Virus-Risk

สวัสดีครับทุกท่าน เนื่องจากเอ็นทรีก่อนเรื่อง "สิ้นหวังแล้วกับการแจ้งปัญหาหน้าเว็บ" นั้นไม่มีสาระอะไร(เลยไม่ Tweet) เลยขอเขียนเอ็นทรีใหม่โดยที่เอ้นทรีเก่ายังมีอายุไม่ถึง 24 ชั่วโมงนะครับ

 

วันนี้มีสาระมาฝากกันครับ เป็นเรื่องของมัลแวร์อีกครั้ง

 

 (เป็นลิ้งแบบย่อ)

 

หนอนตัวนี้ชื่อ Worm/VB.aki.2 มัลแวร์ตัวนี้จัดอยู่ในกลุ่มหนอน ที่ระบาดผ่านทางแฟลชไดรฟ์
ชื่ออื่นๆ

Mcafee: W32/Autorun.worm.gen virus

Sophos: W32/Autorun-APK

Bitdefender: Worm.Generic.47242

Kaspersky: Worm.Win32.VB.aki

Panda: W32/VB.AER.worm

Nod32: Win32/VB.NQP

Fortinet: W32/VB.AKI!worm

Rising: Worm.Win32.VB.tk

การทำงานคือ เมื่อไฟล์หนอนถูกรันสำเร็จ จะสร้างไฟล์ชื่อแบบสุ่มที่มี ขนาดแบบสุ่มตั้งแต่ 20-200 กิโลไบต์ โดยมีส่วนขยายต่อไปนี้

  • sys
  • com
  • ini
  • bin
  • inf
  • dll
  • ocx
  • dat
  • bas
  • cat
  • res
  • cfg
  • mp3
  • doc
  • txt
  • hlp
  • ax
  • dot



และจะหยุดทำงานก็ต่อเมื่อฮาร์ดดิสก์เต็ม ซึ่งไฟล์เหล่านี้เป็นข้อมูลขยะที่ใช้งานไม่ได้และไม่ใช่ไฟล์ไวรัส



การทำงานอื่นๆ

  1. สร้างไฟล์ usbdrv.exe ไว้ในไดรฟ์ และ Autorun.inf สำหรับรันตัวเองเมื่อคลิกเข้ามา
  2. ลบไฟล์ ntldr, NTDETECT.COM, boot.ini ในไดรฟ์ C:\
  3. เปลี่ยนค่ารีจิสตรีดังนี้
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader"="%WINDIR%\acroread.exe"


ทางอาวีร่าบอกว่าหนอนตัวนี้เขียนขึ้นด้วย Visual Basic มีระดับการคุกคามในระดับต่ำถึงปานกลาง แต่มีระดับความเสียหายอยู่ในระดับสูงครับ

เพราะฉะนั้น อย่าประมาท ลงโปรแกรมป้องกันไวรัส และหมั่น Update และสแกน บ่อยๆ
อย่าปิด Antivirus บ่อยๆถ้าไม่จำเป็น เช่นตอนเข้าเกมไม่ได้ เพราะทาง GM ไม่มีส่วนรับผิดชอบหากเครื่องติดไวรัสครับ เลยตอบอะไรแบบไม่ได้คำนึงถึงปัญหาช่องโหว่เหล่านี้ครับ

เอ็นทรีนี้บอกตรงๆว่า "ไม่ค่อย" อยากนำเสนอ ซักเท่าไหร่ เพราะดูจะเป็นการชี้โพรงให้กระรอก แต่ก็ดูแล้วน่าจะมีประโยชน์ครับ

คนที่ใช้วินโดวส์ -ตู๊ด-  คงจะบอกต่อๆกันว่า "อย่าเปิด Automatic Update ไม่งั้นจะโดนปลาดาว (WGA) ถามหา"

แต่ผมค่อนข้างจะไม่เชื่อ และทุกวันนี้ก็เปิด Auto Update ไว้ และยังไม่โดน WGA เลย

เอาหล่ะครับ ของแบบนี้มันมีทริก แบบไม่ต้องโมอะไรให้ปวดหัว

ขั้นแรกเราก็เปิด Auto Update เอาไว้ตามปกติ แต่ถ้าเจอหน้าต่างแบบนี้ตอน Install Update ล่ะก็

 

WGA พร้อมติดตั้ง
อย่าเพิ่งตกใจแล้วกด Next Genereation แบบไม่อ่านอะไร และที่สำคัญคือ อย่ากดปิด
เมื่อกด Next แล้วก็จะเจอแบบนี้
Not Agree to install
ให้เลือกที่ "I Do not Agree แล้วกด "Next"
ก็จะเป็นการปฏิเสธการติดตั้งตามภาพล่าง
Windows Update Without WGA
โปรดสังเกต จะมีคำว่า "This update will not be install" แปลว่าจะไม่ติดตัว WGA ครับ

หลังจากนั้นเราก็สามารถ Update ได้ตามปกติ แต่อย่าเพิ่งตายใจ เพราะหน้าต่างนี้อาจจะถามหาเสมอๆ ให้เราเลือกตามสเตปข้างบนครับ

แค่นี้เราก็ "อุดช่องโหว่" และป้องกันสารพัดเวริ์มเข้ามาโจมตีเครื่องเราแล้ว (เปิด Firewall ด้วยล่ะ)

ปล.ตอนนี้ใครที่ยังใช้ IE6 หรือ Windows XP Service Pack 2 ให้อัพเดตเป็น IE8 และ Service Pack 3 ได้แล้ว ไม่โดนตรวจอะไรทั้งสิ้นครับ

หมายเหตุ : เอ็นทรีนี้อาจะยาว มีภาษาอังกฤษ และใช้ภาษาเชิงเทคนิคเล็กน้อย เพราะฉะนั้นหากไม่เข้าใจ ดูแค่รูปก็พอครับ และขอความกรุณาอย่าเม้นว่า "ไม่ยู้เยื่องเยย".

 

ไม่ค่อยได้เขียนเรื่องมีสาระนานมาก คราวนี้ขอเขียนอะไรคืนกำไรให้สังคมบ้างนะครับ

เนื่องจากในทวิตเตอร์ มีคนส่งข้อความมาถามผมเรื่องไวรัส ก็เลยพาออกทะเลไปเรื่องทฤษฎีไวรัสคอมเมื่อ 30 กว่าปีที่แล้วโน่น (อย่าโกรธผมเลยนะค้าบ!)

เกริ่นนำก่อนว่าไวรัสที่เราจะพูดถึงในเอ็นทรีนี้คือไวรัสที่เป็น "ไวรัส" ไม่ใช่หนอน โปรแกรมสายลับ ม้าศึก หรือมัลแวร์ตัวอื่นๆ

อ่านแล้วอาจจะงง งั้นผมขอสรุปง่ายๆว่า "Virus เป็น Subset ของ Malware"

Virus ถือเป็นมัลแวร์แบบดั้งเดิมสมัย Dos แล้ว แต่มันกลับฟื้นขึ้นมาได้เพราะอะไรผมก็ไม่ทราบนะ ลองไปถามยูจิน คาสเปอร์สกี้ดูจิ (โบ้ยเห็นๆ)

ลักษณะของ Malware ที่เป็น Virus ก็คือการทำงานแบบ "เกาะไฟล์" เรียกเป็นภาษาอังกฤษว่า "File Infections" การทำงานคือเมื่อไวรัสทำงานแล้ว จะมองหาไฟล์เป้าหมายซึ่งส่วนมากจะเป็นไฟล์ที่มีส่วนขยาย (Extension) เหล่านี้

 

.htm, .html, .xls, .ini, .bat, .com, .avi, .qt, .mpg, .mpeg, .cpp, .c, .h, .psd, .wri, .mp3, .mp2  

 .vbs, .vbe, .js, .jse, .wsh, .css, .sct, .scr, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .docx,

และไฟล์ยอดนิยม .exe 

 

ลักษณะของไวรัสที่ทำงานแบบนี้จะมีระดับการคุกคามต่ำแต่สร้างความเสียหายสูงครับ

 

ตัวอย่างไวรัสเช่น Win32/Alman, Win32/Golem, Win32/Hala, Win32/Virut, Win32/Parite, Win32/Elkern, Win32/Wimad, Win32/GpCode และเจ้าตัวแสบ  Win32/Sality

 

ไวรัสจะทำงานคือแทรกโค๊ดหรือรหัสอันตรายลงไปในไฟล์ดังกล่าว หรือเรียกเป็นภาษาอังกฤษว่า Malicious Code เพื่อแก้ไขไฟล์ให้ผิดปกติไปจากเดิม โดยไม่ได้สร้างไฟล์ของตัวเองเหมือน Trojan หรือ Worm (ยกเว้นกรณี Alman และ Sality ที่จะสร้างไฟล์ .com , .bat และ Autorun.inf ในแฟลชไดรฟ์ในการแพร่กระจาย)

 

เมื่อไฟล์ดังกล่าวถูกแก้ไข หรือพูดง่ายๆคือติดไวรัส ไฟล์นั้นๆอาจจะยังไม่เสีย แค่โดนไวรัสมาแทรกตัวลงไป

จากรูป สีฟ้าคือไฟล์ปกติ สีส้มคือไวรัส

 

 

การแทรกตัวของไวรัสสามารถแบ่งได้ 8 วิธีดังนี้

1. Overwriting Viruses (OV)

 

 

จากรูปไวรัสจะเขียนตัวเองทับลงไปในไฟล์เป้าหมาย เมื่อมีการเรืยกใช้ไฟล์เป้าหมายจะเรียกโปรแกรมและไวรัสทำงานทันที เครื่องก็จะติดไวรัสไป

ลักษณะนี้จะยากต่อการตรวจจับของโปรแกรม Antivirus ที่อ่านขนาดไฟล์ เพราะไฟล์ที่ติดไวรัสจะมีขนาดเท่าเดิม แต่ถือว่ามีการเปลี่ยนแปลงขึ้นครับ

 

2. Random Overwritten Virus (ROV)

 

 

การทำงานจะคล้ายๆข้อแรก แต่เขียนแบบสุ่ม ไม่ได้เริ่มที่ Byte แรกเสมอไป ไฟล์ยังมีขนาดเท่าเดิม แต่ถือว่าถูกเปลี่ยนแปลงครับ

การรันไฟล์ที่ติดไวรัส โปรแกรมจะทำงานก่อนไวรัส ทำให้เหมือนกับว่าไม่มีอะไรเกิดขึ้น และถ้า Antivirus ที่ทำงานช้าหรือไม่มีความคล่องตัว โอกาศที่จะพลาดสูงมาก

 

3. Appending Virus (AV)

 

ไวรัสจะแทรกตัวเองลงไปที่ Byte สุดท้ายของไฟล์เป้าหมาย แต่มีการแก้ไขที่ Byte แรกของเป้าหมาย ให้มารันตัวเองก่อน ไฟล์ที่โดนไวรัสลักษณะนี้มีโอกาสเสียค่อนข้างสูง ไฟล์เป้าหมายมักจะเป็นนามสกุล .com ที่เขียนขึ้นจากดอส

แต่ไวรัสลักษณะนี้จะถูกแก้ไขได้ง่ายจากโปรแกรมครับ เพราะไฟล์มีขนาดใหญ่ขึ้นจากเดิม ถ้าโปรแกรมมีความคล่องตัวมากพอ ก็จะแก้ไขเฉพาะส่วนของไวรัสได้

 

4. Prepending Virus (PV)

คล้ายๆข้อ 1 และ 3 แต่ไฟล์ที่ติดไวรัสจะมีขนาดเปลี่ยนแปลงไปครับ

 

5. Classic Parasitic Virus (CPV)

จัดว่าเป็น Variants ของไวรัสประเภทที่ 4 ครับ ไวรัสพวกนี้จะถูกตรวจจับได้จากการอ่านขนาดไฟล์ของ Antivirus ชาติเกา แต่ประเภทที่ไม่เปลี่ยนแปลงขนาดไฟล์จะมีโอกาสพลาดได้

เพราะฉะนั้น ถึงได้บอกว่าของชาติเกาไม่ดี ถึงมันจะพยายามยกหางตัวเองแค่ไหน ยังไงก็สู้ของหลังม่านเหล็กไม่ได้อยู่ดี

ปล.แต่ยังไงของเกาหลีที่ดีๆ ก็มีนะครับ ไม่ได้เหมารวม

 

6. Cavity Virus (CV)

 

 

 

Cavity แปลเป็นภาษาชาวบ้านว่า "ฟันผุ" การทำงานจะคล้ายๆข้อ 3 แต่แทนที่จะไปเขียนตรง Byte สุดท้าย กลายเป็นว่าไวรัสแทรกตัวลงไปแบบสุ่มเหมือนข้อ 2

การทำงานของไวรัสลักษณะนี้จะคล้ายๆกับ Rootkit แต่ต่างกันตรงที่ Rootkit ไม่เปลี่ยนแปลงไฟล์ แต่แทรกตัวลงไปในโปรเซสเพื่อหลบการตรวจจับของโปรแกรม

ถ้ายังนึกไม่ออก ก็คล้ายๆ Game Guard นั่นแหล่ะ ที่จะแทรกตัวเองลงในโปรเซสเพื่อป้องกันการ Terminate ไงครับ

 

7. Compressing Virus

ไวรัสจะบีบอัดขนาดไฟล์เป้าหมายพร้อมทั้งแทรกตัวลงไป นอกจากบีบอัดแล้วบางทีอาจจะมีการเข้ารหัสไว้ เพื่อไม่ให้ Antivirus แก้ไขไฟล์ แต่ยังเรียกใช้ไฟล์ได้ตามปกติครับ

การบีบอัดหรือแก้ไขไฟล์อาจจะใช้ Runtime packers แบบอัลกอริทึ่ม PKLITE, LZEXE, UPX, ASPACK ในการแก้ไข

ลักษณะนี้เมื่อโดนจับได้อาจจะคลีนไม่ได้ ต้องลงไฟล์ทิ้ง ซึ่งเวลาตรวจเจออาจจะมีคำว่า PCK หรือ Packed ไว้ เพื่อบอกว่าไฟล์นี้โดนแก้ไขให้ขนาดเล็กลง

ส่วนถ้าเข้ารหัสไว้อาจจะมีคำว่า Crypt

 

8.Amoeba Infection Technique (AIT)

 

 

ไวรัสจะแทรกลงไปที่ Byte แรกและ Byte สุดท้าย แปลว่าถ้ารันไฟล์เป้าหมาย อาจจะยังไม่ติดไวรัสตอนเรียกใช้ แต่จะติดตอนที่รันได้สำเร็จ

ไฟล์จะถูกเปลี่ยนแปลงไปมาก แต่ยังไงก็จะถูกตรวจจับได้ถ้าสแกนแบบละเอียดๆหน่อย เพราะบางโปรแกรมสแกนเร็วมาก แต่จับได้บ้างไม่ได้บ้าง

 

จบแล้วครับ ก็น่าจะมีแค่นี้นะครับ สำหรับไวรัส ต้องขอบคุณข้อมูลจากคุณ "จุง ฮัว ฮาน" ผู้พัฒนาเอ็นจินและฐานข้อมูลของโปรแกรมป้องกันไวรัส Hauri ของเกาหลี ที่แอบชอบโปรแกรมนี้อยู่ ลิ้งไปยังบทความภาษาอังกฤษ

 

สำหรับใครที่มีปัญหา Harddisk ใกล้เต็มแบบผิดปกติ ก็อาจจะเป็นไปได้ว่าโดนไวรัสเข้าไปแล้ว

ตอนนี้อ่านจากหลายๆที่พบว่าโดน Win32/Sality ที่มี Variants ออกมามากมายจนผู้พัฒนาโปรแกรมป้องกันไวรัสบอกว่าจับไม่ได้ไล่ไม่ทัน ถึงจะใช้ .GEN ช่วยก็ยังจับไม่ไม่หมด

และที่สำคัญคือการติดไวรัสลักษณะนี้ผู้ใช้บางคนอาจได้รับการแจ้งเตือน

แต่ไม่ได้สนใจอะไร เพราะมันเป็นไฟล์เกมของฉัน (เช่นเกมจับคู่โปเกมอน อันนี้แหล่ะหวานไวรัสเลย)

เลยไม่สนใจและเลือกที่จะปิด Antivirus ก่อนเล่นเกม

อันนี้ก็ขึ้นอยู่กับตัวคุณว่าจะ

"ทนรำคาญ หรือ ทุกข์ลำเค็ญ"

ไว้พบกันเอ็นทรีหน้าครับ

ในยุคที่การติดต่อสื่อสารรวดเร็ว ว่องไว สเถียร สะดวกสบาย ก็ยังมีบุคคลบางกลุ่มใช้เทคโนโลยีนี้ในทางที่ผิด โดยใช้การสร้างปัญหาและหาช่องโหว่ของระบบแล้วโจมตี

สำหรับผู้ใช้ตามบ้านก็คงไม่พ้นเรื่องไวรัสและมัลแวร์อื่นๆ ก็คงรู้กันดีนะครับว่าไวรัสมันมาได้จากหลายทาง ถ้าเป็นสมัยก่อนก็มาจากฟอลปปี้ดิสก์ พัฒนามาเป็นทางอีเมล์

แล้วก็พัฒนามาจนถึงยุคปัจจุบันที่ติดง่าย หายยาก ปลอมตัวไหลลื่นเป็นปลาไหลเคลือบวาสลีนจน Antivirus จับไม่ได้ไล่ไม่ทัน

 

คราวนี้ผมขอพูดเรื่องอีเมล์นี่แหล่ะ เพราะมันเป็นกิจวัตรของคนใช้คอมในทุกวันนี้ เมื่อก่อน สมัยอีเมล์เป็นสิ่งแปลกใหม่ ก็ไม่แปลกที่มีไวรัสมากับอีเมล์ พอเปิดปุ๊บ ก็ติดปั๊บ

เมื่อสองสามวันก่อนนี้ผมก็เช็คอีเมล์ตามปกติครับ โดยใช้วิหกสายฟ้า (Thunderbird) ที่เป็นพี่น้องกับจิ้งจอกเพลิง (Firefox) แต่แค่ไฟร์ฟ๊อกมันเด่นกว่าเท่านั้นเอง

เรื่องก็มีอยู่ว่ากดเช็คเมล์ก็จะโหลดเมล์ตามปกติ แต่รู้สึกว่ามีฉบับนึงใช้เวลาโหลดนานผิดปกติ

พอโหลดมาแล้วก็เจอกับ Popup ของ Kaspersky พอดีว่าไม่ได้ Capture ภาพมาให้ดู งั้นเอา Events มาให้ดูแทน

 

เมล์ลึกลับแนบไวรัสมาจากผู้ส่งที่ขอปกปิดชื่อไว้ ณ. ที่นี้

เมื่อข้อความเข้ามายัง Inbox ของผมแล้ว ก็ขึ้นว่าไฟล์แนบถูกลบไปแล้ว 

ชื่อไวรัสที่ตรวจจับได้คือ Backdoor.Win32.Bredolab แปลว่าเป็นพวกประตูหลังและทำงานบน OS 32 บิตขึ้นไป

วิธีอ่านชื่อไวรัสไปอ่านได้ที่เอ็นทรี คำอธิบาย Virus,Trojan,Malware ฯลฯ (เวอร์ชั่นปรับปรุงใหม่)

แบบนี้แปลว่าท่าทาง Gateway และ Firewall ของระบบอินเทอร์เน็ตในหลายๆประเทศ ยังไม่สามารถจัดการกับไวรัสที่มาทางอีเมล์ได้ 100% ครับดูได้จาก Variants ที่แตกต่างกัน แค่วันเดียวก็มีสายพันธู์ใหม่ออกมาแล้ว

เพราะงั้น อย่าเพิ่งแน่นอนใจว่าอีเมล์ไวรัสมันสุญพันธุ์ครับ ถึงจะมี Antivirus ระดับ MailServer ก็ยังหลุดรอกมาได้ ดังนั้นระวัง Inbox ของคุณให้ดีๆ และอย่าเปิดอีเมล์ที่มีไฟล์แนบแปลกๆ

ในบางครั้ง Webmail หรือ Mail Client จะบล๊อกรูปภาพและเนื้อหาไว้ เพราะนอกจากไฟล์แนบแล้ว อาจมีการใช้ iFrame หรือ Script ติดไวรัสแนบลงไปในอีเมล์ด้วย โดยเฉพาะเมล์ที่เขียนด้วยภาษษ HTML

รวมทั้งการโหลดรูปภาพที่จะส่งข้อมูลการโหลดไปยัง Spammer ให้รู้ว่ามีคใช้งานอีเมล์นี้อยู่ ถ้าใช่ คุณก็จะได้รับสแปมเรื่อยๆ

ให้เราเช็คดูให้แน่ใจว่า เมล์นี้มาจากคนที่รู้จักหรือเปล่า และอย่าลืม ขอแนะนำให้เปิดการบล๊อกรูปภาพเอาไว้ด้วย

แบบนี้

 

อาจจะต้องมากดดูเอง แต่เพื่อความปลอดภัยจากไวรัสและสแปมครับ