ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ລະວັງ ແຮັກເກີໃຊ້ຮູບພາບໂປ້ເປືອຍເປັນສິ່ງຫຼອກລວງ ໃຫ້ແຕກໄຟລ໌ເພື່ອໃຊ້ຊ່ອງໂຫວ່ WinRAR ແຜ່ກະຈາຍມັນແວ (Malware)

ໃນອາທິດທີ່ຜ່ານມາ​ ມີ​ລາຍ​ງານ​ການ​ຄົ້ນ​ພົບຊ່ອງໂຫວ່ຮ້າຍແຮງ ທີ່​ເຮັດ​ໃຫ້​ແຮັກ​ເກີແຕກ​ໄຟ​ລ໌​ປະສົງ​ຮ້າຍຢູ່​ທີ່​ໃດ​ກໍ່​ໄດ້​ໃນ​ເຄື່ອງຄອມພິວເຕີ,​ ຫຼ້າ​ສຸດ​ມີ​ລາຍ​ງານ​ຈາກ​ ໜ່ວຍງານຄົ້ນຄວ້າຂອງ ບໍລິສັດຮັກສາຄວາມປອດໄພ 360   (360 Threat Intelligent Center) ວ່າ​ມີ​ແຮັກ​ເກີ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ນີ້​ແຜ່ກະຈາຍ​ມັນ​ແວ​​ ດ້ວຍການໃຊ້​ຮູບພາບ​ນາງ​ແບບ​ໃນ​ຊຸດ​ລອຍ​ນໍ້າ ຫຼື ​ຮູບ​ພາບໂປ້ເປືອຍ​ເປັນ​ສິ່ງລໍ້ລວງ.​

​ໄຟ​ລ໌​ໃນ​ຮູບແບບ ACE ແມ່ນ​ຈະ​ໃຊ້​ນາມ​ສະ​ກຸນ​ໄຟ​ລ໌​ເປັນ​ .rar ໃນຂະນະ​ທີ່​ໄຟ​ລ໌​ທາງໃນ​ເມື່ອກົ​ດ​ເບິ່ງຕົວຢ່າງຈະ​ເຫັນ​ວ່າ​ເປັນ​ໄຟ​ລ໌​ຮູບພາບ​ນາງ​ແບບ​ໃນ​ຊຸດ​ລອຍນໍ້າ ​ຫຼື ​ຮູບ​ໂປ້ເປືອຍຫຼາກ​ຫຼາຍ​ຮູບແບບ​ ເນື່ອງ​ຈາກ​ການ​ກົດ​ເບິ່ງຕົວຢ່າງ​ເທື່ອ​ລະ​ຮູບ​ຈາກ​ WinRAR ເຮັດ​ໃຫ້​ລຳ​ບາກ​ ຜູ້​ໃຊ້​ຈຶ່ງ​ມີ​ແນວ​ໂນ້ມທີ່​ຈະ​ແຕກ​ໄຟ​ລ໌​ທັງ​ໝົດ​ອອກ​ມາ​ ຊຶ່ງຈະມີ​ໄຟ​ລ໌​ OfficeUpdateService.exe ທີ່ຖືກ​ແຕກ​ອອກ​ມາພ້ອມ​ກັນ ​ແລະ ​ຈະ​ໄປຈັດເກັບ​ຢູ່​ທີ່​ %AppData%\Microsoft\Windows\StartMenu\Programs\Startup ຊຶ່ງ​ຈະ​ເຮັດວຽກ​ຫຼັງ​ຈາກຜູ້​ໃຊ້ເປີດເຄື່ອງຄອມພິວເຕີໃນຄັ້ງຕໍ່ໄປ​ ຫຼື ​​ເຂົ້າລະບົບ​ໃໝ່​.

News Images: winrar_mal.jpg

ຕົວຢ່າງຮູບພາບທີ່ນໍາມາໃຊ້ເປັນສິ່ງຫຼອກລວງ 

ຜົນກະທົບ

OfficeUpdateService.exe ເປັນ​ໂປຣ​ແກຣມ​ backdoor ເປີດ​ທາງ​ໃຫ້​ແຮັກ​ເກີ​​ເຂົ້າ​ມາຄວບ​ຄຸມ​ເຄື່ອງ​ຄອມພິວເຕີຈາກໄລຍະໄກ​ ສາມາດ​ສັ່ງ​ງານ​ຟັງ​ຊັ່ນ​ຫຼັກ​ໆ​ ຂອງ​ເຄື່ອງ​ໄດ້​ ເຊັ່ນ:​ ສັ່ງ​ປິດເຄື່ອງ​, ປິດແລ້ວເປີດຄືນໃໝ່ (Restart)​, ອັບ​ໂຫຼດ​-ດາວ​​ໂຫຼດ​ໄຟ​ລ໌​, ສັ່ງ​ remote shell ໄປ​ຈົນ​ເຖິງການ​ຕິດ​ຕັ້ງ​ໂທຈັນ (Trojan)​.

News Images: winrar_mal1.jpg

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ນອກ​ຈາກກໍລະນີນີ້​ແລ້ວ ​ນັກ​ວິ​ໄຈຍັງພົບເຫັນຮູບແບບການໂຈມຕີຄ້າຍຄືກັນ​ ແຕ່​ຢູ່ໃນ​ຮູບແບບ​ຂອງ​ໄຟ​ລ໌​ຊອກຫາ​ງານ​ທີ່​ແຜ່ກະຈາຍ​ໃນ​ຊາ​ອຸ​ດິ​ອາ​ລະ​ເບຍ​ ເປັນ​ຕົ້ນ​ ພ້ອມ​ກັບເຕືອນ​ວ່າ​ນີ້​ອາດຈະ​ເປັນພຽງໄລຍະ​ເລີ່ມ​ຕົ້ນ​ຂອງ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ນີ້​ ແລະ ໄດ້​ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ WinRAR ອັບ​ເດດ​ເວີ​ຊັ່ນ​ຫຼ້າ​ສຸດ​ ຫຼື ຖ້າ​ຫາກ​ອັບ​ເດດ​ບໍ່​ໄດ້​ກໍ່ສາມາດ​ລຶບ​ໄຟລ໌ໄລ​ບຣ​າ​ຣີ​ (Library) UNACEV2.DLL (ຢູທີ່: C:\Program Files\WinRAR ຫຼື  C:\Program Files (x86)\WinRAR) ອອກ​ໄດ້​ເລີຍ​ ຊຶ່ງ​ຈະ​ບໍ່​ກະທົບ​ການ​ໃຊ້​ງານ​ທົ່ວ​ໄປ​ພຽງແຕ່​ບໍ່​ສາມາດ​ແຕກ​ໄຟ​ລ໌​ທີ່ເປັນນາມສະກຸນ (.ace) ໄດ້​ເທົ່າ​ນັ້ນ​.

ເອກະສານອ້າງອີງ:

  1. https://www.blognone.com/node/108375
  2. https://ti.360.net/blog/articles/upgrades-in-winrar-exploit-with-social-engineering-and-encryption/