ใครใช้ winrar และชอบดาวน์โหลดไฟล์หนัง ไฟล์เพลง ไฟล์ภาพ ที่ใส่ไว้ใน Winrar ระวังให้ดี เพราะท่านอาจเจอภัย ZIPPER BROKEN โดยแฮกเกอร์จะหลอกคุณด้วยชื่อชนิดของไฟล์ภายในตัวไฟล์ winzip หรือ winrar ที่เปิดผ่านโปรแกรม Winrar
ในงานสัมมนา CYBER DEFENSE INITIATIVE CONFERENCE 2015 ( CDIC 2015 ) ที่ BITEC บางนา 29 ตุลาคม 2015 มี Live Demo โชว์สาธิตการแฮกที่ผู้ใช้อินเทอร์เน็ตต้องระวังจากการแตกไฟล์ zip , ไฟล์ rar จากโปรแกรมดัง Winrar ที่คุณคุ้นเคย ซึ่งถ้าเผลอละก็จะเจอภัย ZIPPER BROKEN ซึ่งก็คือ ไฟล์ในตัว winzip , winrar แบบหลอกที่สร้างโดยแฮกเกอร์ เช่น แฮกเกอร์สร้างมัลแวร์ไว้ในแบบ exe แล้วใส่ใน winrar และใช้วิธีเปลี่ยนชื่อไฟล์ที่แสดงเป็น .exe เป็นไฟล์อื่นๆเช่น .pdf , gif , jpg , mp3 , png และไฟล์สกุลยอดนิยมตัวอื่นๆ หากหลงกลแฮกเกอร์ทำการ extract ไฟล์ดังกล่าวออกมาจากตัว winrar ไฟล์ที่ปลอมนั้นก็จะกลายเป็นไฟล์ไวรัส มัลแวร์ โปรแกรมอันตรายเข้าคอมของคุณโดยทันที
ยกตัวอย่างตัวทดสอบ pop-up ธรรมดา สร้างเป็นไฟล์ messagebox.exe เค้าใช้วิธี add ใส่ใน winrar ตั้งชื่อไฟล์ที่บีบอัดแล้วว่า file.zip เปิดดูข้างในก็เป็น messagebox.exe
แต่แฮกเกอร์ก็จะมีวิธีหลอกได้ เพราะช่องโหว่ของ Winrar คือ เค้าจะอ่านไฟล์จาก filename เลยแฮกเกอร์จะใช้วิธีแก้ชื่อ filename ที่บีบอัดอยู่ใน file.zip ผ่านทางเครื่องมือ free hex editor
พอเข้า free hex editor แล้วเปิดไฟล์ file.zip ก็ทำการแก้ไขเปลี่ยนชื่อไฟล์ ที่จุดนามสกุลของไฟล์ จาก messagebox.exe เป็นชื่อ messagebox.txt แล้วคลิก save ทับ
คราวนี้ดับเบิ้ลคลิกที่ file.zip จะเห็นว่าเป็น messagebox.txt แล้ว ซึ่งคนดูทั่วไปก็นึกว่าไฟล์นี้เป็นไฟล์งานธรรมดา เลยลองดับเบิ้ลคลิก ซึ่งติดกับดักแฮกเกอร์ทันที แต่ตัวอย่างนี้แค่ pop-up เฉยๆ
และถ้าลอง extract ไฟล์ messagebox.txt ออกมาจาก file.zip จะพบว่าเป็น messagebox.exe ไป
คราวนี้ลองเอามัลแวร์ของจริงบ้าง ชื่อว่า notepad_malware.exe ซึ่งถ้าสแกนด้วย เว็บไซต์ virustotal ซึ่งมี antivirus ถึง 55 ตัวสแกนผ่านทางเน็ต ปรากฎว่ารายงานพบไวรัสแค่ 5 ราย
คราวนี้สมมุติแฮกเกอร์ นำไฟล์นี้ notepad_malware.exe มาปล่อย โดยเริ่มจากเปลี่ยนชื่อไฟล์นี้เลยเป็น notepadmanual.exe >> แล้วคลิกขวาที่ไฟล์นี้ เลือก winrar add to archive…>> แล้วตั้งชื่อไฟล์เป็น notepad manual.zip เลือกเป็น zip ดังรูป ก็ได้ไฟล์ notepad manual.zip ที่มี notepadmanual.exe อยู่ด้านใน
คราวนี้แฮกเกอร์ก็ใช้เครื่องมือ free hex editor นี้ แก้ไขชื่อชนิดของไฟล์ภายใน notepad manual.zip ให้ไฟล์ข้างในที่เป็นชื่อ notepadmanual.exe มาเปลี่ยนชื่อเป็น notepadmanual.pdf
แค่นี้ ภายในไฟล์ notepad manual.zip กลายเป็น notepadmanual.pdf ซึ่งความจริงแล้ว ไฟล์นั้นคือไฟล์ exe
พอรันไฟล์ notepadmanual.pdf แล้ว มีแจ้งเตือน User Account Control แจ้งเตือนว่าคุณกำลังรันไฟล์สำคัญแปลกๆที่อาจกระทบกับเครื่องได้ (ความจริงแล้วไฟล์ .pdf จะไม่มีแจ้งเตือนแบบนี้เลย ส่วนใหญ่จะแจ้งเฉพาะที่เป็นโปรแกรมเท่านั้น ) ซึ่งคนส่วนใหญ่จะกด yes เพื่อรันไฟล์ เมื่อกด yes แล้ว ไฟล์ไวรัสมัลแวร์ notepadmanual.exe ก็จะทำงานเข้าคอมของคุณเรียบร้อย
ช่องโหว่ ZIPPER BROKEN ลักษณะนี้เป็นช่องโหว่ของ Winrar 4.20
วิธีป้องกันคือ ให้อัพเดต Winrar ให้เป็นเวอร์ชั่นที่ใหม่กว่า เวอร์ชั่น 4.20 หรือใช้โปรแกรมบีบไฟล์อัดตัวอื่นไปเลยเช่น winzip , 7zip เป็นต้น และลองนำไฟล์ zip , ไฟล์ rar มาสแกนผ่านทาง virustotal ดูว่ามีไวรัสหรือไม่
ดังนั้นใครที่โหลดไฟล์ด้วย Winrar เวอร์ชั่น 4.20 หรือเวอร์ชั่นที่ต่ำกว่า ระวังตัวจากภัย ZIPPER BROKEN ไว้ด้วย