RSS

โทรจันแสบ แก้ Firefox ขโมย password

04 ธ.ค.

โทรจันแสบ แก้ Firefox ขโมย password

นักวิจัยระบบรักษาความปลอดภัยจาก Webroot บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสเปิดเผยว่า พบการขโมยข้อมูลโดยมัลแวร์ประเภท”โทรจัน” (Trojan) ซึ่งใช้วิธีแก้ไขไฟล์ๆ หนึ่งใน Firefox เพื่อให้บราวเซอร์ทำการจัดเก็บพาสเวิร์ดโดยอัตโนมัติ

ภัยคุกคามล่าสุดที่ตรวจพบโดย Webroot จะมีชื่อเรียกว่า Trojan-PWS-Nslogm ซึ่งสามารถขโมยยูสเซอร์เนม และพาสเวิร์ดได้จากทั้ง Internet Explorer และ Firefox โดยที่ดีฟอลต์ของการทำงาน เมื่อมีการตรวจพบว่า มีการล็อกอินข้อมูลสำคัญในบราวเซอร์ Firefox ผ่านแบบฟอร์มออนไลน์บนหน้าเว็บ บราวเซอร์จะเสนอทางเลือกให้ผู้ใช้ตัดสินใจว่าจะจัดการอย่างไรกับข้อมูลที่ใช้ล็อกอิน ซึ่งได้แก่ ให้บราวเซอร์จำ (Remember) ข้อมูลนี้ไว้ หรือไม่ต้องจำอีกเลยสำหรับเว็บไซต์ตี้ (Never for This Site) และ “ไม่ต้องจำเดี่ยวนี้” (Not Now) หากผู้ใช้เลือก “Remember” บราวเซอร์ก็จะจัดเก็บ Username และ Password ไว้ในฐานข้อมูลที่อยู่ในเครื่อง

เนื่องจากการขโมยข้อมูลดังกล่าวจากฐานข้อมูลในเครื่องง่ายกว่าการเข้าไปแทรกในขั้นตอนในระหว่างที่บราวเซอร์ประมวลผล และขโมยข้อมูลของผู้ใช้ในขณะที่กำลังคลิกปุ่มSubmit ของแบบฟอร์มออนไลน์ จากจุดนี้เอง ผู้พัฒนาโทรจันใช้วิธีตัดตอนด้วยการบังคับให้ Firefox จัดการจดจำพาสเวิร์ดทั้งหมดโดยไม่ต้องร้องถามคำยืนยันจากผู้ใช้เลย ในการนี้ โทรจันจะใช้วิธีแก้้ไขโค้ดการทำงานของไฟล์ nsLoginManagerPrompter.js ของ Firefox ให้จัดเก็บข้อมูลโดยอัตโนมัติ (ไม่มีการถามผู้ใช้) ก่อนจะขโมยข้อมูลเหล่านั้นจากรีจิสทรี Protected Storage ซึ่งถูกใช้จัดเก็บพาสเวิร์ดโดย IE ด้วย ทั้งนี้จะมีการส่งข้อมูลที่ขโมยได้ในทุกๆ นาที

สำหรับตัวโปรแกรมขโมยพาสเวิร์ดจะติดตั้งตัวเองเข้าไปในโฟลเดอร์ c:\windows\system32 เป็นไฟล์ที่มีชื่อว่า Kernel.exe ข้อมูลที่ถูกดักจับได้จะถูกส่งออกไปโดย ActiveX Control ที่มีชื่อว่า msinet.ocx ผู้เชี่ยวชาญกล่าวว่า วิธีกำจัด

โทรจันที่ง่ายที่สุด และปลอดภัยที่สุดก็คือ การเรียกคืนไฟล์ nsLoginManagerPrompter.js ที่ถูก
แก้ไขด้วยการดาวน์โหลด และติดตั้ง Firefox ทับบนเวอร์ชันที่ใช้อยู่ในขณะนั้น

 
ใส่ความเห็น

Posted by บน ธันวาคม 4, 2010 in ไม่มีหมวดหมู่

 

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

 
%d bloggers like this: