Menu

ZIPPER BROKEN สุดยอดการหลอกลวงของแฮกเกอร์ ด้วยการเปลี่ยนชื่อชนิดไฟล์ภายใน Winrar

zipper-broken-winrar-01

ใครใช้ winrar และชอบดาวน์โหลดไฟล์หนัง ไฟล์เพลง ไฟล์ภาพ ที่ใส่ไว้ใน Winrar ระวังให้ดี เพราะท่านอาจเจอภัย ZIPPER BROKEN โดยแฮกเกอร์จะหลอกคุณด้วยชื่อชนิดของไฟล์ภายในตัวไฟล์ winzip หรือ winrar ที่เปิดผ่านโปรแกรม Winrar

ในงานสัมมนา CYBER DEFENSE INITIATIVE CONFERENCE 2015  ( CDIC 2015 ) ที่ BITEC บางนา 29 ตุลาคม 2015 มี Live Demo โชว์สาธิตการแฮกที่ผู้ใช้อินเทอร์เน็ตต้องระวังจากการแตกไฟล์ zip , ไฟล์ rar จากโปรแกรมดัง Winrar ที่คุณคุ้นเคย ซึ่งถ้าเผลอละก็จะเจอภัย ZIPPER BROKEN ซึ่งก็คือ ไฟล์ในตัว winzip , winrar แบบหลอกที่สร้างโดยแฮกเกอร์ เช่น แฮกเกอร์สร้างมัลแวร์ไว้ในแบบ exe แล้วใส่ใน winrar และใช้วิธีเปลี่ยนชื่อไฟล์ที่แสดงเป็น .exe เป็นไฟล์อื่นๆเช่น .pdf , gif , jpg , mp3 , png และไฟล์สกุลยอดนิยมตัวอื่นๆ หากหลงกลแฮกเกอร์ทำการ extract ไฟล์ดังกล่าวออกมาจากตัว winrar ไฟล์ที่ปลอมนั้นก็จะกลายเป็นไฟล์ไวรัส มัลแวร์ โปรแกรมอันตรายเข้าคอมของคุณโดยทันที

zipper-broken-winrar-04

ยกตัวอย่างตัวทดสอบ pop-up ธรรมดา สร้างเป็นไฟล์ messagebox.exe เค้าใช้วิธี add ใส่ใน winrar ตั้งชื่อไฟล์ที่บีบอัดแล้วว่า file.zip  เปิดดูข้างในก็เป็น messagebox.exe  

zipper-broken-winrar-05

แต่แฮกเกอร์ก็จะมีวิธีหลอกได้ เพราะช่องโหว่ของ Winrar คือ เค้าจะอ่านไฟล์จาก filename เลยแฮกเกอร์จะใช้วิธีแก้ชื่อ filename ที่บีบอัดอยู่ใน file.zip ผ่านทางเครื่องมือ free hex editor

zipper-broken-winrar-06พอเข้า free hex editor แล้วเปิดไฟล์ file.zip ก็ทำการแก้ไขเปลี่ยนชื่อไฟล์ ที่จุดนามสกุลของไฟล์ จาก messagebox.exe เป็นชื่อ messagebox.txt  แล้วคลิก save ทับ

zipper-broken-winrar-07คราวนี้ดับเบิ้ลคลิกที่ file.zip จะเห็นว่าเป็น messagebox.txt แล้ว ซึ่งคนดูทั่วไปก็นึกว่าไฟล์นี้เป็นไฟล์งานธรรมดา เลยลองดับเบิ้ลคลิก ซึ่งติดกับดักแฮกเกอร์ทันที แต่ตัวอย่างนี้แค่ pop-up เฉยๆ

zipper-broken-winrar-08และถ้าลอง extract ไฟล์ messagebox.txt ออกมาจาก file.zip จะพบว่าเป็น messagebox.exe

zipper-broken-winrar-09คราวนี้ลองเอามัลแวร์ของจริงบ้าง ชื่อว่า notepad_malware.exe ซึ่งถ้าสแกนด้วย เว็บไซต์ virustotal ซึ่งมี antivirus ถึง 55 ตัวสแกนผ่านทางเน็ต ปรากฎว่ารายงานพบไวรัสแค่ 5 ราย

zipper-broken-winrar-10

คราวนี้สมมุติแฮกเกอร์ นำไฟล์นี้ notepad_malware.exe มาปล่อย โดยเริ่มจากเปลี่ยนชื่อไฟล์นี้เลยเป็น notepadmanual.exe >> แล้วคลิกขวาที่ไฟล์นี้ เลือก winrar add to archive…>> แล้วตั้งชื่อไฟล์เป็น notepad manual.zip เลือกเป็น zip ดังรูป   ก็ได้ไฟล์ notepad manual.zip ที่มี notepadmanual.exe อยู่ด้านใน

zipper-broken-winrar-11คราวนี้แฮกเกอร์ก็ใช้เครื่องมือ free hex editor  นี้ แก้ไขชื่อชนิดของไฟล์ภายใน notepad manual.zip ให้ไฟล์ข้างในที่เป็นชื่อ notepadmanual.exe  มาเปลี่ยนชื่อเป็น notepadmanual.pdf

zipper-broken-winrar-12แค่นี้ ภายในไฟล์ notepad manual.zip กลายเป็น notepadmanual.pdf ซึ่งความจริงแล้ว ไฟล์นั้นคือไฟล์ exe

zipper-broken-winrar-13พอรันไฟล์ notepadmanual.pdf  แล้ว มีแจ้งเตือน User Account  Control แจ้งเตือนว่าคุณกำลังรันไฟล์สำคัญแปลกๆที่อาจกระทบกับเครื่องได้ (ความจริงแล้วไฟล์ .pdf จะไม่มีแจ้งเตือนแบบนี้เลย ส่วนใหญ่จะแจ้งเฉพาะที่เป็นโปรแกรมเท่านั้น )   ซึ่งคนส่วนใหญ่จะกด yes เพื่อรันไฟล์ เมื่อกด yes แล้ว ไฟล์ไวรัสมัลแวร์ notepadmanual.exe ก็จะทำงานเข้าคอมของคุณเรียบร้อย

ช่องโหว่ ZIPPER BROKEN ลักษณะนี้เป็นช่องโหว่ของ Winrar 4.20  

วิธีป้องกันคือ ให้อัพเดต Winrar ให้เป็นเวอร์ชั่นที่ใหม่กว่า เวอร์ชั่น 4.20 หรือใช้โปรแกรมบีบไฟล์อัดตัวอื่นไปเลยเช่น winzip , 7zip เป็นต้น และลองนำไฟล์ zip , ไฟล์ rar มาสแกนผ่านทาง virustotal ดูว่ามีไวรัสหรือไม่

ดังนั้นใครที่โหลดไฟล์ด้วย Winrar เวอร์ชั่น 4.20 หรือเวอร์ชั่นที่ต่ำกว่า ระวังตัวจากภัย ZIPPER BROKEN ไว้ด้วย




ความคิดเห็น