ระวัง! ไวรัสFacebook ตัวใหม่อาละวาด!

 

- ไฟล์ไวรัสชื่อ Instalador_Cores.scr ขนาด: 1.2 MB md5 checksum: 1c85b68b0cd731e8db116f9c86496ded

 

 

 

 

 

- ติดจากเว็บ http://facebook (dot) pinandwin8 (dot) co (dot) nz/cores-fb/

โดยอาการคือจะมีข้อความขึ้นเตือน notification ว่ามีเพื่อนในเฟซ แท็คเรา พอเราเผลอไปกดปุ๊บ จะเข้ามาหน้าเว็บแพร่เชื้อทันที ...

 

 

 

 

 

 

 

วิธีสังเกตคือชี้หรือ *กดแจ้งเตือนที่เพื่อนแท็คเราแล้วจะเข้าหน้าเว็บ pinnandwin8.. ทันที* ครับ แทนที่จะกดแล้วมาหน้าที่ขึ้นว่าโดนเพื่อนแท็คจริง ๆ จะเด้งไปเข้าหน้าเว็บจะหลอก ให้เราติดตั้งไวรัส โดยที่บอกว่าติดตั้งแล้วจะเปลี่ยนสีเฟซบุ๊กได้ (ซึ่งก็เปลี่ยนให้เราจริง ๆ เห็นเฉพาะเครื่องเราและแถมไวรัสให้ด้วย)

- ทำงานบน Windows เท่านั้น (OSX กับ Linux รอด)

- ทำงานบนเครื่องที่ติดตั้ง Google Chrome แล้วเท่านั้น

จริง!! ถ้าไม่มี chrome ติดตั้งอยู่ไวรัสจะไม่ทำงานครับ อยากรู้ว่าทำไมต้องอ่านต่อครับ ;]

1. ถ้าเปิด Google Chrome มาแล้วเฟซบุ๊กเปลี่ยนจากสีน้ำเงินเป็นสีเขียว และมีไอคอน สีรุ้งกลม ๆ มีตัว f ข้างในโผล่ขึ้นมาข้าง ๆ แถบ url แบบนี

 

 

 

 

 

 

 

แสดงว่าโดนไปเรียบร้อยแล้วครับ ใครมาเห็นโดยผิวเผินอาจจะคิดว่าเจ้าไวรัสตัวนี้มันทำการติดตั้ง

ส่วนเสริมของ Google Chrome ให้เราแต่ทว่า... ถ้าเข้าไปดูใน แถบ Extension จะไม่พบสิ่งแปลกปลอมครับ

 

 

 

 

 

 

 

แล้วจะลบไงละทีนี้! ต้อง format เครื่องใหม่เลยไหม๊!!?

ผมได้ทำการวิเคราะห์ การทำงานของไวรัสตัวนี้ดูในเชิงลึกและสังเกตดูว่าจริง ๆ แล้วมันทำอะไรกับเครื่องเรากันแน่ก็พบว่า... สิ่งที่เจ้ามัลแวร์ตัวนี้ทำมีคร่าว ๆ ดังนี้ แบบอธิบายเป็นภาษาคน! (ไม่อยากอ่านภาษาโค้ดกันใช่ไหมครับอิอิ)

1. รันปุ๊บจะเจอหน้าต่างนี้ก่อนให้เรากดติดตั้ง

 

 

 

 

 

 

 

 

 

 

2. จากนั้นถ้าเราคลิกติดตั้งมันจะเช็คว่าเรามี Google Chrome ทำงานอยู่รึเปล่า ถ้าไม่มีจบการทำงานถ้ามีไปต่อ...

3. ทำการปล่อยไฟล์ชื่อ “kut.zip” ลงในโฟลเดอร์ที่ไว้เก็บตัวอัพเดทของ Google Chrome และ แตกไฟล์เหล่านี้ ตามรูปข้างล่าง ลงในเครื่องอีกที จากนั้นลบ “kut.zip” ออกครับ

 

ขึ้นอยู่กับเวอร์ชั่นของ windows นะครับ Path ในรูปข้างบนคือ Windows XP จะอยู่ที่

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\Update\chrome\

ถ้าเป็น Windows Vista/ Windows 7/ Windows 8/ Windows 10 จะอยู่ที่

%LOCALAPPDATA%\Google\Chrome\Update\chrome\

 

สามารถก๊อปไปแปะใน run ของเครื่องหรือ windows explorer แล้ว enter เข้าไปได้เลยนะครับ ซึ่งไฟล์เหล่านี้คือ ส่วนที่จะเข้าไปแก้ไขเปลี่ยนแปลงหน้า Google Chrome ให้มีไอคอนตัว f กลม ๆ สีรุ้ง กับทำการแก้ไขหน้า html (ฝั่ง client) ให้มันเปลี่ยนสีให้เราและทำการแพร่เชื้อแท็คส่งไปบอกคนอื่น ๆ ที่เป็นเพื่อนของเราโดยเราไม่ได้ขอให้ติดตั้งไวรัสตัวนี้ครับ หลักการทำงานมันมีแค่นี้เองครับ so simple เป็น html + js + css เหมือนการเขียน Chrome Extension ธรรมดา ๆ นี้เอง

 

** โฟลเดอร์นี้ปกติมีอยู่แล้วถึงแค่ \Update\ จะไม่มีโฟลเดอร์ย่อยไปเป็น \chrome\ อันนี้ของไวรัสสร้างครับ

 

4. ทำการแก้ไข symlink ของ Google Chrome หรือที่คุ้น ๆ กันในชื่อ shortcut นั้นแหละครับ จำนวน 3 ที่คือ

C:\Documents and Settings\<user>\Desktop\Google Chrome.lnk

C:\Documents and Settings\<user>\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Documents and Settings\<user>\Start Menu\Programs\Google Chrome.lnk

อันนี้คือ Windows XP นะครับ ถ้า Windows 7 เป็นต้นไปจะอยู่ที่ C:\Users\<user>\... หรือใช้ฟังก์ชันค้นหาลองหาไฟล์ Google Chrome.lnk ดูก็ได้ครับ โดยการแก้ไขคือใส่ argument เพิ่มเข้าไปตอนเราเรียกใช้งาน Chrome ครับ ปกติเวลาเราดับเบิ้ลคลิกที่ ไอคอนคือ มันจะไปเรียก chrome.exe ในโฟลเดอร์ที่เราติดตั้งไว้แค่นั้น ซึ่งคนเขียนไวรัสตัวนี้เพิ่มเข้าไปว่า

--extensions-on-chrome-urls --test-type --load-component-extension="C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Update\chrome"

 

ซึ่งเป็นการบอกว่า เนี่ยน้า แทนที่จะเปิด chrome.exe เฉย ๆ ให้เปิดแล้วเรียก extension ที่อยู่ในข้อ 3. นั้นขึ้นมาด้วย .. ซึ่งเป็นคำตอบของคำถามว่าทำไม extension ถึงไม่ขึ้นใน list ปกติ เพราะว่ามันโหลดมาทำงานแบบวิธีไม่ปกตินั้นเองครับ

 

5. โบนัสฟีเจอร์ ถ้าลง Firefox ไว้มันจะทำการแก้ไข shortcut ให้ Firefox เราเข้าไม่ได้ครับ!! โดยมีทั้งลบออก (ใน start menu) หรือแก้ให้กลายเป็น Chrome shortcut แทน (บน Desktop) 555

สรุปสิ่งที่ไวรัสทำคือ ติดตั้ง Chrome Extension ที่แพร่เชื้อไวรัสต่อให้เราแบบปิดด้วยวิธีปกติในเมนู Extension ไม่ได้ โดยการทำงานหลัก ๆ ของมันคือ ใช้ JavaScript เข้าไปแอบสั่งการ Facebook ขณะที่เรากำลังเปิด Chrome อยู่ให้ส่งลิ้งแท็คเพื่อนเพื่อให้เข้าไปโหลด เจ้าไวรัสตัวนี้ให้ขยายแพร่กระจายไปเรื่อย ๆ ครับ

 

ความฉลาดของมันคือ ลูกเล่นเปลี่ยนสีเฟซบุ๊กดันใช้งานได้จริง ๆ เพื่อให้คนที่ติดไวรัส ไม่อยากลบตัวไวรัสนี้ออก หรือหลอกว่าตัวมันไม่ใช่ไวรัสครับ (แต่เห็นเฉพาะเครื่องเรานะครับ)

 

 

 

 

 

 

1. ปิดกาบาท ออกจากโปรแกรม Google Chrome ก่อนครับ

2. ลบไอคอน shortcut ของ Google Chrome ทิ้งให้หมดครับ (ใน start menu, desktop, quick launch)

 

 

 

 

 

 

 

 

 

 

3. ลบไฟล์ใน...Windows XP จะอยู่ที่

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\Update\chrome\ หรือส่วนมากก็คือ.. (อาจจะต้องเปิดไฟล์ซ่อนก่อน) C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Update\chrome\

 

 

ถ้าเป็น Windows Vista/ Windows 7/ Windows 8/ Windows 10 จะอยู่ที่

%LOCALAPPDATA%\Google\Chrome\Update\chrome\ หรือส่วนมากก็คือ.. (อาจจะต้องเปิดไฟล์ซ่อนก่อน) C:\Users\<user>\AppData\Local\Google\Chrome\Update\chrome\

เฉพาะเจ้าโฟลเดอร์ \chrome\ นะครับ ลบทิ้งให้หมด

 

4. จากนั้นเข้าไปที่

C:\Program Files\Google\Chrome\Application\chrome.exe

แล้วทำการสร้าง shortcut อันใหม่ครับ วิธีการสร้างจะคล้าย ๆ กันในเกือบทุก Windows ตั้งแต่ XP เป็นต้นไปครับ คือคลิกขวา แล้ว Send to > Desktop

 

 

เสร็จแล้วครับ ทีนี้ก็เข้าใช้งาน Google Chrome ผ่าน Shortcut อันใหม่ก็จะไม่มีเจ้าไวรัสตัวนี้แล้วครับผม

 

 

 

 

// สอนวิเคราะห์มัลแวร์แบบแมว ๆ