หมายเหตุ บทความนี้ไม่ได้เขียนขึ้นโดยผู้เชี่ยวชาญ โปรดใช้วิจารณญาณในการอ่าน

ไวรัสแฟลชไดรฟ์ แทบจะกลายเป็น Open Source ไปซะแล้วครับ

แบบว่าพัฒนากันไปเรื่อยๆ แกล้งกันไปแกล้งกันมา

ซึ่งส่วนมากจะเป็นพวกหนอน(Worm)หรือม้าไม้(Trojan) กันส่วนมาก (มีแถมๆเป็นพวก Downloader)

เมื่อก่อน ไวรัสแฟลชไดรฟ์ตัวเก่าๆ อย่างเจ้าหนอนสัญชาติอินโดนีเซีย Brontok ใช้วิธีปลอมตัวเป็นไฟล์ .exe ไปซ่อนในโฟลเดอร์ชื่อเดียวกัน

ตัวอย่าง โฟลเดอร์ชื่อ Work เราจะพบไฟล์ Work.exe ในนั้นอีกที เป็นไฟล์ของหนอน

สมัยต่อมา ไวรัสแฟลชไดรฟ์ก็ยังเล่นไม้นี้ แต่ซ่อนโฟลเดอร์ แล้วแทนที่ด้วยไฟล์ .exe ชื่อเดียวกัน เช่นเจ้า Flashy ซึ่งเขียนโดยคนไทย(ปลื้มจริงๆ), Sonahad หรือหนอนเวียดนาม Hakag ครับ

ต่อมาอีก ไวรัสไม่ต้องง้อผู้ใช้ในกดรันไฟล์ปลอมๆของมันอีกต่อไป โดยใช้เทคนิค Autorun ครับ โดยมันจะทำงานทันทีที่มีไฟล์ Autorun.inf ในแฟลชไดรฟ์ ใช้รันไฟล์ .exe ของไวรัสครับ เช่นไวรัสภาษาจีน Toy และหนอน Nhatquanglan (อ่านว่าอะไรน่ะ)

ต่อมา ไฟล์ .exe เริ่มล้าสมัย ไวรัสแฟลชไดรฟ์เลยเปลี่ยนแผน หันมาเล่นไฟล์ VB Script แทน เช่น Godzilla, Solow, IeTitle หรือพวก Hacked By (จริงๆคือการเอา Godzilla มาแก้สคริปต์่เท่านั้นเอง)

ทีนี้ โปรแกรมแอนตี้ไวรัส บางทีมันก็ตรวจจับและลบไฟล์ Autorun.inf ไปเลย ตั้งแต่เสียบแฟลชไดรฟ์ครับ (ผมใช้ Antivir มันเด้งก่อน ARDV อีก) เลยมั่นใจได้เลย

ความปลอดภัยมาเยือนซักพัก มันก็ต้องปรับตัวกันบ้าง คราวนี้ภัยคุกคามต่อไปนั้นเป็น "ไวรัส" ขนานแท้ ไม่ใช่หนอน โทรจัน หรือดาวน์โหลดเดอร์อีกต่อไป

ในปัจจุบันนี่จะหา "ไวรัส"จริงๆยากมาก เพราะที่เรียกว่าไวรัส จะเป็นการเรียกแบบครอบคลุมครับ

ตัวเจ้าปัญหาของเราคือ Win32/Almanahe ครับ ซึ่งผมติดมาจากโรงเรียน เพราะจะเอาโปรแกรมจากโน๊ตบุ๊คอาจารย์ โดยส่วนมาก ชื่อไวรัสที่มี Win32 หรือ W32 อยู่ด้วย จะเป็นพวก Windows Virus ครับ

หลักการทำงานของมันคือ มันจะสร้างไฟล์ boot.exe ไว้ในแฟลชไดรฟ์ และทำการเกาะไฟล์ .exe ในนั้นกิน

ไฟล์ .exe ในแฟลชไดรฟ์นั้นจะกลายเป็นไวรัสหมด และการทำงานต่อไปคือ หากเรารันไฟล์ .exe นั้นๆ จะเป็นการปล่อยไวรัสเข้าเครื่องทันที (ไฟล์ยังหน้าตาเหมือนเดิมนะ ไม่ได้ถูกสร้างใหม่)

ดังนั้นเราจะแยกไม่ออกเลยว่า ไฟล์ไหนเป็นไวรัส ถ้าโปรแกรม Antivirus แจ้งเตือน เราจะคิดไปเองว่า "โปรแกรมมันทำงานผิดพลาด มามองไฟล์ฉันเป็นไวรัสได้ยังไงล่ะนี่ ?" (ซึ่งจริงๆ มันเป็น)

การสแกนไวรัสนั้น Antivirus ที่ดีพอจะต้องทำให้ไฟล์นั้นกลับมาใช้งานได้ โดยไม่ต้องลบไฟล์ทิ้งครับ ซึ่งก็เหมือนเดิม บางตัวทำไม่ได้

โดยที่กลับบ้านมา ผมสแกนด้วย Avast ก่อนเลย ปรากกว่าเวลาเจอไวรัสมันกะจะให้ Move To chest ตลอดเลย (Repair ไม่ได้) ลองใช้โน๊ตบุ๊คที่ลง Antivir ก็ไม่ได้เช่นกัน

เลยต้องตัดใจ ลบโปรแกรม Portable กับเกมทิ้งหมดแล้วลงใหม่

ส่วนอาการเครื่องที่ติดไวรัสตัวนี้ไปแล้ว แทบจะแยกไม่ออก เพราะไวรัสตัวนี้ไม่ได้ปิด Task Manager, Search, Regedit, Command Prompt และไม่ได้ไปจุ้นจ้านกับ IE ด้วย

อาการคือ เครื่องอืดเลย และ Antivirus ยังทำงานอยู่ (มีไอคอนขึ้น แต่เดี้ยงไปแล้ว) และเวลาเสียบแฟลชไดรฟ์ คือมันจะสังเกตยากมากเลยว่าโดนของไปแล้ว

ดังนั้น คุณจงระวังไฟล์ในแฟลชไดรฟ์คุณไว้ให้ดี ว่ามันจะไม่ติดไวรัส และแน่ใจอีกทีั ว่าคุณไม่ได้สั่งให้ Antivirus เพิกเฉยไวรัส เพราะบางครั้ง มันก็สายไปแล้ว

ข้อมูลเพิ่มเติมคลิกที่นี่ ข้อมูลจากจาก Viruslist สังกัด Kaspersky

Comment

Comment:

Tweet

ใช่ค่ะ Win32 นี่ทำเสียน้ำตาไปหลายรอบกับการจำต้องลบโปรแกรมในแฟลชไดร์ฟทั้งหมด

ขนาดใช้พี่นอร์ตัน360 หมดไปสามพันหก ยังไม่แน่ใจเลยเนี่ย...sad smile

ขอบคุณสำหรับข้อมูลค่ะ ดีมากเลย big smile Hot!

#7 By * a o M * on 2008-05-07 20:29

ถือเป็นอันตรายระดับ 2 สำหรับการเกาะไฟล์แล้วให้คนหลงเปิด เลยต้องมีโปรแกรมสแกนไวรัสดีๆมาช่วย (ยกเว้นใครที่ใช้โปรแกรมพวก ฐาน 16 แก้ไขลบไวรัสเอา)

#6 By - [ S l o w b l a d e ] - on 2008-05-06 10:31

- -

อันตรายอย่างแรง เพราะต้องพก Flashdrive เอาไปโหลดคลิป Ben 10 ภาคใหม่อยู่wink

#5 By XLR8 on 2008-05-05 22:27

น่ากลัวเชียว เจ้าตัวใหม่นี่

#4 By ไลก้าคุง on 2008-05-05 21:50

โอ๊ว กลัว............

ล่าสุดเพิ่งลงคอมใหม่ เพิ่งเอาแอนตี้ไวรัสมาลง จะกันอยู่หมัดไหมเนี่ย=[]=lll

#3 By ❉✱ll N ö K ll✱❉ on 2008-05-05 18:51

ตายละ โดนของไปยังเนี่ยะsad smile

#2 By Meowzilla Zilla on 2008-05-05 18:34

สมัยก่อนโปรแกรมดักจับไวรัสเคยใช้วิธีสร้างไฟล์เล็ก ๆ เก็บข้อมูลของไฟล์ exe เอาไว้ (เช่นขนาดไฟล์ หรือรหัส CRC ) จะได้ตรวจการเปลี่ยนแปลงของไฟล์เหล่านั้นได้... แต่ยุคที่ไวรัสเกาะท้ายไฟล์ exe หมดไป เทคนิคนี้ก็ถูกลืมเลือน....

ท่าทางใกล้เวลางัดกลับมาใช้แล้วสินะ sad smile (แต่ไอ้พวกไวรัสมันคงลบไฟล์เก็บข้อมูลพวกนี้หมดแหง ๆ )

#1 By NinkungZ on 2008-05-05 17:00