วิธีการทำความสะอาด “notification area icon cache in Windows”


หลังจากการใช้ Windows แล้วติดตั้งโปรแกรมเพิ่มเติมเช่น iTool3 , iFunbox, Line, OneDrive อื่นๆ เป็นต้น ทำให้มีรายการ Icon ที่แสดงในพื้นที่ปรากฏบนทาสก์บาร์ของ Windows  จะแจ้งเตือนตลอดเวลา ทำให้รู้สึกรำคาญ และต้องการที่อยากจะลบ Icon  ออกในรายการที่ไม่ต้องการทิ้งซ่ะ แต่ระบบ Windows ไม่สามารถลบ Icon ดังกล่าวได้ ทั้งๆ ที่คุณลบ Program ที่ติดตั้งไปแล้ว แล้วคุณจะทำอย่างไร?

เรามีวิธีให้คุณผ่านทาง  Notepad

Copy คำสั่งนี้ใส้ไว้ใน Notepad

@echo off
taskkill /im explorer.exe /f
reg delete “HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify” /v IconStreams /f
reg delete “HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify” /v PastIconsStream /f
start “Shell Restarter” /d “%systemroot%” /i /normal explorer.exe

วิธีเรียกใช้งาน Notepad โดยคลิกขวาหน้า Desktop เลือก Text Document

เปิดไฟล์ ที่อยู่มุมด้านซ้ายตามภาพ แล้วจะมี พื้นที่ว่างสีขาว ให้เรา copy code ด้านบนมาใส่ไว้ในนี้

และ Save File เป็น Batch File จะตั้งชื่ออะไรก็ได้ครับ

เช่นตั้งชื่อไฟล์ว่า  “icon_cache.bat” Save ไว้หน้า Desktop

 

หลังจากนั้น เปิดไฟล์ run



สักครู่ ช่วงพริบตาเดียวจะมีหน้าจอสีดำ หรือระบบ Dos ทำงานและหายไป หลังจากไปดูผลลัพธ์ ที่ได้

ง่ายๆ ที่ไม่ต้องใช้โปรแกรมเลยใช่ไหมครับ

สามารถกดติดตามเพจได้ที่ Facebook : team developer thailand หรือ www.teamdevth.com

SHADOW BROKERS คือใคร

Credit: Mikko Lemola/ShutterStock

Shadow Brokers ได้แถลงการณ์เตรียมให้บริการใหม่ โดยจะปล่อยช่องโหว่และเครื่องมือ Exploit แบบ Zero-day ผ่านทางโมเดล Subscription รายเดือน ผู้ที่เป็นสมาชิกของ “Wine of Month Club” จะสามารถเข้าถึงช่องโหว่และเครื่องมือแฮ็คใหม่ๆ แบบเอ็กซ์คลูซีฟได้ ดังนี้

  • Exploits สำหรับเว็บเบราเซอร์ เราท์เตอร์ และสมาร์ทโฟน
  • Exploits สำหรับระบบปฏิบัติต่างๆ รวมไปถึง Windows 10
  • ข้อมูลที่แฮ็คได้จากธนาคารและ Swift Providers
  • ข้อมูลระบบเครือข่ายที่ขโมยมาจาก Nuclear Missile Program จากรัสเซีย จีน อิหร่าน และเกาหลีเหนือ

ถึงแม้ว่าจะยังไม่ทราบว่าสิ่งที่ Shadow Brokers เสนอมาจะมีอยู่จริง และใช้งานได้จริงหรือไม่ แต่คิดว่าหลายฝ่ายคงต้องตระหนักและเตรียมตัวรับมือ เนื่องจากตอนนี้เรามีประสบการณ์แล้วว่า EternalBlue Exploit และ DoublePulsar Backdoor ที่พัฒนาโดย NSA ถูก Shadow Brokers นำมาเปิดเผยสู่สาธารณะจนนำไปสู่การแพร่ระบาดของ WannaCry Ransomware ในที่สุด

ก่อนหน้าที่ Shadow Brokers จะเปิดโมเดลแบบ Subscription นี้ กลุ่มแฮ็คเกอร์เคยนำอาวุธไซเบอร์ที่ขโมยมาจากทีมแฮ็คหัวกะทิของ NSA นามว่า Equation Group ออกประมูล โดยเริ่มต้นราคาที่ 1,000,000 Bitcoins แต่ผลปรากฏว่าไม่มีใครสนใจ จนพวกเขาต้องเปลี่ยนแผนไปขายแยกประเภทในตลาดมืดออนไลน์ ไม่ว่าจะเป็น Exploits, Trojans หรือ Implant โดยมีราคาตั้งแต่ 1 – 100 Bitcoins แต่สุดท้ายก็ไม่มีกระแสตอบรับกลับ จนทำให้ในที่สุด Shadow Brokers จึงเริ่มทยอยปล่อยช่องโหว่และเครื่องมือต่างๆ จนมาถึง ช่องโหว่ SMBv1 บน Windows เมื่อเดือนที่ผ่านมา ซึ่งก่อให้เกิด WannaCry Ransomware ที่สามารถแพร่ระบาดไปยังอุปกรณ์ทั่วโลกกว่า 200,000 เครื่องจาก 150 ประเทศในเวลาเพียงแค่ 48 ชั่วโมง

นอกจากนี้ Shadow Brokers ยังออกมาวิจารณ์รัฐบาลสหรัฐฯ อีกว่า ที่เกิดเหตุการณ์ใหญ่โตแบบนี้ เพราะทางรัฐบาลจ่ายเงินให้บริษัท IT ขนาดใหญ่ ให้ไม่ออกอัปเดตแพทช์ช่องโหว่ Zero-day เพื่อที่ตนเองจะได้คอยสอดแนมต่อไปได้ และยังได้กล่าวหาว่า จริงๆ แล้วในทีม Google Project Zero ต้องมีอดีตสมาชิกของ Equation Group อยู่แน่นอน เพราะสามารถออกแพทช์ช่องโหว่ Wormable Zero-day ได้เร็วเป็นประวัติการณ์ อย่างกับรู้ว่าจะเกิดเหตุการณ์แพร่ระบาดอย่าง WannaCry ขึ้น

สรุปโค้ดโจมตีช่องโหว่ที่หลุดมาจาก NSA และคลิป Fuzzbunch with meterpreter

 

เมื่อเดือนสิงหาคมปีที่แล้วมี hacker กลุ่มหนึ่งชื่อว่า The Shadow Brokers อ้างว่าขโมยเครื่องมือเจาะระบบจาก NSA ซึ่งจากข่าวเก่าๆเราอาจจะเคยได้ยินว่า Edward Snowden เคยออกมาพูดว่า NSA นี้มีเครื่องมือในการเจาะระบบเพื่อใช้ในงานสงครามไซเบอร์มากมายทำกันเป็นจริงเป็นจัง การที่โค้ดพวกนี้หลุดออกมาก็เป็นการยืนยันว่าเป็นเรื่องจริง อเมริกาใช้อาวุธทางไซเบอร์เพื่อหาข่าวและโจมตีเป้าหมายจริง หลังจาก hacker กลุ่มนี้ได้เครื่องมือเจาะระบบมาแล้วก็เอามาประมูลขาย 1 ล้าน Bitcoins พร้อมกับปล่อยเครื่องมือโจมตี firewall, router บางส่วนเพื่อพิสูจน์ว่ามีของจริง แต่แล้วก็ต้องอกหักเพราะไม่มีคนร่วมประมูลเท่าที่ควร เมื่อวันที่ 8 เมษายนที่ผ่านมานี้ hacker กลุ่มดังกล่าวได้ปล่อย key ในการถอดรหัสนั้นออกมาให้ฟรีๆเพื่อประท้วง Trump แบบนี้ก็หวานหมูซิครับ key คือ CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN หลังจากที่แอดมิน download ไฟล์นั้นเก็บไว้นานจนลืมไปแล้ว ก็ได้เวลาเอา key มาเปิดกล่อง pandora นี้สักที

ยังไม่พอเท่านั้น hacker กลุ่มดังเก่ายังได้ปล่อยโค้ดโจมตีช่องโหว่ Windows ที่เรียกได้ว่าสร้างความเสียหายเป็นวงการมากๆ เพราะเป็นโค้ดโจมตี SMB service ที่มีมากับ Windows ทำให้ผู้โจมตีแค่ใส่ IP เป้าหมายที่เป็น Windows ก็สามารถ hack เข้าไปควบคุมเครื่องเป้าหมายได้ทันทีดูคลิปได้ท้ายบทความครับ

จริงๆแล้วโค้ดโจมตีช่องโหว่ที่ hacker กลุ่มนั้นปล่อยออกมามีหลายตัวแอดมินเองยังเทสไม่หมดลองดูตารางด้านล่างคร่าวๆ ว่ามีโค้ดโจมตีตัวไหนสามารโจมตี Windows versions ไหนได้บ้าง

รูปจาก: https://twitter.com/etlow/status/854164441973370881/photo/1

จากตารางด้านบนจะเห็นว่ามี exploit อยู่ 3 ตัวที่สามารถโจมตี Windows ได้แทบทุก versions คือ ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE ใน 3 ตัวนี้ผมเลือกเอาตัว ETERNALBLUE มาโชว์เป็น proof of concept ให้ดูว่าสามารถใช้โจมตีได้จริงและใช้ meterpreter เป็น payload หลักในการโจมตีครั้งนี้ตามคลิปด้านล่างครับ ตอนนี้เหล่า information security profesesional ก็กำลังแกะกันอยู่ครับว่าไฟล์ที่หลุดมานั้นมันมีอะไรน่าสนใจและ exploits ตัวไหนใช้กับระบบไหนได้บ้าง นอกจาก exploits แล้วก็ยังมี exploitation framework(Fuzzbunch), RAT, ไฟล์ความลับ, … ถ้ามีอัพเดตเพิ่มเติมผมจะอัพเดตบน https://www.facebook.com/mayase7en

ในส่วนการป้องกันนั้นตามนี้เลยครับ
1. update Windows OS ให้เป็น version ล่าสุดเพราะตอนนี้มี patched จาก Microsoft ออกมาแก้ไขช่องโหว่แล้ว
2. ถ้ามี IDS/IPS ให้ update rules เพื่อตรวจจับ/ป้องกัน
3. hardening ที่ตัวเครื่องเช่น ไม่ได้ใช้ SMB services ก็ปิดไปหรือใช้ personal firewall block port 445 ก็ได้ครับ

ทิ้งท้ายด้วยคลิปตัวอย่างการโจมตีระบบด้วยโค้ดที่ทาง The Shadow Brokers ปล่อยออกมาพร้อมใช้ meterpreter ในการควบคุมเครื่องเป้าหมาย

ที่มา:

thaitechnewsfeed.com

mayaseven.com

 

ความแตกต่างระหว่าง Virus, Worm, Spyware, Trojan, Malware

ความแตกต่างระหว่าง Virus, Worm, Spyware, Trojan, Malware

 

Virus แพร่เชื้อไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวมั นเองเข้าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆไ ด้ต้องอาศัยไฟล์พาหะ สิ่งที่มันทำคือสร้างความเสียหายให้กับไฟล์
Worm คัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื ่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมลล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื่อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครื อข่าย
Trojan ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองห รือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาคว บคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้ และโทรจันยังมีอีกหลายชนิด
Spyware ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองห รืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเหยื่อ สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ ใช้
Hybrid malware

Blended Threats

คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน
Phishing เป็นเทคนิคการทำ social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทำธ ุรกรรมทางการเงินบนอินเตอร์เน็ตเช่น บัตรเครดิตหรือพวก online bank account
Zombie Network เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย
Malware ย่อมาจาก Malicious Software หมายถึงโปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้า ยต่อคอมพิวเตอร์และเครือข่าย หรือเป็นคำที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อ ระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ โปรแกรมพวกนี้ก็เช่น virus, worm, trojan, spyware, keylogger, hack tool, dialer, phishing, toolbar, BHO, etc

แต่เนื่องจาก virus คือ malware ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบทความต่างๆที่ไม่เน้นไป ในทางวิชาการมากเกินไป หรือเพื่อความง่าย ก็จะใช้คำว่า virus แทนคำว่า malware แต่ถ้าจะคิดถึงความจริงแล้วมันไม่ถูกต้อง malware แต่ละชนิดไม่เหมือนกัน

คำว่าไวรัส (virus) ในปัจจุบันนี้ถูกใช้แบบไม่ค่อยจะถูกต้องตรงกับความเป ็นจริงเท่าไหร่ อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตามแต่ (ผมเองก็เป็น) มันกลายเป็นว่าคนส่วนใหญ่ใช้คำว่า virus แทน worm, trojan, adware, spyware, malicious code, etc. ใช้เรียกแทนยังไม่เท่าไหร่ แต่ถ้าเข้าใจว่า virus คือ malicious software ทั้งหมดที่บอกไปนั่น อันนี้เป็นความเข้าใจที่ผิด แม้กระทั่งในร่างกฎหมายอาชญากรรมทางคอมพิวเตอร์ก็ยัง มีการเสนอขอให้แก้ไขคำว่า virus โดยเปลี่ยนไปใช้คำว่า malware แทน เพราะถ้าไม่งั้นแล้วคนที่ใช้ worm, trojan โจมตีคนอื่นอาจจะไม่มีความผิด เพราะ worm, trojan ไม่ใช่ virus

ที่ถูกต้องใช้คำว่ามาลแวร์ ซึ่งมาจากคำในภาษาอังกฤษว่า malware (malicious software) อันหมายถึง โปรแกรมคอมพิวเตอร์ทั้งหมดที่ถูกออกแบบมาให้มีจุดประ สงค์ร้ายต่อระบบคอมพิวเตอร์และเครือข่าย โปรแกรมเหล่านี้ก็เช่น classic virus, worm, trojan, adware, spyware, toolbar, BHO, hijacker, downloader, phishing, exploit malware รวมไปถึง zero-day attack, zombie network และอื่นๆ

ความแตกต่างระหว่าง ไวรัส worm spyware trojan malware : http://www.pantip.com/tech/software/…SV1631943.html

ITW malware ใน the wildlist (แม้กระทั่งใน supplemental list) มากกว่า 90% เป็น worm (hybrid worm) ครับ ไม่ใช่ virus (classic virus) ก็ตามที่ความคิดเห็นที่ 2 บอกนั่นล่ะครับ classic virus โดยเฉพาะแบบ file infector ที่แนบตัวมันเองเข้าไปยังส่วนต่างๆของไฟล์อื่น (host file) และ boot sector virus มันแทบจะหมดยุคไปแล้ว (อาจจะมีพวก proof-of-concept virus บ้าง) ที่ยังพบเห็นอยู่ใน the wildlist ส่วนใหญ่จะเป็น macro virus (ซึ่งเป็น virus บน PC ในยุคท้ายๆ) ซึ่งยังพบเห็นการแพร่ระบาดอยู่บ้าง และ virus ที่ชื่อ VBS/Redlof คือตัวอย่างของ classic virus ที่ยังพอพบเห็นได้ทั่วไป

               Malware ที่พบเห็นการแพร่ระบาดทั่วไปและเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุดก็คือ worm และ worm ก็ยังแบ่งออกเป็นชนิดแยกย่อยได้ดังต่อไปนี้
– Email Worm เช่น mass-mailing worm ที่ค้นหารายชื่ออีเมลล์ในเครื่องที่ตกเป็นเหยื่อแล้ว ก็ส่งตัวเองไปหาอีเมลล์เหล่านั้น
– File-sharing Networks Worm คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นค้นหรือประกอบด้ว ยคำว่าด้วย sha และแชร์โฟลเดอร์ของโปรแกรม P2P เช่น KaZaa
– Internet Worm, Network Worm โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการเช่นเวิร์ม Blaster, Sasser ที่เรารู้จักกันดี
– IRC Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห ้องสนทนาเดียวกัน
– Instant Messaging Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน contact list ผ่านทางโปรแกรม IM เช่น MSN, ICQ
Trojan เป็น malware อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป trojan ยังแบ่งออกได้เป็นหลายชนิดดังนี้
– Remote Access Trojan (RAT) หรือ Backdoor ที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุม หรือทำอะไรก็ได้บนเครื่องที่ตกเป็นเหยื่อในแบบระยะไกล
– Data Sending/Password Sending Trojan โขมยรหัสผ่านแล้วส่งไปให้ผู้ไม่ประสงค์ดี
– Keylogger Trojan ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์
– Destructive Trojan ลบไฟล์บนเครื่องที่ตกเป็นเหยื่อ
– Denial of Service (DoS) Attack Trojan ใช้ทำ DDoS เพื่อโจมตีระบบอื่น
– Proxy Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น proxy server หรือ web server, mail server เพื่อสร้าง zombie network
– FTP Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น FTP server
– Security software Killer Trojan ฆ่า process หรือลบโปรแกรมป้องกันไวรัส/โทรจัน/ไฟล์วอลบนเครื่องที่ตกเป็นเหยื่อ
– Trojan Downloader ดาวน์โหลด adware, spyware, worm เอามาติดตั้งบนเครื่องเหยื่อ
และ malware ที่พบเห็นได้ง่ายทั่วไปในปัจจุบันและสร้างความรำคาญให้มากที่สุดก็คือ spyware (บางตำราอาจใช้คำว่า grayware) ซึ่งแบ่งออกได้เป็นหลายชนิด (ซึ่งบางส่วนก็มีพฤติกรรมคล้ายๆ trojan ด้วย) เช่น
Adware ดาวน์โหลดและแสดงแบนเนอร์โฆษณา
Dialer อยู่ตามเว็บโป๊เพื่อใช้ต่อโทรศัพท์ทางไกลไปต่างประเทศ
Spyware เก็บรวมรวมพฤติกรรมการใช้อินเตอร์เน็ตบนเครื่องเหยื่อ
Hijacker เปลี่ยนแปลง start page, bookmark บนบราวเซอร์เช่นใน IE
Trojan like เช่น trojan downlaoder ดาวน์โหลด spyware หรือแบนเนอร์โฆษณา
BHO (Browser Helper Objects) ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE
Toolbar ยัดเยียด toolbar ที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE

และต่อไปนี้คือ trend ใหม่ของ malware บน PC ที่เกิดขึ้นแล้วในปัจจุบันและกำลังจะเกิดขึ้นในอนาคต อันใกล้ ซึ่งแต่เดิมนักเขียนไวรัสยุคโบราณเขียนไวรัสขึ้นเพรา ะความสนุก แต่ attacker ในปัจจุบันเขียน malware เพื่อเงินกันแล้ว มีการซื้อขายแลกเปลี่ยน zombie กันด้วยเช่น zombie จำนวน 5,000 เครื่องขาย 500 เหรีญอะไรแบบนี้

Hybrid malware/Blended Threat คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน

Zero-day attack ในที่นี้หมายถึง การโจมตีของมาลแวร์/แฮคเกอร์ โดยการใช้ประโยชน์จากช่องโหว่ (vulnerability) ที่มีอยู่ในซอฟแวร์หรือระบบปฎิบัติการซึ่งไม่มีใครรู ้มาก่อนว่ามีช่องโหว่นั้นอยู่ หรือรู้แล้วแต่ยังไม่มี patch สำหรับอุดช่องโหว่ หรือยังไม่มี signature ของโปรแกรมด้าน security สำหรับตรวจหาการโจมตีที่ว่าในเวลานั้น

Zombie Network คือ เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย

จะเห็นได้ว่า worm, trojan, spyware (grayware) ซึ่งพบเห็นการแพร่ระบาดทั่วไปในปัจจุบันนี้มันไม่ใช่ virus และโปรแกรมป้องกันไวรัสทั่วไปส่วนใหญ่ก็ไม่สามารถป้อ งกัน malware พวกนี้ได้ทั้งหมดด้วย โปรแกรมป้องกันไวรัสทั่วไปให้ผลดีแทบจะ 100% กับ ITW malware แต่กับมาลแวร์อื่นๆแล้วมันยังไม่มีมาตรฐานอะไรมาทดสอ บโปรแกรมป้องกันไวรัส ดังนั้นแค่โปรแกรมป้องกันไวรัส (จริงๆแล้วน่าจะเรียกว่าโปรแกรมป้องกันมาลแวร์มากกว่ า) แค่อย่างเดียวไม่สามารถป้องกันมาลแวร์ที่กล่าวมาได้ท ั้งหมด

แต่มีโปรแกรมป้องกันไวรัสอยู่ยี่ห้อหนึ่งซึ่งเน้นการ ตรวจหามาลแวร์ทุกๆอย่างที่กล่าวมาแบบเอาจริงเอาจัง แบบเอาเป็นเอาตาย (ไม่มาลแวร์ก็เครื่องของเราได้ตายกันไปข้างหนึ่ง) โปรแกรมนั้นคือ Kaspersky Anti-Virus (KAV) อันนี้ผมไม่ได้ค่าโฆษณา ผมไม่ได้ขาย KAV และไม่ได้ชี้นำใครนะครับ แต่บอกจากความรู้และประสบการณ์ที่ผมมี แต่ก็ไม่ได้หมายความว่าโปรแกรมอื่นๆ ไม่ดีนะครับ ก็อย่างที่บอกคือ โปรแกรมป้องกันไวรัสแทบจะทุกยี่ห้อสามารถป้องกันกลุ่ มมาลแวร์ที่สำคัญที่สุด ที่พวกเรามีโอกาสพบเจอมากที่สุด อันตรายที่สุด ที่เรียกว่า ITW malware ได้แบบ 100% หากเราอัพเดทมันทันเวลาและใช้มันอย่างถูกต้อง ส่วนมาลแวร์อื่นๆที่เหลือเราก็ใช้โปรแกรมเฉพาะทางอื่ นๆ ช่วย เช่น โปรแกรมป้องกันโทรจัน โปรแกรมป้องกันสปายแวร์ ไฟล์วอล และอื่นๆ

สาเหตุหลักๆ ที่ทำให้คอมพิวเตอร์ติด malware (virus, worm, trojan, spyware, etc)
1. ทางอีเมลล์ โดยเฉพาะการดูดอีเมลล์จาก pop3 server ด้วยโปรแกรมอย่าง Outlook Express ส่วนใหญ่จะเป็นพวกหนอนอินเตอร์เน็ตประเภท
mass-mailing worm เช่น Netsky, Beagle, Mydoom
2. จากช่องโหว่ (vulnerability) ของระบบปฏิบัติการหรือของโปรแกรม โดย network worm, mass-mailing worm ที่โจมตีช่องโหว่ของ Windows เช่น Blaster, Sasser, Bobax ซึ่งต่อไปอาจจะเป็นกรณีของ zero-day attack
3. จากการเข้าไปในเว็บที่มี malicious script/malware ซ่อนอยู่ก็อย่างเว็บโป๊ เว็บ crack ทั้งหลาย เช่นพวก dialer, trojan downloader,spyware, browser hijacker
4. จากการเข้าไปในเว็บธรรมดาที่ติดไวรัสเช่น VBS/Redlof
5. จากการเคลื่อนย้ายไฟล์จากเครื่องหนึ่งไปยังอีกเครื่อ งหนึ่งผ่านทางแผ่นดิสก์เช่น macro virus ที่อยู่ในไฟล์ของ MS Office
6. การดาวโหลดไฟล์จากเครือข่าย P2P อย่างเช่น KaZaA เช่น P2P worm และโทรจันทั้งหลาย
7. จากการดาวโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถืออย่างเช่ นเว็บ crack, warez ส่วนใหญ่จะเป็นพวก private/modified trojan
8. จากการเล่นหรือรับไฟล์จากโปรแกรมประเภท Instant Message เช่น MSN, ICQ
9. จากการเล่นโปรแกรมประเภท IRC เช่น Pirch98 เช่น IRC Worm และอื่นๆ ที่ยังนึกไม่ออกตอนนี้
เรามาดูความหมายของชื่อไวรัสกันครับ
เพื่อนๆคงจะเห็นรายชื่ออัพเดทไวรัสตรงหน้าเว็บต่างๆเ ป็นประจำ และเคยสงสัยกันบ้างไหมครับ ว่าชื่อของไวรัสที่เห็นทั่วไปนั้นมีความหมายว่าอย่างไร
ส่วนประกอบของชื่อไวรัสนั้นแบ่งได้เป็นส่วนๆ ดังนี้ครับ
Family_Names Group_Name Variant Tail
W32 Mydoom bb @mm1. ส่วนแรกแสดงชื่อตระกูลของไวรัส (Family_Names)
ส่วนมากแล้วจะตั้งตามที่ไวรัสตัวนั้น ก่อปัญหาขึ้นกับระบบปฏิบัติการอะไร หรือภาษาที่ใช้ในการเขียนของไวรัส ดังตารางนี้
Family_Names ความหมาย

WM ไวรัสที่เป็นมาโครของโปรแกรม Word
W97M ไวรัสที่เป็นมาโครของโปรแกรม Word 97
XM ไวรัสที่เป็นมาโครของโปรแกรม Excel
X97M ไวรัสที่เป็นมาโครของโปรแกรม Excel 97
W95 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 95
W32/Win32 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 32 บิต
WNT ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ NT 32 บิต
I-Worm/Worm หนอนอินเทอร์เน็ต
Trojan/Troj โทรจัน
VBS ไวรัสที่ถูกพัฒนาด้วย Visual Basic Script
AOL โทรจัน America Online
PWSTEAL โทรจันที่มีความสามารถในการขโมยรหัสผ่าน
Java ไวรัสที่ถูกพัฒนาด้วยภาษาจาวา
Linux ไวรัสที่มีผลกระทบกับระบบปฏิบัติการลินุกซ์
Palm ไวรัสที่มีผลกระทบกับระบบปฏิบัติการ Palm OS
Backdoor เปิดช่องให้ผู้บุกรุกเข้าถึงเครื่องได้
HILLW บ่งบอกว่าไวรัสถูกคอมไพล์ด้วยภาษาระดับสูง
2. ส่วนชื่อของไวรัส (Group_Name)
ตัวนี้จะถูกตั้งขึ้นจากชื่อของผู้ที่เขียนไวรัส หรือนามแฝง ที่ใช้แทรกในโค้ดของตัวโปรแกรมไวรัส
3.ส่วนของ Variant รายละเอียดส่วนนี้จะบอกว่าสายพันธุ์ของไวรัสชนิดนั้น ๆ มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธ ุ์เดิมที่มีอยู่Vvariant มี 2 ลักษณะคือ Major_Variants จะตามหลังส่วนชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกันอย่างชัดเจน เช่น W32.Mydoom.bb@MM (bb เป็น Major_Variant) แตกต่างจาก W32.Mydoom.Q@MM อย่างชัดเจนMinor_Variants ใช้บ่งบอกในกรณีที่แตกต่างกันนิดหน่อย ในบางครั้ง Minor_Variant เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB.
4. ส่วนท้าย (Tail) เป็นส่วนที่จะบอกว่าวิธีการแพร่กระจาย ประกอบด้วย

@M หรือ @m บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น “mailer” ที่จะส่งตัวเองผ่านทางอี-เมล์เมื่อผู้ใช้ส่งอี-เมล์เท่านั้น
@MM หรือ @mm บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น “mass-mailer” ที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์

ตัวอย่าง
W32/Mydoom.bb@mm หมายความว่า ไวรัสชนิดนี้โจมตีในเพลตฟอร์มของวินโดว 32 บิต ชื่อของไวรัสคือ Mydoom Variant สายพันธุ์ของตัวนี้คือ bb
และมีความสามารถที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์

ที่มา : http://www.servertoday.com

มัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ของวินโดวส์

สถานการณ์การโจมตี

เมื่อวันที่ 12 พฤษภาคม 2560 บริษัท Avast ได้รายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ชื่อ WannaCry [1] โดยมัลแวร์ดังกล่าวมีจุดประสงค์หลักเพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้ สิ่งที่น่ากังวลเป็นพิเศษสําหรับมัลแวร์นี้คือความสามารถในการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ระบบ SMB (Server Message Block) ของวินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการวินโดวส์มีความเสี่ยงที่จะติดมัลแวร์นี้

ช่องโหว่ที่ถูกใช้ในการแพร่กระจายมัลแวร์เป็นช่องโหว่ที่ถูกเปิดเผยสู่สาธารณะตั้งแต่ช่วงเดือนเมษายน 2560 และถึงแม้ทาง Microsoft จะเผยแพร่อัปเดตแก้ไขช่องโหว่ดังกล่าวไปตั้งแต่วันที่ 14 มีนาคม 2560 แล้วแต่ก็ยังพบว่าปัจจุบันมีเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์ดังกล่าวและถูกโจมตีจากมัลแวร์นี้มากกว่า 500,000 เครื่อง ใน 99 ประเทศ โดยเกิดผลกระทบสูงต่อหน่วยงานสาธารณสุขของประเทศอังกฤษ ในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้าง

จากข้อมูลของ Microsoft ระบบปฏิบัติการที่มีช่องโหว่ในระบบ SMB เวอร์ชัน 1 ที่ถูกใช้ในการโจมตีโดยมัลแวร์นี้ มีตั้งแต่ Windows XP, Windows Server 2003 ไปจนถึง Windows 10 และ Windows Server 2016 แต่เมื่อเดือนมีนาคม 2560 ทาง Microsoft ไม่ได้ออกอัปเดตแก้ไขช่องโหว่นี้ให้กับ Windows XP และ Windows Server 2003 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนไปแล้ว อย่างไรก็ตาม เนื่องจากปัจจุบันยังมีเครื่องคอมพิวเตอร์ที่ใช้งานสองระบบปฏิบัติการดังกล่าวและยังเชื่อมต่อกับอินเทอร์เน็ตอยู่ จึงทำให้ถูกโจมตีได้ Microsoft จึงออกอัปเดตฉุกเฉินมาเพื่อแก้ไขปัญหานี้ โดยผู้ใช้สามารถดาวน์โหลดอัปเดตดังกล่าวได้จากเว็บไซต์ของ Microsoft

พฤติกรรมของมัลแวร์ WannaCry

ปัจจุบันพบข้อมูลรายงานการตรวจสอบมัลแวร์จากเว็บไซต์ Hybrid Analysis ซึ่งให้บริการวิเคราะห์มัลแวร์ มีผลลัพธ์ของการวิเคราะห์ไฟล์ต้องสงสัย ซึ่งผู้ใช้งานตั้งชื่อว่า wannacry.exe โดยผลลัพธ์แสดงให้เห็นว่าเป็นมัลแวร์ประเภท Ransomware และมีสายพันธุ์สอดคล้องกับมัลแวร์ WannaCry ที่แพร่ระบาดอยู่ในปัจจุบัน ซึ่งมีฟังก์ชันที่พบเรื่องการเข้ารหัสลับข้อมูลไฟล์เอกสารบนเครื่องคอมพิวเตอร์ การแสดงผลข้อความเรียกค่าไถ่ เป็นต้น โดยในรายงานกล่าวถึงการเชื่อมโยงข้อมูลกับไอพีแอดเดรสจากต่างประเทศตามตารางด้านล่าง ซึ่งคาดว่าเป็นไอพีแอดเดรสของผู้ไม่ประสงค์ดีที่ใช้ในการควบคุมและสั่งการ

ไอพีแอดเดรสปลายทาง พอร์ตปลายทาง ประเทศ
213.61.66.116 9003/TCP Germany
171.25.193.9 80/TCP Sweden
163.172.35.247 443/TCP United Kingdom
128.31.0.39 9101/TCP United States
185.97.32.18 9001/TCP Sweden
178.62.173.203 9001/TCP European Union
136.243.176.148 443/TCP Germany
217.172.190.251 443/TCP Germany
94.23.173.93 443/TCP France
50.7.151.47 443/TCP United States
83.162.202.182 9001/TCP Netherlands
163.172.185.132 443/TCP United Kingdom
163.172.153.12 9001/TCP United Kingdom
62.138.7.231 9001/TCP Germany

ตารางที่ 1 แสดงการเชื่อมต่อจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ WannaCry

นอกจากนี้ยังพบว่ามีผู้รวบรวมข้อมูลเกี่ยวกับพฤติกรรมของมัลแวร์ WannaCry ไว้บนเว็บไซต์ Github รวมถึงไฟล์มัลแวร์ตัวอย่าง ซึ่งทางไทยเซิร์ตกำลังอยู่ในระหว่างการนำไฟล์ดังกล่าวมาเข้ากระบวนการตรวจวิเคราะห์ต่อไป

 

การสาธิตวิดีโอของ WannaCry Ransomware Infection

 

Hickey ได้ให้การสาธิตวิดีโอสองครั้งแก่เราซึ่งแสดงร่องรอยของแพ็คเก็ตที่ยืนยันการใช้ช่องโหว่ของ Windows SMB (MS17-010)

และครั้งที่สอง …


เนื่องจาก WannaCry เป็นไฟล์ปฏิบัติการเพียงตัวเดียวจึงสามารถแพร่กระจายผ่านเวกเตอร์อื่น ๆ ที่ใช้ประโยชน์ได้เช่นการโจมตีแบบฟิชชิ่งไดรฟ์โดยดาวน์โหลดและไฟล์ torrent ที่เป็นอันตรายเตือนให้ Hickey ทราบ

 

LIVE MAP

https://intel.malwaretech.com/pewpew.html

catalog update microsoft

Microsoft updates

หลังจากที่มีการระบาดของ Wana Decrypt0r ransomware ขนาดมหึมาจากช่วงบ่ายเมื่อวานนี้ไมโครซอฟท์ได้เปิดตัว patch for older operating systems รุ่นเก่าเพื่อปกป้องพวกเขาจากกลไกการกระจายตัวของ Wana Decrypt0r

OS Windows XP, Windows 8, and Windows Server 2003. เหล่านี้เป็นระบบปฏิบัติการเก่าที่ Microsoft หยุดสนับสนุนหลายปีมาแล้วและไม่ได้รับการแก้ไขสำหรับการโจมตี SMBv1 ซึ่ง Wana Decrypt0r ransomware ใช้เมื่อวานนี้เป็นกลไกการกระจายข้อมูลด้วยตนเอง

Original MS17-010 patch fixes

Microsoft had released a fix for that exploit a month before, in March, in security bulletin MS17-010. That security bulletin only included fixes for Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008,  Windows Server 2012, and Windows Server 2016.

ไมโครซอฟท์กล่าวในแถลงการณ์ว่า “เนื่องจากผลกระทบที่อาจเกิดขึ้นกับลูกค้าและธุรกิจของพวกเขาทำให้เราตัดสินใจที่จะทำการปรับปรุงความปลอดภัยสำหรับแพลตฟอร์มในการสนับสนุน  Windows XP, Windows 8 และ Windows Server 2003 เท่านั้น  “การตัดสินใจครั้งนี้ขึ้นอยู่กับการประเมินสถานการณ์นี้โดยคำนึงถึงหลักการของการปกป้องระบบนิเวศน์ของลูกค้าโดยรวม”

 

Link :https://support.microsoft.com/en-us/help/4012598/title

ชื่อเรื่อง ผลิตภัณฑ์ การจำแนกประเภท ปรับปรุงล่าสุด รุ่น ขนาด
Security Update for Windows XP SP3 (KB4012598) Windows XP Security Updates 13/5/2560 n/a 15.7 MB
Security Update for Windows Server 2008 (KB4012598) Windows Server 2008 Security Updates 12/3/2560 n/a 1.2 MB
Security Update for Windows Server 2003 for x64-based Systems (KB4012598) Windows Server 2003,Windows Server 2003, Datacenter Edition Security Updates 13/5/2560 n/a 10.3 MB
โปรแกรมปรับปรุงความปลอดภัยสำหรับ Windows 8 (KB4012598) Windows 8 Security Updates 13/5/2560 n/a 872 KB
Security Update for Windows XP SP3 for XPe (KB4012598) Windows XP Embedded Security Updates 13/5/2560 n/a 15.7 MB
Security Update for Windows Server 2003 (KB4012598) Windows Server 2003,Windows Server 2003, Datacenter Edition Security Updates 13/5/2560 n/a 12.1 MB
Security Update for Windows XP SP2 for x64-based Systems (KB4012598) Windows XP x64 Edition Security Updates 13/5/2560 n/a 1.9 MB
Security Update for Windows Server 2008 for Itanium-based Systems (KB4012598) Windows Server 2008 Security Updates 12/3/2560 n/a 1.2 MB
โปรแกรมปรับปรุงความปลอดภัยสำหรับ Windows Vista (KB4012598) Windows Vista Security Updates 12/3/2560 n/a 1.2 MB
Security Update for Windows Server 2008 for x64-based Systems (KB4012598) Windows Server 2008 Security Updates 12/3/2560 n/a 1.3 MB
โปรแกรมปรับปรุงความปลอดภัยสำหรับ WES09 และ POSReady 2009 (KB4012598) Windows XP Embedded Security Updates 12/3/2560 n/a 15.7 MB
โปรแกรมปรับปรุงความปลอดภัยสำหรับ Windows 8 สำหรับระบบที่ใช้ x64 (KB4012598) Windows 8 Security Updates 13/5/2560 n/a 984 KB
โปรแกรมปรับปรุงความปลอดภัยสำหรับ Windows Vista สำหรับระบบที่ใช้ x64 (KB4012598) Windows Vista Security Updates 12/3/2560 n/a 1.3 MB

อ้างอิง

 

ผู้เชี่ยวชาญด้านความปลอดภัยกังวลว่า Hajime Botnet จะเติบโตขึ้นเป็น 300,000 Bots

Hajime

botnet Hajime(ฮาจิเมะ) นักวิจัยด้านความปลอดภัยเริ่มกังวล botnet เนื่องจาก อุปกรณ์ที่ติดเชื้อมีขนาดใหญ่ถึงประมาณ 300,000  ที่กำลังเติบโตมากขึ้นเรื่อยๆ

ในขณะที่ Hajime ไม่เคยใช้ในการดำเนินการที่เป็นอันตรายใด ๆ เช่นการโจมตี DDoS นักวิจัยหวั่นหลอกลวงอาจสามารถเข้าควบคุมการดำเนินงานของ botnet ได้จากผู้เขียนต้นฉบับ

ฮาจิเมะเป็นคู่แข่งโดยตรงของ Mirai
บอทเน็ตของ Hajime ได้รับการค้นพบเป็นครั้งแรกในช่วงฤดูใบไม้ร่วงที่ผ่านมาโดยงานวิจัยด้านความปลอดภัยจาก Rapidity Networks นักวิจัยตั้งชื่อว่า IajT malware Hajime ซึ่งเป็นคำว่า “begin” ในภาษาญี่ปุ่นเนื่องจากมัลแวร์พยายามที่จะประนีประนอมอุปกรณ์เดียวกันที่ติดเชื้อโดย Mirai ซึ่งเป็นคำภาษาญี่ปุ่นสำหรับ “อนาคต”

การเชื่อมต่อกับ Mirai มีความสำคัญเนื่องจาก Hajime ปรากฏในช่วงกลางของการโจมตี DDoS ของ Mirai ซึ่งเป็นมัลแวร์ IoT ที่ใช้ในการสร้าง botnets ขนาดใหญ่

เนื่องจากกิจกรรมที่รุนแรงของ Mirai ในเวลาดังกล่าว Hajime จึงไม่ได้รับการสังเกตโดย บริษัท รักษาความปลอดภัยส่วนใหญ่ผู้ซึ่งยุ่งอยู่กับการติดตามและตรวจสอบการโจมตีของ Mirai DDoS ที่เกิดขึ้นในเวลานั้น

Hajime พัฒนาสู่ botnet ที่มีความซับซ้อนสูง
หลังจากที่ Symantec ได้เผยแพร่รายงานเมื่อสัปดาห์ที่แล้วว่าโฟกัสของ Infosec ได้เปลี่ยนกลับไปใช้กับ Hajime ซึ่งในขณะเดียวกันได้กลายเป็นมัลแวร์ IoT ที่มีความซับซ้อนมากที่สุดบนอินเทอร์เน็ต

ตามรายงานของไซแมนเทค บริษัท ด้านความปลอดภัยอื่น ๆ เช่น Kaspersky Labs และ Radware ได้เผยแพร่รายงานเกี่ยวกับ Hajime ในสัปดาห์นี้

รายงานของพวกเขามีข้อสรุปเหมือนกัน Hajime มีความซับซ้อนอย่างเหลือเชื่อเช่นเดียวกับที่พวกเขาเคยเห็นมาก่อน แต่ปัจจุบันยังไม่เป็นอันตราย

ต่อไปนี้เป็นสิ่งพื้นฐานที่คุณจำเป็นต้องรู้เกี่ยวกับโหมดการทำงานปัจจุบันของ Hajime:

 

⍈มัลแวร์ที่เป็นเป้าหมายของอุปกรณ์ Linux-based ที่ทำงานบน ARM5, ARM6, ARM7, mipseb และแพลตฟอร์ม mipsel
⍈อุปกรณ์ที่ติดเชื้อส่วนใหญ่คือ DVRs กล้องรักษาความปลอดภัยและเราเตอร์ที่บ้าน
⍈ Hajime แพร่กระจายไปยังอุปกรณ์ในสามวิธี:

(1) โดยเดรัจฉานบังคับ Telnet บัญชีที่มีข้อมูลประจำตัวที่อ่อนแอ;

(2) โดยใช้ข้อบกพร่องในโปรโตคอล TR-064 ที่ใช้โดย ISP เพื่อจัดการเราเตอร์ระยะไกล และ

(3) ด้วยรหัสผ่านของเคเบิลโมเด็ม Arris ในวันที่โจมตี
⍈ Hajime ใช้ชื่อผู้ใช้และรหัสผ่านเดียวกันกับที่ Mirai ถูกตั้งโปรแกรมไว้ให้ใช้รวมทั้งอีกสองอย่าง
⍈ Hajime ได้ผ่านการปรับปรุงตั้งแต่หกเดือนแรกของปีพศ. 2560 ซึ่งหมายความว่าผู้เขียนยังคงพัฒนาต่อไป
⍈ผู้ดำเนินการ Hajime ควบคุม botnet ผ่านทางโปรโตคอล P2P
⍈การสื่อสารผ่านบอททั้งหมดของ Hajime จะถูกเข้ารหัส
⍈ไบนารีมัลแวร์ Hajime มีสถาปัตยกรรมโมดูลาร์และสามารถดาวน์โหลดโมดูลอื่น ๆ เพื่อเพิ่มฟังก์ชันการทำงานได้
⍈โมดูลและไบนารีส่วนใหญ่จะถูกเก็บไว้ในบอทที่ติดเชื้ออื่น ๆ และไม่ได้ดาวน์โหลดจากเซิร์ฟเวอร์ส่วนกลาง
⍈นักวิจัยด้านความปลอดภัยได้พบโมดูลการจำลองข้อมูลด้วยตนเองเท่านั้น แต่ไม่มีโมดูลสำหรับการโจมตี DDoS หรือ proxy การเข้าชม
⍈โมดูลที่กำหนดเองสามารถเขียนเป็นภาษาใดก็ได้ตราบเท่าที่สามารถรวบรวมเป็นไบนารีสำหรับหนึ่งในแพลตฟอร์มที่สนับสนุน
⍈ Hajime ไม่มีคุณลักษณะรหัสการติดตาใด ๆ และมัลแวร์สามารถนำออกได้โดยการบูตอุปกรณ์
⍈รายงาน Hajime ฉบับแรกจากเครือข่าย Rapidity ระบุข้อบกพร่องในโปรโตคอลการสื่อสารซึ่งผู้แต่งได้รับการแก้ไขโดยทันที
⍈ผู้เขียนมัลแวร์ไม่ได้อ้างถึงมัลแวร์ของเขาว่าเป็นฮัจญ์ แต่เริ่มเรียกใช้ซอฟต์แวร์ดังกล่าวหลังจากรายงาน Rapidity Networks เดิม
⍈ทุกครั้งที่มีการติดต่อกับเซิร์ฟเวอร์ C & C เพื่อติดต่อคอนฟิกูเรชันที่มีการอัพเดตมัลแวร์จะแสดงข้อความต่อไปนี้บนคอนโซลของอุปกรณ์
ข้อความคอนโซล Hajime

Hajime console message

ในรายงานของ Symantec เมื่อสัปดาห์ที่แล้วไซแมนเทคคาดการณ์ว่าผู้สร้าง botnet Hajime คือศาลเตี้ยอินเทอร์เน็ตซึ่งไม่มีเจตนาร้าย

ผู้เขียนฮาจิเมะเป็นศาลเตี้ยจริงๆหรือ?
การพูดคุยกับ Bleeping Computer ในการแลกเปลี่ยนอีเมล Pascal Geenens ความปลอดภัยในโลกไซเบอร์เพื่อ Radware และหนึ่งในนักวิจัยที่วิเคราะห์ Hajime ไม่เห็นด้วยกับการจัดประเภทของ Symantec อย่างเต็มที่

“แค่หมวกสีขาวอืม … แล้วทำไมฮัจจี้จะอาศัยอยู่และช่วยเพิ่มเครือข่ายของพวกเขาทำไมถึงเป็นกระบวนการที่เรียกว่า ‘atk’ สำหรับการโจมตีและไม่สามารถสแกนหรือค้นพบได้” Geenens ถามซ้ำ ๆ

“มันสแกนหาอุปกรณ์ Telnet และ WSDAPI ที่มีช่องโหว่มากและปิดพอร์ตสำหรับ Mirai exploit Vectors แต่จะเปิดพอร์ตสำหรับตัวเอง … ฉันไม่แน่ใจเกี่ยวกับสิ่งที่หมวกสีขาว” เขากล่าวเสริม

“ในตอนนี้ Hajime ยังอยู่ภายใต้การควบคุมของผู้เขียนต้นฉบับ (หรืออย่างที่ฉันหวัง) และส่วนใหญ่เรากำลังพิจารณาความตั้งใจของเขาที่จะดี” Geenens เขียนเมื่อวานนี้ในโพสต์บล็อก “ยังคงฉันสงสัยว่าทำไมอัศวินสีขาวนี้ช่วยเพิ่ม botnet ของเขาและทำให้อุปกรณ์เป็นตัวประกัน”

ถ้าความตั้งใจของเขาดีแล้วทำไมไม่เพียงแค่ละทิ้งกฎของ CWMP และปรับปรุงพวกเขาหาก ISP ไม่ได้ใช้ความปลอดภัยอย่างเพียงพอทำไมไม่ทำกฎ iptables แบบต่อเนื่องหรือทำให้พวกเขามีความผันผวน แต่ปล่อยอุปกรณ์และไม่ควรรักษา มันเป็นตัวประกันจนกว่าจะรีบูต? “Geenens ยังขบคิด

ความคิดและความกังวลของเขายังถูกสะท้อนโดยนักวิจัยจาก Kaspersky Labs ไม่ว่าจะเป็นข้อความของ [console] ของผู้เขียน

ที่มา : www.bleepingcomputer.com

วิธีการ ใช้ PC หรือ Mac remote ไปที่ iPad หรือ iPhone

1. เปิด Cydia สำหรับ install Veency.

    – iPad

IMG_0002.PNG (2)

IMG_0003

IMG_0004

IMG_0005

IMG_0006

    – iPhone

2. หลังจากติดตั้งเรียบร้อยแล้ว จะไม่มี iCon Veency อยู่ที่หน้าจอ เพราะว่า Veency ทำงานอยูู่ในส่วน Background Processes

3. ทดลองกันเลย  VNC client แล้วแต่ชอบ แต่ผมชอบ download VNC client from RealVNC