Author Topic: attack from malware , virus , trojan  (Read 10981 times)

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
attack from malware , virus , trojan
« on: มกราคม 21, 2014, 09:51:21 AM »
ประเภทภัยร้ายที่มักพบบ่อย

    malware เป็นคำเรียกย่อจาก "malicious" และ "software" ซึ่งเป็น software ที่ได้รับการออกแบบมาเพื่อแอบเข้าไปทำลายระบบคอมพิวเตอร์ โดยผู้สร้าง malware นั้นเป็นผู้ที่มีความรู้ และออกแบบมาให้มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์และเครือข่าย โปรแกรมเหล่านี้ก็เช่น mass-mailing worm, KaZaa ซึ่งเป็น File sharing Network Worm ชนิดหนึ่ง, exploit malware รวมไปถึง zombie network และอื่นๆ
    virus เดิมถูกพัฒนาขึ้นเพื่อทำการทดลองพิสูจน์ว่าโปรแกรมสามารถแพร่กระจายตัวเองออกไปในวงกว้างได้ ในเริ่มต้นเพียงสร้างความรำคาญในการใช้งานคอมพิวเตอร์ แต่ปัจจุบันผู้ประสงค์ร้ายได้พัฒนาให้สามารถทำลายความเสียหายให้กับไฟล์กับข้อมูลได้ โดยการแพร่กระจายไปติดไฟล์อื่นๆในคอมพิวเตอร์โปรแกรมจะทำการแนบตัวเองเข้าไป ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยไฟล์พาหะ
    trojan เป็นเทคนิคที่ต้องอาศัยคนอื่นให้สำคัญผิดให้ดาวโหลดเอาไปใส่เครื่องเองหรือด้วยวิธีอื่นๆ สิ่งที่ trojan จะทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติด trojan จากระยะไกล ซึ่งผู้บุกรุกจะทำอะไรก็ได้ และโทรจันยังมีอีกหลายชนิด เช่น Remote Access Trojan (RAT), Data Sending/Password Sending Trojan, Keylogger Trojan, Destructive Trojan, Denial of Service (DoS) Attack Trojan, Proxy Trojan, FTP Trojan เป็นต้น
    spyware เป็นโปรแกรมที่ไม่สามารถแพร่กระจายไปไฟล์อื่นๆ หรือส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยเทคนิคการหลอกให้ผู้ใช้งานดาวโหลดเอาไปใส่เครื่องเองหรืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเป้าหมาย สิ่งที่ spyware ทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้

การป้องกันภัย


    ติดตั้งโปรแกรมป้องกันไวรัส และเปิดให้โปรแกรมทำงานเสมอ
    ตื่นตัวติดตามข่าวสารเกี่ยวกับไววัส และควรติดตั้งโปรแกรมปรับปรุงระบบ (Patch) และมีการอัพเดทเป็นประจำ อัพเดทคอมพิวเตอร์ของท่านด้วยซอฟแวร์ป้องกันไวรัสรุ่นล่าสุด เช่น
        AVG (http://www.avg.com/ww-en/download-trial)
        esetNOD32 (http://www.nod32th.com/content/view/32/135/lang,en/)
        Kaspersky (http://secure.antivirus365.net/bbl/kav6mth.php)
        McAfee (http://home.mcafee.com/)
        Symantec (http://us.norton.com/downloads/index.jsp)
    หากได้รับไฟล์ที่แนบมาพร้อมจดหมายอิเล็กทรอนิกส์ โดยระมัดระวังในการเปิดใช้งานไฟล์ที่แนบมานั้น และหลีกเลี่ยงการเปิดไฟล์ดังกล่าวหากเป็นจดหมายที่ไม่ได้มาจากบุคคลที่รู้จัก
    ควรติดตั้งและเปิดใช้บริการระบบ firewall เสมอ เพื่อป้องกันอันตรายที่มาจากอินเทอร์เน็ตหรือเน็ตเวิร์กภายนอก
    ควรปรับระดับการรักษาความปลอดภัยของ browser ให้ในระดับกลางถึงสูงเสมอ
    โปรดหลีกเลี่ยงและระมัดระวังการใช้โปรแกรมในลักษณะ Peer-to-Peer หากให้ microsoft windows โปรดติดตาม อัพเดทซอฟท์แวร์ด้านความปลอดภัยให้คอมพิวเตอร์ ได้จาก

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
Re: attack from malware , virus , trojan
« Reply #1 on: ธันวาคม 25, 2014, 02:41:28 PM »
สแกม (SCAM) คืออะไร
หลายๆ คนคงคุ้นเคยกับคำว่า สแปมเมล์ (SPAM MAIL) หรือเมล์ขยะ คืออีเมล์ที่เราไม่ต้องการ อาจจะเป็นอีเมล์โฆษณาชวนเชื่อ ส่วนสแกม (SCAM) นั้นผู้ไม่หวังดีจะต้องหว่านส่งอีเมล์หรือข้อความในสื่อต่างๆ บนเครือข่ายสังคมออนไลน์จำนวนมหาศาล (คล้ายๆกับการส่งสแปมเมล์) แต่สแกมนั้นจะต้องมีจุดประสงค์ในการหลอกให้เหยื่อทำอะไรบางอย่างที่ชัดเจน เช่น หลอกให้เหยื่อโอนเงินไปให้ หลอกให้เหยื่อกรอกข้อมูลส่วนตัว หรือหลอกให้เหยื่อแชร์ข้อมูลต่อๆไป เป็นต้น ดังนั้นถ้าหากมีเหยื่อหลงเชื่อเพียงไม่กี่เปอร์เซ็นต์ ให้โอนเงินไปให้ หรือส่งข้อมูลไปให้ เท่านี้ผู้ไม่หวังดีก็สามารถสร้างรายได้มากมายแล้ว

หลอกให้เหยื่อโอนเงินไปให้ ได้แก่

    ไนจีเรียนสแกม (Nigerian SCAM) เป็นสแกมที่หลอกลวงว่าเขาเป็นเจ้าชายแห่งประเทศไนจีเรียยังไม่ได้รับตำแหน่ง ซึ่งขณะนี้ตกอับและพยายามรวบรวมเงินกลับประเทศ เพื่อไปรับตำแหน่งกษัตริย์ และตนเองจะมีเงินมหาศาล แล้วจากนั้นจะแนบท้ายในอีเมล์ว่าขอให้ท่านช่วยโอนเงินมาให้จำนวนหลักหมื่นบาท แล้วหลังจากได้รับตำแหน่งจะได้เงินตอบแทน 10 เท่า
    ญาติหรือเพื่อนของเรากำลังลำบาก เป็นสแกมที่ต้องอาศัยการขโมยบัญชีอีเมล์ของเรา จากนั้นก็จะส่งอีเมล์จากบัญชีที่ถูกขโมยได้มายังเพื่อนๆของเราตามรายชื่อที่ถูกเก็บไว้ในบัญชีอีเมล์ โดยเนื้อความนั้นจะบอกว่าเราอยู่ต่างประเทศ (ส่วนใหญ่จะเป็นประเทศอังกฤษ) แล้วกระเป๋าเดินทางสูญหายจากสนามบิน กระเป๋าเงินถูกขโมย ไม่มีพาสปอร์ตและเงินเหลือติดตัวเลย ดังนั้นขอให้เหยื่อ (เพื่อนของเรา) ให้โอนเงินยังผู้ไม่หวังดีเพื่อที่จะนำไปซื้อตั๋วเครื่องบินกลับประเทศไทย ถ้าหากเรามีเพื่อนหรือญาติที่เดินทางไปประเทศนั้นๆพอดี และไม่ได้ตรวจสอบให้ดีก่อนว่าเป็นความจริงหรือไม่ ก็จะตกเป็นเหยื่อได้อย่างง่ายดาย

หลอกให้เหยื่อกรอกข้อมูลส่วนตัว

    ฟิชชิ่งสแกม (Phishing SCAM) ที่จริงแล้วก็คือฟิชชิ่งนั่นเอง (สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ รู้ทันเทคนิคการขโมยข้อมูล : http://foh9.blogspot.com/2012/04/blog-post_04.html ) ซึ่งผู้ไม่หวังดีจะส่งอีเมล์หาเราเพื่อโน้มน้าวให้เราเข้าเว็บไซต์ที่เลียนแบบหน้าตาของเว็บไซต์ธนาคาร สถาบันการเงิน และร้านค้าออนไลน์ต่างๆ ถ้าหากเหยื่อหลงเชื่อก็จะกรอกข้อมูลส่วนตัวที่เกี่ยวข้องกับบัญชีของธนาคารแห่งนั้นๆได้
    สแกมหลอกว่าได้รับรางวัล หลายๆคนคงเคยเห็นอีเมล์ที่บอกว่าเราได้รับสิทธิ์พิเศษในการชิงรางวัลต่างๆ ไม่ว่าจะเป็นโทรศัพท์มือถือรุ่นใหม่ คอมพิวเตอร์ราคาแพง หรือแม้กระทั่งแพกเกจทัวร์ต่างๆ จากนั้นถ้าหากเราหลงเชื่อแล้วเข้าเว็บไซต์ของผู้ไม่หวังดี เขาก็จะให้เรากรอกข้อมูลส่วนตัวของเรา เช่นหมายเลขโทรศัพท์มือถือ ชื่อนามสกุล หรือบางเว็บอาจจะขอข้อมูลการทำธุรกรรมทางการเงินของเราก็ได้ เป็นต้น ดังรูปที่ 1

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
Re: attack from malware , virus , trojan
« Reply #2 on: มกราคม 27, 2015, 11:13:44 AM »
Introduction

Viruses, worms, Trojans, and bots are all part of a class of software called malware. Malware or malicious code (malcode) is short for malicious software. It is code or software that is specifically designed to damage, disrupt, steal, or in general inflict some other “bad” or illegitimate action on data, hosts, or networks.

There are many different classes of malware that have varying ways of infecting systems and propagating themselves. Malware can infect systems by being bundled with other programs or attached as macros to files. Others are installed by exploiting a known vulnerability in an operating system (OS), network device, or other software, such as a hole in a browser that only requires users to visit a website to infect their computers. The vast majority, however, are installed by some action from a user, such as clicking an e-mail attachment or downloading a file from the Internet.

Some of the more commonly known types of malware are viruses, worms, Trojans, bots, back doors, spyware, and adware. Damage from malware varies from causing minor irritation (such as browser popup ads), to stealing confidential information or money, destroying data, and compromising and/or entirely disabling systems and networks.

Malware cannot damage the physical hardware of systems and network equipment, but it can damage the data and software residing on the equipment. Malware should also not be confused with defective software, which is intended for legitimate purposes but has errors or bugs.
Classes of Malicious Software

Two of the most common types of malware are viruses and worms. These types of programs are able to self-replicate and can spread copies of themselves, which might even be modified copies. To be classified as a virus or worm, malware must have the ability to propagate. The difference is that a worm operates more or less independently of other files, whereas a virus depends on a host program to spread itself. These and other classes of malicious software are described below.

Viruses

A computer virus is a type of malware that propagates by inserting a copy of itself into and becoming part of another program. It spreads from one computer to another, leaving infections as it travels. Viruses can range in severity from causing mildly annoying effects to damaging data or software and causing denial-of-service (DoS) conditions. Almost all viruses are attached to an executable file, which means the virus may exist on a system but will not be active or able to spread until a user runs or opens the malicious host file or program. When the host code is executed, the viral code is executed as well. Normally, the host program keeps functioning after it is infected by the virus. However, some viruses overwrite other programs with copies of themselves, which destroys the host program altogether. Viruses spread when the software or document they are attached to is transferred from one computer to another using the network, a disk, file sharing, or infected e-mail attachments.

Worms

Computer worms are similar to viruses in that they replicate functional copies of themselves and can cause the same type of damage. In contrast to viruses, which require the spreading of an infected host file, worms are standalone software and do not require a host program or human help to propagate. To spread, worms either exploit a vulnerability on the target system or use some kind of social engineering to trick users into executing them. A worm enters a computer through a vulnerability in the system and takes advantage of file-transport or information-transport features on the system, allowing it to travel unaided.

Trojans

A Trojan is another type of malware named after the wooden horse the Greeks used to infiltrate Troy. It is a harmful piece of software that looks legitimate. Users are typically tricked into loading and executing it on their systems. After it is activated, it can achieve any number of attacks on the host, from irritating the user (popping up windows or changing desktops) to damaging the host (deleting files, stealing data, or activating and spreading other malware, such as viruses). Trojans are also known to create back doors to give malicious users access to the system.

Unlike viruses and worms, Trojans do not reproduce by infecting other files nor do they self-replicate. Trojans must spread through user interaction such as opening an e-mail attachment or downloading and running a file from the Internet.

Bots

"Bot" is derived from the word "robot" and is an automated process that interacts with other network services. Bots often automate tasks and provide information or services that would otherwise be conducted by a human being. A typical use of bots is to gather information (such as web crawlers), or interact automatically with instant messaging (IM), Internet Relay Chat (IRC), or other web interfaces. They may also be used to interact dynamically with websites.

Bots can be used for either good or malicious intent. A malicious bot is self-propagating malware designed to infect a host and connect back to a central server or servers that act as a command and control (C&C) center for an entire network of compromised devices, or "botnet." With a botnet, attackers can launch broad-based, "remote-control," flood-type attacks against their target(s). In addition to the worm-like ability to self-propagate, bots can include the ability to log keystrokes, gather passwords, capture and analyze packets, gather financial information, launch DoS attacks, relay spam, and open back doors on the infected host. Bots have all the advantages of worms, but are generally much more versatile in their infection vector, and are often modified within hours of publication of a new exploit. They have been known to exploit back doors opened by worms and viruses, which allows them to access networks that have good perimeter control. Bots rarely announce their presence with high scan rates, which damage network infrastructure; instead they infect networks in a way that escapes immediate notice.

Best Practices for Combating Viruses, Worms, Trojans, and Bots


The first steps to protecting your computer are to ensure that your OS is up to date. This means regularly applying the most recent patches and fixes recommended by the OS vendor. Secondly, you should have antivirus software installed on your system and download updates frequently to ensure that your software has the latest fixes for new viruses, worms, Trojans, and bots. Additionally, you want to make sure that your antivirus program can scan e-mail and files as they are downloaded from the Internet. This will help prevent malicious programs from reaching your computer. You may also want to consider installing a firewall.
Additional Definitions and References

Exploit

An exploit is a piece of software, a command, or a methodology that attacks a particular security vulnerability. Exploits are not always malicious in intent—they are sometimes used only as a way of demonstrating that a vulnerability exists. However, they are a common component of malware.
Back Door

A back door is an undocumented way of accessing a system, bypassing the normal authentication mechanisms. Some back doors are placed in the software by the original programmer and others are placed on systems through a system compromise, such as a virus or worm. Usually, attackers use back doors for easier and continued access to a system after it has been compromised.
Technical Definition Sites


Thank info from http://www.cisco.com/web/about/security/intelligence/virus-worm-diffs.html

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
Re: attack from malware , virus , trojan
« Reply #3 on: มกราคม 27, 2015, 11:14:57 AM »
1 Solution to detect virus trojan is memory forensic

1. Dumpit with dump memory tool  http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/
2. use tool "volatility" to do check

https://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/
« Last Edit: มกราคม 27, 2015, 05:20:48 PM by golfreeze »