กระดานแสดงความคิดเห็น

ปรับปรุง : 2566-10-15 (กระดานแสดงความคิดเห็น)

ทดสอบโปรแกรม prorat และวิธีลบ ที่เป็นข่าวเรื่องดูดเงินธนาคาร

Download : 333.gif

พบข่าวว่า รวบแฮกเกอร์ เจาะ-ดูดเงิน ลูกค้ากรุงไทย
ข้อมูลจาก ไทยรัฐ
http://tnews.teenee.com/crime/22489.html
http://hilight.kapook.com/view/22913
http://en.wikipedia.org/wiki/Prorat
Prorat is a Microsoft Windows based backdoor trojan horse from prorat.net
It is RAT = Remote Administration Tool

เปิดเผยเมื่อเวลา 17.45 นาฬิกา วันที่ 17 เมษายน พ.ต.อ.อาคม ช้างพลายแก้ว ผกก.ฝ.5 บก.ปศท. พ.ต.อ.ธนา ชูวงศ์ ผกก.สภ.เมืองสมุทรปราการ พ.ต.ท.สถาพร รอดโพธิ์ทอง รอง ผกก.ฝ.5 ร่วมกับ พ.ต.ท.สุรวุฒิ แสงรุ่งเรือง สวป.สภ.เมืองสมุทรปราการ ร.ต.อ.นพดล ช่างเรือน รอง สวป. พร้อมกำลัง นำหมายศาลอาญากรุงเทพใต้ หมายเลข 419/2551 จับกุมนายดุสิต พิมพ์สุวรรณ อายุ 20 ปีได้ที่ห้องพักหมายเลข 1202 ชั้น 2 บ้านพักเจ้าท่าสมุทรปราการ ถนนด่านเก่า ต.ปากน้ำ พร้อมของกลาง ซิมการ์ดโทรศัพท์มือถือ 15 ตัว กับซีพียูคอมพิวเตอร์จำนวน 1 เครื่องข้อหาเข้าถึงข้อมูลโดยมิชอบและแก้ไขเปลี่ยนแปลงเพิ่มเติมข้อมูลคอมพิวเตอร์เพื่อการลักทรัพย์

ทั้งนี้ สืบเนื่องจากเจ้าหน้าที่ตำรวจกองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและเทคโนโลยี (ปศท.) ได้รับแจ้งจากธนาคารกรุงไทยจำกัด (มหาชน) สำนักงานใหญ่ เมื่อวันที่ 10 เมษายน 51 ว่า มีลูกค้าของธนาคารหลายรายร้องเรียนว่าเงินในบัญชีธนาคารที่ได้มีการเปิดบัญชีออนไลน์ หรือที่เรียกกันว่าการใช้โปรแกรม ID-PLUS+ ถูกดึงเงินออกจากบัญชีไปยอดเงินรวมไม่ต่ำกว่า 800,000 บาท จึงได้มีการวางแผนสืบสวนและตรวจสอบจาก IP:address หมายเลขเครื่องคอมพิวเตอร์ของกลุ่มลูกค้าผู้เสียหาย

กระทั่งทราบว่าแต่ละเครื่องก่อนที่จะถูกดึงเงินออกจากบัญชี ได้มีการเข้าไปเล่นอินเตอร์เน็ตในเว็บ ประมูลดอทคอม หรือ www.pramool.com และได้เข้ากระทู้ที่ตั้งโดยสมาชิกเว็บที่ใช้นามแฝงว่า DEKROCK777 และโหลดโปรแกรมออกมาจากเว็บดังกล่าว ซึ่งเป็นโปรแกรมที่สามารถเชื่อมต่อคอมพิวเตอร์ของผู้เสียหายกับสมาชิกเว็บคนดังกล่าวได้ และตรวจสอบจนทราบว่าสมาชิกเว็บคนดังกล่าวเป็นใคร ก่อนขออนุมัติหมายศาลเข้าจับกุมตัว

จากการสอบสวน นายดุสิต แฮกเกอร์หนุ่ม ให้การว่า เป็นนักเรียน กศน.อยู่ที่ศูนย์การศึกษานอกโรงเรียนจังหวัดสมุทรปราการ ใช้เวลาว่างในการเล่นเกมคอมพิวเตอร์ออนไลน์และเป็นสมาชิกของเว็บประมูล จนกระทั่งได้โปรแกรม prorat มาใหม่จากเพื่อนซึ่งเป็นโปรแกรมในการสร้างไวรัสโทรจัน ซึ่งโปรแกรมนี้สามารถใช้เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นๆ ที่กำลังทำการเปิดเครื่องอยู่ในลักษณะออนไลน์ จึงได้ลองตั้งกระทู้ในเว็บบอร์ดแล้วแนบโปรแกรมดังกล่าวให้สมาชิกในเว็บแต่ละคน บางรายมีการเปิดระบบ ID-PLUS+ ซึ่งเป็นระบบการสั่งให้ฝากถอนเงินในบัญชีธนาคารกรุงไทย ผ่านทางอินเตอร์เน็ต หรือที่เรียกกันว่า KTB-online

จากนั้นจะตรวจสอบหมายเลขบัญชีของเจ้าของเครื่องคอมพิวเตอร์แต่ละราย ก่อนหน้านั้นเคยสั่งจ่ายเงินจากบัญชีของเจ้าของเครื่องไปจ่ายค่าโทรศัพท์มือถือของดีแทคด้วย และยังเคยรับบริการรับฝากเติมเงินค่าโทรศัพท์มือถือจากกลุ่มเพื่อน หากเติมเงิน 100 บาท ก็ให้จ่ายเงินกับตนแค่ 50 บาท โดยใช้เครื่องคอมพิวเตอร์ที่มีบัญชีของธนาคารกรุงไทย กดสั่งจ่ายชำระ เพิ่งทำไม่กี่ครั้ง ไม่คาดคิดว่าจะถูกจับกลายเป็นเรื่องราวใหญ่โตขนาดนี้

ทางด้าน พ.ต.อ.อาคม ช้างพลายแก้ว ผกก.ฝ.5 บก.ปศท. กล่าวว่า หลังรับแจ้งได้ให้ฝ่ายสืบสวนตรวจสอบเครือข่ายของเครื่องผู้เสียหายแต่ละคน จนทราบว่ามีการเข้าเว็บไหน และโหลดโปรแกรมอะไรลงเครื่องบ้าง จนทราบว่าแต่ละคนได้เข้ากระทู้ที่ตั้งโดยผู้ต้องหาใช้ชื่อนามแฝงว่า DEKROCK777 จึงได้มีการตรวจสอบ ไอพีแอดเดรส จนทราบตัวผู้ต้องหาและที่อยู่ก่อนขออนุมัติหมายศาลและประสานเจ้าหน้าที่ตำรวจในพื้นที่เข้าจับกุม
---------------------
วิธีลบ prorat อ่านจาก
http://www.scanspyware.net/info/Prorat.htm
http://www.2-spyware.com/remove-prorat-trojan.html
---------------------
Prorat เป็น backdoor ที่ผู้ไม่ประสงค์ดีส่งมาให้เรา
1. จึงรู้ว่า prorat.net เป็นแหล่งเผยแพร่โปรแกรมนี้
พอผู้ไม่ประสงค์ดี download โปรแกรม prorat 1.9 มาก็สร้าง prorat server ขนาด 350764 Byte
แล้วส่งให้เหยื่อ พอเหยื่อ run โปรแกรมที่ผู้ไม่ประสงค์ดีส่งมาให้ โปรแกรมก็จะหายไป และเปิด port 5110 หรือที่กำหนด
ตรวจการเปิด port ด้วย netstat -na
ก็จะมีประตูหลังให้กับผุ้ไม่ประสงค์ดีเข้าไปทำอะไรได้มากมาย
2. ผู้ไม่ประสงค์ดีอาจสร้าง down_server.exe ขนาด 2832 Byte
เมื่อเหยื่อ run โปรแกรมนี้ ก็จะ download โปรแกรม prorat server จากเครื่องที่เก็บแฟ้ม prorat server มาประมวลผลอัตโนมัติ
และเปิด port 5110 หรือที่กำหนด ในทันที
3. ผู้ไม่ประสงค์ดีจะเชื่อมต่อไปเครื่องเป้าหมาย และควบคุมได้
รหัสผ่านที่ถามเมื่อ connect มักเป็น 123456
แต่ถ้ารหัสผ่านตอน unzip คือ pro
4. เครื่องที่มี antivirus จะลบแฟ้ม prorat อัตโนมัติ
ถ้าจะทดสอบต้องหยุดการทำงานของ antivirus ไว้ครับ

จากคุณ : บุรินทร์ .
12:56am (2/05/08)

บทความเกี่ยวกับไอทีในชีวิตประจำวัน (Information Technology in Life) ถูกเขียนลงในหนังสือพิมพ์ฅนเมืองเหนือ เป็นหนังสือพิมพ์รายสัปดาห์ เริ่มเขียนปลายปีพ.ศ. 2549 จนถึงมิถุนายน พ.ศ.2560 รวมได้ 611 บทความมีโฮมเพจอยู่ที่ http://www.thaiall.com/itinlife และ http://www.thaiall.com/opinion เพื่อเป็นแหล่งแบ่งปันเรื่องราวที่ได้พบ ได้อ่าน ได้ปฏิบัติ แล้วนำมาเรียบเรียงแบ่งปันแก่เพื่อนชาวไทย และส่งให้กองบรรณาธิการนำไปตีพิมพ์ลงในหนังสือพิมพ์ท้องถิ่นของจังหวัดลำปาง

Opinion แปลว่า ความคิดเห็น วาทะ ความเชื่อ ที่สามารถสะท้อนออกมาให้อยู่ในรูปของวรรณกรรม หรืองานเขียน ที่เรื่องราวจะถูกร้อยเรียงเป็นตัวอักษร ไล่เรียงตามลำดับให้ได้รู้และเข้าใจความคิดความเห็น ที่ไม่เลือนหายไปตามเวลาเหมือนความทรงจำ

version 1.3 (15 ตุลาคม 2566)

Thaiall.com

Truehits.net

"ไม่เริ่มต้นในวันนี้ จะไม่มีทางสำเร็จในวันพรุ่ง" โดย โยฮัน ว็อล์ฟกัง ฟ็อน เกอเทอ

Thaiall.com

Truehits.net