จากการวิเคราะห์สปายแวร์ FinFisher หรือที่รู้จักกันในชื่อ FinSpy ที่ขายให้กับหลายรัฐบาลและหน่วยงานทั่วโลก เราสังเกตเห็นว่ามัลแวร์ FinFisher ส่วนหนึ่งมีผู้ให้บริการอินเตอร์เน็ตให้ความร่วมมือเป็นคนกลาง (Man-in-the-middle) ด้วย และสับเปลี่ยนสปายแวร์เป็นตัวอื่น โปรแกรมของ ESET ตรวจจับสปายแวร์ตัวนี้ได้ในชื่อ Win32/StrongPity2 หรือสแกนเครื่องฟรีด้วย ESET Online Scanner
ทางเราได้รายงานว่าพบแผนการนี้อยู่ใน 2 ประเทศ ผู้ต้องสงสัยที่จะเป็นคนกลาง (Man-in-the-middle) ในทั้งสองกรณีก็คือผู้ให้บริการอินเตอร์เน็ต (Internet Service Provider) ซึ่งแผนการนี้ได้ยุติลงในวันที่ 21 กันยายน 2017 ไม่กี่วันหลังจากเราเผยแพร่งานวิจัยของเรา
วันที่ 8 ตุลาคม 2017 แผนการเดิมได้ปรากฎขึ้นอีกครั้งในสองประเทศเดิม ใช้กลยุทธ์ในการแพร่กระจายด้วยการเปลี่ยนเส้นทางเว็บไซต์ผ่านเบราว์เซอร์ หลอกให้ผู้ใช้ดาวน์โหลดโปรแกรมที่แฝงไวรัสโทรจันเข้าไป
เราพบหลายโปรแกรมที่มีโทรจัน Win32/StrongPity2 แฝงอยู่:
- CCleaner v 5.34
- Driver Booster
- The Opera Browser
- Skype
- The VLC Media Player v2.2.6 (32bit)
- WinRAR 5.50
เราพบสิ่งที่เหมือนกันระหว่าง FinFisher กับแผนการอื่นๆที่แพร่กระจาย StrongPity:
- โค้ดบางส่วนนั้นเหมือนกัน
- โครงสร้างบางอย่างขององค์ประกอบไฟล์นั้นใกล้เคียงกัน
- ใช้ libcurl เวอร์ชั่น 7.45 เหมือนกัน
ชนิดของไฟล์ที่ Win32/StrongPity2 ขโมย:
- .ppt
- .pptx
- .xls
- .xlsx
- .txt
- .doc
- .docx
- .pdf
- .rtf
โฟลเดอร์ที่มัลแวร์ยกเว้น:
- %Windows%
- %Windows.old%
- %AppData%
- %Program Files%
- %Program Files (x86)%
- %ProgramData%
วิธีการตรวจสอบว่าระบบของคุณโดนสอดแนมโดย StrongPity หรือไม่และวิธีการป้องกัน
โปรแกรมรักษาความปลอดภัยของ ESET สามารถตรวจจับและกำจัด StrongPity ได้ หรือใช้ ESET Online Scanner เพื่อสแกนกำจัดได้แบบฟรีๆ
วิธีตรวจสอบอีกวิธีก็คือ หาไฟล์ “wmpsvn32.exe” จากโฟลเดอร์ %temp%\lang_be29c9f3-83we หรือผ่าน Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run หาชื่อ “Help Manager” ที่มาพร้อมกับ String %temp%\lang_be29c9f3-83we\wmpsvn32.exe ในช่อง Data
ขั้นตอนการกำจัดสปายแวร์ออกจากระบบ:
- กำจัด Process “wmpsvn32.exe”
- ลบโฟลเดอร์ %temp%\lang_be29c9f3-83we และเนื้อหาทั้งหมด
- ลบ ‘Help Manager’ จาก Registry
ท้ายที่สุดหลังจากกำจัดสปายแวร์ออกจากเครื่องแล้ว อย่าลืมติดตั้งโปรแกรมรักษาความปลอดภัยให้กับคอมพิวเตอร์และระบบของคุณ
Author: FILIP KAFKA
Source: https://www.welivesecurity.com/2017/12/08/strongpity-like-spyware-replaces-finfisher/
Translated by: Worapon H.
Like this:
Like กำลังโหลด...
จากการวิเคราะห์สปายแวร์ FinFisher หรือที่รู้จักกันในชื่อ FinSpy ที่ขายให้กับหลายรัฐบาลและหน่วยงานทั่วโลก เราสังเกตเห็นว่ามัลแวร์ FinFisher ส่วนหนึ่งมีผู้ให้บริการอินเตอร์เน็ตให้ความร่วมมือเป็นคนกลาง (Man-in-the-middle) ด้วย และสับเปลี่ยนสปายแวร์เป็นตัวอื่น โปรแกรมของ ESET ตรวจจับสปายแวร์ตัวนี้ได้ในชื่อ Win32/StrongPity2 หรือสแกนเครื่องฟรีด้วย ESET Online Scanner
ทางเราได้รายงานว่าพบแผนการนี้อยู่ใน 2 ประเทศ ผู้ต้องสงสัยที่จะเป็นคนกลาง (Man-in-the-middle) ในทั้งสองกรณีก็คือผู้ให้บริการอินเตอร์เน็ต (Internet Service Provider) ซึ่งแผนการนี้ได้ยุติลงในวันที่ 21 กันยายน 2017 ไม่กี่วันหลังจากเราเผยแพร่งานวิจัยของเรา
วันที่ 8 ตุลาคม 2017 แผนการเดิมได้ปรากฎขึ้นอีกครั้งในสองประเทศเดิม ใช้กลยุทธ์ในการแพร่กระจายด้วยการเปลี่ยนเส้นทางเว็บไซต์ผ่านเบราว์เซอร์ หลอกให้ผู้ใช้ดาวน์โหลดโปรแกรมที่แฝงไวรัสโทรจันเข้าไป
เราพบหลายโปรแกรมที่มีโทรจัน Win32/StrongPity2 แฝงอยู่:
เราพบสิ่งที่เหมือนกันระหว่าง FinFisher กับแผนการอื่นๆที่แพร่กระจาย StrongPity:
ชนิดของไฟล์ที่ Win32/StrongPity2 ขโมย:
โฟลเดอร์ที่มัลแวร์ยกเว้น:
วิธีการตรวจสอบว่าระบบของคุณโดนสอดแนมโดย StrongPity หรือไม่และวิธีการป้องกัน
โปรแกรมรักษาความปลอดภัยของ ESET สามารถตรวจจับและกำจัด StrongPity ได้ หรือใช้ ESET Online Scanner เพื่อสแกนกำจัดได้แบบฟรีๆ
วิธีตรวจสอบอีกวิธีก็คือ หาไฟล์ “wmpsvn32.exe” จากโฟลเดอร์ %temp%\lang_be29c9f3-83we หรือผ่าน Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run หาชื่อ “Help Manager” ที่มาพร้อมกับ String %temp%\lang_be29c9f3-83we\wmpsvn32.exe ในช่อง Data
ขั้นตอนการกำจัดสปายแวร์ออกจากระบบ:
ท้ายที่สุดหลังจากกำจัดสปายแวร์ออกจากเครื่องแล้ว อย่าลืมติดตั้งโปรแกรมรักษาความปลอดภัยให้กับคอมพิวเตอร์และระบบของคุณ
Author: FILIP KAFKA
Source: https://www.welivesecurity.com/2017/12/08/strongpity-like-spyware-replaces-finfisher/
Translated by: Worapon H.
Share this:
Like this: