การแก้ปัญหา
เปิด facebook ขึ้นมาพร้อมกับความตกใจ ว่าทำไม Notification มันแจ้งเตือนเยอะขนาดนี้ แต่สุดท้ายกลับพบว่ามันเป็นแบบนี้
ซึ้งมันคือไวรัส ที่มันลิ้งต่อไปยังเว็บไซต์ที่ hacker ได้เขียนมาเพื่องานนี้โดยเฉพาะ ซึ่งดูได้จากมุมมองแบบ Source Code จะเห็นเป็นแบบนี้
จาก Source Code บ่งบอกให้เห็นว่า ได้มีการ Redirect ไปยังอีกเว็บไซต์หนึ่ง ซึ่งข้างในก็จะมีโค้ดประมาณนี้
จากที่รูป จะเห็นได้ว่า Code มีการแบ่งชนิดของ Browser ว่าเป็น Google Chrome หรือ Firefox เพื่อให้ Redirect ไปยังลิ้งตามชนิดของ Browser
ภายในลิ้งที่ระบุชนิดของ Browser แล้ว ในที่นี้ จะยกตัวอย่างของ Google Chrome จะมี Popup มาให้กด Install Extension ของ Google ซึ่งมันจะเด้งเรื่อยๆ จนกว่าเราจะกดติดตั้ง Extension
หน้าตาของ Extension ใน Chome Web Store
- - ข้อมูลของคุณบนเว็บไซต์ทั้งหมด
- - ข้อมูลที่คุณคัดลอกและวาง
- - การตั้งค่าที่กำหนดว่าเว็บไซต์จะสามารถใช้คุณลักษณะอย่าง คุกกี้ JavaScript และปลั๊กอินได้หรือไม่
- - ประวัติการเข้าชมของคุณ
- - รายการแอปพลิเคชัน ส่วนขยาย และธีมที่ติดตั้งไว้แล้วของคุณ
- - แท็บและกิจกรรมการเรียกดูของคุณ
ซึ่งดูแต่ละอย่างแล้ว ไม่น่าไว้วางใจมากๆเลย ผมเลยลองโหลดตัว Extension ตัวนี้มาเพื่อดูกระบวนการทำงานของมัน ว่ามันทำงานอย่างไร
นี่คือไฟล์ .crx ซึ่งมันคือไฟล์ Extension ของ Google Chrome
เราสามารถ extract ไฟล์ตัวนี้ได้โดยใช้ โปรแกรม winzip เราจะได้ไฟล์มาทั้งหมดแบบนี้
Script การทำงานจริงๆจะอยู่ที่
ซึ่งจากรูปจะเห็นว่ามีการค้นหาแท็ปที่เราเปิด ว่าเราเปิด facebook ไว้หรือไม่ ถ้าเปิดจะทำการเรียกข้อมูลจากในวงกลมที่สอง
ซึ่งข้อมูลที่ได้จากการเรียก จะเป็นประมาณนี้
จากรูป จะเห็นว่า จะ script การทำงานที่เชื่อมต่อกับ facebook เพื่อทำการกระจายไวรัส ในรูปแบบของการ tag ไปยังคนที่เป็นเพื่อนใน facebook ของเรา
การแก้ปัญหา
1. เข้าไปลบ Extension ตัวนี้ทิ้ง
2.ถ้าลบ Extension ไม่เป็นจริงๆ แนะนำว่า ลบ Browser ทิ้งซะเลย
การลบ Extension ของ Google Chrome
เข้าไปที่ Tools -> Extension จะได้หน้าต่างขึ้นมาแบบนี้
หลังจากนั้นก็ค้นหา Extension ที่ชื่อว่า Business Flash Player แล้วกดลบ Extension ตรงรูปถังขยะทิ้งเลยครับ
สุดท้ายนี้ก็ขอให้ทุกคนได้สังเกต ลิ้ง แปลกๆ Extension plugin แปลก ที่มันจะเป็นเหตุของการติดไวรัส เพื่อจะได้ไม่เกิดปัญหาภายหลังครับ