Conficker Downandup ไวรัส ตัวใหม่

Home / Software & App / Conficker Downandup ไวรัส ตัวใหม่

กรุงเทพ 22 เมษายน พ.ศ. 2552 – ในขณะที่ประเทศไทยกำลังเผชิญหน้ากับความวุ่นวาย ถึงขั้นนายกรัฐมนตรีต้องประกาศ พ.ร.ก. ฉุกเฉินในหลายพื้นที่ ไม่เพียงแต่โลกการเมืองเท่านั้นร้อนระอุเป็นไฟ โลกไซเบอร์ก็ตกอยู่ในสภาพฉุกเฉินเช่นเดียวกัน แคสเปอร์สกี้ แลป ผู้นำด้านแอนตี้ไวรัสระดับโลก ประกาศแจ้งเตือนไวรัสตัวใหม่ เวอร์ชั่นใหม่ของ Kido (หรือที่รู้จักในชื่อ Conficker และ Downandup) ที่ออกมาอาละวาดในช่วงคืนวันที่ 8 และ 9 เมษายน คอมพิวเตอร์ที่ติดไวรัส Trojan-Downloader.Win32.Kido หรือ Conficker.c นี้จะทำการเชื่อมต่อกันผ่านแบบเครื่องต่อเครื่อง (P2P) เพื่อกระจายตัวด้วยการทำดาวน์โหลดตัวเองได้อัตโนมัติและปลุกปีศาจ Kido ให้ระบาดผ่านเครือข่ายบอตเน็ต

Kido ในเวอร์ชั่นใหม่ต่างจากเวอร์ชั่นเก่าและร้ายกาจกว่าเดิม เนื่องจากมัลแวร์ตัวนี้ได้แปลงมาเป็นเวิร์มและมีพฤติกรรมเช่นนั้นในการแพร่ระบาด การวิเคราะห์ในเบื้องต้นชี้ว่ามัลแวร์นี้มีข้อจำกัดด้านเวลา โดยคาดว่าจะอาละวาดก่อความเสียหายจนถึงวันที่ 3 พฤษภาคม 2552  นอกจากมัลแวร์ Kido จะแพร่กระจายด้วยการดาว์นโหลดตัวเองได้แล้ว ยังดาว์นโหลดไฟล์มัลแวร์พ่วงมาอีกถึง 2 ไฟล์ไปยังเครื่องที่ติดไวรัส ได้แก่ ระบบแอนตี้ไวรัสปลอม (ตรวจจับได้ในชื่อ FraudTool.Win32.SpywareProtect2009.s) โดยมีไซต์ต้นตออยู่ที่ยูเครน เมื่อโปรแกรมเริ่มรันจะทำทีเป็นแจ้งเตือนให้กดปุ่มเพื่อซื้อโปรแกรมกำจัดไวรัสในราคา 1,750 บาท  และไฟล์ที่สอง คือ  Worm.Win32.Iksmas.atz. หรือที่รู้จักกันในนาม Waledac วายร้ายตัวนี้จะขโมยข้อมูลและส่งสแปมกลับมาหาคุณ ถูกตรวจจับได้ครั้งแรกในเดือนมกราคม 2552  ผู้เชี่ยวชาญด้านไอทีมากมายสังเกตเห็นความเหมือนระหว่าง Kido และ Iksmas และรูปแบบการแพร่ระบาดของ Kido เปรียบเสมือนกระจกเงาของการแพร่ระบาดของ Iksmas
 
นายอะเล็กซ์ โกซเตฟ หัวหน้าฝ่ายวิจัย แคสเปอร์สกี้ แลป กล่าวว่า “ช่วงเวลากว่า 12 ชั่วโมงที่ Iksmas เข้ายึดการเชื่อมโยงกับศูนย์บริหารข้อมูลส่วนกลางได้ทั่วโลก พบว่ามีคำสั่งให้ส่งอีเมล์สแปมออกเป็นจำนวนถึง 42,298 ข้อความ  และในทุกอีเมล์พบโดเมนเนมที่มีลักษณะเฉพาะ ที่จงใจทำขึ้นเพื่อหลีกเลี่ยงให้พ้นจากการถูกตรวจจับการส่งอีเมล์ปริมาณมหาศาลขนาดนั้น ด้วยคุณสมบัติการทำงานของตัวฟิลเตอร์ของโปรแกรมแอนตี้สแปม ที่ใช้วิธีวิเคราะห์ความถี่ของโดเมนเนม โดยรวมแล้ว เราตรวจจับการใช้โดเมนระดับ 3 ได้ถึง 40,542  และ 33  สำหรับโดเมนระดับที่สอง  ในความเป็นจริงแล้วไซต์ต่างๆ เหล่านี้อยู่ที่ประเทศจีน และลงทะเบียนไว้ในชื่อหลากหลายคน  จากรายงานพบว่า Iksmas ส่งอีเมล์กว่า 80,000 ครั้งภายใน 1 วัน ซึ่งคาดเดาได้ว่ามีกว่า 5 ล้านเครื่องที่ติดไวรัส และยังมีความสามารถในการส่งสแปมมากกว่า 4000 ล้าน ข้อความภายใน 24  ชั่วโมง”

แคสเปอร์สกี้ แลป ให้ความสำคัญเป็นอย่างมากกับเรื่องนี้พร้อมทั้งยังดำเนินการวิเคราะห์การแปลงรูปไปในลักษณะต่างๆ ของไวรัสดังกล่าว ผู้ใช้แคสเปอร์สกี้ แลป คลายความกังวลไปได้เลยเนื่องจากเวอร์ชั่นใหม่ของไวรัสตัวนี้  (Net-Worm.Win32.Kido.js) ได้ถูกตรวจจับได้แล้วตั้งแต่เริ่มต้น (ในชื่อ HEUR:Worm.Win32.Generic) ซึ่งมีการแปลงรูปของ Iksmas  ที่ดาวน์โหลดมา