This is featured post 1 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

This is featured post 2 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

This is featured post 3 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

This is featured post 4 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

This is featured post 5 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

วันพฤหัสบดีที่ 14 ตุลาคม พ.ศ. 2553

Stuxnet โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell

15:39 prathai3g No comments

Win32/Stuxnet หรือ Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ (Multi-component) คือเป็นทั้ง ประเภท โทรจัน (Trojan) และเวิร์ม (Worm) มีการค้นพบครั้งแรกเมื่อ 16 กรกฏาคม 2553 ที่ผ่านมา เป็นมัลแวร์ที่โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell (มีกระทบกับ Windows ทุกเวอร์ชัน) ซึ่งไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้เมื่อวันที่ 3 สิงหาคม 2553 ตามรายละเอียดใน ไมโครซอฟท์ออกแพตซ์ MS10-046 เป็นกรณีเร่งด่วนเพื่อแก้ปัญหาช่องโหว่ความปลอดภัย Windows

Stuxnet สามารถทำการติดตั้งและดร็อปคอมโพเนนต์ ทำการฉีดโค้ด (Injecting code) เข้าสู่โปรเซสระบบที่กำลังทำงานอยู่เพื่อสร้างช่องทางให้แบ็คดอร์ใช้ในการเข้าถึงและควบคุมเครื่องคอมพิวเตอร์ที่ติดไวรัส

หมายเหตุ: McAfee ระบุว่าเป้าหมายการโจมตีของ Stuxnet คือระบบที่รันซอฟต์แวร์ WinCC SCADA

ประเภท (Type):
- Trojan

ประเภทรอง (SubType):
- Worm

ชื่ออื่นๆ (Aliases):
- Stuxnet
ระดับการเตือนภัย (Alert Level)
Severe

รายละเอียดทางเทคนิค (Technical Information):
Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ มีการแพร่ระบาดผ่านทางอุปกรณ์เก็บข้อมูลแบบพกพาโดยอาศัยช่องโหว่ความปลอดภัยของ Windows Shell เมื่อเวิร์ม Stuxnet ถูกทำการรันมันจะทำการดร็อปไฟล์ชอร์ตคัท (.Lnk) ที่มีการฝังโค้ดอันตราย (Malicious shortcut) ลงในไดรฟ์อุปกรณ์เก็บข้อมูลแบบพกพา เมื่อมีการใช้งานไดรฟ์ดังกล่าวจากโปรแกรมแอพพลิเคชันที่ทำการแสดงไอคอนของชอร์ตคัท (ตัวอย่างเช่น Windows Explorer) ถ้าคอมพิวเตอร์เครื่องดังกล่าวมีช่องโหว่ความปลอดภัย Windows Shell ก็จะทำให้ไฟล์ชอร์ตคัทถูกรันโดยอัตโนมัติในทันที สำหรับไฟล์ชอร์ตคัทที่เวิร์ม Stuxnet ดร็อปลงในเครื่องนั้นโปรแกรมป้องกันไวรัสจะตรวจพบในชื่อ Exploit:Win32/CplLnk.A

สำหรับช่องโหว่ความปลอดภัยของ Windows Shell ที่ Stuxnet ใช้เป็นช่องทางในการแพร่ระบาดนั้นถูกค้นพบเมื่อวันที่ 16 กรกฏาคม 2553 และไมโครซอฟท์ได้ออกอัปเดทหมายเลข MS10-046 เป็นกรณีพิเศษเพื่อปิดช่องโหว่นี้ตั้งแต่วันที่ 3 สิงหาคม 2553 สำหรับรายละเอียดเพิ่มเติมสามารถอ่านได้ที่ พบช่องโหว่ความปลอดภัยร้ายแรงใน Windows Shell กระทบกับ Windows ทุกเวอร์ชัน

Stuxnet นั้นมีหลายคอมโพเนนต์ได้แก่
- TrojanDropper:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่ดร็อปและติดตั้งคอมโพเนนต์ต่างๆ ของ Stuxnet
- Trojan:WinNT/Stuxnet - เป็นไดรเวอร์คอมโพเนนต์ที่ทำหน้าที่โหลด/รันคอมโพเนนต์ที่เป็น Worm:Win32/Stuxnet
- Worm:Win32/Stuxnet - เป็นคอมโพเนนต์ที่ทำหน้าที่แพร่กระจายไวรัส

อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ shortcut (.lnk) อยู่ในไดรฟ์เก็บข้อมูลแบบพกพา
• มีไฟล์ดังนี้อยู่ในเครื่อง
- ~WTR4132.tmp
- %System%\drivers\mrxcls.sys
- %System%\drivers\mrxnet.sys
- %Windir%\inf\mdmcpq3.PNF
- %Windir%\inf\mdmeric3.PNF
- %Windir%\inf\oem6C.PNF
- %Windir%\inf\oem7A.PNF
• มีการแก้ไขรีจีสทรีย์ดังนี้
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
- Description: "MRXCLS"
- DisplayName: "MRXCLS"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxcls.sys"
- Start: 0x00000001
- Type: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
- 0: "Root\LEGACY_MRXCLS\0000"
- Count: 0x00000001
- NextInstance: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
- Description: "MRXNET"
- DisplayName: "MRXNET"
- ErrorControl: 0x00000000
- Group: "Network"
- ImagePath: "%system%\Drivers\mrxnet.sys"
- Start: 0x00000001
- Type: 0x00000001

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum
- 0: "Root\LEGACY_MRXNET\0000"
- Count: 0x00000001
- NextInstance: 0x00000001

วิธีการป้องกัน
- ทำการติดตั้งอัปเดทหมายเลข MS10-046

และเพื่อเพิ่มระดับความปลอดภัยในการป้องกันการโจมตีจากไวัส แนะนำให้ดำเนินการ ดังนี้
- เปิดใช้งาน Firewall
- ทำการอัพเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
- ทำการอัพเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัดWin32/Stuxnet โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน

แหล่งข้อมูลอ้างอิง
• Microsoft Virus Encyclopedia
• McAfee Threat Center
Read more »

วันจันทร์ที่ 2 สิงหาคม พ.ศ. 2553

แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)

13:22 prathai3g No comments

แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)
บทความโดย: Windows Administrator Blog

ในช่วงปลายสัปดาห์ที่ผ่านมามีรายงานว่าแฮกเกอร์ได้โจมตีเว็บไซต์ YouTube ด้วยการฝังโค้ด JavaScript ไว้ในคอมเมนต์โดยอาศัยข้อบกพร่องแบบ Cross Site Scripting (XSS) อย่างไรก็ตาม หลังจากได้รับรายงานการโจมตี Google ก็ได้ทำการแพตซ์ข้อบกพร่องดังกล่าวนี้ในทันที สำหรับเป้าหมายของการโจมตีจะพุ่งไปยังคลิปวีดีโอของ "Justin Bieber" ที่เป็นนักร้องขวัญใจวันรุ่นและมีแฟนคลับบนโลกออนไลน์เป็นจำนวนมาก

โดย Google ได้ออกแถลงการณ์อย่างเป็นทางการแจ้งว่า การแก้ไขปัญหาครั้งนี้ใช้เวลาในการดำเนินการจำนวน 2 ชั่วโมง และในระหว่างที่ทำแก้ไขปัญหานั้นเว็บไซต์ YouTube จะไม่ทำการแสดงคอมเมนต์เป็นเวลา 1 ชั่วโมง ทั้งนี้ Google ได้กล่าวในตอนท้ายของแถลงการณ์ว่า "จะทำการศึกษาถึงการเกิดปัญหาครั้งนี้เป็นกรณีตัวอย่างเพื่อป้องกันไม่ให้เกิดปัญหาลักษณะนี้อีกในอนาคต"

สำหรับข้อบกพร่องแบบ Cross Site Scripting ที่พบในครั้งนี้ ทำให้แฮกเกอร์สามารถใส่โค้ด JavaScript ลงในคอมเมนต์ของเว็บไซต์ YouTube ได้ ค้นพบโดยแฮกเกอร์หมวกเทา (Grey Hat Hacker) ชาวโรมาเนียที่เรียกตัวเองว่า "TinKode" ซึ่งหลังจากค้นพบได้นำไปโพสต์ในบล็อกเมื่อวันเสาร์ 3 กรกฏาคม 2553 หลังจากนั้นไม่นานแฮกเกอร์ซึ่งเป็นสมาชิกของ "4chan" ก็เริ่มลงมือทำการโจมตีบรรดาแฟนคลับของ Justin Bieber

นอกจากนี้ ยังมีข่าวลือว่าเริ่มมีไวรัสแพร่ระบาดโดยใช้ข้อบกพร่องแบบ Cross Site Scripting ดังกล่าวนี้แล้ว โดยข่าวนี้มีการแพร่กระจายไปอย่างรวดเร็วบนทวิตเตอร์ ข้อความดังนี้

"Listen up guys : Don't watch any youtube videos or comment them today, there's a virus! Spread!," made it into the "top tweets."

โดย Mikko H. Hypponen ซึ่งเป็นหัวหน้าฝ่ายวิจัย (Chief Research Officer) ของ F-Secure และเป็นผู้เชี่ยวชาญด้านความปลอดภัยได้วิเคราะห์และอธิบายข้อความที่โพสต์บน ทวิตเตอร์ว่า การใส่แท็ก '' ที่ 2 ในคอมเมนต์ของ YouTube จะทำให้สามารถฝังโค้ด JavaScript ลงในคอมเมนต์ได้

อนึ่ง ข้อบกพร่องแบบ Cross-site scripting นั้นจะทำให้ไม่สามารถทำการตรวจสอบผู้ใช้ที่ทำการส่งข้อมูลผ่านทางฟอร์มบน หน้าเว็บได้ ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีโดยการฉีดโค้ดที่ไม่ได้รับ อนุญาตเข้าในหน้าเว็บ โดยข้อบกพร่องแบบ Cross-site scripting มีอยู่หลายประเภทและส่วนใหญ่จะยังไม่ได้รับการแก้ไข ทำให้มีผลกระทบอย่างถาวรต่อหน้าเว็บ เนื่องจากแฮกเกอร์สามารถที่จะใช้โจมตีระบบได้ง่ายๆ เพียงแค่หลอกล่อผู้ใช้ให้เปิดยูอาร์แอลประสงค์ร้ายเท่านั้น

แหล่งข้อมูลอ้างอิง
• Softpedia
Read more »

โทรจัน Win32/Yonsole.A โจมตี MBR ทำให้วินโดวส์บูทไม่ขึ้น

13:19 prathai3g No comments

โทรจัน Win32/Yonsole.A โจมตี MBR ทำให้วินโดวส์บูทไม่ขึ้น
บทความโดย: Windows Administrator Blog

MMPC (Microsoft Malware Protection Center) ได้ประกาศว่าพบแบ็คดอร์โทรจัน (Backdoor Trojan) ตัวใหม่ชื่อ Win32/Yonsole.A ซึ่งเป็นโทรจันที่ทำหน้าที่เชื่อมต่อเครื่องคอมพิวเตอร์ที่มันติดอยู่กับ เซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี (Attacker) เพื่อทำการรับคำสั่งการทำงาน

โดยโทรจัน Win32/Yonsole.A สามารถทำการแก้ไขข้อมูล Master Boot Record (MBR) ของฮาร์ดดิสก์ของเครื่องคอมพิวเตอร์ที่ส่งผลให้ไม่สามารถบูทระบบได้ โดยโค้ดของ MBR ที่ถูกแก้ไขจะมีลักษณะดังรูปที่ 1



เมื่อทำการบูทเครื่องที่โดนโทรจัน Win32/Yonsole.A แก้ไข MBR จะแสดงหน้าจอดำพร้อมแบนเนอร์ดังรูปที่ 2


สำหรับรายละเอียดของโทรจัน Win32/Yonsole.A มีดังนี้

ชื่ออื่นๆ (Aliases):
- Win-Trojan/Torr.111104.AL (AhnLab) W32/OnlineGames.EI.gen!Eldorado (Authentium (Command))
- Backdoor.Win32.Torr.cep (Kaspersky)
- Trojan:Win32/Malagent (Microsoft)
- Backdoor.Torr.QS (VirusBuster)
- Trojan horse Dropper.Generic2.DJQ (AVG)
- Trojan.Generic.3777760 (BitDefender)
- Win32/Tnega.AJE (CA)
- Win32/Farfli.AK (ESET)
- Backdoor.Win32.Torr (Ikarus)
- Generic BackDoor!cqn (McAfee)
- Trj/Downloader.MDW (Panda)
- Trojan.Win32.Generic.5200D50B (Rising AV)
- Troj/Bckdr-RBZ (Sophos)
- Trojan.Win32.Generic!BT (Sunbelt Software)
- Mal_PClient (Trend Micro)

ระดับการเตือนภัย (Alert Level)
Severe

อาการ (Symptoms):
สำหรับเครื่องคอมพิวเตอร์ที่ติดไทรจัน จะมีการเปลี่ยนแปลงระบบดังนี้
• มีไฟล์ f00165500k.cmd อยู่ในเครื่อง
• มีการแก้ไขรีจีสทรีย์ดังนี้
- Adds value: "ServiceDll"
- With data: "\f00165500k.cmd"
- Under key: HKLM\SYSTEM\CurrentControlSet\Services\F00165500K\Parameters

วิธีการป้องกัน
- เปิดใช้งาน Firewall
- ทำการอัพเดทวินโดวส์และซอฟต์แวร์ต่างๆ ให้เป็นอัพเดทล่าสุดเสมอ
- ทำการอัพเดทโปรแกรมป้องกันไวรัส
- จำกัดจำนวนผู้ใช้ที่มีสิทธิพิเศษบนเครื่องคอมพิวเตอร์
- ใช้ความระมัดระวังเป็นพิเศษในการเปิดไฟล์ที่แนบมากับอีเมลหรือไฟล์ที่ได้จากอินเทอร์เน็ต
- ใช้ความระมัดระวังเป็นพิเศษในคลิกลิงก์ที่แนบมาทางอีเมล
- หลีกเลี่ยงการดาวน์โหลดซอฟท์แวร์ผิดกฏหมาย
- ระมัดระวังและปกป้องตนเองจากการโจมตีด้วยวิธีการวิศวกรรมทางสังคม (social engineering)
- ใช้รหัสผ่านที่มีความแข็งแกร่งยากต่อการคาดเดา

วิธีการแก้ไข
สามารถกำจัดโทรจัน Win32/Yonsole.A โดยการสแกนด้วยโปรแกรมป้องกันไวรัส เช่น Microsoft Security Essentials หรือ AVG Anti-Virus Free Edition หรือ Avast! Free Antivirus ทั้งนี้ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นเวอร์ชันใหม่ล่าสุดก่อนทำการสแกน

แหล่งข้อมูลอ้างอิง
• Microsoft Technet
• ไมโครซอฟท์ ไวรัสเอ็นไซโคพีเดีย
Read more »

วันอังคารที่ 18 พฤษภาคม พ.ศ. 2553

Trojan-Ransom.Win32.Winac.A - Windows "activation" ransomware

08:08 prathai3g No comments

ระวัง! โทรจัน Ransom.Win32.Winac.A หลอกขโมยหมายเลขบัตรเครดิต
บทความโดย: Thai Windows Administrator Blog

มีการแจ้งเตือนผู้ใช้ Windows ให้ระวังโทรจันชื่อ Ransom.Win32.Winac.A ซึ่งเป็นโทรจันที่มีเป้าหมายเพื่อขโมยหมายเลขบัตรเครดิต โดยมันจะทำการล็อก Windows ทำให้ไม่สามารถใช้งานได้จนกว่าผู้ใช้จะทำการป้อนข้อมูลบัตรเครดิต

โดยขั้นตอนแรก โทรจัน Ransom.Win32.Winac.A จะหลอกว่า Windows ที่กำลังใช้งานอยู่นั้นเป็นเวอร์ชันละเิมิดลิขสิทธิ์ด้วยการแสดงไดอะล็อก บ็อกซ์ Microsoft Windows Activation: Microsoft privacy control พร้อมข้อความว่า "We will ask for your billing details, but your credit card will NOT be charged."




ทั้งนี้ โทรจันจะเสนอทางเลือกให้ผู้ใช้ 2 ทาง คือ "Yes, activate Windows over the internet now" เพื่อทำการแอคติเวต Windows ในทันที หรือ "No, I will do it later" เพื่อทำการแอคติเวต Windows ในภายหลัง ถ้าผู้ใช้เลือก No, I will do it later โทรจันก็จะทำการรีบูทเครื่องคอมพิวเตอร์และจะกลับมายังหน้าไดอะล็อกบ็อกซ์ Microsoft Windows Activation: Microsoft privacy control อีกครั้ง แต่ถ้าผู้ใช้เลือก Yes, activate Windows over the internet now ซึ่งจะต้องป้อนข้อมูลส่วนตัว (รวมถึงหมายเลขบัตรเครดิต) โทรจันก็จะทำการแอคติเวต Windows ที่ (อ้างว่า) ละเิมิดลิขสิทธิ์ให้เป็นเวอร์ชันถูกลิขสิทธิ์ และระบบก็จะกลับมาใช้งานได้ตามปกติอีกครั้ง



อย่างไรก็ตาม ถ้าผู้ใช้เลือกทำการแอคติเวต โทรจันก็จะทำการส่งข้อมูลบัตร เครดิตไปยังเครือข่ายบ็อท fast-flux จากนั้นข้อมูลอาจถูกใช้ในทางที่สร้างความเสียหายให้กับเจ้าของบัตรเครดิตได้

แหล่งข้อมูลอ้างอิง
• Sunbelt
Read more »

วันพฤหัสบดีที่ 13 พฤษภาคม พ.ศ. 2553

มัลแวร์ปลอมตัวมาในรูปแบบอัพเดทของโปรแกรม Adobe, Java และ Windows

10:01 prathai3g No comments

มีเรื่องเกี่ยวกับความปลอดภัยทางด้านคอมพิวเตอร์มาเตือนให้ทุกๆ ท่านระมัดระวังกันอีกแล้ว เนื่องจากมีรายงานว่าได้มีการตรวจพบมัลแวร์ที่ปลอมตัวมาในรูปแบบอัพเดท (Update) ของโปรแกรมแอพพลิเคชันที่ได้รับความนิยมใช้งานจำนวนมาก ตัวอย่างเช่น โปรแกรม Adobe, Java, DeepFreeze หรือแม้แต่ Windows

โดยมัลแวร์ดังกล่าวนี้จะใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้ รับความนิยมใช้งานจำนวนมาก เพื่อหลอกให้ผู้ใช้หลงเชื่อและทำการรันไฟล์มัลแวร์ ถ้าผู้ใช้ทำการรันไฟล์มัลแวร์ดังกล่าวด้วยความรู้เท่าไม่ถึงการก็จะทำให้ เครื่องคอมพิวเตอร์ติดไวรัสในทันที จากนั้นไวรัสก็จะจะทำการเปิดบริการ DHCP client, DNS client, Network share พร้อมทั้งเปิดพอร์ตสำหรับรอรับคำสั่งการทำงานจากแฮกเกอร์ที่เป็นผู้พัฒนา ไวรัส

อนึ่ง มัลแวร์ที่ใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้รับความนิยมใน การแพร่ระบาดนี้ถูกพัฒนาขึ้นด้วยโปรแกรม Microsoft Visual Basic และถูกตรวจพบโดยโปรแกรม Bkav ในชื่อ W32.Fakeupver.trojan

สำหรับรูปที่ 1 เป็นตัวอย่างมัลแวร์ที่ปลอมตัวเป็นโปรแกรม Acrobat Reader 9 โดยมัลแวร์จะทำการเขียนทับไฟล์ AdobeUpdater.exe ในโฟลเดอร์ Adobe/Reader 9.0/Reader ซึ่งจากการวิเคราะห์พบว่ามัลแวร์จะใช้เทคนิคใหม่ในการเขียนทับไฟล์อัพเดท

โดยมัลแวร์ที่ปลอมตัวเป็นอัพเดท (Update) ของโปรแกรมแอพพลิเคชันนี้มีข้อสังเกตคือ ข้อมูลเวอร์ชันจะไม่ตรงกับเวอร์ชันของซอฟต์แวร์ที่มันปลอมตัว ตัวอย่างเช่น การปลอมตัวเป็น Acrobat Reader 9 แต่เวอร์ชันของไฟล์จะเป็น 7.2.0.0 เป็นต้น
Read more »

วันพุธที่ 21 เมษายน พ.ศ. 2553

Microsoft Patch Tuesday - April 2010

12:52 prathai3g No comments

ไมโครซอฟท์ออกแพตซ์ (Patch) จำนวน 11 ตัวเพื่อแก้ 25 ช่องโหว่ความปลอดภัยใน Windows, Exchange และ Office

งานติดตั้งอัพเดทในเดือนเมษายนนี้เป็นงานหนักของชาว Admin อีกครั้ง เนื่องจาก Microsoft ออกแพตซ์ (Patch) ถึง 11 ตัว สำหรับปิด 25 ช่องโหว่ของ Windows, Microsoft Exchange และ Microsoft Office ตามรายละเอียดด้านล่างครับ

รายละเอียดการแพตซ์ของเดือนเมษายน 2553
วันอังคารที่ 13 เมษายน 2553 (ตรงกับวันพุธที่ 14 เมษายน 53 ตามเวลาในประเทศไทย) ไมโครซอฟท์ได้ออก "Microsoft Security Update for April 2010" หรือที่เรียกกันในหมู่ Admin ว่า "Patch Tuesday" จำนวน 11 ตัว ในจำนวนนี้มี 5 ตัวที่มีความร้ายแรงระดับวิกฤติ (Critical) คือ MS10-019, MS10-020, MS10-025, MS10-026 และ MS10-027 โดยมี 5 ตัวที่มีความร้ายแรงระดับสูง (Important) คือ MS10-021, MS10-022, MS10-023, MS10-024 และ MS10-028 และมี 1 ตัวที่มีความร้ายแรงระดับกลาง (Moderate) คือ MS10-029 รายละเอียดดังต่อไปนี้

แพตซ์สำหรับแก้ปัญหาความปลอดภัยที่มีความร้ายแรงระดับวิกฤติ (Critical)
แพตซ์สำหรับแก้ปัญหาความปลอดภัยที่มีความร้ายแรงระดับวิกฤติมีจำนวน 5 ตัว ทั้งหมดเป็นแพตซ์ของระบบ Windows มีรายละเอียดดังต่อไปนี้

MS10-019: Vulnerabilities in Windows Could Allow Remote Code Execution (981210)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-019.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation affected)
- Windows Server 2008 R2 for Itanium-based Systems

MS10-020: Vulnerabilities in SMB Client Could Allow Remote Code Execution (980232)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-020.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation affected)
- Windows Server 2008 R2 for Itanium-based Systems

MS10-025: Vulnerability in Microsoft Windows Media Services Could Allow Remote Code Execution (980858)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-025.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Windows 2000 Server Service Pack 4

MS10-026: Vulnerability in Microsoft MPEG Layer-3 Codecs Could Allow Remote Code Execution (977816)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-026.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)

MS10-027: Vulnerability in Windows Media Player Could Allow Remote Code Execution (979402)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-027.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3

แพตซ์สำหรับแก้ปัญหาความปลอดภัยที่มีความร้ายแรงระดับสูง (Important)
แพตซ์สำหรับแก้ปัญหาความปลอดภัยที่มีความร้ายแรงระดับสูงมีจำนวน 5 ตัว เป็นแพตซ์ของระบบ Windows 2 ตัว Windows, Microsoft Exchange 1 ตัว และ Microsoft Office จำนวน 2 ตัว รายละเอียดดังต่อไปนี้

MS10-021: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (979683)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-021.mspx
Impact: Elevation of Privilege
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista
- Windows Vista Service Pack 1 and Windows Vista Service Pack 2
- Windows Vista x64 Edition
- Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation affected)
- Windows Server 2008 R2 for Itanium-based Systems

MS10-022: Vulnerability in VBScript Could Allow Remote Code Execution (981169)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-022.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation not affected)
- Windows Server 2008 R2 for Itanium-based Systems

MS10-023: Vulnerability in Microsoft Office Publisher Could Allow Remote Code Execution (981160)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-023.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Office Publisher 2002 Service Pack 3
- Microsoft Office Publisher 2003 Service Pack 3
- Microsoft Office Publisher 2007 Service Pack 1 and Microsoft Office Publisher 2007 Service Pack 2

MS10-024: Vulnerabilities in Microsoft Exchange and Windows SMTP Service Could Allow Denial of Service (981832)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-024.mspx
Impact: Denial of Service
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation not affected)
- Microsoft Exchange Server 2000 Service Pack 3
- Microsoft Exchange Server 2003 Service Pack 2
- Microsoft Exchange Server 2007 Service Pack 1 for x64-based Systems
- Microsoft Exchange Server 2007 Service Pack 2 for x64-based Systems
- Microsoft Exchange Server 2010 for x64-based Systems

MS10-028: Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution (980094)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-028.mspx
Impact: Remote Code Execution
Affected Software:
- Microsoft Office Visio 2002 Service Pack 2
- Microsoft Office Visio 2003 Service Pack 3
- Microsoft Office Visio 2007 Service Pack 1 and Microsoft Office Visio 2007 Service Pack 2

แพตซ์สำหรับแก้ปัญหาความปลอดภัยที่มีความร้ายแรงระดับกลาง (Moderate)
แพตซ์สำหรับแก้ปัญหาความปลอดภัยที่มีความร้ายแรงระดับกลางมีจำนวน 1 ตัว เป็นแพตซ์ของระบบ Windows มีรายละเอียดดังต่อไปนี้

MS10-029: Vulnerabilities in Windows ISATAP Component Could Allow Spoofing (978338)
Update Link:http://www.microsoft.com/technet/security/Bulletin/MS10-029.mspx
Impact:Spoofing
Affected Software:
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2

การอัพเดทระบบ
ผู้ใช้ที่ใช้วินโดวส์เวอร์ชันและซอฟต์แวร์ที่ได้รับผลกระทบ สามารถทำการอัพเดทจากเว็บไซต์ Microsoft Update ผ่านทางอินเทอร์เน็ต หรือทำการอัพเดทผ่านทาง Windows Server Update Services (WSUS) สำหรับผู้ใช้แบบองค์กรที่มีการติดตั้งระบบ WSUS Server ทั้งนี้ ตั้งแต่วันที่ 13 เมษายน 2553 (14 เมษายน 53 ตามเวลาในประเทศไทย) เป็นต้นไป

ส่งท้ายเอนทรี่
ถึงแม้ว่างานแพตซ์ระบบเดือนนี้ถือเป็นงานหนัก แต่เพื่อความปลอดภัยก็ขอให้ผู้ที่เป็น Admin ทุกท่านทำการอัพเดทระบบให้เรียบร้อยโดยเฉพาะอัพเดทหมายเลข MS10-019, MS10-026 และ MS10-027

แหล่งข้อมูลอ้างอิง
• Microsoft Security Bulletin Summary for April 2010

ลิงค์ที่เกี่ยวข้อง
• Microsoft Technet Security
• Microsoft Security Center
Read more »

Malware faking Adobe update, Java and Windows

12:46 prathai3g No comments

มัลแวร์ปลอมตัวมาในรูปแบบอัพเดทของโปรแกรม Adobe, Java และ Windows
มีเรื่องเกี่ยวกับความปลอดภัยทางด้านคอมพิวเตอร์มาเตือนให้ทุกๆ ท่านระมัดระวังกันอีกแล้ว เนื่องจากมีรายงานว่าได้มีการตรวจพบมัลแวร์ที่ปลอมตัวมาในรูปแบบอัพเดท (Update) ของโปรแกรมแอพพลิเคชันที่ได้รับความนิยมใช้งานจำนวนมาก ตัวอย่างเช่น โปรแกรม Adobe, Java, DeepFreeze หรือแม้แต่ Windows

โดยมัลแวร์ดังกล่าวนี้จะใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้รับความนิยมใช้งานจำนวนมาก เพื่อหลอกให้ผู้ใช้หลงเชื่อและทำการรันไฟล์มัลแวร์ ถ้าผู้ใช้ทำการรันไฟล์มัลแวร์ดังกล่าวด้วยความรู้เท่าไม่ถึงการก็จะทำให้เครื่องคอมพิวเตอร์ติดไวรัสในทันที จากนั้นไวรัสก็จะจะทำการเปิดบริการ DHCP client, DNS client, Network share พร้อมทั้งเปิดพอร์ตสำหรับรอรับคำสั่งการทำงานจากแฮกเกอร์ที่เป็นผู้พัฒนาไวรัส

อนึ่ง มัลแวร์ที่ใช้วิธีการปลอมตัวโดยใช้ไอคอนของแอพพลิเคชันที่ได้รับความนิยมในการแพร่ระบาดนี้ถูกพัฒนาขึ้นด้วยโปรแกรม Microsoft Visual Basic และถูกตรวจพบโดยโปรแกรม Bkav ในชื่อ W32.Fakeupver.trojan

สำหรับรูปที่ 1 เป็นตัวอย่างมัลแวร์ที่ปลอมตัวเป็นโปรแกรม Acrobat Reader 9 โดยมัลแวร์จะทำการเขียนทับไฟล์ AdobeUpdater.exe ในโฟลเดอร์ Adobe/Reader 9.0/Reader ซึ่งจากการวิเคราะห์พบว่ามัลแวร์จะใช้เทคนิคใหม่ในการเขียนทับไฟล์อัพเดท

โดยมัลแวร์ที่ปลอมตัวเป็นอัพเดท (Update) ของโปรแกรมแอพพลิเคชันนี้มีข้อสังเกตคือ ข้อมูลเวอร์ชันจะไม่ตรงกับเวอร์ชันของซอฟต์แวร์ที่มันปลอมตัว ตัวอย่างเช่น การปลอมตัวเป็น Acrobat Reader 9 แต่เวอร์ชันของไฟล์จะเป็น 7.2.0.0 เป็นต้น
Read more »

วันพุธที่ 10 มีนาคม พ.ศ. 2553

Panda Cloud Antivirus 1.0.1 แอนตี้ไวรัสกลุ่มเมฆแบบฟรีแวร์

13:14 prathai3g No comments

Panda Cloud Antivirus 1.0.1 แอนตี้ไวรัสกลุ่มเมฆแบบฟรีแวร์

Panda Security อัพเดทโปรแกรม Panda Cloud Antivirus ซึ่งโปรแกรมแอนตี้ไวรัสที่ทำงานแบบกลุ่มเมฆ (Cloud-based antivirus) เป็นเวอร์ชัน 1.0.1 ตามรายละเอียดด้านล่างครับ

Panda Cloud Antivirus 1.0.1
Panda Cloud Antivirus โปรแกรมแอนตี้ไวรัสกลุ่มเมฆแบบฟรีแวร์ สามารถทำหน้าที่ปกป้องผู้ใช้จากภัยคุกคามต่างๆ ในโลกออนไลน์ เช่น Worm, Virus, Trojan, Adware, Spyware และ ฯลฯ ในขณะท่องอินเทอร์เน็ตหรือทำงานต่าง หรือแม้แต่การดูหนัง ฟังเพลง เล่นเกมส์ เหมือนกับโปรแกรมแอนตี้ไวรัสทั่วไป

Panda Cloud Antivirus นั้นแตกต่างจากโปรแกรมแอนตี้ไวรัสทั่วไป คือ การทำงานต่างๆ ของโปรแกรมจะกระทำอยู่บน Cloud ของ PandaLabs Server โดยไม่ได้ใช้ทรัพยากรของเครื่องคอมพิวเตอร์ จึงส่งผลกระทบต่อประสิทธิภาพการทำงานของเครื่องคอมพิวเตอร์น้อยมาก

Panda Cloud Antivirus มีคุณสมบัติเด่น คือ สามารถป้องกันไวรัสคอมพิวเตอร์ตัวใหม่ๆ ได้อย่างทันเวลา มีการใช้งานง่ายโดยที่ผู้ใช้ไม่ต้องยุ่งยากกับการคอนฟิกโปรแกรม แบบว่า "ติดตั้งแล้วลืม Install and forget" ดังนั้นผู้ใช้ไม่ต้องกังวลกับการอัพเดทไวรัสเดฟินิชัน (Virus Definition) การคอนฟิก (Configuration) อย่างไรก็ตามการทำงานให้ได้เต็มประสิทธิภาพจะต้องมีการเชื่อมต่อกับอินเทอร์เน็ตแบบไฮสปีด (High Speed Internet)
การดาวน์โหลด Panda Cloud Antivirus 1.0.1
ผู้ที่สนใจทดลองใช้งาน Panda Cloud Antivirus 1.0.1 สามารถดาวน์โหลดได้ฟรีจากเว็บไซต์ Download Cloud Antivirus 1.0.1 หรือที่เว็บไซต์ Download Cloud Antivirus 1.0.1 (Filehippo)

ฟีเจอร์ใหม่ใน Panda Cloud Antivirus 1.0.1
ใน Panda Cloud Antivirus 1.0.1 มีการปรับปรุงและฟีเจอร์ใหม่ต่างๆ ดังนี้
• ไม่ต้องการสร้างแอคเคาท์ในระหว่างการติดตั้ง (Preactivated version does not require account creation during install)
• แก้ไขปัญหาการทำงานในโหมดด่วนและโหมดเต็มหน้าจอ (Fix for certain conditions of stuck quick & full scan)
• ปรับปรุง cloud-heuristic เพื่อให้สามารถตรวจสอบมัลแวร์ชนิดใหม่ๆ ให้ดีขึ้น (Improved cloud-heuristic detection for unknown malware - From HF_2)
• ปรับปรุงอัลกอริธึมการตรวจสอบมัลแวร์ชนิดใหม่ๆ ให้ดีขึ้น (Improved prevalence algorithms for priorization of new malware - From HF_2)
• แก้ไขปัญหาการสแกนไฟล์บางชนิดในโฟลเดอร์ System (Fix of problems scanning certain files in system directories - From HF_1)
• แก้ไขปัญหาการเชื่อมต่อหลุดหลังทำการกำจัดมัลแวร์ (Fix for loss of connectivity after malware disinfection involving LSP - From HF_1)
• ปรับปรุง cloud-heuristic เพื่อให้สามารถตรวจสอบมัลแวร์ให้ดีขึ้น (Improved cloud-heuristic detection - From HF_1)

ข้อมูลทางเทคนิคของ Panda Cloud Antivirus 1.0.1
โปรแกรม Panda Cloud Antivirus สามารถทำงานได้บนระบบ Windows XP, Windows Vista และ Windows 7 สามารถทำงานได้บน Windows Vista 64-bit และ Windows 7 64-bit โดยมีข้อมูลทางเทคนิคดังนี้
Title: Cloud Antivirus 1.0.1
Filename: CloudAntivirus.exe
File size: 22.69 MB
License: Freeware
Date Released: 1 March 2010
Read more »

วันเสาร์ที่ 13 กุมภาพันธ์ พ.ศ. 2553

Microsoft Security Advisory 977377

07:51 prathai3g No comments

พบช่องโหว่ความปลอดภัยในโปรโตคอล TLS และ SSL
บทความโดย: Thai Windows Administrator Blog

ไมโครซอฟท์ออก Microsoft Security Advisory (977377): Vulnerability in TLS/SSL Could Allow Spoofing เพื่อประกาศว่าไมโครซอฟท์กำลังตรวจสอบรายงานเกี่ยวกับการพบช่องโหว่ความปลอดภัยในโปรโตคอล Transport Layer Security (TLS) และ Secure Sockets Layer (SSL) ซึ่งสามารถใช้ในการ "Spoofing" ระบบได้ โดยโปรโตคอล TLS และ SSL นั้นมีใช้งานอยู่ในหลายๆ ผลิตภัณฑ์ของไมโครซอฟท์ทั้งแบบ ลูกข่าย (Client) และแม่ข่าย (Server)

ปัจจุบันไมโครซอฟท์ยังไม่ได้รับรายงานถึงการ "Spoofing" ระบบโดยใช้ช่องโหว่ดังกล่าวนี้ อย่างไรก็ตามไมโครซอฟท์ได้ติดตามสถานการณ์อย่างใกล้ชิดและจะแจ้งข้อมูลอัพเดทให้ผู้ใช้ทราบเมื่อมีการตรวจสอบแล้วเสร็จ

Issue References
CVE Reference: CVE-2009-3555

สำหรับปัญหาช่องโหว่ความปลอดภัยในโปรโตคอล TLS และ SSL ที่พบในครั้งนี้ส่งผลกระทบต่อมาตรฐานการใช้งาน Internet เนื่องจากเป็นโปรแกรมคอลที่ใช้งานในหลายบริษัท และเป็นโปรโตคอลหลักที่ใช้ในการให้บริการเข้ารหัสข้อมูลที่รับ-ส่งบนระบบอินเทอร์เน็ตในปัจจุบัน โดยไมโครซอฟท์กำลังทำงานร่วมกับพาร์ทเนอร์ใน Internet Consortium for Advancement of Security on the Internet (ICASI) เพื่อหาวิธีการแก้ไขปัญหาดังกล่าวนี้

สำหรับการออกแพตช์ (Patch) เพื่อปิดช่องโหว่นั้น หลังทำการตรวจสอบเสร็จเรียบร้อยไมโครซอฟท์จะทำการประกาศให้ผู้ใช้ทราบอีก ครั้ง ในกรณีจำเป็นต้องออกแพตช์เพื่อปิดช่องโหว่ อาจจะออกแพตช์รวมอยู่ในเซอร์วิสแพ็ค อัพเดทรายเดือน หรือออกเป็นอัพเดทกรณีพิเศษ (Out-of-band) ในกรณีร้ายแรง หรือได้รับการร้องขอจากลูกค้า หรือแบบอื่นๆ ตามความเหมาะสม

นอกจากนี้ ไมโครซอฟท์ได้เปิดเว็บไซต์ Microsoft Active Protections Program (MAPP) เพื่อเป็นศูนย์ข้อมูลเกี่ยวกับช่องโหว่ความปลอดภัยสำหรับลูกค้าอีกด้วย

ระบบปฏิบัติการที่ได้รับผลกระทบ
เวอร์ชันของระบบปฏิบัติการที่ได้รับผลกระทบ มีดังนี้
• Microsoft Windows 2000 Service Pack 4
• Windows XP Service Pack 2 and Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
• Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2*
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2*
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems*
• Windows Server 2008 R2 for Itanium-based Systems

Mitigating Factors
ปัจจัยที่ช่วยลดผลกระทบของช่องโหว่ความปลอดภัยต่อระบบ
• สำหรับเว็บเซิร์ฟเวอร์ที่รัน Internet Information Services (IIS) 6.0 หรือใหม่กว่า โดยใช้ค่าคอนฟิกแบบดีฟอลท์จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าวนี้
• สำหรับเว็บเซิร์ฟเวอร์ที่รัน Internet Information Services (IIS) 6.0 หรือใหม่กว่า ที่คอนฟิกแบบ mutual authentication (ซึ่งไม่ได้เป็นการใช้งานโดยทั่วไป) จะได้รับผลกระทบจากช่องโหว่ดังกล่าวนี้

คำแนะนำเพื่อป้องกันระบบจากการโจมตี
ในระหว่างที่รอการตรวจสอบและการพัฒนาแพตช์ (Patch) แล้วเสร็จ ให้ผู้ใช้ IIS 6 และ IIS 7 ปฏิบัติตามคำแนะนำใน Advisory 977377 ในส่วนแหล่งข้อมูลอ้างอิงด้านล่าง

แหล่งข้อมูลอ้างอิง
• Advisory 977377
• Windows Administrator Blog
Read more »

วันจันทร์ที่ 8 กุมภาพันธ์ พ.ศ. 2553

Win32-Malware name (Top 100)

16:51 prathai3g No comments

Win32-Malware name (Top 100), Thailand ประจำวันที่ 14 - 21 มกราคม 2010
Read more »

วันพฤหัสบดีที่ 4 กุมภาพันธ์ พ.ศ. 2553

Fake Firefox comes with Hotbar adware

17:02 prathai3g No comments

ระวังเว็บไซต์เถื่อนหลอกให้อัพเดท Firefox แต่แถม Hotbar adware
บทความโดย: Thai Windows Administrator Blog

มีคำเตือนผู้ใช้อินเทอร์เน็ตให้ระวังเว็บไซต์เถื่อนหลอกให้ทำการอัพเดทโปรแกรม Firefox เว็บเบราเซอร์โอเพนซอร์ส (Open Source) ยอดนิยม หากใครหลงเชื่อทำการอัพเดทจะส่งผลให้โปรแกรม Hotbar ซึ่งเป็น adware ถูกติดตั้งลงในระบบทันที

สำหรับเว็บไซต์ดังกล่าวนี้ชื่อ freesoftwaredl (http://freesoftwaredl.com/) เป็นเว็บไซต์ในเครือข่าย Pinball Publisher Network (PPB) ซึ่งจะให้ดาวน์โหลดโปรแกรมติดตั้ง Firefox ที่ถูกทำการปรับแต่งใหม่และมีการแฝง adware ชื่อ Hotbar ไว้ภายใน

โดยโปรแกรมอัพเดท Firefox ที่ให้ดาวน์โหลดโดย PPN นั้น จะหลอกผู้ใช้ว่าได้รับการสนับสนุน (Sponsored) การแจกจ่าย Firefox โดย Hotbar ซึ่งความจริงเป็นโปรแกรม
adware เอาไว้ ดังรูปด้านล่าง หากใครทำการอัพเดท Firefox ก็จะทำให้ adware ถูกการติดตั้งลงบนระบบด้วย


อนึ่ง เว็บไซต์ให้ดาวน์โหลดโปรแกรม Firefox อย่างเป็นทางการคือ
http://www.mozilla.com/en-US/firefox/personal.html?from=getfirefox สำหรับเวอร์ชันปัจจุบันของ Firefox คือ 3.6 สามารถอ่านรายละเอียดได้ที่ Download Mozilla Firefox 3.6 Final

แหล่งข้อมูลอ้างอิง
• Sunbelt Blog
Read more »

วันอังคารที่ 26 มกราคม พ.ศ. 2553

Malware Alert: Win32.Worm.Zimuse.A

19:54 prathai3g No comments

ระวังเวิร์ม Win32.Worm.Zimuse.A ติดแล้วอาจจะทำให้ข้อมูลบนฮาร์ดดิสก์เสียหายได้

Bitdefender และ Eset (ผู้พัฒนาโปรแกรมแอนตี้ไวรัส NOD32) บริษัทผู้ผลิตซอฟต์แวร์แอนตี้ไวรัสและสปายแวร์ชื่อดัง ได้ประกาศเตือนให้ผู้ใช้คอมพิวเตอร์ระวังการโจมตีของเวิร์มตัวใหม่ชื่อ Win32.Worm.Zimuse.A ซึ่งสามารถทำให้ข้อมูลบนฮาร์ดดิสก์เสียหายได้

รายละเอียดเวิร์ใ Win32.Worm.Zimuse.A
Virus Name: Win32.Worm.Zimuse.A
Aliases: Trojan.Startpage.G (Symantec), Trojan.Generic.1729691 (BitDefender), W32/Threat-SysVenFakP-based!Maximus (F-Prot)
Type of infiltration: Worm
Size: 195072 B
Affected platforms: Microsoft Windows

ผลกระทบ
Win32.Worm.Zimuse.A นั้นจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลที่จัดเก็บในฮาร์ดดิสก์ได้

วิธีการแพร่ระบาด
Win32.Worm.Zimuse.A สามารถแพร่ระบาดได้ทางการดาวน์โหลดจากอินเทอร์เน็ตและผ่านสื่อเก็บข้อมูลแบบพกพา โดยมันจะแฝงตัวอยู่ในไฟล์บีบอัดที่สามารถรันได้ด้วยตัวเอง (PECompact) โดยจะหลอกผู้ใช้ว่าเป็นในโปรแกรมทดสอบไอคิว (IQ Test) ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มก็จะทำการสำเนาตัวเองในชื่อไฟล์ zipsetup.exe มีขนาด 195072 B ลงใรรูทโฟลเดอร์ของไดรฟ์ A:\, B:\, C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\

การทำงาน
เมื่อผู้ใช้ทำการรันไฟล์ zipsetup.exe (ด้วยความเข้าใจว่าเป็นโปรแกรมธรรมดา) เวิร์มก็จะทำการสำเนาไฟล์ autorun.inf ลงเครื่องคอมพิวเตอร์ (ไดเร็กตอรี่ที่เก็บไฟล์ zipsetup.exe) จากนั้นจะทำการสำเนาตัวเองลงในโฟลเดอร์ระบบของวินโดวส์จำนวนระหว่าง 5-11 ไฟล์แล้วแต่กรณี ดังนี้

%system%\drivers\Mstart.sys (13100 B)
%system%\drivers\Mseu.sys (18188 B)
%system%\mseus.exe (69632 B)
%system%\tokset.dll (195072 B)
%system%\ainf.inf (41 B)

จากนั้นจะแสดงหน้าไดอะล็อกบอกซ์ดังรูปด้านล่าง

(Credit: Eset.eu)


ทำการติดตั้งตัวเองในโฟลเดอร์ไดรเวอร์ของระบบ ดังนี้
%system%\drivers\Mstart.sys, MSTART
%system%\drivers\Mseu.sys, MSEU

ทำการแก้ไขรีจีสทรี่เพื่อให้ทำงานโดยอัตโนมัติพร้อมระบบวินโดวส์ ดังนี้
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dump" = "%programfiles%\Dump\Dump.exe"

นอกจากนี้ ยังทำการแก้ไขสร้างรีจีสทรี่เพิ่มขึ้นอีกหลายตัว โดยบางส่วนดังนี้
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "MSTART"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSTART\0000]

ในกรณีที่วันและเวลาของระบบเป็นไปตามเงื่อนไขที่กำหนดไว้ เวิร์มจะทำการเขียนข้อมูลของตัวมันเองลงทับ (Overwirte) ข้อมูล 50KB แรกของ MBR (Master Boot Record) ของทุกๆ ลอจิคัลไดรฟ์ในฮาร์ดดิสก์ทุกตัวที่ติดตั้งอยู่ในเครื่องคอมพิวเตอร์ และจะแสดงไดอะล็อกบ็อกซ์ ดังรูปด้านล่าง





Click to enlarge (Credit: Eset.eu)


โดยเวิร์มอาจจะทำการลบไฟล์ต่างๆ ดังนี้
- C:\BOOT.INI
- C:\NTDETECT.COM
- C:\NTLDR
- C:\HYBERFILE.SYS
- C:\BOOTMGR

วิธีการป้องกัน
สำหรับวิีธีการป้องกันนั้นแนะนำว่า อย่าดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และ ทำการติดตั้งโปรแกรมป้องกันไวรัสและฐานข้อมูลอัพเดทไวรัส (Virus Definition) ให้เป็นปัจจุบันตลอดเวลา

วิธีการกำจัดไวรัส
สามารถกำจัดไวรัส Win32.Worm.Zimuse.A โดยใช้เครื่องมือจาก Eset โดยดาวน์โหลดได้ที่ Download Win32.Worm.Zimuse.A Remover

แหล่งข้อมูลอ้างอิง
• Bitdefender
• Eset
• Thai Windows Administrator Blog
• virus cpe -System Administrator --KKF
Read more »

วันพฤหัสบดีที่ 21 มกราคม พ.ศ. 2553

การแก้ปัญหาไวรัส Sality

11:01 prathai3g No comments

เครื่องที่ลงระบบปฏิบัติการใหม่
1.ลงปฏิบัติการ Windows XP/98/2000/2003 ใหม่
2.update path service pack 3
3.Update path ความปลอดภัยของ Windows
4. Anti Virus Kaspersky version 6
5.ลงโปรแกรมของบริษัทและโปรแกรมที่ใช้ในสำนักงาน
6.pack เข้ากับ Network ของบริษัท


เครื่องที่ไม่ลงระบบปฏิบัติการใหม่(วิธีนี้ไม่ 100 %)
ไฟล์ทุกไฟล์ที่โหลดมาห้ามแตกไฟล์ออกเพราะตัว sality จะไปจับ
1.โหลดไฟล์ช่วยหยุดไวรัสชื่อ Sality_off.zip
2.ไฟล์โปรแกรมแอนตี้ไวรัส Kaspersky version 6 (หากเครื่องคุณมีแอนตี้ไวรัสอยู่ให้ลบทิ้งไปเลยครับ)
ให้โหลด kaspersky มา แต่ยังไม่ต้องติดตั้งครับ แพคเป็นไฟล์ Zip ไว้ให้นะครับ (โหลดมาแต่ไม่ต้องคลายออกมานะครับ(เดี๋ยวไวรัสเกาะ)
3.ไฟล์ซ่อมอาการเข้า safe mode ไม่ได้สำหรับ
3.1 SafeBootWinXP.zip
3.2 SafeBootWin2000.zip
3.3 SafebootVista.zip
3.4 SafeBootWinServer2003.zip
3.5 Disable autorun.zip
ขั้นตอนการแก้ไข
ข้อควรจำนะครับหลังจากโหลดไฟล์เสร็จแล้วไม่ต้องคลายออกมาจาก Zip คลายออกปุ๊บโดนเกาะปั๊บ
1. ให้เปิดไฟล์ Sality_off ในไฟล์ zip เลยครับ
ไม่ต้องคลายออกมาครับ เปิดแล้วโปรแกรม Sality_off จะทำการสแกนและหยุดไวรัส Sality ครับ รอจนเสร็จครับ
อาจจะนานหน่อยก็ต้องรอครับ โดยโปรแกรมนี้จะสแกนทุกๆไดว์ฟทุกๆไฟล์ที่น่าสงสัยว่า Salityเกาะอยู่ครับ
เมื่อเสร็จแล้วจะขึ้นให้คุณกดปุ่มใดก็ได้ครับ แล้วก็ติดตั้งแอนตี้ไวรัสเลยครับ หรือหากมี kaspersky อยู่แล้วก็ให้รีสตาร์ทเครื่องเลยครับ ระหว่างที่สแกนก็จะพบว่าไฟล์โปรแกรมของเราโดนไวรัสเกาะอยู่ kaspersky จะถามเราว่าจะทำอย่างไร2.ให้เรากด Disinfect ครับ เพื่อที่จะลบไวรัสออกจากไฟล์โปรแกรมของเรา

แต่บางไฟล์โดนไวรัสเกาะลึกเกินไปก็ไม่สามารถลบไวรัสออกจากไฟล์ได้ kaspersky จะขึ้นมาถามอีกครั้งโดยที่จะมี
ให้กด แค่ deleted กับ Skip
ให้กด deleted เลยครับ

3. ต่อไปก็เปิดไฟล์ซ่อมอาการเข้า safmode ไม่ได้ครับ เลือกเอาครับว่ากำลังใช้วินโดว์อะไรอยู่
แล้วก็เปิดไฟล์ ปิดออโต้รันด้วยครับ ช่วยป้องกันไวรัสจากแฟลชไดว์ฟได้อีกระดับหนึ่งครับ
ไฟล์ซ่อมอาการเข้า safmode ไม่ได้สำหรับ
- SafeBootWinXP.zip
- SafeBootWin2000.zip
- SafebootVista.zip
- SafeBootWinServer2003.zip
- Disable autorun.zip
ขอบคุณ webphand.com แนะนำ
Read more »

วันพุธที่ 20 มกราคม พ.ศ. 2553

Microsoft Security Update for January 2010

09:59 prathai3g No comments

ไมโครซอฟท์ซีเคียวริตี้อัพเดท (Security Update) เดือนมกราคม 2553 แก้ปัญหาความปลอดภัยใน Windows
บทความโดย: Thai Windows Administrator Blog

งานแพตซ์ (Patch) ระบบในเดือนแรกของปีถือเป็นงานเบาของ Admin เนื่องจากมี Security Update ให้ต้องทำการติดตั้งเพียงแค่ 1 ตัว ตามรายละเอียดด้านล่าง

รายละเอียดของซีเคียวริตี้อัพเดทของเดือนมกราคม 2553
วันที่ 12 มกราคม 2553 (13 ม.ค 53 ตามเวลาในประเทศไทย) ไมโครซอฟท์ได้ออก "Microsoft Security Update for January 2010" หรือที่เรียกกันในหมู่ Admin ว่า "Patch Tuesday" จำนวน 1 ตัว คือ MS10-001 เพื่อแก้ปัญหาความปลอดภัยร้ายแรงระดับวิกฤติ (Critical) ใน Windows 2000 Service Pack 4 และระดับต่ำ (Low) ในวินโดวส์อื่นๆ

หมายเหตุ: MS10-001 นั้นจะแทนที่ MS09-029

Security Update ที่มีความร้ายแรงระดับ Critical
เดือนมกราคมนี้มี Security Update เพียง 1 ตัวคือ MS10-001 มีรายละเอียดดังต่อไปนี้

MS10-001: Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (972270)
Update Link: http://www.microsoft.com/technet/security/bulletin/ms10-001.mspx
Affected Software:
- Microsoft Windows 2000 Service Pack 4
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected)
- Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems
- Windows 7 for x64-based Systems
- Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation not affected)
- Windows Server 2008 R2 for Itanium-based Systems

การอัพเดทระบบ
ผู้ใช้ที่ใช้วินโดวส์เวอร์ชันที่ได้รับผลกระทบ สามารถทำการอัพเดทจากเว็บไซต์ Microsoft Update ผ่านทางอินเทอร์เน็ต หรือทำการอัพเดทผ่านทาง Windows Server Update Services (WSUS) สำหรับผู้ใช้แบบองค์กรที่มีการติดตั้งระบบ WSUS Server ทั้งนี้ ตั้งแต่วันที่ 12 มกราคม 2553 (13 ม.ค. 53 ตามเวลาในประเทศไทย) เป็นต้นไป

ส่งท้ายเอนทรี่
การแพตซ์ระบบเดือนแรกของปีถือเป็นงานเบาของ Admin แต่ถึงจะมีแพตซ์เพียงตัวเดียวแต่เพื่อความปลอดภัยบรรดาท่านที่เป็น Admin ทั้งหลายก็อย่าลืมทำการอัพเดทระบบให้เรียบร้อยกันนะครับ

แหล่งข้อมูลอ้างอิง
• Microsoft Security Bulletin Advance Notification for January 2010

ลิงค์ที่เกี่ยวข้อง
• Microsoft Technet Security
• Microsoft Security Center
Read more »

วันอังคารที่ 19 มกราคม พ.ศ. 2553

Free Security Tools and Services

12:03 prathai3g No comments

เครื่องมือและบริการด้านความปลอดภัยที่ดีและฟรี
รวบรวมเครื่องมือและบริการด้านความปลอดภัยที่ดีและฟรีมาฝากอีกแล้วครับ

Trend Micro
Trend Micro มีเครื่องมือและบริการด้านความปลอดภัยที่ฟรี 5 ด้วยกัน ดังนี้

หมายเหตุ:
สำหรับรายละเอียดเพิ่มเติมดูที่เว็บไซต์: http://us.trendmicro.com/us/products/personal/free-tools-and-services/index.html

1. HouseCall
การใช้งาน: http://housecall.trendmicro.com/
เป็น เว็บไซต์ที่ให้บริการสแกนไวรัสในแบบ web base ผ่านทางอินเทอร์เน็ต สามารถสแกน Viruses, Worms, Trojans และ Spyware นอกจากนี้ยังสามารถตรวจสอบ System Vulnerabilities พร้อมทั้งเตรียมลิงค์สำหรับข้อมูลการแพตช์ได้อีกด้วย

2. Trend Micro eMail ID
ดาวน์โหลดที่เว็บไซต์: http://us.trendmicro.com/us/products/personal/free-tools-and-services/emailID/
eMail ID เป็นเครื่องมือที่ช่วยปกป้องผู้ใช้จากการโจมตีแบบ Phishing โดยเป็นเครื่องมือแบบปลั๊ก-อิน (ฟรี) สำหรับบราวเซอร์ ที่ช่วยในการระบุ ID ของอีเมล โดย eMail ID จะทำการตรวจสอบอีเมลและแสดงให้ผู้ใช้ทราบถึง ID ของอีเมลที่แท้จริง

3. TrendProtect
ดาวน์โหลดที่เว็บไซต์: http://www.trendsecure.com/portal/en-US/free_security_tools/trendprotect.php?page=overview
เป็น เครื่องมือแบบปลั๊ก-อิน (ฟรี) สำหรับบราวเซอร์ ซึ่งช่วยปกป้องผู้ใช้จากหน้าเว็บที่เป็นอันตรายหรือมีภัยแอบแฝงอยู่ โดย TrendProtect จะจัดอันดับของหน้าเว็บที่ผู้ใช้กำลังเปิดดูอยู่ และหน้าเว็บที่ได้จากการค้นหาโดย Google, MSN และ Yahoo โดยการอ้างอิงกับฐานข้อมูลหน้าเว็บขนาดใหญ่ของ Trend Micro ที่ครอบคลุมหน้าเว็บเป็นพันล้านหน้า ซึ่งผู้ใช้สามารถใช้อันดับที่ได้ช่วยในการตัดสินใจว่าจะเปิดหน้าเวบนั้นหรือ ไม่

4. Trend Micro HijackThis (ขั้นสูง)
ดาวน์โหลดที่เว็บไซต์: http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php
Trend Micro HijackThis เป็นเครื่องมือที่ใช้ทำการสร้างรายงานการตั้งค่า Registry ของระบบปฏิบัติการในระดับลึก HijackThis นั้นจะไม่แยกแยะระหว่างการตั้งค่าที่ปลอดภัยกับไม่ปลอดภัย แต่ผู้ใช้จะต้องทำการตัดสินใจเองว่าจะทำการแก้ไขค่าใดบ้าง นอจจากนี้ HijackThis ยังมีความสามารถในการสแกนและลบมัลแวร์ได้อีกด้วย

5. Transaction Guard
ดาวน์โหลดที่เว็บไซต์: http://www.trendsecure.com/portal/en-US/free_security_tools/transaction_guard.php
Transaction Guard เป็นเครื่องมือซอฟต์แวร์ฟรี ซึ่งช่วยปกป้องผู้ใช้จากสปายแวร์เมื่อใช้งานหรือทำกิจกรรมต่างๆ บนอินเทอร์เน็ต อย่างเช่น การใช้บริการธนาคารอินเทอร์เน็ต หรือกิจกรรมด้านการเงินอื่นๆ โดย Transaction Guard จะมี 2 องค์ประกอบด้วยกันคือ
>>>- Spyware Monitor – จะทำการเฝ้าระวังสปายแวร์และแจ้งให้ผู้ใช้ทราบเมื่อมีการตรวจพบ
>>>- Secret Keyboard – ทำหน้าที่เป็นคีย์บอร์ดเสมือน โดยจะจัดเตรียม On-screen keyboard ให้ผู้ใช้ป้อนค่าต่างๆ ในการทำการกิจกรรมบนอินเทอร์เน็ต ตัวอย่างเช่น ป้อนค่า Username และ Password สำหรับการล็อกอินเข้าใช้บริการธนาคารอินเทอร์เน็ต เป็นต้น

AVG Free Tools
• AVG Tools ดาวน์โหลดที่เว็บไซต์: http://www.avg.com/download-tools
• AVG Virus Removal ดาวน์โหลดที่เว็บไซต์: http://www.avg.com/virus-removal

F-Secure Free Tools
• Malware Removal Tools ดาวน์โหลดที่เว็บไซต์: http://www.f-secure.com/security_center/malware_removal_tools.html
• BlackLight เครื่องมือสำหรับตรวจจับและกำจัด Rootkit ดาวน์โหลดที่เว็บไซต์: ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

McAfee
• Virus Removal Tools ดาวน์โหลดที่เว็บไซต์: http://us.mcafee.com/virusInfo/default.asp?id=vrt
• McAfee SiteAdvisor ดาวน์โหลดที่เว็บไซต์: http://www.siteadvisor.com/
• McAfee Stinger ดาวน์โหลดที่เว็บไซต์: http://vil.nai.com/vil/stinger/

ThreatFire
ThreatFire เป็นโปรแกรมแบบมัลติฟังก์ชัน สามารถป้องกันการโจมตีจาก Malware ต่างๆ เช่น Trojans, Spyware, Rootkits, Keyloggers และการโจมตีแบบ Buffer overflows
ดาวน์โหลดที่เว็บไซต์: http://www.threatfire.com/download/
เวอร์ชันปัจจุบัน: 4.0.0
ระบบปฏิบัติการ: Windows Vista, XP, 2000 และ 2003

Kaspersky
• Virus Removal Tools ดาวน์โหลดที่เว็บไซต์: http://www.kaspersky.com/removaltools
• Kaspersky Rescue Disk
Kaspersky Rescue Disk เป็นเครื่องมือสำหรับใช้กำจัดมัลแวร์โดยไม่ต้องบูมเครื่องเข้าระบบวินโดวส์ โดยสามารถทำการบูทเครื่องด้วยแผ่น Kaspersky Rescue Disk ได้เลย อ่านรายละเอียดเพิ่มเติมได้ที่เว็บไซต์: http://support.kaspersky.com/kav6mp2/rescue และดาวน์โหลดได้ที่เว็บไซต์: http://dnl-us6.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso หลังจากดาวน์โหลดเสร็จแล้วให้ทำการเบิร์นลงแผ่นซีดีก่อนนำไปใช้งาน

MicroWorld
• MicroWorld Free AntiVirus Toolkit Utility ดาวน์โหลดที่เว็บไซต์: http://www.mwti.net/products/mwav/mwav.asp

Norman
• Virus Removal Tools ดาวน์โหลดที่เว็บไซต์: http://www.norman.com/Virus/Virus_removal_tools/en-us

Secunia
• Online Vulnerability Scanning เป็นบริการตรวจสอบช่องโหว่ด้านความปลอดภัย สามารถใช้บริการได้ที่เว็บไซต์: http://secunia.com/vulnerability_scanning/online
• Secunia PSI (Personal Software Inspector) เป็นโปรแกรมตรวจสอบช่องโหว่ด้านความปลอดภัย (Vulnerability Scanning) ดาวน์โหลดที่เว็บไซต์: http://secunia.com/vulnerability_scanning

ESET
• FREE Spyware Removal and Antivirus Tools ดาวน์โหลดที่เว็บไซต์: http://www.eset.com/download/free-virus-remover.php

Avira
• Avira AntiVir Removal Tool ดาวน์โหลดที่เว็บไซต์: http://www.avira.com/en/support/support_downloads.html
Read more »

Rogue Antivirus List

09:39 prathai3g No comments

รายชื่อโปรแกรม Rogue Antivirus
บทความโดย: Thai Windows Administrator Blog

ปัญหา Rogue Antivirus เมื่อ Antivirus ทำตัวเป็นเสมือนไวรัสเสียเอง คือ ปัญหาเรื่องโปรแกรม Antivirus บางตัว หลอกให้ผู้ใช้ทำการติดตั้งหรือที่ศัพท์เทคนิคเรียกว่า Rogue Antivirus นั้น มีจำนวนเพิ่มมากขึ้นทุกวัน

โดยโปรแกรม Rogue Antivirus เหล่านี้จะใช้เทคนิคตั้งชื่อโปรแกรมให้ดูน่าเชื่อถือ เพื่อหลอกให้ผู้ใช้หลงเชื่อและทำการติดตั้ง วันนี้เลยรวบรวมรายชื่อโปรแกรม Rogue Antivirus ซึ่งจัดทำโดยทีมงาน Rogue Antispyware มาฝากกันครับ

อย่างไรก็ตาม ทีมงาน Rogue Antispyware ได้ออกตัวว่า รายชื่อเหล่าโปรแกรมเหล่านี้ไม่ได้การันตี 100% (แต่ก็สามารถเชื่อถือได้ระดับหนึ่ง) สำหรับท่านใดที่ติดตั้งโปรแกรมเหล่านี้อยู่ ผมแนะนำว่าให้ทำการยกเลิกการติดตั้งจากระบบจะดีที่สุดครับ หากไม่สะดวกในการซื้อใช้โปรแกรม Antivirus ราคาแพงๆ ขอแนะนำให้ทดลองใช้ AVG Anti-Virus Free Edition 8.5 for Windows ซึ่งใช้ได้ฟรีสำหรับการใช้งานส่วนบุคคลครับ

• รายชื่อโปรแกรม Rogue Antivirus
- Windows Antivirus Pro
- AVCare
- Perfect Defender 2009
- Home Antivirus 2010
- WiniFighter
- Terminator 2009
- SecretService
- Windows Security Suite
- PC Security 2009
- Smart Defender Pro
- Zbot Trojan
- Spyware XP Guard
- System Security 2009
- Free Guide to Identifying Rogue Antispyware
- Virus Remover Professional
- Antivirus Protection
- Protection System
- Free Conficker Removal - SSClean Conficker Removal...
- Antivirus System Pro
- WinBlueSoft
- Unvirex
- XP Deluxe Protector
- Advanced Virus Remover
- Malware Doctor
- Removal of Malware Catcher 2009
- Fast Antivirus 2009
- Presto TuneUp
- Virtumonde Removal - Watch How Simple it Can Be!
- Crusader Antivirus or Spyware Crusader
- PCPrivacy Defender Destroyed by VIPRE
- Malware Catcher 2009
- CoreGuard Antivirus 2009
- Virus Shield 2009
- SystemProtector
- PCPrivacy Defender
- PCAntimalware
- Antivirus Agent Pro
- Internet Antivirus Pro Removed by VIPRE
- Extra Antivirus
- WiniBlueSoft
- AV Antispyware
- HomeAntivirus 2009
- Virus Sweeper
- Antivirus '09
- Pntispyware09
- Virtumonde Removal
- WinPC Antivirus
- AntiMalwareSuite

วิธีการตรวจสอบ
สำหรับวิธีการตรวจสอบปัญหาโปรแกรม Antivirus ที่กำลังใช้อยู่ว่ามีความน่าเชื่อถือหรือไม่ สามารถตรวจสอบได้จากเว็บไซต์ VirusTotal (http://www.virustotal.com)

แหล่งข้อมูลอ้างอิง
• Rogue Antispyware
Read more »

The 10 Common Windows Security Vulnerabilities

09:37 prathai3g No comments

ช่องโหว่ความปลอดภัย 10 ข้อที่พบบ่อยในระบบวินโดวส์
บทความโดย: Thai Windows Administrator Blog

วันนี้รวบรวมช่องโหว่ความปลอดภัยที่พบบ่อยในระบบวินโดวส์ 10 ข้อมาฝากครับ

1. แชร์ไฟล์และโฟลเดอร์ โดยกำหนดให้ทุกคน (Everyone) มีสิทธิ์แบบฟูล (Full)

2. มีระบบการป้องกันมัลแวร์(Malware) ที่หละหลวม ตัวอย่างเช่น ทำการคอนฟิกที่ไม่ถูกต้อง หรือผู้ใช้บางคนไม่มีการติดตั้งใช้งานซอฟต์แวร์ป้องกันมัลแวร์ (Anti Malware Software)

3. มีระบบไฟร์วอลล์ (Firewall) ที่หละหลวม ตัวอย่างเช่น ทำการคอนฟิกที่ไม่ถูกต้อง หรือผู้ใช้บางคนไม่มีการติดตั้งใช้งานซอฟต์แวร์ไฟร์วอลล์ (Firewall Software) หรือไม่เปิดใช้งานวินโดวส์ไฟร์วอลล์

4. ไม่มีการเข้ารหัส (Encryption) ข้อมูลที่เก็บไว้ในเครื่อง หรือมีการเข้ารหัสแบบพื้นฐาน ทำให้ข้อมูลไม่ได้รับการปกป้องจากผู้บุกรุก

5. ไม่มีการกำหนดมาตรฐานขั้นต่ำของระบบความปลอดภัยที่จำเป็นต้องมี

6. ไม่ทำการแพตซ์ (Patch) ระบบวินโดวส์ รวมถึงซอฟท์แวร์ต่างๆ ที่ติดตั้งใช้งานอยู่บนเครื่อง เช่น VNC, RealPlayer, Flasg player เป็นต้น ทำให้ไงรัว มัลแวร์ หรือ แฮกเกอร์ ใช้ช่องโหว่ความปลอดภัยเป็นช่องทางในการโจมตีระบบ

7. มีการกำหนดนโยบายความปลอดภัย (Security policy) ของวินโดวส์ต่ำเกินไป เช่นกำหนดให้ไม่ต้องใช้รหัสผ่านในการเข้าใช้แชร์โฟบเดอร์ หรือกำหนดให้ไม่ต้องมีรหัสผ่าน

8. เซอร์วิสบางอย่างมีการเปิดใช้งานโดยไม่จำเป็น โดยที่ผู้ใช้เองก็ไม่ทราบ จึงไม่ได้จัดการเซอร์วิสเหล่านั้นอย่างเหมาะสม ทำให้เกิดพื้นที่โจมตีมากขึ้น (Attack Surface)

9. ไม่มีการกำหนดรหัสผ่านให้กับแอคเคาท์ของผู้ใช้ หรือมีการกำหนดรหัสผ่านที่คาดเดาได้ง่าย

10. การใช้งานวินโดวส์ในระบบเครือข่ายแบบไร้สาย รวมถึงอุปกรณ์เครือข่ายแบบไร้สายนั้น ยังมีปัญหาเรื่องความปลอดภัยในระดับค่อนข้างสูง
Read more »

Top 10 Phishing Scams

09:34 prathai3g No comments

10 เรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล
บทความโดย: Thai Windows Administrator Blog

Phishing เป็นการโจมตีชนิดหนึ่งที่ผู้โจมตีใช้วิธีการส่งอีเมล โดยการปลอมตัวให้ผู้รับเข้าใจว่ามาจากเว็บไซต์ที่น่าเชื่อถือ เช่น มาจากธนาคาร ผู้ให้บริการบัตรเครดิต เป็นต้น เพื่อหลอกลวงผู้รับให้เปิดเผยข้อมูลส่วนตัวต่างๆ เช่น Usernames, Password หรือข้อมูลทางด้านบัญชีธนาคาร หรือข้อมูลส่วนตัวอื่นๆ

โดย McAfee ได้รวบรวมข้อมูลและสรุป 10 เรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล เพื่อใช้เป็นข้อมูลอ้างอิง ดังนั้น เมื่อท่านได้รับอีเมลที่มีข้อความลักษณะดัง 1 ใน 10 ข้อนี้ในกล่องรับจดหมาย (Inbox) ของระบบอีเมล ให้ตั้งข้อสังเกตไว้ก่อนว่าอีเมลฉบับนั้นน่าจะเป็น "Phishing email" และไม่ควรทำการคลิกลิงก์ที่แนบมากับอีเมลดังกล่าวโดยเด็ดขาด

ในกรณีที่ท่านต้องการตรวจสอบบัญชีธนาคารหรือข้อมูลส่วนตัวอื่นๆ จากเว็บไซต์ ให้ใช้วิธีการพิมพ์ชื่อเว็บไซต์ของผู้ให้บริการลงในช่องแอดเดรสของเบราเซอร์ ด้วยตัวเอง หรืออาจจะทำเป็นบุ๊คมาร์คเก็บไว้เพื่อความสะดวกในการใช้งาน

ถ้าไม่แน่ใจว่า อีเมลที่ได้รับเป็นอีเมลที่มาจากผู้ให้บริการจริงหรือไม่ ก่อนดำเนินการใดๆ ตามเนื้อหาในอีเมล ให้ทำการติดต่อกับผู้ให้บริการหรือบริษัทเหล่านั้นโดยตรงผ่านทางโทรศัพท์ หรือติดต่อกับศูนย์บริการลูกค้า (Customer Services) เพื่อตรวจสอบว่าเป็นผู้ส่งอีเมลจริงๆ หรือไม่

เรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล
สรุปเรื่องที่นิยมใช้ในการทำ Phishing ทางอีเมล จำนวน 10 เรื่อง มีดังนี้
1. security alert!
2. account notification!
3. account notification
4. please confirm your data!
5. Chase Bank: online banking notification
6. Chase Bank: necessary to be read!
7. Chase Bank: important notice
8. Chase Bank: important security notice
9. Chase Bank: account secure confirmation
10. Chase Bank customer service: security alert.

Top Brands Exploited by Phishing Scams
สำหรับแบรนด์หรือยี่ห้อที่มีการใช้ในการทำ Phishing มากที่สุดได้แก่ Amazon 72%, CommonWelth Bank 14%, eBay 9%, Others 5%


ที่มา
• Top 10 Phishing Scams
Read more »

วิธีแก้ปัญหา svchost.exe ใช้งาน CPU 100% (ที่ไม่ใช่ไวรัส)

09:22 prathai3g No comments



หลายคนคงเคยเห็นปัญหา svchost.exe ใช้งาน CPU 100% บ่อยๆ โดยที่เราก็ไม่รู้สาเหตุ scan ไวรัสก็แล้วมันก็ไม่หาย และก็คงยังสงสัยกันอยู่ว่า ตกลงไอ้เจ้า svchost.exe มันเป็นไวรัสหรือเปล่า ซึ่งถ้าถามผมก็ต้องตอบว่า เป็นและไม่เป็น

“svchost.exe” หรือชื่อเต็มๆของมันคือ “Generic Host Process for Win32 Services” ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ restart ได้ แต่ถ้าเราเผลอไป end proces ก็จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network

ตำแหน่งที่อยู่ของ svchost.exe จะอยู่ที่ “%windir%\System32" หรือทั่วๆไป ก็คือ “C:\Windows\System32" หาก ไม่อยู่ในตำแหน่งดังกล่าว สรุปได้เลยว่าเป็นไวรัส ซึ่งมีไวรัสหลายตัวพยายามสร้างชื่อ process เลียนแบบ svchost.exe เช่น W32.Welchia.Worm ,W32.Assarm@mm ,W32/Jeefo ,SCVHOST.exe (Gaobot viruses), Svch0st.exe (Backdoor.Graybird viruses), Svchos1.exe (W32.HLLW.Gaobot.DK virus), Svchost32.exe (Backdoor.IRC.Zcrew), W32.HLLW.Deborms.C, W32.Mimail.J@mm, W32.Paylap.@mm, Svhost.exe (Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm) Tongue

จะ เห็นว่ามีไวรัสหลายตัวพยายามจะสร้าง process หลอกลวงขึ้นมา แต่ในเบื้องต้นเราสามารถสังเกตเห็นได้ง่ายๆ จากชื่อ Process ใน Task Manager (ถ้ายังเปิดได้) เช่น
- SCVHOST.exe
- Svch0st.exe
- Svchos1.exe
- Svchost32.exe
- Svhost.exe

Process เหล่านี้ถ้าเราสังเกตให้ดี ก็จะรู้ได้ไม่ยากครับว่ามันคือไวรัสเพราะชื่อมันยังไงก็ไม่เหมือน svchost.exe ส่วนวิธีกำจัดไวรัสจำพวกนี้มันก็ต้องแล้วแต่กรณีครับ


สาเหตุที่ svchost.exe (ไม่ใช่ไวรัส) ใช้งาน CPU 100% เกิดขึ้นเมื่อ Windows XP มีการสั่ง Automatic Update (โดยเครื่องนั้นต้อง turn on Automatic Update เอาไว้ด้วย)
วิธีแก้ปัญหาขั้นที่ 1

อย่าง ง่ายที่สุดก็คือ Turn off Automatic Update อันนี้แก้ที่ต้นเเหตุครับ โดยคลิกขวาที่ My Computer > Properties > เลือกแท็บ Automatic Updates > จากนั้นเลือกที่ Turn off Automatic Updates > Apply > OK เท่านี้ก็เรียบร้อยแล้วครับ

แต่ถ้าใครที่เจอปัญหานี้เข้าแล้ว และไม่สามารถแก้ได้ตามวิธีข้างต้น สามารถทำได้ดังวิธีต่อไปนี้นะครับ



วิธีแก้ปัญหาขั้นที่ 2(ใช้เมื่อทำขั้นแรกแล้วไม่หาย)

1. ดาวน์โหลด เครื่องมือมาก่อนจากที่นี่
2. แตกไฟล์ไว้ที่ desktop ครับ จะเห็นปรากฎ 3 ไฟล์ตามในรูป



3. boot เครื่องใหม่เพื่อเข้า safe mode (ต้องล็อกอินในฐานะ Admintrator ด้วยนะครับ)
4. ดับเบิ้ลคลิกไฟล์ตามลำดับ 1 ,2 และ 3 (ทำเช่นเดียวกับการลงโปรแกรม)
5. restart เข้าสู่ mode ปกติครับ

ขอบคุณที่มา: http://www.zone-it.com/92250
Read more »

วันอาทิตย์ที่ 17 มกราคม พ.ศ. 2553

ขอบคุณที่เข้ามาชมเว็บบอล็ก เผื่อมีประโยชน์ต่อผู้เข้าชมไม่มากก็น้อย

13:41 prathai3g No comments

ขอบคุณครับ กำัลังแก้ปัญหาอยู๋...
Read more »

วันเสาร์ที่ 9 มกราคม พ.ศ. 2553

Tools กำจัด Anti virus ค่ายต่างๆ

09:12 prathai3g No comments

Read more »

วันพฤหัสบดีที่ 7 มกราคม พ.ศ. 2553

แนวทางการแก้ไขไวรัสเบื่องต้น

16:45 prathai3g No comments

แนวทางการกำจัดไวรัส W32.Downadup
ชื่อ ของ ไวรัส
Win32/Conficker.A (CA)
Mal/Conficker-A (Sophos)
Trojan.Win32.Agent.bccs (Kaspersky)
W32.Downadup.B (Symantec)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
Trojan:Win32/Conficker!corrupt (Microsoft)
W32.Downadup (Symantec)
WORM_DOWNAD (Trend Micro)

ขั้นตอนที่ 1. ล็อกออนเข้าเครื่องด้วยโลคอลยูสเซอร์
**ไม่แนะนำให้ทำการ ล็อกออนด้วยโดเมนยูสเซอร์ เนื่องจากมัลแวร์อาจจะใช้โดเมนยูสเซอร์ดังกล่าวในการแอคเซสทรัพยากร เครือข่ายเพื่อทำการแพร่ระบาด
ขั้นตอนที่ 2. ทำการหยุดบริการ Server service
เพื่อการลบแอดมินแชร์ (แชร์โฟลเดอร์ชื่อ C$, D$, ADMIN$ ซึ่งเป็นการแชร์สำหรับแอดมินใช้จัดการระบ) ซึ่งจะเป็นหยุดการแพร่ระบาดของเวิร์มผ่านทางการแชร์ **ควรทำการปิด Server service ชั่วคราวในระหว่างการแก้ไขมัลแวร์ รวมถึงบนเครื่องโปรดักชันเซิร์ฟเวอร์ หลังจากทำการแก้ไขมัลแวร์เสร็จแล้วจึงทำการเปิด Server service ใหม่ จากนั้นทำการหยุดบริการ Server service โดยใช้ Services Microsoft Management Console (MMC) ตามขั้นตอนดังนี้
1. ดำเนินการข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้ดังนี้
* ใน Windows Vista และ Windows Server 2008 ให้คลิก Start พิมพ์ services.mscในกล่อง Start Search box
จากนั้นคลิก services.msc ในรายการโปรแกรม
* ใน Windows 2000, Windows XP และ Windows Server 2003 ให้คลิก Start คลิก Run พิมพ์ services.msc จากนั้นคลิก OK
2. ในหน้าต่าง Services ในคอลัมน์ Name ให้ดับเบิลคลิกที่ Server
3. ในหน้าต่าง Server Properties (Local Computer) ในส่วน Services status ให้คลิกปุ่ม Stop
4. ในส่วน Startup type ให้เลือกเป็น Disabled
5. คลิก Apply แล้วคลิก OK แล้วปิดหน้าต่าง Services
การหยุดบริการ Task Scheduler บนระบบวินโดวส์ Windows Vista และ Windows Server 2008 มีขั้นตอนดังนี้
1. คลิก Start พิมพ regedit ในกล่อง Start Search จากนั้นคลิก regedit.exe จากรายการโปรแกรม
2. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
3. ในส่วนดีเทลแพน ให้คลิกขวาที่ Start (ซึ่งเป็น REG_DWORD) จากนั้นคลิก Modify
4. ในไดอะล็อกบ็อกซ์ Edit DWORD Value ให้ใส่ค่า 4 ในกล่องใต้ Value Datadata เสร็จแล้วคลิก OK
5. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์



ขั้นตอนที่ 4. ดาวน์โหลดและทำการติดตั้งแพตซ์
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
Microsoft Security Bulletin MS08-068 – Important
Vulnerability in SMB Could Allow Remote Code Execution (957097)
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Microsoft Security Bulletin MS09-001 - Critical
Vulnerabilities in SMB Could Allow Remote Code Execution (958687)
ขั้นตอนที่ 5. ทำการรีเซ็ตรหัสผ่านของโลคอลแอดมินและโดเมนแอดมินใหม่ให้มีความแข็งแกร่งมากขึ้น
ขั้นตอนที่ 6. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
ขั้นตอนที่ 7.ในส่วนดีเทลแพน ให้คลิกขวาที่ netsvcs จากนั้นคลิก Modify
ขั้นตอนที่ 8. ให้เลื่อนลงไปด้านล่างสุดของลิสต์ ถ้าคอมพิวเตอร์ติดไวรัส Conficker จะมีชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่ม
ตัวอย่างเช่น "axqmiijz"
ขั้นตอนที่ 9. ทำการลบบรรทัดที่อ้างอิงถึง malware service ตรวจสอบให้แน่ใว่าเว้นบรรทัดหนึ่งบรรทัดใต้ค่าที่ถูกต้องตัวสุดท้ายเสร็จ
แล้วคลิก OK
ขั้นตอนที่ 10. ทำการจำกัดเพอร์มิสชันบนรีจีสทรีคีย์ SVCHOST
เพื่อป้องกันไม่ให้มัลแวร์สามรถทำการแก้ไขได้ ตามขั้นตอนดังนี้
* หลังจากกำจัดไวรัสเสร็จเรียบร้อยแล้วจะต้องทำการแก้ไขกลับไปเป็นค่าดีฟอลท์ดังเดิม
* ใน Windows 2000 จะต้องใช้โปรแกรม Regedt32 ในการตั้งค่าเพอร์มิสชันบนรีจีสทรีคีย์
1. ในหน้าต่างโปรแรกม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อย
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ Svchost จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for SvcHost ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for SvcHost คลิก Add
5. ในไดอะล็อกบ็อกซ์ Select User, Computer or Group ให้พิมพ์ everyone ในกล่องใต้ Enter the object name to select จากนั้นคลิก Check Names แล้วคลิก OK
6 .ในไดอะล็อกบ็อกซ์ Permissions Entry for SvcHost ในหัวข้อ Apply toให้เลือก This key only จากนั้นในหัวข้อ Full Control ที่อยู่ในส่วน Permission ให้คลิก Deny เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
7. ในไดอะล็อกบ็อกซ์ Security ให้คลิก Yesy แล้วคลิก OK อีกครั้ง


ขั้นตอนที่ 11. จากในขั้นตอนที่ 8 ซึ่งจะได้ชื่อบริการของมัลแวร์ซึ่งใช้ชื่อแบบสุ่มคือ "axqmiijz" จากนั้นให้ดำเนินการตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยตามชื่อบริการของมัลแวร์
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
ในตัวอย่างนี้คือ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axqmiijz
2.ในส่วนเนวิเกชันแพนให้คลิกขวาที่โฟลเดอร์ตามชื่อ "malware service" จากนั้นคลิก Permissions
3. ในไดอะล็อกบ็อกซ์ Permissions for "malware service" ให้คลิกปุ่ม Advanced
4. ในไดอะล็อกบ็อกซ์ Advanced Security Settings for "malware service" ให้คลิกเลือกเช็คบ็อกซ์ดังนี้
#Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here.
#Replace permission entries on all child objects with entries shown here that apply to child objects
5. คลิก Apply เสร็จแล้วคลิก OK จำนวน 2 ครั้ง
ขั้นตอนที่ 12. กดปุ่ม F5 เพื่ออัพเดทโปรแกรม Registry Editor ในดีเทลแพนให้แก้ไฟล์ไฟล์ "ServiceDll" ดังนี้
1. ให้ดับเบิลคลิกที่ ServiceDll
2. จากนั้นให้ดูพาธที่ไฟล์ DLL อ้างอิง ซึ่งจะมีลักษณะดังนี้
%SystemRoot%\System32\emzlqqd.dll
จากนั้นให้ทำการเปลี่ยนชื่อเป็น
%SystemRoot%\System32\emzlqqd.old
3. คลิก OK
ขั้นตอนที่ 13. ลบรีจีสทรี malware service จากคีย์ย่อย Run ตามขั้นตอนดังนี้
1. ในหน้าต่างโปรแกรม Regisytry Editor ให้เนวิเกตไปยังคีย์ย่อยดังนี้
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในคีย์ย่อยทั้ง 2 คีย์ ให้ทำการลบบรรทัดที่ขึ้นต้นด้วย "rundll32.exe" และพาธที่ไฟล์ DLL
อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2
3. ปิดโปรแกรม Registry Editor จากนั้นทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 14. ตรวจสอบไฟล์ Autorun.inf บนไดร์ฟทุกไดร์ฟในระบบ ซึ่งโดยทั่วไปไฟล์ Autorun.inf จะมีขนาด 1-2 KB และใช้โปรแกรม Notepad ไฟล์ Autorun.inf ดู โดยไฟล์ที่ถูกต้องจะมีลักษณะดังนี้
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
ขั้นตอนที่ 15. ถ้าไฟล์ Autorun.inf มีลักษณะผิดปกติหรือน่าสงสัย ตัวอย่างเช่น มีการเอ็กซีคิวท์ไฟล์ .exe ให้ทำการลบทิ้ง
ขั้นตอนที่ 16. ทำการรีสตาร์ทคอมพิวเตอร์
ขั้นตอนที่ 17. คอนฟิกให้วินโดวส์แสดงไฟล์ที่ถูกซ่อนไว้ (Hidden files) โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ (ต่อกัน)
Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f


ขั้นตอนที่ 18. ตั้งค่า Show hidden files and folders เพื่อให้แสดงไฟล์ที่ถูกซ่อนไว้ตามขั้นตอนดังนี้
1. ตามพาธที่ไฟล์ DLL อ้างอิงในการโหลด "ServiceDll" ตามขั้นตอนที่ 12 ข้อที่ 2 ตัวอย่าง
%systemroot%\System32\emzlqqd.dll
ในหน้าต่าง Windows Explorer ให้เปิดโฟลเดอร์ %systemroot%\System32 หรือโฟลเดอร์ที่มัลแวร์อยู่
2. ในหน้าต่าง Windows Explorer คลิก Tools แล้วคลิก Folder Options
3. ในไดอะล็อกบ็อกซ์ Folder Options คลิกแท็บ View
4. จากนั้นคลิกเลือกเช็คบ็อกซ์ Select the Show hidden files and folders
5. เสร็จแล้วคลิก OK
ขั้นตอนที่ 19. คลิกเลือกไฟล์ DLL
ขั้นตอนที่ 20. แก้ไขเพอร์มิสชันของไฟล์ DLL ให้ทุกคน (Everyone) มีสิทธิ์ Full Control ตามขั้นตอนดังนี้
1. คลิกขวาที่ไฟล์ DLL แล้วคลิก Properties
2. คลิกแท็บ Security
3. คลิก Everyone แล้วคลิกเลือกเช็คบ็อกซ์ Full Control ในคอลัมน์ Allow
4. เสร็จแล้วคลิก OK
ขั้นตอนที่ 21. ทำการลบไฟล์ DLL ของมัลแวร์ ตัวอย่างเช่น ทำการลบไฟล์ %systemroot%\System32\emzlqqd.dll
ขั้นตอนที่ 22. ทำการลบ AT-scheduled tasks ทั้งหมด โดยการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ AT /Delete /Yes
ขั้นตอน ที่ 23. เปิดใช้งานบริการ BITS, Automatic Updates, Error Reporting และWindows Defender โดยใช้ Services Microsoft Management Console (MMC) โดยดูวิธีการตามขั้นตอนที่ 2
ขั้นตอนที่ 24. ทำการดิสเอเบิล Autorun เพื่อป้องกันไม่ให้เครื่องกลับไปติดไวรัสอีก โดยดำเนินการตามขั้นตอนดังนี้
1. ดำเนินการตามข้อใดข้อหนึ่งตามระบบวินโดวส์ที่ใช้งานอยู่
* Windows 2000, Windows XP หรือ Windows Server 2003 ให้ติดตั้งอัพเดท 953252 (http://support.microsoft.com/kb/953252/)
ก่อนทำการดิสเอเบิล Autorun
* Windows Vista หรือ Windows Server 2008 ให้ติดตั้งอัพเดท 950582 (http://support.microsoft.com/kb/950582/)
ก่อนทำการดิสเอเบิล Autorun
**อัพเดท 953252 และ 950582 ไม่เกี่ยวกับมัลแวร์ เป็นอัพเดทสำหรับการแก้ไขการทำงานของ Autorun
2. ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun
/t REG_DWORD /d 0xff /f
ขั้นตอน ที่ 25. ถ้ามีการติดตั้งโปรแกรม Windows Defender ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์ เพื่อให้ Windows Defender ทำการสตาร์ทโดยอัตโนมัติพร้อมวินโดวส์
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender"
/t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
ขั้นตอนที่ 26. สำหรับผู้ที่ใช้ Windows Vista และ Windows Server 2008 ให้ทำการรันคำสั่งด้านล่างที่หน้าคอมมานด์พร็อมท์เพื่ออีนาเบิล TCP Receive Window Auto-tuning
netsh interface tcp set global autotuning=normal
Read more »

วันอังคารที่ 5 มกราคม พ.ศ. 2553

Monthly Malware Statistics: December 2009

16:31 prathai3g No comments

Malicious programs detected on users’ computers

The first Top Twenty lists malicious programs, adware and potentially unwanted programs that were detected and neutralized when accessed for the first time, i.e. by the on-access scanner.

Position Change in position Name Number of infected computers
1 0 Net-Worm.Win32.Kido.ir 265622
2 0 Net-Worm.Win32.Kido.iq 211101
3 0 Net-Worm.Win32.Kido.ih 145364
4 0 Virus.Win32.Sality.aa 143166
5 0 Worm.Win32.FlyStudio.cu 101743
6 New not-a-virus:AdWare.Win32.GamezTar.a 63898
7 -1 not-a-virus:AdWare.Win32.Boran.z 61156
8 -1 Trojan-Downloader.Win32.VB.eql 61022
9 -1 Trojan-Downloader.WMA.GetCodec.s 56364
10 New Trojan.Win32.Swizzor.c 54811
11 New Trojan-GameThief.Win32.Magania.cpct 42676
12 -3 Virus.Win32.Virut.ce 45127
13 -3 Virus.Win32.Induc.a 37132
14 0 Trojan-Dropper.Win32.Flystud.yo 33614
15 3 Packed.Win32.Krap.ag 31544
16 -3 Packed.Win32.Black.a 31340
17 0 Worm.Win32.Mabezat.b 31020
18 -2 Packed.Win32.Klone.bj 28814
19 -7 Packed.Win32.Black.d 28560
20 -5 Worm.Win32.AutoRun.dui 28551
Read more »

virus ที่เจอในบริษัท แก้ยังไงก็ไม่หาย

08:49 prathai3g No comments

1 Win32/Sality.NAR virus
2 Win32/VB.NEI worm
3 INF/Autorun.gen trojan
4 Win32/Conficker.AN worm
5 Win32/Sality.NAQ virus
6 Win32/Sality.NAO virus
7 a variant of Win32/Sality virus 10
8 probably unknown NewHeur_PE virus
9 Win32/Conficker worm
10 INF/Autorun virus
11 INF/Conficker worm
12 Win32/PSW.OnLineGames.NMY trojan
Read more »

Twitter Delicious Facebook Digg Stumbleupon Favorites More