เป็น malicious website ที่เกี่ยวข้องกับ koobface worm ที่เจาะ facebook
[hide=10]
4/26/2009 1:03:45 AM http://hxviewworldmy1.com/software/ef6d3ae921/20136/1/Setup.exe Generic Host Process for Win32 Services Detected: hxviewworldmy1.com/software/*.exe Databases
มาจากซอฟท์แวร์ VMProtect Professional 1.70.4
http://rs431.rapidshare.com/files/22545159....70.4-Nooby.rar
ซึ่งเมื่อติดตั้ง VMProtect.Professional..EXE จะเริ่มแตกได้สองไฟล์ดังกล่าว ตัวหนึ่งคือโปรแกรม อีกตัวคือตัวปัญหาคือเจ้าตัวนี้ d94b9.exe
จะไปเรียก http://hxviewworldmy1.com/software/ef6d3ae...136/1/Setup.exe ขนาด 16 k เข้าเครื่อง ซึ่งผลการสแกนพบว่าเป็นหนอน koobface ซึ่งใช้เจาะ facebook
ผลการสแกน http://www.virustotal.com/analisis/05af861...f4bdf690b802bd5
รายละเอียดเพิ่มเติม http://www.symantec.com/security_response/...-080315-0217-99
ซึ่งจะเห็นได้ว่า ในกรณีนี้แอนตี้ไวรัสจะตรวจไม่พบ malicious code ใดๆใน ซอฟท์แวร์ แต่ด้วยการอาศัยเทคนิคเรียกเพื่อนมาทีหลังแบบนี้ ปัญหานี้จึงเกิดจาก malicious website ที่แฮกเกอร์ไปจดทะเบียนไว้ หากท่านไม่มีติดตั้งไฟร์วอลล์ หรือไม่มี database ของ malicious website ท่านก็จะติดมัลแวร์ได้เช่นเดียวกัน
[/hide]
Reply With Quote
