ทำยังไงดีถ้า Antivirus ไม่เจอไวรัส ?

posted on 11 Sep 2008 16:03 by warbandit in Virus-Risk

ผมขอยืนยัน นั่งยัน และนอนยันว่า ในโลกนี้ไม่มี Antivirus ตัวไหนป้องกันไวรัสได้ 100% ไม่ว่าจะพยายามใช้เทคโนโลยีระดับสูงแต่ไหนมาช่วย อย่างมากก็กันได้ 98% (ค่าเฉลี่ย)

อ้อ ไม่ต้องไปนึกถึงโปรแกรมโนเนมของพวกชาติเกานะ พวกนี้มันชอบคิดว่าตัวเองฉลาด รื้อเอ็นจินโปรแกรมใหม่แม่งทุกวัน ด้วยความหวังว่าโปรแกรมตูจะจับได้เยอะขึ้น ปัญหาคือไฟล์อัพเดตก็ใหญ่โตมโหฬาร แถมยังโหลดช้าด้วย (เสียเงินซื้อก็เหอะ)

พอก่อนๆ เดี๋ยวผู้บูชา Antivirus เกาหลีจะส่ง Feedback มาให้อย่างท่วมท้น

ใครที่ส่งเมล์มาถามผมบ่อยๆว่า "แอนตี้ไวรัสตัวไหนดีที่สุด" ผมไม่ตอบนะครับ เพราะอันที่ผมว่าดี อาจจะไม่ดีในการใช้งานของคุณก็ได้

อย่างที่บอกคือ ในโลกนี้ไม่มี Antivirus ตัวไหนป้องกันไวรัสได้ 100% มันก็ต้องมีพลาดบ้าง

แล้วเราจะทำยังไงกันดีล่ะ ?

เรามาดูกรณีศึกษา Base on True Story เรื่องนี้กันครับ

------------------------------

คอมที่ห้องสมุดมหาลัยฯผมไม่สะอาดทุกเครื่อง เสียบแฟลชไดรฟ์ทีไรได้ของแถมเป็นหนอน โทรจัน และไวรัสทุกครั้ง

แต่ครั้งนี้ดูเหมือนว่าพวกมันจะผนึกกำลังกันสร้างไวรัสตัวใหม่กัน

ผู้ร้ายของเราวันนี้คือ Malware ตัวเก่าๆ อย่าง Win32.Disabler.I และ Win32.Virut ครับ

ทบทวนกันก่อน

Win32.Disabler.I คือชื่อจริงของไวรัส Flashy ที่ เราคุ้นๆกันดีว่าระบาดพอๆกับ Brontok ในสมัยนั้นเลย (ปี 2549) การทำงานคือปิด Task Manager, Command Prompt, Folder Option และ Security Center รวมทั้งสร้างไฟล์ที่มีชื่อเหมือนโฟลเดอร์แต่ตามท้ายด้วย .exe และไฟล์ Flashy.exe ในแฟลชไดรฟ์

ส่วน Win32.Virut ใครจะอ่าน ว่า "ไวรุท" "วิรุท" หรือ "ไวรัท" ก็ช่างมัน มันก็คือไวรัสที่ไปเกาะไฟล์ .exe กินในทุกไดรฟ์ รวมทั้งแฟลชไดรฟ์ และสร้างไฟล์ Autorun.inf กับ MS-DOS.com ขึ้นมาให้รันตัวเองเมื่อดับเบิ้ลคลิกเข้าแฟลชไดรฟ์

งานนี้มันส์แน่ เพราะคอมที่ห้องสมุดมันติดเจ้าสองตัวนี้ เจ้า Flashy ก็สร้าง .exe ส่วน Virut ก็เกาะไฟล์ .exe ทีมันสร้างขึ้นมา

กลับมาบ้าน Kaspersky สแกนและกำจัดเท่าที่มันกำจัดได้ไปหมดแล้ว แต่ทำไมรูปโฟลเดอร์แตกๆ ยังอยู่อีกล่ะเนี่ย (คนช่างสังเกตจะรู้ดี)

ผมก็เลยจับไฟล์ทั้งหมดบีบ Zip ซะ ตั้งรหัสผ่าน แล้วส่งไปที่ Kaspersky Labs

ผลตอบกลับมาแบบนี้ครับ

Flashy+Virut กลายเป็นชื่อใหม่ Win32.Disabler.AT ซะงั้น

------------------------------

จากกรณีศึกษานี้ การที่ Antivirus ตัวไหนไม่รู้จักไวรัสตัวนั้นๆ สิ่งที่ User ต้องทำคือ "ส่งไฟล์ไปให้ผู้พัฒนา"

เพราะถ้าค่ายไหนที่ Response Time (การตอบสนองของฐานข้อมูลกับไวรัสในปัจจุบัน) ต่ำๆ เค้าจะออกฐานข้อมูลไวมากๆครับ อาจจะภายใน 12-24 ชม.

สำหรับพวก Local ก็อาจจะเป็นสัปดาห์ครับ ปล่อยให้ไวรัสมันแด๊กในประเทศไปเรื่อยๆ สมน้ำหน้า

แล้วจะส่งไปที่เมล์ไหนล่ะ ?

ไม่รู้ไม่เป็นไรครับ เดี๋ยวเราจะเอาเมล์ของผู้ผลิตแต่ละรายมาลงไว้ที่นี่กัน (แทนที่ [at] ด้วย @)

newvirus[at]kaspersky.com - Kaspersky
virus[at]avast.com - avast!
virus[at]grisoft.cz - AVG
samples[at]eset.com - Nod32
samples[at]sophos.com - Sophos
virus_submission[at]bitdefender.com - Bitdefender
avsubmit[at]symantec.com - Norton
vsample[at]avertlabs.com -Mcafee

อ้อ! เวลาส่ง ให้บับอัดเป็น .zip ตั้งรหัสผ่านว่า virus หรือ infected ด้วยนะ แล้วบอกไปในอีเมล์ไปเลยว่า Password คืออะไร เพราะเดี๋ยวพวก Gateway หรือ Firewall จะลบไฟล์ทิ้งไป

[หมายเหตุ - Antivirus ชนิดที่ไปเช่า Engine คนอื่นมา เช่น F-secure, Zonealarm, Gdata และ eScan ให้ส่งไปหา Kaspersky]

แต่สำหรับ Avira กับ ClamAV สามารถ Upload ผ่านทางเว็บได้ ตามนี้ครับ

http://analysis.avira.com/ - Avira
http://cgi.clamav.net/sendvirus.cgi - ClamAV

หวังว่าคงจะเป็นประโยชน์ในการใช้ Antivirus แล้วมันไม่ Detect ไวรัสทั้งๆที่มันอยู่ตรงหน้านะครับ จะได้รู้ๆกันไว้ ไม่ใช่พอมันจับไม่ได้ก็ตั้งกระทู้ด่าตามบอร์ด หรือมานั่งวิตกกังวลกัน น่าเบื่อนะ

Tags: analysis, antivirus, flash drive, trojan, usb, virus, win32, แฟลชไดรฟ์, ไวรัส4 Comments

ก้าวตามไวรัส 1 step

#1 By V@R on 2008-09-11 16:11

ไวรัสมันพัฒนาตัวเองได้ด้วย!!
เด๋วอีกหน่อยไวรัสจะพัฒนาสายพันธุ์เองมั้ยอ่ะ
แค่ไวรัส2ประเภทรวมกันยังกลายพันธุ์ได้อ่ะนะ
กรณีนี้น่าสนใจแหะ งืมๆ

#2 By YiUM ชีวิตจริงไม่เหมือนฝัน on 2008-09-11 19:15

อย่างงี้เรียก ผ่าเหล่า! (mutation กลายพันธุ์ซะงั้น)

วันนี้ก็เพิ่งลบไวรัสเอง flashguard AVIRAไม่ตรวจให้ แต่ติดCPE17 Autorun killerไว้ + aviraเด้งตัวอื่นขึ้นแทนจนน่ารำคาญมากๆเลยไปตามลบเลย
หวังว่าจะลบถูกตัว= =