Mac OS X โดนโทรจันจากลินุกซ์เล่นงาน

By: terminus
ContributorJusci's Writer
terminus's blog on 27/10/11 0:35 Tags:
Mac OS X

เมื่อเกือบสิบปีที่แล้ว มีโทรจันตัวหนึ่งชื่อว่า Tsunami (ESET เรียกว่า Linux/Tsunami, ส่วน Sophos เรียกว่า Troj/Kaiten) ออกอาละวาดบนระบบปฏิบัติการลินุกซ์ วันนี้คนใช้ Mac ไม่ต้องกลัวน้อยหน้าเพราะในที่สุดก็มีผู้ใจดีจับ Tsunami มาใส่ตะกร้าล้างน้ำแบ่งปันให้กับผู้ใช้ Mac OS X แล้ว

ความสามารถของโทรจัน Tsunami เวอร์ชันสำหรับ Mac OS X (ESET เรียกว่า OSX/Tsunami.A, ส่วน Sophos เรียกว่า OSX/Tsunami-A) ไม่น้อยหน้ารุ่นพี่บนลินุกซ์แน่นอน มันจะเข้าไปแฝงตัวรอรับคำสั่งจากผู้บุกรุกผ่านทาง IRC channel ซึ่งอาจจะเป็นการสั่งให้โจมตี DDoS ใส่เซิร์ฟเวอร์ที่ไหนสักที่, ดาวน์โหลดโทรจันตัวอื่นๆ มาติดตั้งให้ฟรีๆ, หรือแม้แต่อัพเดตตัวมันเองอย่างเจียมเนื้อเจียมตัว พูดกันง่ายๆ ว่าของเดิมทำอะไรได้ ของใหม่ก็ทำได้หมด เยี่ยมจริงๆ!

น่าเสียดายอยู่สักเล็กน้อยที่ Tsunami ยังไม่สามารถแพร่กระจายตัวเองไปตามเครือข่ายได้ ทำให้ผู้ใช้ Mac ที่ชอบความตื่นเต้นอาจจะต้องเสียเวลาเล็กน้อยในการวิ่งไปให้ผู้บุกรุกอัพโหลดหรือไปดาวน์โหลดมาติดตั้งลงเครื่องตัวเอง

เรื่องนี้สอนให้รู้ว่า จะเป็นไฮโซหรือรากหญ้าก็มีสิทธิ์โดน Tsunami กระหน่ำทั้งนั้น ดังนั้นจึงควร เตรียมกระสอบทรายและข้าวของอพยพ ติดตั้ง antivirus และเปิด firewall ไว้แต่เนิ่นๆ

ที่มา - ZDNet, ESET ThreatBlog, Sophos' Naked Security

ผู้ใช้ Android พึงระวัง โทรจันตัวใหม่ "Geinimi"

By: mk
FounderAndroidRed HatWindows
mk's blog on 31/12/10 0:12 Tags:

บริษัท Lookout Mobile Security ประกาศเตือนภัยโทรจันชื่อ "Geinimi" บนมือถือ Android ซึ่งจะขโมยข้อมูลส่วนตัวของเราในเครื่องแล้วส่งกลับไปยังเซิร์ฟเวอร์ปลายทาง

คุณลักษณะเด่นของ Geinimi คือมันทำตัวคล้าย botnet ด้วย นั่นคือถ้าติดตั้งตัวเองบนมือถือสำเร็จ ก็สามารถรับคำสั่งจากเซิร์ฟเวอร์เพื่อควบคุมมือถือจากระยะไกลได้ นอกจากนี้ Geinimi ยังอาจหลอกผู้ใช้ให้ติดตั้งหรือถอนการติดตั้งแอพใดๆ บนมือถือได้ด้วย

Geinimi มีต้นกำเนิดมาจากประเทศจีน โดยกระจายผ่าน Android Market ของจีนยี่ห้อหนึ่ง รายละเอียดทางเทคนิคอ่านได้จากที่มา ในเบื้องต้นก็ต้องระวังไม่ลงโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ และตรวจเช็ค permission ขณะติดตั้งโปรแกรมอย่างละเอียด

ที่มา - Lookout Security

พบโทรจันตัวใหม่บน Mac OS X แอบติดตั้งโปรแกรมในเครื่องได้

By: mk
FounderAndroidRed HatWindows
mk's blog on 28/10/10 10:48 Tags:

บริษัทความปลอดภัย SecureMac ประกาศเตือนโทรจันชื่อ trojan.osx.boonana.a บน Mac OS X

Boonana จะปลอมตัวเป็นลิงก์อยู่บน Social Network เมื่อผู้ใช้กดลิงก์ จะรันจาวาแอพเพล็ตซึ่งติดตั้งโปรแกรมลงบน Mac OS X ซึ่งจะทำงานอัตโนมัติเมื่อเปิดเครื่องครั้งถัดไป โปรแกรมโทรจันตัวนี้จะลัดขั้นตอนการถามรหัสผ่านของ Mac OS X ทำให้บุคคลภายนอกเข้าถึงไฟล์บนเครื่องได้ทันที

เนื่องจากส่วนแรกของการติดตั้งโทรจันทำผ่านแอพเพล็ต มันจึงรันบนวินโดวส์ได้ด้วย แต่ยังไม่มีรายงานว่ามันทำอันตรายกับวินโดวส์ได้หรือไม่ สำหรับแมคที่โดนโทรจันตัวนี้เข้าไปแล้ว สามารถดาวน์โหลด removal tool ได้จาก SecureMac

ที่มา - Ars Technica

มีการตรวจพบ Trojan ส่ง SMS ที่ออกระบาดใน Android

By: pokemaniac
ContributoriPhoneAndroidBlackberry
pokemaniac's blog on 10/08/10 22:47 Tags:

ได้มีการตรวจพบ Trojan ตัวแรกที่แฝงอยู่ในโทรศัพท์ที่ใช้ระบบปฏิบัติการ Android โดย Trojan ตัวนี้จะเป็น Extension สกุล .APK ขนาดเล็ก (เพียง 13 kb) ที่จะคอยทำให้โทรศัพท์นั้นส่ง SMS ไปที่เบอร์ที่ถูกตั้งรหัสไว้โดยเรียกเก็บค่าบริการ

Kaspersky พบว่า Trojan ตัวนี้มีชื่อว่า Trojan-SMS.AndroidOS.FakePlayer.a โดย Kaspersky ให้คำแนะนำว่าผู้ใช้ควรตรวจสอบการเข้าถึงของระบบที่ Android จะถามก่อนการติดตั้งแอพพลิเคชันทุกครั้ง เพราะเมื่อกดอนุญาตสุ่มสี่สุ่มห้าก็อาจสามารถทำให้โทรศัพท์ Android เครื่องนั้นติด Trojan นี้ได้

ขณะนี้ Kaspersky ได้มีการเพิ่มข้อมูลของ Trojan-SMS.AndroidOS.FakePlayer.a เข้าฐานข้อมูลแล้ว อีกทั้งทางบริษัทมีแผนที่จะออก Kaspersky Mobile Security for Android ในต้นปีหน้าด้วย

ที่มา: Kaspersky Lab

Kaspersky ประกาศเตือนพบโทรจันบน Android

By: pawinpawin
Writer
pawinpawin's blog on 10/08/10 22:42 Tags:

ปกติเราไม่ค่อยได้ยินข่าวไม่ดีเกี่ยวกับความปลอดภัยของโปรแกรมบน Android กันสักเท่าไหร่ แต่วันนี้เหล่าผู้ใช้ Android ที่ชอบลองโปรแกรมใหม่ๆ ก็คงต้องเริ่มระวังตัวกันบ้างแล้วครับ

Kaspersky ได้เปิดเผยว่าได้ค้นพบโทรจันตัวแรกที่ทำงานบนระบบปฏิบัติการ Android ที่ชื่อว่า Trojan-SMS.AndroidOS.FakePlayer.a ซึ่งจะมาในรูปของโปรแกรมเล่นไฟล์มัลติมีเดียธรรมดาๆ แต่โปรแกรมนี้จะแอบส่ง SMS โดยไม่บอกผู้่ใช้ ทำให้เกิดค่าใช้จ่ายขึ้นโดยที่ผู้ใช้นั้นไม่ทันรู้ตัว เป็นที่คาดกันว่าโปรแกรมนี้จะแพร่กระจายทางการดาวน์โหลดไฟล์นามสกุล .APK ผ่านหน้าเว็บ (ไม่ได้ผ่าน Android Market ที่น่าจะปลอดภัยกว่า)

Denis Maslennikov ซึ่งเป็นหัวหน้าทีมความปลอดภัยบนอุปกรณ์ไร้สายของ Kaspersky ได้กล่าวว่า เนื่องจากระบบปฏิบัติการ Android นั้นขายได้มากขึ้นเรื่อยๆ ดังนั้นก็ไม่ต้องสงสัยเลยว่าจะต้องมีโปรแกรมที่ไม่ประสงค์ดีมากขึ้นเรื่อยๆ เช่นกัน และเขายังทิ้งท้ายว่าทางบริษัทนั้นก็กำลังจะออก Kaspersky Mobile Security for Android ภายในต้นปีหน้าด้วย

ที่มา: The Inquirer via Electronista, Kaspersky

ไวรัส,โทรจัน เริ่มเบนเป้ามาที่แมค

By: khajochi
WriteriPhone
khajochi's blog on 23/04/09 18:33 Tags:

เป็นที่ทราบกันดีว่าแมคนั้นมีปัญหาเรื่องไวรัสน้อยกว่าบนพีซี จะด้วยเพราะจำนวนผู้ใช้ที่น้อยกว่าหรือไม่ก็แล้วแต่ แต่หลังจากที่ตลาดของแมคเริ่มโตขึ้นเรื่อยๆ นักสร้างไวรัสหรือโทรจันก็เริ่มเบนเป้าหมายจากพีซีมาที่แมคมากขึ้น โดย CNN รายงานว่า นักวิจัยเรื่องความปลอดภัยบนคอมพิวเตอร์เริ่มออกมาเตือนในเรื่องดังกล่าว โดยโทรจัน OSX.Trojan.iServices.A ที่แฝงมาใน torrent ของ iWork '09 (ที่ผิดกฏหมาย) เมื่อเดือนมกราคมที่ผ่านมานั้นเป็นสัญญาณเริ่มต้น

อย่างไรก็ดี บริษัทที่เริ่มจุดประเด็นนี้ขึ้นมาคือบริษัทที่ผลิตโปรแกรมป้องกันไวรัสอย่าง บล็อก ของ McAfee หรือ podcast ของ Symantec ซึ่งก็อาจจะมองได้ว่าพยายามสร้างข่าวเพื่อขายโปรแกรมของตน ทางแอปเปิลเองก็ออกมาบอกว่าบริษัทให้ความสำคัญกับเรื่องความปลอดภัยของผู้ใช้เป็นอย่างมากและมีระบบตรวจสอบช่องโหว่ของระบบก่อนที่จะเกิดปัญหากับผู้ใช้

ทั้งนี้ทั้งนั้นผู้ใช้แมคส่วนใหญ่ใช้ระบบปฏิบัติการที่ถูกกฏหมายซึ่งได้มาตั้งแต่ตอนซื้อเครื่อง ทำให้สามารถโหลดอัพเดตต่างๆ จากทางแอปเปิลได้โดยไม่ติดปัญหาใดๆ

ที่มา - CNN

โทรจันใน iWork'09 รุ่นผิดกฏหมายระบาดไปถึง Photoshop แล้ว

By: lew
FounderAndroidSymbian
lew's blog on 26/01/09 22:56 Tags:

หลังจากที่มีโทรจันติดไปกับ iWork'09 ที่ถูกดาวน์โหลดมาทางเครือข่าย Bittorrent ได้ไม่กี่วัน วันนี้ก็เริ่มมีรายงานถึงโทรจัน OSX.Trojan.iServices.B ที่กลายพันธุ์มาจากตัวที่อยู่ใน iWork'09 แล้ว โดยตัวกลายพันธุ์นี้ไปปรากฏตัวอยู่ใน Photoshop CS4 รุ่นที่ถูกดาวน์โหลดอย่างผิดกฏหมายเช่นเดียวกัน

สิ่งที่โทรจันตัวนี้ทำได้แก่

  • ติดตั้งไฟล์ลง /var/tmp
  • ทำสำเนาไฟล์ไปยัง /usr/bin/DivX
  • เก็บค่า hash ของ root password ไว้ที่ /var/root/.DivX
  • เปิดพอร์ต TCP โดยเลือกเลขพอร์ตแบบสุ่ม
  • พยายามติดต่อไปยังหมายเลขไอพีสองหมายเลข

การเปิดช่องโหว่เช่นนี้เชื่อได้ว่าเป็นการเปิดช่องให้ผู้บุกรุกสามารถเข้ามาควบคุมเครื่องและดาวน์โหลดเครื่องมือต่างๆ เข้ามาติดตั้งเพิ่มเติมได้

แนะทำให้ผู้ใช้แมคอัพเดตความปลอดภัยเพื่อหลีกเลี่ยงปัญหาแบบเดียวกันนี้ในอนาคต และควรซื้อของแท้ให้เรียบร้อยครับ

ที่มา - MacWorld

เตือนโทรจันแฝงใน torrent ของ iWork '09

By: pawinpawin
Writer
pawinpawin's blog on 23/01/09 14:53 Tags:

มีรายงานเกี่ยวกับความปลอดภัยจากบริษัท Intego เกี่ยวกับโทรจันที่ถูกพบแฝงตัวมากับไฟล์ torrent ของ iWork '09 โดยโทรจันตัวดังกล่าวมีชื่อว่า OSX.Trojan.iServices.A ซึ่งเมื่อติดเข้าไปแล้วโทรจันตัวดังกล่าวจะพยายามติดต่อกับอินเทอร์เน็ตเองและมีอำนาจในการอ่าน, เขียน, รันโปรแกรมเทียบเท่ากับ root และนอกจากนี้โทรจันดังกล่าวยังพยายามดาวน์โหลดไฟล์บางไฟล์มาเพิ่มเติมอีกด้วย

โทรจันดังกล่าวจะอยู่ในแพคเกจที่ชื่อว่า iWorkServices.pkg เบื้องต้นพบว่ามีผู้ดาวน์โหลดไฟล์ torrent ที่มีโทรจันนี้ไปแล้วถึงกว่า 20,000 ราย สำหรับวิธีตรวจสอบเบื้องต้นทำได้จากการดูว่ามีรายการที่ชื่อ iWorkServices ใน /System/Library/StartupItems หรือไม่ และวิธีการแก้ไขเบื้องต้นสามารถดูได้จากที่ MacRumors

ใครใช้แมคแต่ยังใช้ซอฟต์แวร์เถื่อนก็ระวังกันหน่อยนะครับ

ที่มา: MacRumors, Intego, MacWorld

มือดีปล่อยโทรจันบล๊อคเว็บ The Pirate Bay และ Mininova

By: anu
ContributorWindows Phone
anu's blog on 05/01/09 8:13 Tags:

โทรจันดังกล่าวชื่อ Troj/Qhost-AC ถูกแทรกมากับ keygen ที่ติดมากับซอฟต์แวร์เถื่อน โดยแทนที่จะได้คีย์สำหรับปลดล็อคโปรแกรม แต่กลับถูกแก้ไข hosts ไฟล์แทน โดยเปลี่ยนค่าของโดเมน The Pirate Bay, Suprbay และ Mininova ให้ชี้ไปยัง 127.0.0.1 แทน นั่นหมายความกว่าคุณจะไม่สามารถเข้าเว็บดังกล่าวได้ นอกเหนือไปจากการบล๊อคทั้งสามเว็บแล้ว โทรจันยังแสดงข้อความ "downloading is wrong" พร้อมทั้งส่งเสียงด้วย โดยไฟล์ torrent พร้อมโทรจันดังกล่าวได้ถูกลบออกจาก The Pirate Bay แล้ว หลังจากผู้ใช้รายงานว่า keygen ใช้งานไม่ได้ ส่วนการแก้ไขก็ทำได้ไม่ยากเพียงแค่ลบรายของโดเมนที่ถูกบล็อคการออกจาก hosts ไฟล์เท่านั้น

ไม่รู้ว่าอย่างไหนผิดกว่ากัน ระหว่างดาวน์โหลดซอฟต์แวร์เถื่อนมาใช้งานหรือการปล่อยโทรจันไปเครื่องคนอื่นเพื่อไม่ให้เข้าไปดาวน์โหลดซอฟต์แวร์เถื่อนมาใช้ (จุดประกาย)

ที่มา - TorrentFreak

Firefox ติดโทรจัน

By: hereblur hereblur's blog on 09/05/08 1:01 Tags:

ผู้ใช้ Firefox ที่ดาวน์โหลดส่วนขยายภาษาเวียดนามมีความเสี่ยงที่จะติดโทรจัน หลังจากมีการเปิดเผยว่า ส่วนขยายภาษาเวียดนาม ที่ปล่อยให้ดาวน์โหลดผ่านเว็บไซต์ของ Mozilla มีโทรจันแฝงมาด้วย และมีคนดาวน์โหลดไปแล้ว กว่า 16,000 คน

ยังไม่มีการระบุอย่างแน่ชัดว่าโทรจันตัวนี้ชื่ออะไร แต่พบว่ามีผู้ใช้รายงานว่าเป็นโทรจันชื่อHTML.Xorer

ในเบื้องต้น Mozilla ไม่ได้สงสัยว่านาย Jasper Thai ผู้เขียนส่วนขยายนี้จะเป็นผู้สร้างโทรจัน หรือตั้งใจเผยแพร่ด้วยตัวเอง แต่อาจจะเป็นการที่เครื่องของนาย Jasper Thai ติดโทรจันนี้ และเจ้าโทรจันก็แพร่ตัวเองผ่านไฟล์ HTML ทั้งหมดในเครื่อง และบังเอิญติดมากับส่วนขยายภาษาเวียดนาม ที่เขาเผยแพร่ด้วย

ตอนนี้ Mozilla ได้เอาส่วนขยายที่มีปัญหาออกจากเว็บไซต์แล้ว

ถึงแม้จะไม่ใช่ความตั้งใจ และความเสียหายจะไม่ร้ายแรง แต่ก็แสดงให้เห็นว่า OpenSource นั้น ถ้าไม่มีกระบวนการตรวจสอบและควบคุมดี ๆ ก็สามารถสร้างช่องโหว่ให้แคร็กเกอร์โจมตีได้เช่นกัน

สำหรับผู้พัฒนา Firefox ไทย จะฝังสคริปต์อะไรก็เนียน ๆ อย่าให้เขาจับได้นะครับ (แซวเล่นครับ ยังไงก็ไว้ใจ และสนับสนุนเต็มที่อยู่แล้ว ^^)

ที่มา Wired News

โทรจันตัวแรกบน iPhone

By: Jonathan_Job
ContributoriPhoneSymbianUbuntu
Jonathan_Job's blog on 11/01/08 10:57 Tags:

ในที่สุด สิ่งที่หลายฝ่ายกังวลเกี่ยวกับปัญหาเรื่อง Malware บน iPhone ก็ปรากฏออกมาจนได้ เมื่อเด็กวัย 11 ปี ได้ปล่อยโทรจันตัวแรกของ iPhone ออกมา อย่างไรก็ดีหลายฝ่ายได้ให้ความเห็นว่า โทรจันตัวนี้ยังไม่ร้ายแรงเท่าไรนัก

โทรจันตัวนี้ได้ถูกเขียนขึ้นเพื่อเจาะจงโจมตีเฉพาะเครื่อง iPhone ที่ถูกปลดล๊อก เพื่อให้สามารถลงโปรแกรมได้แล้วเท่านั้น ทั้งนี้มันได้ถูกซ่อนรวมมากับ package ที่ชื่อว่า "iPhone Firmware 1.1.3 prep" หรืออีกชื่อคือ "113 prep" โดยอ้างให้ผู้ใช้ ต้องทำการติดตั้งก่อนที่จะอัพเกรด firmware ของเครื่องไปเป็นเวอร์ชั่น 1.1.3

เมื่อผู้ใช้ทำการติดตั้ง ในตอนแรกโทรจันตัวนี้จะยังไม่ทำอะไรนอกจากปรากฏคำว่า "shoes" บนหน้าจอ แต่ ความเสียหายจะเกิดขึ้นเมื่อผู้ใช้พยายามกำจัดโทรจันตัวนี้ หรือพยายามที่จะ uninstall มันออก ซึ่งมันจะทำการลบโปรแกรมและไฟล์ต่างๆ ภายในโฟลเดอร์ /bin ไปด้วย เช่น Erica's utilities, OpenSSH, Doom และ Launcher

สำหรับระดับความร้ายแรงของโทรจันตัวนี้ยังถือว่าไม่ร้ายแรงมาก เนื่องจากแอพพลิเคชั่นตัวที่ถูกลบไปพร้อมกับโทรจัน สามารถที่จะทำการติดตั้งใหม่ได้

โทรจันตัวนี้ถือเป็นการเตือนผู้ที่ใช้ iPhone ที่ทำการ jailbreaking แล้ว และติดตั้งโปรแกรมที่ไม่ได้รับการตรวจสอบ เพราะครั้งหน้า อาจจะไม่ใช่แค่ โทรจันที่เขียนขึ้นด้วย XML โดยเด็กวัย 11 ปีแล้วก็ได้!!!

ที่มา : Engadget , Techtree.com