មេរោគ HotPage
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញម៉ូឌុល Adware ដែលអះអាងថារារាំងការផ្សាយពាណិជ្ជកម្ម និងគេហទំព័រក្លែងបន្លំ។ ទោះជាយ៉ាងណាក៏ដោយ វាដំឡើងដោយសម្ងាត់នូវសមាសធាតុកម្មវិធីបញ្ជាខឺណែល ដែលអនុញ្ញាតឱ្យពួក Hacker ប្រតិបត្តិកូដបំពានដោយមានការអនុញ្ញាតខ្ពស់នៅលើប្រព័ន្ធវីនដូ។ មេរោគនេះមានឈ្មោះ HotPage ត្រូវបានកំណត់អត្តសញ្ញាណដោយឯកសារដំឡើងរបស់វា 'HotPage.exe ។
តារាងមាតិកា
តើមេរោគ HotPage ដំណើរការយ៉ាងដូចម្តេច?
កម្មវិធីដំឡើងដំឡើងកម្មវិធីបញ្ជាដែលអាចបញ្ចូលកូដទៅក្នុងដំណើរការពីចម្ងាយ រួមជាមួយនឹងបណ្ណាល័យពីរដែលស្ទាក់ចាប់ និងរៀបចំចរាចរបណ្តាញកម្មវិធីរុករក។ មេរោគនេះមានសមត្ថភាពកែប្រែ ឬជំនួសខ្លឹមសារនៃគេហទំព័រ បញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់ទំព័រផ្សេងៗ ឬបើកផ្ទាំងថ្មីដោយផ្អែកលើលក្ខខណ្ឌជាក់លាក់។
បន្ថែមពីលើការប្រើប្រាស់មុខងារស្ទាក់ចាប់ចរាចរណ៍ និងត្រងរបស់វា ដើម្បីបង្ហាញការផ្សាយពាណិជ្ជកម្មដែលទាក់ទងនឹងហ្គេម មេរោគនេះត្រូវបានរចនាឡើងដើម្បីប្រមូល និងបញ្ជូនព័ត៌មានប្រព័ន្ធទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយដែលភ្ជាប់ទៅនឹង Hubei Dunwang Network Technology Co., Ltd ដែលជាក្រុមហ៊ុនរបស់ចិន។
មុខងារចម្បងរបស់កម្មវិធីបញ្ជាគឺដើម្បីបញ្ចូលបណ្ណាល័យទាំងនេះទៅក្នុងកម្មវិធីកម្មវិធីរុករកតាមអ៊ីនធឺណិត ផ្លាស់ប្តូរលំហូរប្រតិបត្តិការរបស់ពួកគេដើម្បីផ្លាស់ប្តូរ URL ដែលបានចូលប្រើ ឬធានាថាទំព័រដើមនៃវគ្គកម្មវិធីរុករកថ្មីត្រូវបានបញ្ជូនបន្តទៅ URL ដែលបានបញ្ជាក់នៅក្នុងការកំណត់របស់វា។
អ្នកវាយប្រហារអាចទទួលបានសិទ្ធិកម្រិតខ្ពស់បំផុតលើឧបករណ៍ដែលមានមេរោគ
កង្វះនៃបញ្ជីត្រួតពិនិត្យការចូលប្រើ (ACLs) សម្រាប់អ្នកបើកបរអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានគណនីដែលមិនមានសិទ្ធិប្រើប្រាស់វាសម្រាប់សិទ្ធិខ្ពស់ ដែលអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិកូដជាគណនីប្រព័ន្ធ NT AUTHORITY\System ។
សមាសធាតុខឺណែលនេះបង្ហាញដោយអចេតនានូវកម្រិតសិទ្ធិខ្ពស់បំផុតនៅក្នុងវីនដូ គណនីប្រព័ន្ធ ចំពោះការគំរាមកំហែងដែលអាចកើតមាន។ ដោយសារការរឹតបន្តឹងការចូលប្រើមិនគ្រប់គ្រាន់ ដំណើរការណាមួយអាចធ្វើអន្តរកម្មជាមួយសមាសធាតុនេះ និងប្រើសមត្ថភាពចាក់កូដរបស់វាដើម្បីកំណត់គោលដៅដំណើរការដែលមិនបានការពារ។
ខណៈពេលដែលវិធីសាស្រ្តចែកចាយពិតប្រាកដរបស់អ្នកដំឡើងគឺមិនច្បាស់លាស់ មានភស្តុតាងដែលបង្ហាញថាវាត្រូវបានទីផ្សារជាដំណោះស្រាយសុវត្ថិភាពសម្រាប់ហាងអ៊ីនធឺណែត ដោយអះអាងថាដើម្បីបង្កើនបទពិសោធន៍រុករកដោយការទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្ម។
HotPage Malware កេងប្រវ័ញ្ចលើវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខា
កម្មវិធីបញ្ជាដែលបានបង្កប់នៃមេរោគនេះគឺគួរឱ្យកត់សម្គាល់ជាពិសេសព្រោះវាត្រូវបានចុះហត្ថលេខាដោយ Microsoft ។ ក្រុមហ៊ុនចិនដែលនៅពីក្រោយវាត្រូវបានគេជឿថាបានបំពេញតាមតម្រូវការចុះហត្ថលេខាលើកូដអ្នកបើកបររបស់ក្រុមហ៊ុន Microsoft និងទទួលបានវិញ្ញាបនបត្រ Extended Verification (EV) ។ ទោះយ៉ាងណាក៏ដោយ អ្នកបើកបរត្រូវបានដកចេញពី Windows Server Catalog គិតត្រឹមថ្ងៃទី 1 ខែឧសភា ឆ្នាំ 2024។
វីនដូតម្រូវឱ្យកម្មវិធីបញ្ជារបៀបខឺណែលត្រូវបានចុះហត្ថលេខាជាឌីជីថលជាវិធានការសុវត្ថិភាពដ៏សំខាន់ដើម្បីការពារប្រឆាំងនឹងកម្មវិធីបញ្ជាក្លែងបន្លំដែលអាចបំផ្លាញការគ្រប់គ្រងសុវត្ថិភាព និងរំខានដល់ដំណើរការប្រព័ន្ធ។
ទោះបីជាយ៉ាងនេះក្តី អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញថាតួអង្គគំរាមកំហែងនិយាយភាសាចិនដើមកំពុងកេងប្រវ័ញ្ចចន្លោះប្រហោងនៅក្នុងគោលការណ៍ Microsoft Windows ដើម្បីក្លែងបន្លំហត្ថលេខាលើកម្មវិធីបញ្ជារបៀបខឺណែល។ ការវិភាគនៃ HotPage ដែលហាក់ដូចជាបំណែកនៃមេរោគទូទៅ បង្ហាញថាអ្នកបង្កើតកម្មវិធី Adware បន្តឈានដល់រយៈពេលដ៏ច្រើនដើម្បីសម្រេចបាននូវគោលបំណងរបស់ពួកគេ។
