ฝ่ายปฏิบัติการตอบสนองภัยคุกคามของไซแมนเทค ได้ค้นพบองค์ประกอบใหม่ในภัยคุกคาม W32.Dozer ซึ่งการคุกคามประเภทนี้จะมีโค้ดที่สั่งลบข้อมูลที่สำคัญบนดิสก์ในเครื่องที่ติดไวรัสตัวดังกล่าวโดยเมื่อนาฬิกาของเครื่องซึ่งติดไวรัสเริ่มเข้าสู่วันที่ 10 กรกฏาคม 2552 โค้ดดังกล่าวก็จะพยายามหาและทำการลบไฟล์ทั้งหมดที่อยู่ในตระกูลดังต่อไปนี้

.accdb, .alz, .asp, .aspx, .c, .cpp, .cpp, .db, .dbf, .doc, .docm, .docx .eml, .gho, .gul, .hna, .hwp, .java, .jsp, .kwp, .mdb, .pas, .pdf, .php, .ppt, .pptx, .pst, .rar, .rtf, .txt, .wpd, .wpx, .wri, .xls, .xlsx, .xml, .zip

ไฟล์ในตระกูลเหล่านี้มักจะเป็นไฟล์ที่เกี่ยวข้องกับโปรแกรมออฟฟิศ รวมถึงแอพพลิเคชันที่ใช้เพื่อธุรกิจและใช้ในการพัฒนาระบบ

นอกจากโค้ดดังกล่าวจะเข้าไปลบไฟล์ข้อมูลแล้ว ยังเข้าไปเปลี่ยนการทำงานในส่วนของ มาสเตอร์บูทเรคคอร์ด (Master Boot Record) ทำให้ระบบไม่สามารถทำงานได้เมื่อมีการบูทเครื่องใหม่

W32.Dozer เริ่มมีการแพร่กระจายตั้งแต่วันที่ 4 กรกฏาคม โดยวิธีการโจมตีแบบ DDOS (Distributed Denial of Service) ไปที่สถาบันการเงิน หน่วยงานภาครัฐบาล เว็บไซต์สื่อต่างๆ ที่อยู่ในสหรัฐอเมริกา และเกาหลีใต้ ทำให้เว็บไซต์เหล่านี้ไม่สามารถใช้งานได้

W32.Dozer เป็นการคุกคามที่มากับไฟล์แนบในอีเมล ซึ่งในทันทีที่ผู้ใช้คลิกเข้าไปที่ไฟล์แนบ ไวรัสก็จะทำการดาว์นโหลดแพคเกจ ประกอบไปด้วย Trojan.Dozer เพื่อเปลี่ยนเครื่องเหยื่อดังกล่าวให้เป็นสมาชิกของบ็อทเน็ต , รายชื่อของไซต์ที่จะให้บ็อทเน็ต ทำการโจมตี รวมถึงหนอนไวรัส MyDoom ซึ่งเชื่อกันว่าเป็นตัวที่ช่วยในการแพร่กระจายไวรัส W32.Dozer ผ่านการส่งเมลจำนวนมาก

ในเบื้องต้น ได้มีการรายงานว่าการจู่โจมครอบคลุมเครื่องคอมพิวเตอร์กว่า 50,000 เครื่องด้วยกัน ซึ่งเมื่อผู้ใช้ทำการอัพเดทระบบป้องกันการคุกคามดังกล่าว ก็จะช่วยลดการเติบโตของบ็อทเน็ตได้


ขอขอบคุณ
โค้ด PHP:
www.arip.co.th