ที่ใช้กับกล้องดิจิตอลหรือสแกนเนอร์ อย่างเช่น DSC00432.jpg.exe อีกชื่อจะเป็น “images” ในแบบไฟล์ .pif executable อย่างเช่น IMG34814.pif ไฟล์ดังกล่าวเหล่านี้มีโทรจันอยู่ภายใน เมื่อติดที่เครื่องจะกรองรายชื่อติดต่อใน MSN Messenger และส่งตัวเองออกไปยังรายชื่อติดต่อeSafe CSRT (Content Security Response Team) รายงานว่าพบโทรจันดังกล่าวครั้งแรกเมื่อ18 พฤศจิกายน เวลา 18 นาฬิกา UTC (Coordinated Universal Time) โดยพบ operator 1ตัวและอีกมากว่า 500 บอทที่กำลังทำงานซึ่งตรวจพบในเครือข่าย หลังจากนั้นไม่ถึง 3 ชั่วโมงพบว่ามีการติดโทรจันดังกล่าวแล้วหลายพันเครื่องและเพิ่มขึ้นในอัตราหลายร้อยเครื่องต่อชั่วโมง

รูปแบบการทำงานของโทรจันตัวนี้มีลักษณะเดิมๆ คือ ขโมยรหัสผ่าน แพร่กระจายตัวเอง ส่งสปาม และสิ่งที่เริ่มเป็นกังวลกันมาก คือ โทรจันตัวนี้มีลักษณะที่ต่างออกไปอย่างหนึ่ง คือ มีความพยายามที่จะสแกน VNC (Virtual Network Computing) ซึ่งมีแนวโน้มว่าเพื่อขยายจำนวนการเชื่อมต่อของ botnet ในกรณีเป็นความกังวลที่พูดถึงกันมาระยะใหญ่แล้วในเรื่องความปลอดภัยของ Virtual Machine การติดมัลแวร์ระหว่าง host os และ guest

แม้ตัวเลขการแพร่ระบาดในขณะนี้จะไม่สูงมาก และยังไม่มีรายงานการติดโทรจันนี้ในบ้านเรา แต่อยากฝากเตือนไว้ให้ระมัดระวังให้มาก อย่าเป็นควายให้เขาดัก ถ้าไม่ได้ตกลงกันว่าจะรับ-ส่งอะไรให้กัน ก็ควรถามไถ่กันก่อน ไม่คลิกรับมั่วซั่ว และเปิดดูโดยไม่รู้ว่าเป็นอะไร และอย่าคิดว่า Messenger ตัวอื่นไม่โดนนะครับ โปรแกรมอย่าง Pigdin หรืออื่นๆ ก็โดนได้เหมือนกัน