แกะรอย Facebook Spam

ตามรอย Facebook Spam with Virus

คำเตือน : ขั้นตอนต่อไปนี้ ทำเพื่อให้เห็นว่า Facebook แพร่ Virus มาได้อย่างไรเท่านั้น

อย่านำไปลองทำที่บ้าน !!! โดยเฉพาะ Windows Users

1. มี Message มา เป็น Link แปลกๆ

01-facebook-message

2. ระแวงไว้ก่อน ลองใช้ Linux Mint LiveCD ตรวจสอบ

โดยเปิด Link ดังกล่าวด้วย  FireFox (พิมพ์ลงไป ไม่ได้เปิดโดยตรงจาก Facebook)
พบว่า มันให้ Download ไฟล์ Zip ชื่อ CameraImage-35160.jpg.zip
ดังภาพ

02-linuxmintcd

แต่เดี๋ยวก่อน !!! อย่าใช้คำสั่ง Open เด็ดขาด
ให้เปลี่ยนเป็น Save File

หากใครเจอเหตุการณ์เช่นนั้น แล้วเผลอไปเปิด
คุณก็ติด Virus เข้าแล้ว !!!

3. จะเห็นได้ว่า พวกนี้จะหลอกให้ผู้ใช้ โดยเฉพาะ Windows ที่มักจะ “ซ่อน” นามสกุลของไฟล์

(Hide known extensions) ทำให้ไม่เห็นว่าไฟล์ที่ download มานั้นเป็น .Zip ซึ่งจะสามารถสั่งให้
Execute โปรแกรมหรือ สั่งให้ Virus ทำงานได้ทันที !

ผู้ใช้ที่ไม่รู้หรือไม่สังเกตุ ก็จะเห็นเป็นแค่
CameraImage-35160.jpg
ซึ่งน่าจะเป็นภาพ แทนที่จะเป็น
CameraImage-35160.jpg.zip
ซึ่งเป็นไฟล์อันตราย

4. คราวนี้ มาดูว่า เจ้าไฟล์นี้ มันทำอะไร

โดยทดลองเปิดดู (บน Linux Mint ไวรัสไม่สามารถทำอะไรได้)
พบว่าใน Zip ไฟล์นี้ มี ไฟล์ชื่อ
summertime-fun.jpg.exe
อยู่ ซึ่งเป็น Virus นั่นเอง (ดังภาพ)
03-exe-inside

5. ต่อไป เป็นการส่งไฟล์ไปตรวจสอบ ว่าเป็น Virus ชนิดใด

ในที่นี้เลือกใช้

https://www.virustotal.com/en/

เพราะสามารถส่งไฟล์ไปตรวจสอบได้ทาง Web Browser ดังภาพ
04-sendfile-to-scan

โดยเลือกไฟล์ summertime-fun.jpg.exe ข้างต้นไปตรวจสอบ

ผลที่ได้คือ

05-scan-result

สรุป เป็น Virus/Malware ชนิดหนึ่ง

รายละเอียดยังไม่แน่ชัด แต่ไม่ไปยุ่งกับมันเป็นดีที่สุด

6. อ่านเพิ่มเติมเกี่ยว Virus/Spam ที่มากับ Facebook ได้ที่

http://www.hacker9.com/beware-of-spambook-facebook-spam-and-virus.html

 

สำหรับใครที่เจอเหตุการณ์นี้ แล้ว

1. ได้รับ Message แล้วคลิก Link … ถ้า Web Browser ของท่านฉลาดสักหน่อย ก็จะถามว่า จะ Save หรือ Open
(กรณีใช้ Microsoft Windows เท่านั้น)

ถ้าเลือก Save แล้วไม่ได้ไปเปิดไฟล์ –> ก็ยังปลอดภัย แค่ไปลบไฟล์ทิ้ง จบ
ถ้าเลือก Open แล้ว ไม่ได้ไป Double Click ไฟล์ที่ซ่อนอยู่ –> ก็ยังปลอดภัย ลบไฟล์ทิ้ง จบ
แต่ถ้า เลือก Open แล้ว double click –> ท่านน่าจะติด Virus ไปแล้วครับ ถ้าในเครื่องมี Antivirus แต่ไม่ Update
หรือตรวจสอบไม่เจอ ก็เป็นอันว่า มันฝังในเครื่องแล้ว

หากติดแล้ว จะเห็นได้ว่า เครื่องจะช้าลง เพราะ Virus/Malware/Trojan พวกนี้จะพยายามติดต่อ Internet เพื่อทำการบางอย่างเช่น แพร่ข้อความ หรือ ที่เคยเจอมา “จะติดต่อกลับไปหาเจ้าของ” ซึ่ง Trojan พวกนี้ จะเปิด Backdoor เอาไว้ ทำให้เครื่องของท่าน
กลายเป็น Botnet หรือ หุ่นเชิด ผู้ร้ายจะสามารถนำไฟล์อื่นๆมาลงในเครื่องได้ ซึ่งความเสี่ยงได้แก่
1.1 มีการวาง Key-logger ซึ่งจะดักจับการ กด Keyboard ไว้แล้วส่งไปให้ผู้ร้าย ดังนั้น ถ้าท่านมีการพิมพ์รหัสผ่านต่างๆ
ก็มีโอกาสที่ผู้ร้าย จะสามารถเข้าถึงบัญชีต่างๆของท่าน และเสี่ยงมากขึ้น หากเป็นข้อมูลทางการเงิน เป็นต้น
1.2 วางไฟล์ที่จะแพร่ Virus/Malware/Trojan พวกนี้ผ่าน Social Network/Email ไปยังคนที่เกี่ยวข้องกับท่าน
สร้างความเสียหายเป็นวงกว้าง
1.3 อื่นๆอีกมากมาย เช่น ก่อกวนทำความเสียหายให้กับเครื่องคอมพิวเตอร์และระบบเครือข่าย

แนะนำให้หาผู้เชี่ยวชาญใกล้ตัว เพื่อล้าง virus ครับ

2. ท่านที่ได้รับ Message แต่ไม่ได้เป็น Windows ก็ไม่ต้องเป็นห่วงครับ มันทำอะไรไม่ได้
แต่ควรระวัง อย่าคลิกอะไรโดยไม่ดู เพราะ ครั้งนี้ ตัวอย่างนี้ เป็นการแพร่ไวรัสแบบ เป็น “ไฟล์”
ซึ่ง ยังมีอีกรูปแบบหนึ่งคือ มันจะฝังมาใน Temporary Internet File ซึ่ง แค่คลิกลิงค์ ก็ติดแล้ว
โดย เมื่อคลิกลิงค์ ก็จะไปเปิด Website ที่แพร่ Malware เครื่องของท่านก็จะอยู่ภายใต้การควบคุมทันที
ซึ่ง ทุกระบบปฏิบัติการ มีโอกาสเสี่ยงได้เท่าๆกัน

 

 

วิธีป้องกันตัวเอง คือ

ระแวงในทุกสิ่งที่มาจาก Internet แล้วคุณจะปลอดภัยมากขึ้น
ไม่รู้ ไม่แน่ใจ อย่าคลิก และ ให้สอบถามจากผู้รู้

Leave a Reply