ระวัง!!!! ใคร load "citec_regist_code.7z" ที่ post ใน Puntip มันมีอะไรแฝงอยู่ [Archive]

View Full Version : ระวัง!!!! ใคร load "citec_regist_code.7z" ที่ post ใน Puntip มันมีอะไรแฝงอยู่

pspn.n

21-08-2007, 10:26 AM

เมื่อวานเห็นท่าน Admin บอกว่ามีคน บอกรหัสกันที่ pantip เลยเข้าไปดูและลองโหลดมาดู
แต่พอเปิดเข้าไปดู (ใน hex mode) ก็เห็นอะไรผิดสังเกตุ....

นี้เป็นตัวอย่างที่ดีในการวาง Trojan เลยทีเดียวหลายคนสนใจแต่ รหัสที่อยู่ข้างใน จนไม่ทันระวัง
ตัว (นับถือจริงๆ) และคิดว่าคงมีคนโดนไปหลายคนทีเดียว

ref:http://www.pantip.com/tech/software/topic/...423361.html#155 (http://www.pantip.com/tech/software/topic/SA2423361/SA2423361.html#155)
และนี่คือไฟล์ที่แจก:http://rapidshare.com/files/50087032/citec...st_code.7z.html (http://rapidshare.com/files/50087032/citec_regist_code.7z.html)

มาดูกันว่ามัแปลกยังงัย:

**Hidden Content: Check the thread to see hidden data.**

ขออภัยที่ post รูปเยอะ ไม่รู้จะอธิบายยังงัย ดูรูปน่าจะเข้าใจง่ายกว่า

สรุปการที่จะเปิดไฟล์อะไร ยังงัยขอให้ระวังด้วยนะครับ

ขอบคุณครับ

dnee

21-08-2007, 10:44 AM

:rolleyes: ธรรมดาแหละครับ มักมีคนฉวยโอกาส แนะนำว่าเวลาเปิดไฟล์ zip หรือ rar ให้ใช้ Open with Winrar จะดีกว่าครับ
ถ้า Double Click สิ่งที่จะตามมาคือ ไวรัส :unsure:

งานนี้ใครเปิดแบบไม่ระวังก็โดนไวรัสส่องไปตามธรรมดา แต่ผมสงสัยว่าถ้า Router ไม่ได้เปิดพอร์ดอะไร มันจะ Remote Trojan ได้ไง ว่าแต่ผมอยากได้ PEBrowser Pro อ่ะครับ :D

pspn.n

21-08-2007, 11:08 AM

เดียวนี้ Trojan มันร้ายกว่าที่คิดเยอะครับ
มันใช้ Technic ที่เรียกว่า Covert Channel คือให้ เหยื่อย
connect ไปหามันแทน อาจจะเป็น HTTP หรือ อะไรก็ได้....

asylu3

21-08-2007, 02:35 PM

เพื่อไม่ให้เข้าใจผิด ผมขอแสดงความรับผิดชอบนะครับ
ว่าำไฟล์ดังกล่าวนั้นเป็นต้นฉบับของ level 3 ที่ผมทำขึ้นมาเอง

มันเป็น Rar .exe ซึ่งทำการเข้ารหัส UPX ไว้
สาเหตุที่ทำแบบนั้นเพื่อไม่ให้ firewall ของบริษัทบางที่กันการ Download อันจะเป็นอุปสรรค์ของการสมัครสมาชิกครับ
แต่ขอบอกด้วยความบริสุทธิใจเลยว่าไม่มี trojan หรือ keylogger ใดๆแผงอยู่เลย

เป็นแค่ไฟล์ rar Achive ธรรมดาที่ UPX ไ้่้ว้เท่านั้น
อย่างไรก็ตามต้องขอขอบคุณคุณ pspn.n ที่จุดประกายเรื่องนี้
เพราะถ้าวันนี้ ยังไม่มีผู้ฉวยโอกาส แต่วันหน้าก็ไม่แน่ ทุกคนควรจะโหลดไฟล์แกะรหัสจากเว็บเราตรงๆเท่านั้น ไม่ควรไปโหลดจากแหล่ง 3rd party ใดๆเพราะไม่มีใครสามารถ Guarantee ได้ว่ามันจะปลอดภัยหรือเปล่า

ด้วยความเคารพอย่างสูง

pspn.n

21-08-2007, 02:56 PM

ขอบคุณที่ชี้แจงครับ
ผมเองก็ไม่แน่ใจว่ามีอะไรอยู่ในนั้นหรือป่าว ผมได้ทดสอบใน VM Ware ก็ไม่มีสิ่งผิดปกติอันใด
แต่เพื่อความไม่ประมาท จึงนำมาแจ้งครับ

ขอบคุณครับ

flyingman

22-08-2007, 03:17 PM

ขอบคุนคับ

hooligan

23-08-2007, 10:27 PM

ช่วยอธิบายอีกคนคั้บ อย่างที่พี่ a$ylu3 บอกคั้บ ผมขออธิบายเรื่องการเข้ารหัสแบบ upx เพื่อบางคนสงสัยคั้บ
upx ย่อมาจาก Ultimate Packer eXecutables มันคือ โปรแกรมของบริษัท Sourceforge คั้บ
หน้าที่คือใช้ทำการบีบอัดไฟล์พวก .exe หรือ .dll ให้มีขนาดเล็กลง ทำให้ใช้โปรแกรมที่ถูกบีบอัดได้
ในขณะที่การทำงานของโปรแกรมกลับไม่ช้าลง ถึงช้าก้อเล็กน้อยเท่านั้นคั้บ
ความหลังดีของพี่เค้า คงหายสงสัยแล้วนะคั้บ ^^ เนียนๆเลย ผมมีความรู้แค่เนี้ยแหละ งืมๆ

leng_boy

26-08-2007, 08:32 PM

ขอบคุณที่มาชี้แจงด้วยครับ เพราะตัวผมเองได้อ่านข่าวนี้ตอนแรกก็รุ้สึกว่าเครื่องคอมฯเราจะโดนอะไรหรือเปล่า แต่พอได้ทราบจากท่าน admin ว่าปลอดภัยไม่มีปัญหาอะไร ก็สบายใจแล้วครับ

vannuch

28-08-2007, 09:23 AM

ดีนะตอนที่ผมสมัครไม่โหลดไปเห็นเหมือนกันแหละแต่อยากใช้ความสามารถตัวเองมากกว่า

charge01

16-09-2007, 11:44 AM

ผมยังไม่ค่อยเข้าใจเลย มันเป็นไฟล์ 7z แล้วมันจะเป็นการรันโทรจันยังไงอะ มันเป็นแค่ Achive เนีย
งง ใครก็ได้ช่วยอธิบายให้ผมเข้าใจ :(

thongDs

17-09-2007, 01:12 PM

ต้องขอขอบคุณความหวังดี ของพี่เค้านะครับ ที่ต้องการให้ File มันเล็ก แล้วพวกเราๆ ท่านๆ จะได้โหลด File ได้ง่าย ขึ้น ขอบคุณมากนะครับ