หมายเหตุ : เอ็นทรีนี้อาจะยาว มีภาษาอังกฤษ และใช้ภาษาเชิงเทคนิคเล็กน้อย เพราะฉะนั้นหากไม่เข้าใจ ดูแค่รูปก็พอครับ และขอความกรุณาอย่าเม้นว่า "ไม่ยู้เยื่องเยย".

 

ไม่ค่อยได้เขียนเรื่องมีสาระนานมาก คราวนี้ขอเขียนอะไรคืนกำไรให้สังคมบ้างนะครับ

เนื่องจากในทวิตเตอร์ มีคนส่งข้อความมาถามผมเรื่องไวรัส ก็เลยพาออกทะเลไปเรื่องทฤษฎีไวรัสคอมเมื่อ 30 กว่าปีที่แล้วโน่น (อย่าโกรธผมเลยนะค้าบ!)

เกริ่นนำก่อนว่าไวรัสที่เราจะพูดถึงในเอ็นทรีนี้คือไวรัสที่เป็น "ไวรัส" ไม่ใช่หนอน โปรแกรมสายลับ ม้าศึก หรือมัลแวร์ตัวอื่นๆ

อ่านแล้วอาจจะงง งั้นผมขอสรุปง่ายๆว่า "Virus เป็น Subset ของ Malware"

Virus ถือเป็นมัลแวร์แบบดั้งเดิมสมัย Dos แล้ว แต่มันกลับฟื้นขึ้นมาได้เพราะอะไรผมก็ไม่ทราบนะ ลองไปถามยูจิน คาสเปอร์สกี้ดูจิ (โบ้ยเห็นๆ)

ลักษณะของ Malware ที่เป็น Virus ก็คือการทำงานแบบ "เกาะไฟล์" เรียกเป็นภาษาอังกฤษว่า "File Infections" การทำงานคือเมื่อไวรัสทำงานแล้ว จะมองหาไฟล์เป้าหมายซึ่งส่วนมากจะเป็นไฟล์ที่มีส่วนขยาย (Extension) เหล่านี้

 

.htm, .html, .xls, .ini, .bat, .com, .avi, .qt, .mpg, .mpeg, .cpp, .c, .h, .psd, .wri, .mp3, .mp2  

 .vbs, .vbe, .js, .jse, .wsh, .css, .sct, .scr, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .docx,

และไฟล์ยอดนิยม .exe 

 

ลักษณะของไวรัสที่ทำงานแบบนี้จะมีระดับการคุกคามต่ำแต่สร้างความเสียหายสูงครับ

 

ตัวอย่างไวรัสเช่น Win32/Alman, Win32/Golem, Win32/Hala, Win32/Virut, Win32/Parite, Win32/Elkern, Win32/Wimad, Win32/GpCode และเจ้าตัวแสบ  Win32/Sality

 

ไวรัสจะทำงานคือแทรกโค๊ดหรือรหัสอันตรายลงไปในไฟล์ดังกล่าว หรือเรียกเป็นภาษาอังกฤษว่า Malicious Code เพื่อแก้ไขไฟล์ให้ผิดปกติไปจากเดิม โดยไม่ได้สร้างไฟล์ของตัวเองเหมือน Trojan หรือ Worm (ยกเว้นกรณี Alman และ Sality ที่จะสร้างไฟล์ .com , .bat และ Autorun.inf ในแฟลชไดรฟ์ในการแพร่กระจาย)

 

เมื่อไฟล์ดังกล่าวถูกแก้ไข หรือพูดง่ายๆคือติดไวรัส ไฟล์นั้นๆอาจจะยังไม่เสีย แค่โดนไวรัสมาแทรกตัวลงไป

จากรูป สีฟ้าคือไฟล์ปกติ สีส้มคือไวรัส

 

 

การแทรกตัวของไวรัสสามารถแบ่งได้ 8 วิธีดังนี้

1. Overwriting Viruses (OV)

 

 

จากรูปไวรัสจะเขียนตัวเองทับลงไปในไฟล์เป้าหมาย เมื่อมีการเรืยกใช้ไฟล์เป้าหมายจะเรียกโปรแกรมและไวรัสทำงานทันที เครื่องก็จะติดไวรัสไป

ลักษณะนี้จะยากต่อการตรวจจับของโปรแกรม Antivirus ที่อ่านขนาดไฟล์ เพราะไฟล์ที่ติดไวรัสจะมีขนาดเท่าเดิม แต่ถือว่ามีการเปลี่ยนแปลงขึ้นครับ

 

2. Random Overwritten Virus (ROV)

 

 

การทำงานจะคล้ายๆข้อแรก แต่เขียนแบบสุ่ม ไม่ได้เริ่มที่ Byte แรกเสมอไป ไฟล์ยังมีขนาดเท่าเดิม แต่ถือว่าถูกเปลี่ยนแปลงครับ

การรันไฟล์ที่ติดไวรัส โปรแกรมจะทำงานก่อนไวรัส ทำให้เหมือนกับว่าไม่มีอะไรเกิดขึ้น และถ้า Antivirus ที่ทำงานช้าหรือไม่มีความคล่องตัว โอกาศที่จะพลาดสูงมาก

 

3. Appending Virus (AV)

 

ไวรัสจะแทรกตัวเองลงไปที่ Byte สุดท้ายของไฟล์เป้าหมาย แต่มีการแก้ไขที่ Byte แรกของเป้าหมาย ให้มารันตัวเองก่อน ไฟล์ที่โดนไวรัสลักษณะนี้มีโอกาสเสียค่อนข้างสูง ไฟล์เป้าหมายมักจะเป็นนามสกุล .com ที่เขียนขึ้นจากดอส

แต่ไวรัสลักษณะนี้จะถูกแก้ไขได้ง่ายจากโปรแกรมครับ เพราะไฟล์มีขนาดใหญ่ขึ้นจากเดิม ถ้าโปรแกรมมีความคล่องตัวมากพอ ก็จะแก้ไขเฉพาะส่วนของไวรัสได้

 

4. Prepending Virus (PV)

คล้ายๆข้อ 1 และ 3 แต่ไฟล์ที่ติดไวรัสจะมีขนาดเปลี่ยนแปลงไปครับ

 

5. Classic Parasitic Virus (CPV)

จัดว่าเป็น Variants ของไวรัสประเภทที่ 4 ครับ ไวรัสพวกนี้จะถูกตรวจจับได้จากการอ่านขนาดไฟล์ของ Antivirus ชาติเกา แต่ประเภทที่ไม่เปลี่ยนแปลงขนาดไฟล์จะมีโอกาสพลาดได้

เพราะฉะนั้น ถึงได้บอกว่าของชาติเกาไม่ดี ถึงมันจะพยายามยกหางตัวเองแค่ไหน ยังไงก็สู้ของหลังม่านเหล็กไม่ได้อยู่ดี

ปล.แต่ยังไงของเกาหลีที่ดีๆ ก็มีนะครับ ไม่ได้เหมารวม

 

6. Cavity Virus (CV)

 

 

 

Cavity แปลเป็นภาษาชาวบ้านว่า "ฟันผุ" การทำงานจะคล้ายๆข้อ 3 แต่แทนที่จะไปเขียนตรง Byte สุดท้าย กลายเป็นว่าไวรัสแทรกตัวลงไปแบบสุ่มเหมือนข้อ 2

การทำงานของไวรัสลักษณะนี้จะคล้ายๆกับ Rootkit แต่ต่างกันตรงที่ Rootkit ไม่เปลี่ยนแปลงไฟล์ แต่แทรกตัวลงไปในโปรเซสเพื่อหลบการตรวจจับของโปรแกรม

ถ้ายังนึกไม่ออก ก็คล้ายๆ Game Guard นั่นแหล่ะ ที่จะแทรกตัวเองลงในโปรเซสเพื่อป้องกันการ Terminate ไงครับ

 

7. Compressing Virus

ไวรัสจะบีบอัดขนาดไฟล์เป้าหมายพร้อมทั้งแทรกตัวลงไป นอกจากบีบอัดแล้วบางทีอาจจะมีการเข้ารหัสไว้ เพื่อไม่ให้ Antivirus แก้ไขไฟล์ แต่ยังเรียกใช้ไฟล์ได้ตามปกติครับ

การบีบอัดหรือแก้ไขไฟล์อาจจะใช้ Runtime packers แบบอัลกอริทึ่ม PKLITE, LZEXE, UPX, ASPACK ในการแก้ไข

ลักษณะนี้เมื่อโดนจับได้อาจจะคลีนไม่ได้ ต้องลงไฟล์ทิ้ง ซึ่งเวลาตรวจเจออาจจะมีคำว่า PCK หรือ Packed ไว้ เพื่อบอกว่าไฟล์นี้โดนแก้ไขให้ขนาดเล็กลง

ส่วนถ้าเข้ารหัสไว้อาจจะมีคำว่า Crypt

 

8.Amoeba Infection Technique (AIT)

 

 

ไวรัสจะแทรกลงไปที่ Byte แรกและ Byte สุดท้าย แปลว่าถ้ารันไฟล์เป้าหมาย อาจจะยังไม่ติดไวรัสตอนเรียกใช้ แต่จะติดตอนที่รันได้สำเร็จ

ไฟล์จะถูกเปลี่ยนแปลงไปมาก แต่ยังไงก็จะถูกตรวจจับได้ถ้าสแกนแบบละเอียดๆหน่อย เพราะบางโปรแกรมสแกนเร็วมาก แต่จับได้บ้างไม่ได้บ้าง

 

จบแล้วครับ ก็น่าจะมีแค่นี้นะครับ สำหรับไวรัส ต้องขอบคุณข้อมูลจากคุณ "จุง ฮัว ฮาน" ผู้พัฒนาเอ็นจินและฐานข้อมูลของโปรแกรมป้องกันไวรัส Hauri ของเกาหลี ที่แอบชอบโปรแกรมนี้อยู่ ลิ้งไปยังบทความภาษาอังกฤษ

 

สำหรับใครที่มีปัญหา Harddisk ใกล้เต็มแบบผิดปกติ ก็อาจจะเป็นไปได้ว่าโดนไวรัสเข้าไปแล้ว

ตอนนี้อ่านจากหลายๆที่พบว่าโดน Win32/Sality ที่มี Variants ออกมามากมายจนผู้พัฒนาโปรแกรมป้องกันไวรัสบอกว่าจับไม่ได้ไล่ไม่ทัน ถึงจะใช้ .GEN ช่วยก็ยังจับไม่ไม่หมด

และที่สำคัญคือการติดไวรัสลักษณะนี้ผู้ใช้บางคนอาจได้รับการแจ้งเตือน

แต่ไม่ได้สนใจอะไร เพราะมันเป็นไฟล์เกมของฉัน (เช่นเกมจับคู่โปเกมอน อันนี้แหล่ะหวานไวรัสเลย)

เลยไม่สนใจและเลือกที่จะปิด Antivirus ก่อนเล่นเกม

อันนี้ก็ขึ้นอยู่กับตัวคุณว่าจะ

"ทนรำคาญ หรือ ทุกข์ลำเค็ญ"

ไว้พบกันเอ็นทรีหน้าครับ

Comment

Comment:

Tweet

ขอบคุณครับ แล้วจะหาทางป้องกันไว้
ไม่ให้เจ้าพวกไวรัสมาบุกเครื่องเรา 5 5 5
เอ่อว่าแต่เน็ตอืดจะอัพเดทแอนตี้ไวรัสยังไงนิ

#30 By กล้วยไม้ (125.26.76.223) on 2009-10-26 14:45

สาระสุดๆ คนเขียนไวรัสเทพแล้ว คนแก้เทพกว่า

#29 By Xdax iPSP60 on 2009-10-22 14:06

เมพขิงๆ

Hot! Hot! Hot!

#28 By Dhammasarokikku on 2009-10-21 22:20

ถูกใจให้กิฟท์ค่ะ Hot! Hot! Hot!

เอ็นทรี่นี้คือสิ่งที่ตามหามาทั้งชีวิต (ขนาดนั้นเลย)

ขอบคุณค่ะ big smile

#27 By POR on 2009-10-21 21:53

มีประโยชน์มากครับ

#26 By sixth on 2009-10-21 21:45

Hot! Hot!
เกลียดไวรัสที่สุด!!!

#25 By hackerlife on 2009-10-21 20:11

Hot!

แจ๋วมากครับcry

#24 By Milkyway.sk on 2009-10-21 20:03

มีประโยชน์ครับ ได้รับความรุ้เพิ่มขึ้นครับ

ต้องระวังจริงๆครับ ต้อง ระวัง big smile Hot! Hot! Hot!

#23 By j-di on 2009-10-21 19:43

ขอบคุณค่ะ

เคยที่แบบลงโปรแกรมอะไรสักอย่างแล้วมีเตือนขึ้นมา

ปิดไปเรย sad smile

แย่จังๆ Hot!

#22 By อาผิง on 2009-10-21 18:40

หาความรู้เรื่องนี้มานานล่ะ ขอบคุณจ้ะHot! confused smile

#21 By prema-ja on 2009-10-21 17:19

มันกิน exe จนต้องล้างเครื่องหลายรอบมาก =_=

Hot!

#20 By หะมึก (•ิv•ั ) on 2009-10-21 15:05

อ่านแล้วเข้าใจยาก sad smile

#19 By hatyai (222.123.42.170) on 2009-10-21 14:37

ของผมเจอประจำตัวนี้ไม่เคยลบออกเลยครับ .vmx

อยุ่ใน RECYCLER อะไรนี่แหละ - -

#18 By InNoCenCE (118.173.73.154) on 2009-10-21 14:36

อัรตรายจริงๆค่า sad smile
Hot! Hot! Hot! Hot!
Hot! Hot!
Hot!

#17 By So_kung on 2009-10-21 14:18

Hot! Hot! Hot! Hot!

ปริศนาไขกระจ่างแล้ว

#16 By Maxtrix™ on 2009-10-21 14:10

ลืมแปะดาวคับ
Hot! Hot! Hot! Hot! Hot!

#15 By Neko NuD on 2009-10-21 12:44

เอ่อ เลี้ยงไว้ดูเล่นหลายตัว
แต่ตอนนี้แพร่พันธุ์จนคุมไม่อยู่
ฮาร์ดดิสก์พังไปละคับ

#14 By Neko NuD on 2009-10-21 12:43

Hot!

#13 By kikuno on 2009-10-21 11:44

ยังไงก็ไม่รอดเลยรึเนี่ย

#12 By เสี่ยแนน on 2009-10-21 11:26

ใช้คอม อยู่้กะคอมมา 10 ปี พึ่งรู้แหละ ว่าไวรัสเค้าทำงานกันยังงี้ ^^ ขอบคุณมากนะครับ ^^Hot! Hot! big smile

#11 By อาเหลียง on 2009-10-21 10:05

โดนจนลงโปรแกรมใหม่ ข้อมูลเกรี้ยง นั่งน้ำตาซึมไป 3 วัน

#10 By คนนอกระบบ on 2009-10-21 09:23

สาระเต็มๆวันนี้ big smile Hot!

#9 By Zeedprogram on 2009-10-21 08:24

+1big smile

Hot! Hot! Hot! Hot! Hot!

#8 By ~13lazing~ on 2009-10-20 22:41

โอ้ สาระเยี่ยมจริงๆวันนี้ cry

Hot! Hot!

#7 By NOT_KUNG on 2009-10-20 21:45

Hot! Hot!

น่ากลัวจริง ๆ ต้องระวังมากขึ้นซะแล้ว

#6 By .. * Ar๋tist ♥ on 2009-10-20 21:43

ยิ่งดูยิ่งน่ากลัว

#5 By Meowzilla Zilla on 2009-10-20 21:40

ซะ..ซาลิตี้

มันเคยทำโปรแกรมผมพังไปทั้ง แฟลชไดร์ฟเลยฮะ

อุตส่าห์สะสมมานาน

Hot! Hot!

ปล.เอนทรี่นี้ทำให้ผมได้ควมรู้เยอะเลยแฮะ confused smile

#4 By none on 2009-10-20 21:12

ไม่ว่าไฟล์อะไรก็ต้องระวัง

แต่บางทีก็รู้ว่าโดนคุกคามอยู่ แต่มันยังไม่ได้ทำให้รำคาญแค่กินเนื้อที่เฉยๆเลยเลี้ยงเอาไว้เล่นๆ sad smile

ปล.จะโดนลอบกัดเมื่อไรก็ไม่รู้

#3 By Critical#Zeed on 2009-10-20 20:56

Hot! Hot! ไม่ว่าค่ายไหนก็ให้ปิด Antivirus หมดล่ะครับ

#2 By avactz on 2009-10-20 14:16

ขอบคุณค่า ทำให้ระวังไฟลืที่เป็นพวก Word มากขึ้น