5 กันยายน 2545 เวลา 08:30 น
ไมโครซอฟท์เตือนผู้ใช้แบบสายฟ้าแลบ แจ้งให้ระวังแฮกเกอร์บุกเข้าปิดตายเครื่องคอมพิวเตอร์ของคุณ พร้อมทั้งเปิดประตูต้อนรับผู้บุกรุกคนอื่นๆ ด้วยการส่งโปรแกรมสอดแนมระบบให้ทำงานตอนเปิดเครื่อง!!!
อย่างไรก็ตาม ผู้เชี่ยวชาญทางด้านความปลอดภัยฯ กล่าวว่า นี่เป็นการเตือนแบบสายฟ้าแลบของไมโครซอฟท์ที่มีต่อผู้ดูแลระบบ (Administrator) แต่ขาดความช่วยเหลือที่ชัดเจนในการป้องกันโอกาสที่จะเกิดการบุกรุกดังกล่าว อ้างถึงข้อความที่โพสไว้ใน Hacking Alert บนเว็บไซต์ของไมโครซอฟท์ ทีมรักษาความปลอดภัยของบริการสนับสนุนผลิตภัณฑ์ (PSS Security Team) ตรวจพบสิ่งแปลกปลอมที่เป็นอันตรายต่อระบบการทำงานของ Windows ซึ่งมันถูกซุกซ่อนโดยมือมึดที่เข้าบุกรุก ทางไมโครซอฟท์กล่าวว่า เมื่อถูกโจมตี ระบบอาจไม่อนุญาตให้ผู้ใช้ล็อกออนเข้าไปในเครือข่ายได้ เนื่องจากมีการเปลี่ยนแปลงเกิดขึ้นในส่วนการตั้งข้อกำหนดเกี่ยวกับความ ปลอดภัยของระบบ จากข้อมูลที่ได้รับแจ้งว่า มีการพบไฟล์ลึกลับที่ไม่ประสงค์ดีมากมายได้รับการซุกซ่อนเข้าไปในระบบที่ถูก โจมตี หนึ่งในนั้นจะมีไฟล์ที่ชื่อว่า seced.bat ซึ่งจะเข้าไปเปลี่ยนนโยบายรักษาความปลอดภัย ที่เรียกว่า System Policy ในระบบของทั้ง Windows 2000 และ Win XP ถ้าเครื่องที่ถูกโจมตีทำหน้าที่เป็น Domain Controller ของเครือข่าย ผู้ใช้ที่อยู่ในเครือข่ายทั้งหมดอาจจะล็อกอินไม่ได้ ผู้เชี่ยวชาญเฉพาะด้านแผนก PSS ของไมโครซอฟท์ ยังกล่าวอีกว่า บริษัทยังไม่แน่ใจว่า ผู้บุกรุกจะสามารถเข้าไปวางระเบิด (ซ่อนไฟล์ประสงค์ร้าย) ในระบบได้อย่างไร ? และเครื่องที่ประสบกับปัญหาเหล่านี้ก็ยังไม่ปรากฎว่า มันได้ตกเป็นเหยื่อของการแพร่กระจายหนอนไวรัสบนอินเทอร์เน็ตอีกด้วย อย่างไรก็ตาม ข้อความเตือนของไมโครซอฟท์แจ้งว่า ซอฟต์แวร์ป้องกันไวรัสอาจจะไม่สามารถตรวจพบไฟล์บุกรุกเหล่านี้ โดยเฉพาะพวกโปรแกรม “back door” ที่ช่วยให้ผู้บุกรุกสามารถเจาะ และเข้าไปควบคุมการทำงานระบบของคุณ ผ่านทางเครือข่าย Internet Relay Chat (IRC) ได้ ผู้ใช้บริษัทการเงินแห่งหนึ่งในโอไฮโอแจ้งว่า ได้ตรวจสอบ และค้นพบระบบที่ใช้ Windows ถูกเจาะด้วยโปรแกรมที่ประสงค์ร้ายมากมายเมื่อสัปดาห์ที่ผ่านมา ชื่อโปรแกรมที่พบคือ taskmngr.exe ซึ่งถูกสั่งให้ทำงานตอน เปิดเครื่องขึ้นทำงาน โปรแกรมตัวนี้ถูกตั้งชื่อให้คล้ายกับ Task Manager ของ Windows ที่ชื่อว่า taskmgr.exe เพื่อให้ผู้ใช้เกิดอาการสับสน และมองข้ามไป สำหรับการทำงานของ taskmngr.exe จะเปิดการเชื่อมต่อไปยังไซต์ภายนอกผ่านทางพอร์ตหมายเลข 6667 ซึ่งปกติจะถูกใช้โดยเซิร์ฟเวอร์ IRC ผลการวิเคราะห์ไฟล์โปรแกรม taskmngr.exe โดยผู้เชี่ยวชาญจาก TruSecure Research Group แสดงให้เห็นว่า มันคือ โปรแกรมแชตไคลเอ็นต์ที่ดังมากชื่อ mIRC ที่ถูกดัดแปลง เมื่อมันถูกสั่งให้ทำงาน โดยไฟล์ที่สร้างโดยแฮกเกอร์ โปรแกรมจะเชื่อมต่อคอมพิวเตอร์ของคุณเข้าไปยังเซิร์ฟเวอร์ IRC ที่ wO0t.nofw.org ในบูเลติบอร์ดของไมโครซอฟท์แนะนำผู้ใช้เครื่องที่ติดเชื้อร้ายนี้ให้ทำตามคำ แนะนำสำหรับการกู้ระบบที่เว็บไซต์ Cert ซึ่งในขั้นตอนการกู้ระบบอาจหมายถึงการติดตั้งระบบปฏิบัติการเข้าไปใหม่ด้วย อย่างไรก็ตาม ผู้ดูแลระบบควรจะตรวจสอบเครื่องแม่ข่าย และลูกข่ายว่ามีไฟล์ผู้ต้องหาข้างต้น หรือไม่ ? ซึ่งนอกจากทั้ง 2 ไฟล์ดังกล่าวแล้วยังจะมีไฟล์ Gg.bat, nt32.ini, Ocxdll.exe Psexec, Ws_ftp, Flashfxp และ Gates.txt หากพบก็ให้ดำเนินตามขั้นตอนที่แจ้งไว้ที่เว็บไซต์ Cert ตามที่แจ้งไว้ในข่าว เพื่อความปลอดภัย
