ได้รับคำสั่งให้ดำเนินการ review เรื่องความปลอดภัยของระบบเครือข่ายมา 2 สัปดาห์แล้ว รู้สึกวังเวง เพราะไม่มีความรู้ในหัวซักเท่าไหร่เลย ส่วนเหงานี่อาจจะมีแต่ก็ชิน เพราะไม่มีใครเสนอตัวเข้าช่วย (เหมือนหลายๆ งานที่ผ่านมา) เฮ้อ! พิจารณาตัวเองบ้างก็ดีนะเรา

• Hackin9 Magazine
• Hackers Webzine
• Information Security Links
  
• Insecure.Org *
  
• L0T3K.org/security ***
  
• Penetration testing tutorial for service providers ***
  
• Phrack Magazine
• TaoSecurity *
  
• Top 100 Network Security Tools ***
  

...keep being updated...

ประมาณ 4-5 ปีก่อนหน้านี้ คนในวงการอินเทอร์เน็ต ส่วนใหญ่คิดว่า การผลักดัน IPv6 จำเป็นต้องมี killer application แต่ก็ไม่มีใครบอกได้ว่ามันคืออะไร อีกประเด็นคือ ปริมาณความต้องการ public ip address ของเครื่องลูกข่าย (subscriber device) สำหรับประเด็นหลังนี้ เกือบทุกคนมองไปที่โทรศัพท์เคลื่อนที่ แต่ความต้องการ public ip address ของโทรศัพท์เคลื่อนที่ ย่อมต้องมีเหตุแห่งความต้องการที่แท้จริง นั่นก็คือ application บนตัวมัน (พูดไปพูดมา ดูเหมือนจะเป็นเรื่องแนวๆ เดียวกัน) -- แล้ววันนี้ (จริงๆ ก่อนหน้านี้แล้วละ) สิ่งที่คิดๆ กันก็เป็นความจริง โดยเฉพาะในประเทศญี่ปุ่น

อ่าน feed เช้านี้ มี white paper น่าสนใจ (แหะๆๆ ยังไม่ได้อ่าน) ผ่าน Gordon's Information and Communications Technologies (ICT) Blog มาแนะนำ(ตัวผมเองด้วย) เป็นของ 3G Americas เรื่อง Transition to IPv6 -- โทรศัพท์เคลื่อนที่นี่แหละ ตัวจริงเสียงจริง ที่จะผลักดันให้เกิดการใช้งาน IPv6 ขึ้นในวงกว้าง

ไม่แน่ใจว่า Mobile Operator ในประเทศไทยเรา แอบซุ่มศึกษาวิจัย หรือเตรียมการเรื่องนี้ไปถึงไหนกันแล้ว โดยส่วนตัวผมเชื่อว่า คงทำกันอยู่แน่นอน เพียงแต่ไม่ค่อยมีข่าวคราวออกสู่สาธารณะมากนัก ไว้ต้องหาโอกาสถามไถ่เพื่อนฝูง พี่น้องที่ทำงานอยู่ข้างในดูบ้าง ถ้ามีโอกาสจะมาเล่าให้ฟังนะครับ

กลางเดือนก่อนมีคนนำ worm ชื่อ "W32.Autoit.Obfus" (ตาม ClamAV เรียก) มาฝาก โดยนำเข้าเครื่องคอมพิวเตอร์ผ่าน USB Flash Drive สังเกตได้ง่ายๆ คือที่ Root Direcotory ของ USB Flash Drive จะเห็นมี Folder ชื่อว่า "New Folder" ซึ่งจริงๆ มันเป็น "New Folder.exe"

อาการที่ผมพบจากเครื่องที่โดนเล่นงาน

• run regedit ไม่ได้
• run cmd ไม่ได้
• run Windows Task Manager ไม่ได้
  
• ทุกครั้งที่เสียบ USB Flash Drive จะสร้าง "New Folder.exe" ที่ Root โดยอัตโนมัติ ลบทิ้งไป มันก็สร้างขึ้นมาเองอีก ทุกครั้งหลังจากถูกลบ
• ทุก Folder ที่ถูกเปิดใช้งาน จะถูกสร้าง "ชื่อ Folder.exe" ขึ้นมาภายใต้ Folder นั้นๆ

ขั้นตอนการแก้ไขที่ผมทำ

• บูตเข้า Windows Safe Mode
• ใช้ HijackThis ช่วยให้เห็นอะไรที่ผิดปกติได้เยอะมาก
  
• เปิด Windows Command (cmd)
• cd ไปที่ USB Flash Drive
• สั่ง "attrib -s -h -r *.*"
• สั่ง del SCVHOST.EXE และ del autorun.inf
• cd ไปที่ C:\Windows
• สั่ง attrib -s -h -r SCVHOST.exe"
• สั่ง del SCVHOST.EXE
  
• ใช้ ClamAV scan ทุก drive และให้ action โดย remove ไฟล์ที่ติด "W32.Autoit.Obfus" ให้หมด แทบทั้งหมดจะเป็น "ชื่อ Folder.exe"

นี่ผมยังมีอีกหนึ่งเครื่อง รอให้ไปจัดการ เมื่อเช้าเพิ่งจัดการเครื่องตัวเองและ USB Flash Drive เสร็จ

เกี่ยวข้อง:

• เตือนภัยหนอนไวรัสตัวใหม่ New Folder.exe
• W32/Hakag-A, SCVHSOT.EXE, Nhatquanglan
• Registry editing has been disabled by your administrator
• Task Manager has been disabled by your administrator
• เตือนไวรัส SSCVIHOST.EXE ระบาด (ตัวที่ผมเจอจะชื่อ SCVHOST.EXE แต่อาการเหมือนกัน)
• SCVHOST.exe, Prevx (อันนี้ตรงๆ scan ฟรี แต่จะ clean up ต้องจ่ายค่า license)

อัพเดต: (ข้อสังเกตสำหรับ virus file)

• ไฟล์ต้นฉบับไวรัสชื่อ SCVHOST.EXE จะมีขนาดเท่ากับ 250,975 Bytes มันจะ copy ไฟล์เดียวกันนี้ ไปเป็น ชื่อโฟลเดอร์ (folder).exe ในทุกๆ โฟลเดอร์ชื่อเดียวกันนั้นเอง (เผื่อจะไล่ตามลบเหมือนผม ซึ่งทำมาแล้วกับ thumb drive)