ข่าว IT ล่าสุด
ถูกใจอย่าลืม Like Fanpage
[it] โทรจันแก้ไข Firefox ขโมย"พาสเวิร์ด"
แสดงแล้ว 1524 ครั้ง /
ตุลาคม 08, 2010, 08:11:51

Moshi

ออฟไลน์
กระทู้ : 16,996
คะแนนขอบคุณ : 45
it4x สังคมแห่งการเรียนรู้
      นักวิจัยระบบรักษาความปลอดภัยจาก Webroot บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสเปิดเผยว่า พบการขโมยข้อมูลโดยมัลแวร์ประเภท"โทรจัน" (Trojan) ซึ่งใช้วิธีแก้ไขไฟล์ๆ หนึ่งใน Firefox เพื่อให้บราวเซอร์ทำการจัดเก็บพาสเวิร์ดโดยอัตโนมัติ


     
 

ภัยคุกคามล่าสุดทีตรวจพบโดย Webroot จะมีชื่อเรียกว่า Trojan-PWS-Nslogm ซึ่งสามารถขโมยยูสเซอร์เนม และพาสเวิร์ดได้จากทั้ง Internet Explorer และ Firefox โดยที่ดีฟอลต์ของการทำงาน เมื่อมีการตรวจพบว่า มีการล็อกอินข้อมูลสำคัญในบราวเซอร์ Firefox ผ่านแบบฟอร์มออนไลน์บนหน้าเว็บ บราวเซอร์จะเสนอทางเลือกให้ผูใช้ตัดสินใจว่าจะจัดการอย่างไรกับข้อมูลที่ใช้ล็อกอิน ซึี่งได้แก่ ให้บราวเซอร์จำ (Remember) ข้อมูลนี้ไว้ หรือไม่ต้องจำอีกเลยสำหรับเว็บไซต์ตี้ (Never for This Site) และ "ไม่ต้องจำเดี่ยวนี้" (Not Now) หากผู้ใช้เลือก "Remember" บราวเซอร์ก็จะจัดเก็บ Username และ Password ไว้ในฐานข้อมูลที่อยู่ในเครื่อง

เนื่องจากการขโมยข้อมูลดังกล่าวจากฐานข้อมูลในเครื่องง่ายกว่าการเข้าไปแทรกในขั้นตอนในระหว่างที่บราวเซอร์ประมวลผล และขโมยข้อมูลของผู้ใช้ในขณะที่กำลังคลิกปุ่มSubmit ของแบบฟอร์มออนไลน์ จากจุดนี้เอง ผู้พัฒนาโทรจันใช้วิธีตัดตอนด้วยการบังคับให้ Firefox จัดการจดจำพาสเวิร์ดทั้งหมดโดยไม่ต้องร้องถามคำยืนยันจากผู้ใช้เลย ในการนี้ โทรจันจะใช้วิธีแก้้ไขโค้ดการทำงานของไฟล์ nsLoginManagerPrompter.js ของ Firefox ให้จัดเก็บข้อมูลโดยอัตโนมัติ (ไม่มีการถามผู้ใช้) ก่อนจะขโมยข้อมูลเหล่านั้นจากรีจิสทรี Protected Storage ซึ่งถูกใช้จัดเก็บพาสเวิร์ดโดย IE ด้วย ทั้งนี้จะมีการส่งข้อมูลที่ขโมยได้ในทุกๆ นาที

สำหรับตัวโปรแกรมขโมยพาสเวิร์ดจะติดตั้งตัวเองเข้าไปในโฟลเดอร์ c:windowssystem32 เป็นไฟล์ที่มีชื่อว่า Kernel.exe ข้อมูลที่ถูกดักจับได้จะถูกส่งออกไปโดย ActiveX Control ที่มีชื่อว่า msinet.ocx ผู้เชี่ยวชาญกล่าวว่า วิธีกำจัดโทรจันทีง่ายที่สุด และปลอดภัยที่สุดก็คือ การเรียกคืนไฟล์ nsLoginManagerPrompter.js ที่ถูกแก้ไขด้วยการดาวน์โหลด และติดตั้ง Firefox ทับบนเวอร์ชันที่ใช้อยู่ในขณะนั้น

ข้อมูลจาก: techherald

แสดงบนเว็บไซด์ : [direct]http://www.it4x.com[/direct]

ที่อยู่ของข้อความต้นฉบับ: [direct]http://www.arip.co.th/news.php?id=412397[/direct]


 

ด้วยฟังค์ชั่น ตอบด่วน คุณสามารถใช้โค๊ดและ เครื่องหมายแสดงอารมณ์ได้ เหมือนการตั้งกระทู้ธรรมดา แต่สามารถทำได้สะดวกกว่า

ระวัง: หัวข้อนี้ไม่มีการอัพเดทมานานถึง 120 วัน

แจ้งเตือน: โพสของคุณจะไม่แสดงจนกว่าผู้ดูแลจะอนุมัติ.
ชื่อ: อีเมล์: