pooklook on September 07, 2010, 01:19:48 PM
http://www.arip.co.th/news.php?id=412149

[เอ.อาร์.ไอ.พี, www.arip.co.th] รายงานข่าวล่าสุด นักวิจัยมัลแวร์จากบริษัท Panda Security เตือนผู้ใช้ว่า พบหนอนพันธุ์ใหม่ที่สามารถ"ล็อค" ไฟล์เอกสารทั้งหมด ตลอดจนไฟล์พรีเซนเทชั่น รวมถึงอีเมล์ บนเครื่องคอมพิวเตอร์ที่ติดมันเข้าไปด้วย "พาสเวิร์ด" นั่นหมายความว่า ผู้ใช้จะไม่สามารถเข้าถึงไฟล์เหล่านี้ได้อีกต่อไป หากไม่รู้รหัสผ่าน

หนอนดังกล่าวชื่อว่า Clippo.A โดยเจ้าหนอนร้ายตัวนี้จะทำการก็อปปี้ตัวเองด้วยไฟล์ทีมีชื่อว่า PICTURE.EXE และ SOUND.EXE เข้าไปในทุกโฟลเดอร์ในเครื่อง ซึ่งรวมถึงไดรฟ์ภายนอก (พวกยูเอสบีไดรฟ์ก็ด้วย) ตลอดจนแชร์ไดรฟ์บนเน็ตเวิร์กที่ให้สิทธิ์ในการเขียนข้อมูลเข้าไปได้ นอกจากนีมันยังจะมีการทิ้งไฟล์ชื่อ FILE.EXE เข้าไปในรากของไดรฟ์ C: พร้อมทั้งเพิ่มคำสั่ง "load=c:\file.exe" เข้าไปที่รีจิสทรี startup ใน HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current\Version\Windows เมื่อทุกอย่างพร้อมแล้ว หนอนตัวนี้จะตั้งค่าพาสเวิร์ดในการเข้าถึงไฟล์เอกสาร Word, PowerPoint หรืออีเมล์ใน Outlook ด้วยชุดตัวเลข 721709031350 ใครที่กำลังโดนเล่นงานด้วยอาการลักษณะนี้อยู่ลองใช้พาสเวิร์ดนี้ดูนะครับ

ส่วนใหญ่โปรแกรมมัลแวร์ที่มีการบล็อคไม่ให้สามารถเข้าถึงไฟล์สำคัญๆ ตลอดจนคุณสมบัติบางอย่างของระบบปฏิบัติการ มักจะมีการขู่ร้องขอเงิน เพื่อให้ได้โปรแกรมแก้ไข หรือรหัสในการปลดล็อค ซึ่งเป็นที่รู้จักกันดีในชื่อ ransomware แต่สำหรับหนอนตัวนี้มันไม่ได้มีการร้องขอเงินแต่อย่างใด "เป้าหมายของหนอนตัวนี้ไม่ได้อยู่ที่เงิน แต่ต้องการป่วนผุู้ใช้เท่านั้น" นักวิจัยจาก Panda Security ตั้งข้อสังเกต นอกจากนี้ มัลแวร์ส่วนใหญ่ในโลกไซเบอร์มักจะเพ่งเล็งไปที่การขโมยข้อมูล แต่หนอนตัวนี้ก็ไม่ได้มีกลไกการทำงานในลักษณะดังกล่าวแต่อย่างใด มันไม่ได้ทำให้ผู้สร้างได้ผลประโยชน์ หรือเงินทองแต่อย่างใดเลย ซึ่งตรงข้ามกับนิสัยมัลแวร์ที่พบกันโดยทั่วไป โชคดีที่ Clippo จะติดได้กับเครื่องคอมพิวเตอร์ที่ทำงานด้วยระบบปฏิบัติการ Windows 2003 และ XP (รวมถึงเวอร์ชันก่อนหน้านี้) ผู้ใช้ที่โดนเล่นงานสามารถลบมันได้จาก registry ที่กล่าวไปข้างต้น และลบไฟล์ c:\file.exe ทางที่ดีควรอัพเดตแอนตี้ไวรัสด้วย

ข้อมูลจาก: Softpedia