พบม้าโทรจันบนแมคโอเอส (Trojan:BASH/QHost.WB)

หากเดินไปตามร้าน istudio จะเห็นโฆษณาว่าใช้แมคแล้วจะปลอดภัยจากไวรัสคอมพิวเตอร์ ผมคิดว่าเราอาจจะต้องมาดูกันใหม่แล้วหล่ะครับ เนื่องจากบริษัท F-Secure ได้ประกาศว่าพบม้าโทรจันบนแมคตัวใหม่ชื่อ Trojan:BASH/QHost.WB ม้าโทรจันตัวนี้มาในรูปแบบของโปรแกรม FlashPlayer ปลอม ชื่อไฟล์ว่า FlashPlayer.pkg (มีค่า MD5: 1fc90b8f532028805d167b2b0ac9ce11)



เมื่อเหยื่อหลงเชื่อและติดตั้งม้าโทรจันนี้ลงในเครื่องแล้ว มันจะทำการเปลี่ยนแปลงแก้ไขไฟล์โฮสต์ (ไฟล์ที่ใช้ช่วยในการแปลงฃื่อเว็บไซต์เป็นหมายเลขไอพี โดยที่ไม่ต้องอาศัยเซิร์ฟเวอร์ DNS) แก้ไขโดยการใส่ชื่อโดเมนเว็บไซต์ของกูเกิลจากหลายประเทศ (เช่น google.com.tw, google.com.tl เป็นต้น)และชี้ไปยังหมายเลขไอพี 91.224.160.26 ซึ่งเป็นหมายเลขไอพีที่ประเทศเนเธอร์แลนด์

โดยปกติแล้วหากเราเข้าเว็บไซต์ www.google.com.tw จะปรากฎดังรูป


เมื่อไรก็ตามที่เหยื่อเรียกเว็บไซต์กูเกิล เว็บไซต์ที่จะถูกแสดงบนหน้าเว็บเบราเซอร์ของเหยื่อนั้นจะเป็นเว็บกูเกิลปลอมที่ถูกเรียกจากหมายเลขไอพี 91.224.160.26 ดังรูป



เมื่อลองทำการค้นหาก็จะมีผลปรากฏอยู่บนเว็บเบราเซอร์ด้วย

แต่โชคดีที่เซิร์ฟเวอร์ที่มีหมายเลขไอพี 91.224.160.26 ถูกปิดตัวแล้ว ปัจจุบันจึงไม่สามารถเข้าถึงได้ อย่างไรก็ตามสำหรับผู้ที่สงสัยว่าจะถูกม้าโทรจันชนิดนี้คุกคามก็สามารถทำการตรวจสอบและแก้ไขได้ด้วยตัวเองตามวิธีการต่อไปนี้
1. เปิดใช้งานเทอร์มินัลแล้วเปลี่ยนไปอยู่ในไดเรคทอรี่ */private/etc/

• $cd /private/etc

2. ใช้โปรแกรมแก้ไขไฟล์เปิดไฟล์ที่ชื่อ hosts และทำการแก้ไข (หมายเหตุ จำเป็นต้องเป็นผู้ดูแลระบบก่อน จึงจะสามารถแก้ไขไฟล์ได้)

• $sudo vim hosts

จากนั้นค้นหาไฟล์ที่มีลักษณะใกล้เคียงกับตัวอย่างด้านล่าง

• 91.224.160.26 google.com
• 91.224.160.26 google.ae
• 91.224.160.26 google.as
• ....

3. ลบทุกบรรทัดที่มีข้อมูลเกี่ยวกับหมายเลขไอพี 91.224.160.26 ที่อยู่ในไฟล์ hosts

อ้างอิงและภาพประกอบ

1. http://www.f-secure.com/v-descs/trojan_bash_qhost_wb.shtml
2. http://isc.sans.edu/diary.html?storyid=11329