คำอธิบาย Virus,Trojan,Malware ฯลฯ (เวอร์ชั่นปรับปรุงใหม่)
posted on 01 Sep 2008 11:43 by warbandit in Virus-Riskผมได้รับคำถามทางอีเมล์ครับ คำถามสั้นๆ แต่ใจความ
ก่อนอื่นต้องอธิบายก่อนว่าในเอ็นทรีนี้จะใช้คำว่า Malware (ย่อมาจาก Malicious Software) ในการอธิบาย
คำถามมันมีอยู่ว่า
Q: พี่คะ Virus,Spyware,Malware,Trojan,Worm และอื่นๆ คืออะไรเหรอคะ? แล้วจะดูยังไง? ขอแบบละเอียดๆ หน่อยนะคะ
ได้เลยฮะ เราจะตอบกลับให้แบบละเอียดยิบทุกตัวเลย
A: ก่อนอื่นขอเริ่มต้นที่ Malware ก่อนเลย ซึ่งในที่นี่ Malware หรือ Malicious Software คือ โปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่าย หรือเป็นคำที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อ ระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Mal, Mw, Malware
การจะเขียนมัลแวร์ซักตัวจะต้องใช้ภาษาต่างๆ ในการเขียนโปรแกรมขึ้นมา ซึ่ง Antivirus บางโปรแกรมก้สามารถบอกได้ว่า Malware ตัวนั้นๆ เขียนขึ้นมาด้วยโปรแกรมอะไร
เช่น
- VB = Visual Basic
- Delf = Delphi
- VC, CP = C / C++ / VC
- Java, JS = ภาษาจาว่า
Virus = แพร่เชื้อไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวมันเองเข้าไป ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ต้องอาศัยไฟล์พาหะ เช่น Flash Drive หรือ Network Drive สิ่งที่มันทำคือสร้างความเสียหายให้กับไฟล์
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Vir, W32, Win32, Virus, VirTool
##หมายเหตุ## Win32 อาจจะไม่ได้หมายถึง Virus เสมอไป แต่หมายถึง Malware ที่สามารถรันได้บนระบบปฏิบัติการแบบ 32bit ด้วย (64bit ก็มีผลนะจ๊ะ)
Worm = หนอนอินเทอร์เน็ต สามารถคัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมล์,ระบบเครือข่าย หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื่อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย และระบบอินเทอร์เน็ต
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Worm, Wrm
Trojan = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเอง มักจะเป็นรูปแบบไฟล์ Packer ที่มีนามสกุล .EXE หรือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุม(Hijack) เครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า TR, Trj, Trojan, Trojan Horse
Spyware/Adware = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองหรืออาศัยช่องโหว่ของ WebBrowser และระบบปฏิบัติการในการติดตั้งตัวเองลงในเครื่อง สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Spy, Spyware, ADSPY, ADW, ADS, Adware, Adload, not-a-virus, Monitoring
Dropper = ใช้สำหรับนำไฟล์ที่เป็น Malware ไปวางในไดรฟ์หรือโฟลเดอร์ต่างๆ ไปเรื่อยๆ เพื่อหลบหนีจากโปรแกรมตรวจจับ
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า DR, DROP, Dropper, Drp
Script = เป็นการใช้คำสั่ง VBS (Visual Basic Script), JS (Java Script) , HTML Script, PHP Script หรือ .BAT ในการรันตัวเองขึ้นมา มีความรุนแรงต่ำ สามารถติดเชื้อไปยังเครื่องอื่นได้โดยใช้พาหะ โดยทั่วไปจะไม่มีผลอะไรเมื่อยังไม่ได้รัน
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า JS, VBS, Scr, Script, HTML, PHP, BAT
Exploit, Hacktool = โปรแกรมของพวก Hacker,Cracker ใช้จู่โจมจากช่องโหว่ระบบปฏิบัติการหรือ Web Browser ของเหยื่อ เมื่อไม่มี Patch หรืออะไรมาปิดกัน จะทำให้จู่โจมได้ง่ายขึ้น ความสามารถคือรบกวนระบบปฏิบัติการและโปรแกรมบางชนิด
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า EXP, Exploit, Hack, Hacktool, HCK
Backdoor = สามารถเปิด Port ของคอมพิวเตอร์ให้สามารถมองเห็นและจู่โจมโดย Hacker, ส่งอีเมล์ขยะ และยังสามารถเปิด Port ให้สามารถแพร่กระจายสู่คอมพิวเตอร์เครื่องอื่นได้
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า BDS, Backdoor, Bck
Rootkit = เป็นรูปแบบการโจมตีแบบพิเศษที่สามารถซ่อนตัวในโปรแกรมหลัก (Root) หรือซ่อนตัวใน Process ในระบบที่ติดไวรัส ทั้งนี้เพื่อป้องกันการตรวจจับจากโปรแกรม และการ Terminate จากผู้ใช้ ซึ่งผู้ดูแลระบบไม่สามารถเห็นได้จึงทำให้ไม่สามารถตรวจจับได้
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Root, Rootkit, Rkit
Downloader =โปรแกรมอัตโนมัติที่ใช้ดาวน์โหลดไฟล์จากอินเทอร์เน็ต ส่วนมากจะเป็นการโหลด Malware มาไว้ที่เครื่อง และรันการทำงานได้
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Dldr, Download, Down, Downloader, Dloader
Keylogger = โปรแกรมชนิดหนึ่งที่แฝงตัวเข้ากับระบบคอมพิวเตอร์ เพื่อเก็บข้อมูลการกดแป้นคีย์บอร์ด และดักเอารหัสผ่านต่างๆ เพื่อนำไปให้ผู้ไม่ประสงค์ดีนำเอาไปใช้งาน
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Keylogger, Klg, Keylog , Stealer
Password Stealer =โปรแกรมขโมย Password โดยจะอาศัยการตรวจจับ Process และจึงเข้าไปเก็บข้อมูลการ Login เพื่อนำข้อมูลไปใช้ผลประโยชน์ในทางมิชอบ มักจะใช้ในการขโมย ข้อมูล Login ตามหน้าเว็บไซท์ โปรแกรมต่างๆ รวทั้ง Password จากเกมออนไลนด้วย
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า PWS, PSW, Hack, Theif, OnlineGames, Stealer, GameOL
Dialer = คือแอพพลิเคชั่นที่ทำงานโดยการสั่งให้โมเด็มคุณตัดการเชื่อมต่อจาก ISP ที่ใช้บริการ โดยหมุนหมายเลยไปยังผู้ให้บริการในต่างประเทศ ทำให้มีค่าโทรศัพท์ที่สูงขึ้น
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Dial, Dlr, Dialer
Phishing = เป็นเทคนิคการทำ social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทำธุรกรรมทางการเงินบนอินเตอร์เน็ต เช่นบัตรเครดิตหรือพวก online bank account
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Phish, Phishing
Packer, Runtime = มัลแวร์ที่ใช้ลักษณะการมาในรูปแบบการเข้ารหัสตัวเอง, ตัว Installer, Self Extractor (.exe) หรือ Packer ที่มาในรูปแบบนี้ เพื่อหลีกเลี่ยงการตรวจจับแบบ Realtime ของ Antivirus แต่สามารถตรวจจับได้โดยการสั่งสแกน
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Crypt, PCK, Runtime, Pack, Packed, Exact, not-disinfectable
Rogue Security Program =โปรแกรมหลอกลวง มักจะเป็นโปรแกรม Antivirus หรือ Anti Spyware หลอกให้ผู้ใช้เอาไปติดตั้ง โดยโปรแกรมจะรายงานผลการตรวจจับที่ "ไม่มีอยู่จริง" และจะให้ผู้ใช้โอนเงินไปให้ เพื่อกำจัด Malware ที่โปรแกรมตรวจจับได้ แต่ที่จริงแล้ว เป็นการหลอกลวงทั้งหมด
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Fraud Tool, FT, Fraud, Rogue, Fake, SPR, not-a-virus
Cookies = ไม่มีความรุนแรง เป็นเพียงขยะที่ได้จากการท่องอินเทอร์เน็ต มักจะอยู่ใน Cache ของ Browser เท่านั้น ความสามารถคือจดจำค่าการ Login ที่หน้าเว็บไซท์ไว้ ซึ่ง Malware บางชนิดจะเก็บรวบรวมข้อมูลจากไฟล์เหล่านี้เพื่อดูว่าคุณไปเว็บไหนมาแล้วบ้าง
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Tracking Cookie, Cookie, HTTP Cookie, Internet Cookie
Heurestic, Proactive = เป็นการทำงานของ Antivirus สมัยใหม่ ที่ใช้การวิเคราะห์ Code หรือค่า MD5 ของไฟล์ คือหากเจอไฟล์น่าสงสัยจะรายงานทันที ให้ผู้ใช้ตัดสินใจ ซึ่งการทำงานแบบนี้จะทำให้จับไวรัสได้เยอะขึ้น แต่ก็เสี่ยงต่อการทำงานผิดพลาดของโปรแกรม หรือที่เรียกกันว่า False Positive,False Alarm คือการแจ้งว่าไฟล์เป็น Malware แต่จริงๆไม่ใช่
แต่ข้อดีของ Heuristic คือเหมาะกับ Antivirus ที่ไม่ได้ Update บ่อยๆ คือจะได้รับมือกับไวรัสใหม่ๆได้ แต่ทางที่ดีควรจะ Update บ่อยๆ จะได้จับได้เยอะๆ และไม่มีการทำงานผิดพลาดเกิดขึ้น
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีคำว่า Heur, Gen, Generic, Variant, Suspend, Posibility, Unknown, New Virus, Infected, Behave Like, No Name, PE, Unclassified
Other OS Malware = อย่างที่บอกไปแล้วว่า Win, Win32, W32 คือไวรัสบนวินโดวส์ มัลแวร์จากระบบปฏิบัติการอื่นๆ ส่วนมากจะไม่ค่อยได้พบเจอบ่อยๆ แม้จะไม่มีผลกับระบบปฏิบัติการที่เราใช้อยู่ แต่บาโปรแกรมก็สามารถตรวจจับได้ เพื่อป้องกันการแพร่กระจายผ่านระบบปฏิบัติการ
ข้อสังเกตตอนโดนจับได้ในชื่อจะมีชื่อของระบบปฏิบัติการอยู่ เช่น
- Lin,Linux = Malware สำหรับลินุกส์
- MacOS, OSX, MAC = มัลแวร์สำหรับเครื่องแม็ค
- Symbos, Sym มัลแวร์สำหรับระบบปฏิบัติการบนมือถือ
หวังว่าคำตอบของพี่คงไม่ทำให้น้องเบื่อหน่ายตัวหนังสือนะครับ
ด้วยความหวังดี 
By. Ratcicle
#1 By V@R on 2008-09-01 13:32