ซีมีรายงานข่าวร้อนๆ มาเตือนเพื่อนๆ กันค่ะ เรื่องของเรื่องก็คือ ไซแมนเทค (Symantec) บริษัทผู้เชี่ยวชาญระบบรักษาความปลอดภัยได้ยกเลิกการเชื่อมต่อของคอมพิวเตอร์ที่ติดไวรัสบนอินเทอร์เน็ตมากกว่า 500,000 เครื่อง :O

โดยคอมพิเตอร์จำนวนดังกล่าวได้ถูกควบคุมการทำงานด้วยบอทเน็ตที่มีชื่อว่า ZeroAccess ซึ่งจำนวนดังกล่าวเป็นแค่บางส่วนของคอมพิวเตอร์ที่โดนเล่นงานที่มีมากถึง 1.9 ล้านเครื่อง สำหรับคอมพิวเตอร์ที่ถูกบอทเน็ตเข้าควบคุมการทำงานจะถูกเรียกว่า “zombie computer” โดยคอมพิวเตอร์ที่ติดบอทเน็ตเข้าไปจะถูกใช้ให้คลิกโฆษณา เพื่อแลกกับเงินค่าคลิกนั่นเอง ไซแมนเทคยังเตือนอีกด้วยว่า อาชญากรคอมพิวเตอร์ที่อยู่เบื้องหลังบอทเน็ต ZeroAccess ยังไม่สามารถระบุได้ อย่างไรก็ตาม การที่ไซแมนเทคใช้วิธีการปิดการทำงานของคอมพิวเตอร์ที่ติดไวรัสมากกว่า 500,000 เครื่อง เท่ากับเป็นการลดอำนาจการควบคุมของพวกมันได้เกือบถึง 25% เท่ากับลดการโจรกรรมโกงคลิกแลกโฆษณาลงได้ถึงหนึ่งในสีนั่นเอง สำหรับเทคนิคโกงคลิกโฆษณาของ ZeroAccess เพื่อแลกเม็ดเงินไปนั้นเรียกว่า “Click Fraud”

มาทำความเจ้าใจการทำงานของ ZeroAccess กันดีกว่าค่ะ เหล่าซอมบี้คอมพิวเตอร์ (คอมพิวเตอร์ที่ติดบอทเน็ตเข้าไปแล้ว) จะได้รับคำสั่งให้ดาวน์โหลดโฆษณาออนไลน์จากอินเทอร์เน็ต จากนั้นสร้างการคลิกเมาส์ปลอมๆ บนโฆษณาดังกล่าว เพื่อให้เซิร์ฟเวอร์โฆษณาเข้าใจว่า มันเป็นการคลิกโฆษณาที่มาจากผู้ใช้คอมพิวเตอร์เครื่องนั้นจริงๆ ซึ่งผลลัพธ์การคลิกโฆษณาดังกล่าวก็คือ เม็ดเงินที่จะไปเข้ากระเป๋าของเจ้าของบอทเน็ตนั่นเอง ยิ่งมีเครื่องที่ติดไวรัสตัวนี้เข้าไปเท่าไร จำนวนการคลิกโฆษณาก็จะมากขึ้นไปพร้อมๆ กับรายได้จากค่าคลิกโฆษณาที่เข้าไปยังกระเป๋าของอาชญากรคอมพิวเตอร์รายนี้นั่นเอง นี่มันปล้นกันชัดๆ นอกจากโกงคลิกแล้ว ZeroAccess ยังใช้คอมพิวเตอร์ที่ติดพวกมักเข้าไปสร้างเงินสกุลออนไลน์อย่าง Bitcoin เพื่อใช้ซื้อสินค้า และบริการได้อีกด้วย โอ้วแม่เจ้าอะไรมันจะร้ายปานนี้ อย่างไรก็ตาม บอทเน็ต ZeroAccess ไม่ได้ถูกควบคุมโดยเซิรฟ์เวอร์แค่หนึ่ง หรือสองตัวเท่านั้น แต่มันยังมีการควบคุมผ่านการสื่อสารระหว่างกลุ่มคอมพิวเตอร์ที่ติดไวรัสตัวนี้อีกด้วย การกระจายอำนาจในการควบคุมคอมพิวเตอร์ที่ตกเป็นเหยื่อทำให้การต่อสู้กับบอทเน็ตนี้เป็นเรื่องยากมาก

ในเดือนกรกฎาคม ไซแมนเทคเริ่มจับสัญญาณได้ถึงการสื่อสารระหว่างคอมพิวเตอร์ที่ติดไวรัสด้วยกัน ซึ่งเป็นที่มาของการตัดสินใจครั้งล่าสุดที่ทางบริษัทใช้วิธีตัดวงจรการเชื่อมต่อระหว่างคอมพิวเตอร์ซอมบี้เหล่านี้มากกว่า 500,000 เครื่อง อีกปัจจัยหนึ่ที่กระตุ้นให้ไซแมนเทคต้องดำเนินการเด็ดขาดนี้ก็เนื่องจากทางบริษัทได้ตรวจพบซอฟต์แวร์ ZeroAccess เวอร์ชันใหม่กำลังถูกปล่อยออกมาบนอินเทอร์เน็ต ซึ่งเวอร์ชันใหม่นี้จะยากต่อกำจัดมากขึนไปอีก สำหรับวิธีการจัดการกับบอทเน็ตวายร้ายตัวนี้ ไซแมนเทคใช้วิธีสร้าง mini-ZeroAccess หรือบอทเน็ตสายลับเข้าไปร่วมวงศาคณาญาตในเครือข่ายด้วย เพื่อศึกษาวิธีที่จะกำจัดมันออกจากเครือข่าย โดยทดสอบด้วยวิธีต่างๆ เป็นเวลาสองสัปดาห์แล้ว จนในที่สุดไซแมนเทคพบว่า การปิดการเชื่อมต่อของคอมพิวเตอร์ที่ติดบอทเน็ตเป็นวิธีที่ดีที่สุด ทั้งนี้ ISP ผู้ให้บริการอินเทอร์เน็ตจะแจ้งให้ผู้ใช้ที่เป็นเจ้าของเครื่องคอมพิวเตอร์ที่ติดไวรัสทราบด้วย ซึ่งเจ้าของเครื่องก็จะทราบเหตุผลที่ถูกตัดขาดการเชื่อมต่อเน็ตได้ว่า คอมพิวเตอร์ของพวกเขาได้ติดบอทเน็ต ZeroAccess กลายเป็นซอมบี้คอมพิวเตอร์โกงคลิกโฆษณา และสร้าง Bitcoin โดยที่ผู้ตกเป็นเหยื่อไม่รู้ตัวมาก่อนเลย

แต่อย่าเพิ่งดีใจไปนะคะ เพราะถึงแม้ว่า จะสามารถลดจำนวนเครื่องคอมพิวเตอร์ที่ติดบอทเน็ตไปได้มากถึงหนึ่งในสี่ของทั้งหมดแล้ แต่บอทเน็ตเวอร์ชั่นใหม่ที่ปล่อยออกมาแล้วจะกำจัดได้ยากกว่าเดิม จะเรียกได้ว่า พวกมันเป็นอาชญากรขั้นเทพก็ว่าได้ อย่างไรก็ตาม ไซแมนเทคกำลังเร่งหาวิธีในการกำจัดพวกมัน เนื่องจากหากปล่อยไว้ในไม่ช้า ZeroAccess บอทเน็ตก็จะเพิ่มจำนวนกลับไปเท่าเดิม เพราะทุกครั้งที่บอทเน็ตปล่อยออกมา แล้วยังไม่สามารถจับอาชญากรตัวการสำคัญได้ บอทเน็ตอันตรายก็ยังคงสามารถถูกสร้างออกมาใหม่ได้อยู่ดี ฟังแล้วเศร้าใจจริงๆ ยังไงก็ระวังตัวกันด้วยนะคะ ทางที่ดีติดตั้งซอฟต์แวร์ป้องกันไวรัส และหมั่นอัพเดทอยู่เสมอน่าจะเป็นทางออกที่ดีที่สุดค่ะ 😀

via nakedsecurity