Tags:
Node Thumbnail

Costin Raiu ผู้เชี่ยวชาญด้านมัลแวร์จาก Kaspersky ประกาศการค้นพบผ่านทางทวิตเตอร์ของเขาว่า มัลแวร์ Flame ที่กำลังแพร่ระบาดอยู่นั้นใช้ Windows Update ในการแพร่กระจาย โดยใช้โมดูล Gadget พร้อมกับมีโปรแกรมชื่อ "WuSetupV.exe" เป็นตัวมัลแวร์จริงๆ ที่ถูกติดตั้ง และจะมีการแพร่กระจายผ่านทางเน็ตเวิร์คภายในโดยมีการสร้างเซิฟเวอร์จำลองชื่อ "MSHOME-F3BE293C" ด้วย

หลังจากนั้นทาง Symantec ได้เผยการวิจัยวิธีการที่ Flame ใช้ในการแพร่กระจายเบื้องต้นซึ่งมันยังใช้ฟีเจอร์
Web Proxy Auto-Discovery Protocol (WPAD) ของ Internet Explorer ร่วมกับ Windows Update ในการแพร่กระจายด้วย

โดยปกตินั้นซอฟต์แวร์ที่จะผ่านทาง Windows Update ได้นั้นจำเป็นต้องได้รับการรับรองจาก Microsoft และมี certificate ว่าซอฟต์แวร์นั้นๆ ได้รับอนุญาต แต่ในกรณีของ Flame กลับพบว่าตัวมัลแวร์ก็ได้รับการรับรองเช่นเดียวกับซอฟต์แวร์ธรรมดา Microsoft จึงรีบออกแพตซ์เพื่อปิดช่องโหว่นี้ทันที พร้อมทั้งถอดถอนการรับรองปลอมของ Flame

ต่อมาได้มีการให้สัมภาษณ์จากผู้เชี่ยวชาญด้านการถอดรหัสระดับโลกอ้างว่า Flame ได้ใช้หลักการ MD5 chosen-prefix collision attack ในการปลอมแปลงการรับรองของ Microsoft ซึ่งนับว่ามันเป็นตัวอย่างแรกที่นำทฤษฎีนี้มาใช้อย่างจริงจังและประสบผลสำเร็จในการโจมตี และยังทำให้นักถอดรหัสทั่วโลกตกตะลึงอีกด้วย ผู้เชี่ยวชาญด้านการถอดรหัสกล่าวว่านี่อาจเป็นผลงานจากการวิจัยด้านการเข้ารหัสในระดับสูง ซึ่งนั่นก็สอดคล้องกับข้อสรุปจาก Kaspersky Lab, CrySyS Lab, และ Symantec ว่า Flame อาจถูกสร้างมาโดยมีชาติใดชาติหนึ่งที่มีบุคลากรคุณภาพสูงอยู่เบื้องหลังและจำเป็นต้องมีนักถอดรหัสที่มีความเชี่ยวชาญสูงรวมอยู่ด้วย

ที่มา - @craiu (1,2), H Online, Symantec, Computerworld (1,2), Ars Technica

Get latest news from Blognone

Comments

By: BlackMiracle
WriterAndroidUbuntuWindows
on 10 June 2012 - 17:33 #430166

อันนี้โหดจริง


Pitawat's Blog :: บล็อกผมเองครับ

By: lexurous on 10 June 2012 - 17:47 #430168
lexurous's picture

ซื้อแผ่นจากพันทิปปิดออโต้อัพเดตไว้

By: adente
ContributorSUSESymbianWindows
on 10 June 2012 - 17:49 #430170
adente's picture

นี้มันระดับ ดีเซปติคอน แล้ว

By: Fzo
ContributorAndroid
on 10 June 2012 - 18:53 #430177 Reply to:430170
Fzo's picture

+55555555


WE ARE THE 99%

By: btoy
ContributorAndroidWindows
on 10 June 2012 - 18:51 #430176
btoy's picture

โอ้...มองกันระดับทีมชาติเลยวุ้ย


..: เรื่อยไป

By: IonRa
iPhone
on 10 June 2012 - 18:59 #430180
IonRa's picture

เป็นข่าวผมอ่านแล้วรู้สึกตื่นเต้นมากเลยครับ

By: Sephanov
iPhoneUbuntu
on 10 June 2012 - 19:07 #430181
Sephanov's picture

ข่าวต่อไป : เด็กจีน 9 ขวบยอมรับสร้างมัลแวร์จริง เผย เจ้าตัวแค่ทำเล่นๆตอนพักเที่ยงในโรงเรียน

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 10 June 2012 - 19:59 #430192 Reply to:430181
Be1con's picture

จ๊ากกกกกกก


< Code | Design | Life | Blogger | Beyond >

By: CrazyPower
iPhoneBlackberryRed HatIn Love
on 10 June 2012 - 20:03 #430196 Reply to:430181
CrazyPower's picture

ป๊าดด

By: line
ContributoriPhoneAndroidRed Hat
on 10 June 2012 - 20:17 #430202 Reply to:430181
line's picture

นั้นก็เกินปายยยยยยยยยยย >,<


seeking for New Frontier...

By: Bawarianz
iPhoneWindows PhoneUbuntuWindows
on 11 June 2012 - 10:38 #430367 Reply to:430181
Bawarianz's picture

ยุคนี้อะไรอะไรก็เป็นไปได้ จากข่าวล่าสุดที่เด็กอายุ 16 แก้โจทย์ทฤษฎีของนิวตันที่ไม่มีใครแก้ได้มากว่า 300 ปี o_O

By: hisoft
ContributorWindows PhoneWindows
on 10 June 2012 - 19:09 #430183
hisoft's picture

อื้อหือ (O_o) ตั้งแต่ได้ข่าว MD5 cert ไม่ปลอดภัยก็รอดูเหยื่ออยู่ แต่ไม่นึกว่าจะมาได้เทพขนาดนี้

By: ismile
iPhoneWindows Phone
on 10 June 2012 - 20:50 #430209

http://www.sahibzaman.com/index.php?option=com_content&view=article&id=931%3A2012-05-28-05-25-08&catid=1%3Anews-update&Itemid=55

By: adisaky
iPhoneWindows PhoneAndroidUbuntu
on 10 June 2012 - 20:54 #430211

มีใครอธิบายให้ผมอ่านเข้าใจง่าย ๆ ทีครับ ที่ว่าเทพ ๆ เนี่ย เทพแค่ไหน

By: Virusfowl
ContributorAndroidSymbianWindows
on 10 June 2012 - 23:32 #430258

สงสัยจะเป็น Win update เมื่อไม่กี่วันก่อนนี้สินะ ก็ว่าอยู่มาเวลาแปลกๆ ยังไม่ถึงรอบซะหน่อย

เห็นหัวข้อข่าวก็สงสัยว่า เอ๊ะหรือว่าที่เราลงไป มันเป็นมัลแวร์ แต่อ่านเนื้อข่าวแล้วก็... อ้อๆ ตกลงที่ลงไปคือ MS ออกมาอุดสินะ เอ๊ะหรือว่า???


@ Virusfowl

I'm not a dev. not yet a user.

By: yoohoo
Windows
on 11 June 2012 - 14:25 #430447 Reply to:430258
yoohoo's picture

ผมสงสัยแบบเดียวกัน กับคุณเลยว่า MS มาอุดช่องโหว่
หรือมัลแวร์มันเรียก Win update เข้าคอมพ์ของเรา ToT

By: pe3z
Writer
on 11 June 2012 - 16:06 #430486 Reply to:430258

ลองตรวจสอบวันที่ปล่อยอัพเดตดูครับว่าตรงกันหรือเปล่า หรือลองย้อนดูก็ได้ว่าเราติดตั้งอะไรไปครับ

By: nattapon49
iPhoneWindows PhoneAndroidBlackberry
on 25 January 2013 - 12:04 #430316
nattapon49's picture

By: lancaster
ContributorUbuntuWindows
on 11 June 2012 - 05:23 #430329

ทำไม microsoft ยังยอมให้ใช้ md5 cert -_-'

By: neizod
ContributorTraineeIn Love
on 11 June 2012 - 05:53 #430330 Reply to:430329
neizod's picture

เพราะเป็น ms ไง

By: sp on 11 June 2012 - 08:38 #430338

มันแว ต่างดาว เตียมทาหล่มโลก