Tags:
Node Thumbnail

บริษัท ESET ผู้ผลิตโปรแกรมแอนตี้ไวรัส ได้ค้นพบโมดูลอันตรายของ Apache Web Server เวอร์ชั่น Linux 64 bit และได้ตั้งชื่อโมดูลที่ค้นพบนี้ว่า Linux/Chapro.A

การทำงานของโมดูลอันตรายดังกล่าว จะแทรกโค้ด เช่น iframe หรือ JavaScript เข้าไปในเว็บเพจเพื่อเผยแพร่โทรจัน Zbot (หรืออีกชื่อหนึ่งคือ ZeuS) ซึ่งโทรจันที่ว่านี้จะขโมยข้อมูลการใช้งานธนาคารออนไลน์ โดยเมื่อผู้ใช้ล็อกอินเข้าใช้งานบัญชีธนาคาร มัลแวร์จะแสดงหน้าต่าง popup ขึ้นมาเพื่อหลอกถามรหัส CVV ของบัตรเครดิต จากนั้นจะส่งข้อมูลของผู้ใช้รวมทั้งรหัส CVV ไปให้ผู้ควบคุม Botnet อีกทีหนึ่ง

สิ่งที่น่าสนใจของ Linux/Chapro.A คือวิธีที่ใช้ในการซ่อนตัวจากผู้ดูแลระบบ ไม่ว่าจะเป็นการตรวจสอบ IP ที่เชื่อมต่อ SSH เข้ามาที่เซิร์ฟเวอร์ หากพบว่า IP ที่เข้าชมเว็บไซต์เป็น IP เดียวกับที่เชื่อมต่อ SSH จะไม่แสดงหน้าเว็บอันตรายให้เห็น หรือการเซ็ตค่า cookie เพื่อให้ผู้เข้าชมเว็บไซต์ติดมัลแวร์ได้แค่ครั้งแรกครั้งเดียว เป็นต้น

ที่มา - Help Net Security, ESET Blog

Get latest news from Blognone

Comments

By: lew
FounderJusci's WriterMEconomicsAndroid
on 20 December 2012 - 01:17 #520784
lew's picture
  • คำสามัญมากๆ อย่าง "Server" -> "เซิร์ฟเวอร์" ขอให้ใช้ภาษาไทยนะครับ ส่วนคำอื่นที่ไม่สามัญเท่าเลือกได้ตามใจชอบ
  • คำที่ไม่ใช่คำเฉพาะทั้งหมดต้องใช้ตัวเล็ก popup, cookie

lewcpe.com, @public_lewcpe

By: Bigta
ContributoriPhoneAndroidUbuntu
on 20 December 2012 - 01:23 #520785 Reply to:520784
Bigta's picture

ขอบคุณครับ แก้แล้วครับ

By: mr.zatanx
Android
on 20 December 2012 - 09:17 #520844 Reply to:520785
mr.zatanx's picture

Server เขียนง่ายกว่าภาษาไทยใช่มัย

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 20 December 2012 - 11:47 #520900 Reply to:520784
PaPaSEK's picture

คุณ Bigta ยังไม่ได้ badge C ครับ

By: nextman13
AndroidBlackberryUbuntuWindows
on 20 December 2012 - 09:11 #520841

ขนาด app ยอดนิยมยังโดน น่ากลัวมากๆ

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 20 December 2012 - 10:08 #520858

เอ๊ะ โมดูลนี้มันติดไปช่องใหนครับ

จากไฟล์ so หรือเปล่า

By: Bigta
ContributoriPhoneAndroidUbuntu
on 20 December 2012 - 10:32 #520873 Reply to:520858
Bigta's picture

ในต้นทางจาก ESET เองก็ไม่มีบอกว่ามาจากไหนยังไงครับ ทราบคร่าวๆ แค่ว่าเหมือนจะมีขายกันในตลาดมืด

By: GooEng
ContributorWindows PhoneAndroidUbuntu
on 20 December 2012 - 14:05 #520966 Reply to:520873
GooEng's picture

มีคนทดสอบแล้ว เห็นสรุปว่า น่าจะเป็น .so (http://eromang.zataz.com/2012/12/20/isnt-linuxchapro-a-only-darkleech-apache-module/)


คำตอบของข้า คือ ประกาศิต

By: In2theBlue
AndroidWindows
on 20 December 2012 - 13:02 #520943
In2theBlue's picture

มาจากผู้พัฒนาเลยรึเปล่า หรือว่าติดมาแหล่งอื่นทีหลัง ???