ความรู้เรื่อง ไวรัสคอมพิวเตอร์ และมัลแวร์ (Malware) 2
อย่าสับสน! ระหว่างคำว่า ไวรัสคอมพิวเตอร์ (Computer Virus) กับไวรัสที่เป็นเชื้อโรค ไวรัสคอมพิวเตอร์นั้นเป็นแค่ชื่อเรียกโปรแกรมประเภทหนึ่งที่มีพฤติกรรมคล้ายๆ กับไวรัสที่เป็นเชื้อโรคที่สามารถแพร่เชื้อได้ และมักทำอันตรายต่อสิ่งมีชีวิตที่มันอาศัยอยู่ แต่ต่างกันตรงที่ว่าไวรัสคอมพิวเตอร์เป็นเพียงโปรแกรมชนิดหนึ่งเท่านั้นไม่ใช่ไวรัสที่เป็นสิ่งมีชีวิต เราลองมาดูรายละเอียดเกี่ยวกับไวรัสคอมพิวเตอร์กันเลยนะครับ ลองติดตามดู
ฟิชชิง (Phishing)
ฟิชชิง (Phishing) คือเทคนิคการหลอกลวงผ่านทางอินเทอร์เน็ต เพื่อทำให้เหยื่อเปิดเผยข้อมูลการทำธุรกรรมทางการเงินจำพวก Online Bank Account เป็นต้น โดยใช้เทคนิคแบบ Social Engineering ประกอบเพื่อเพิ่มความน่าเชื่อถือ ในการขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ ตัวอย่างของการฟิชชิง เช่น การบอกแก่ผู้รับปลายทางว่าเป็นธนาคารหรือบริษัทที่น่าเชื่อถือ และแจ้งว่ามีสาเหตุทำให้คุณต้องเข้าสู่ระบบและใส่ข้อมูลที่สำคัญใหม่ โดยเว็บไซต์ที่ลิงก์เข้าไปนั้น มักจะมีหน้าตาคล้ายคลึงกับเว็บที่กล่าวถึง คำว่า Phishing มาจากคำว่า Fishing ที่แปลว่าการตกปลา ซึ่งหมายถึง การปล่อยให้ปลามากินเหยื่อที่ล่อไว้2
Zombie Network
Zombie Network คือการทำเครือข่ายมืดโดยใช้เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ Worm, Trojan หรือ Malware เรียกเครื่องคอมพิวเตอร์เหล่านั้นว่า Compromised Machine ซึ่งจะถูก Attacker หรือ Hacker ใช้เป็นฐานปฏิบัติการในการส่ง Spam mail, Phishing, DDoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย
Zero-day Attack
Zero-day Attack ในที่นี้หมายถึง การโจมตีของมัลแวร์หรือของแฮคเกอร์ โดยการใช้ประโยชน์จากช่องโหว่ (Vulnerability) ที่มีอยู่ในซอฟแวร์หรือระบบปฎิบัติการซึ่งไม่มีใครรู้มาก่อน หรือรู้อยู่แล้วแต่ยังไม่มี Patch สำหรับอุดช่องโหว่นั้น หรือยังไม่มี Signature ของโปรแกรมด้านความปลอดภัย (Security) สำหรับตรวจหาการโจมตีที่ว่าในเวลานั้น นอกจากนี้แล้วยังมี Malware ที่รวมความสามารถของ Virus, Worm, Trojan, Spyware เข้าไว้ด้วยกันซึ่งเรียกว่า Hybrid malware หรือ Blended Threats อีกด้วย
การวิเคราะห์ชื่อไวรัสหรือมัลแวร์
การวิเคราะห์ชื่อไวรัสหรือมัลแวร์ หมายถึง การแยกส่วนประกอบของชื่อไวรัสหรือมัลแวร์ออกจากกันเพื่อให้รู้ความหมายของชื่อไวรัสที่มีการค้นพบและถูกตั้งชื่อขึ้นโดยบริษัทผู้ขายซอฟต์แวร์ต่อต้านไวรัสต่างๆ ผู้อ่านอาจจะพบเห็นรายชื่อไวรัสหรือมัลแวร์ได้บนเครื่องคอมพิวเตอร์ของตนเองหรือพบเห็นได้ตามหน้าเว็บไซต์ต่างๆแต่เคยสงสัยกันบ้างไหมว่าชื่อของไวรัสที่เห็นนั้นมีส่วนประกอบที่บอกความหมายอะไรไว้บ้างลองมาวิเคราะห์ดูส่วนประกอบของชื่อไวรัสหรือมัลแวร์กันเลยครับตัวอย่างเช่นไวรัสที่มีชื่อว่า W32.Mydoom.bb@mm แบ่งแยกได้เป็นส่วนต่างๆดังนี้
W32 จัดเป็นส่วนที่เรียกว่า Family Name Mydoom จัดเป็นส่วนที่เรียกว่า Group Name bb จัดเป็นอีกส่วนที่เรียกว่า Variant @mm ก็จัดเป็นอีกส่วนที่เรียกว่า Tail Family Name จัดเป็นส่วนประกอบแรกที่มีความหมายบอกถึงชื่อตระกูลของไวรัส ส่วนมากแล้วจะตั้งชื่อตามที่ไวรัสตัวนั้นมีผลกระทบต่อระบบปฏิบัติการอะไรหรือต่อโปรแกรมอะไร หรือตั้งชื่อตามภาษาที่ใช้ในการเขียนไวรัส ยกตัวอย่างส่วนของ Family Name เช่น W32 และ Win32 เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการตระกูล Windows ที่เป็น 32 บิต W95 เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการ Windows 95 WNT เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการ Windows NT Linux เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการลินุกซ์ Palm เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการ Palm OS WM เป็นมาโครไวรัสของโปรแกรม Word X97M เป็นมาโครไวรัสของโปรแกรม Excel 97 I-Worm หรือ Worm จัดเป็นเวิร์มหรือหนอนอินเทอร์เน็ต Trojan หรือ Troj จัดเป็นโทรจัน หรือเรียกอีกอย่างหนึ่งว่า ม้าโทรจัน (Trojan Horse) AOL เป็นโทรจัน America Online Backdoor เป็นโทรจันเปิดช่องให้ผู้บุกรุกเข้าถึงเครื่องได้จากระยะไกล PWSTEAL เป็นโทรจันที่มีความสามารถในการขโมยรหัสผ่านหรือพาสเวิร์ด VBS เป็นไวรัสที่ถูกพัฒนาด้วยโปรแกรม Visual Basic Script Java เป็นไวรัสที่ถูกพัฒนาด้วยภาษาจาวา HILLW เป็นไวรัสที่ถูกคอมไพล์ด้วยภาษาระดับสูง Group Name จัดเป็นส่วนประกอบที่สองแสดงถึงชื่อหรือนามแฝงของผู้เขียนไวรัสที่ถูกตั้งขึ้น ซึ่งแทรกอยู่ในโค้ดของตัวโปรแกรมไวรัสนั้น ตามตัวอย่างชื่อไวรัสข้างบน คำว่า Mydoom จัดเป็นชื่อไวรัสหรือนามแฝงของผู้เขียนไวรัสนั้น
Variant จัดเป็นส่วนประกอบที่สาม โดยรายละเอียดส่วนนี้จะมีความหมายว่าสายพันธุ์ของไวรัสชนิดนั้น มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธุ์เดิมที่มีอยู่ ซึ่งสามารถแบ่งได้เป็น 2 ลักษณะคือ Major Variants Major Variants ชื่อของสายพันธุ์จะตามหลังชื่อของ Group Name หรือชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกัน ยกตัวอย่างเช่น W32.Mydoom.bb@MM ส่วนของ bb จัดเป็น Major Variant ซึ่งแตกต่างจาก W32.Mydoom.Q@MM อย่างชัดเจน Minor Variants Minor Variants ใช้บอกลักษณะในกรณีที่แตกต่างกันนิดหน่อย และในบางครั้ง Minor Variant ใช้เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หมายถึงหนอนชนิดนี้มีขนาดเท่ากับ 4099 กิโลไบต์ Tail จัดเป็นส่วนประกอบสุดท้ายที่บอกความหมายว่าวิธีการแพร่กระจายเป็นอย่างไร ยกตัวอย่างเช่น @M บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น Mailer ที่จะส่งตัวเองไปกับอีเมล์ที่ผู้ใช้ส่งไปเท่านั้น @MM บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น Mass-mailer ที่จะส่งตัวเองผ่านทุกอีเมล์แอดเดรสที่อยู่ในเมล์บอกซ์ สรุปจากตัวอย่างไวรัสข้างบนที่ชื่อ W32.Mydoom.bb@mm หมายความว่า ไวรัสชนิดนี้โจมตีในเพลตฟอร์มของวินโดว์ที่เป็น 32 บิต ชื่อของไวรัสคือ Mydoom สายพันธุ์ของไวรัสตัวนี้คือ bb และมีความสามารถที่จะส่งตัวเองผ่านทุกอีเมล์แอดเดรสที่อยู่ในเมล์บอกซ์ อาการของเครื่องคอมติดไวรัส หรือมัลแวร์2 ผู้อ่านสามารถสังเกตุการทำงานของเครื่องคอมพิวเตอร์ของท่านได้ด้วยตนเอง ถ้ามีอาการดังต่อไปนี้อาจเป็นไปได้ว่ามีไวรัสเข้าไปติดอยู่ในเครื่องคอมพิวเตอร์แล้ว หรืออาจเกิดจากสาเหตุอื่นเช่นเป็นจุดบกพร่องของระบบปฏิบัติการหรือตัวอุปกรณ์ฮาร์ดแวร์มีปัญหาก็เป็นได้ อาการของเครื่องที่ติดไวรัสนั้นได้แก่ เครื่องทำงานช้าลง โดยใช้เวลานานผิดปกติในการสตาร์ทเครื่องและเรียกโปรแกรมขึ้นมาทำงาน เครื่องบูตตัวเองโดยไม่ได้สั่งให้รีสตาร์ท เครื่องแฮ้งค้าง หรือหยุดทำงานโดยไม่ทราบสาเหตุ ขนาดของหน่วยความจำที่เหลืออยู่ลดน้อยกว่าปกติ โดยหาเหตุผลไม่ได้ ซีพียูถูกเรียกใช้งานมากเกินกว่า 90 เปอร์เซ็นต์ขึ้นไปตลอดเวลา แป้นพิมพ์ทำงานผิดปกติหรือไม่ทำงานเลย ไฟล์ข้อมูลหรือโปรแกรมที่เคยใช้อยู่หายไปเฉยๆ พบไฟล์มีชื่อแปลกๆที่ไม่เคยพบมาก่อนอยู่ในโฟลเดอร์ต่างๆ ข้อความที่ไม่เคยได้เห็นกลับถูกแสดงขึ้นมาบ่อยๆ เกิดข้อความหรือภาพประหลาดบนหน้าจอ ขนาดของไฟล์โปรแกรมหรือไฟล์งานใหญ่ขึ้น วันเวลาของโปรแกรมหรือของไฟล์งานเปลี่ยนแปลงไป ไฟแสดงสถานะการทำงานของดิสก์ติดค้างนานกว่าที่เคยเป็น มีเสียงดังออกมาทางลำโพงโดยไม่ได้เกิดจากโปรแกรมที่ใช้งานอยู่ สาเหตุที่เครื่องติดไวรัสหรือมัลแวร์ สาเหตุสำคัญที่ทำให้เครื่องคอมพิวเตอร์ติดไวรัสหรือมัลแวร์ต่างๆ เกิดจากพฤติกรรมการใช้งานเครื่องคอมพิวเตอร์ของผู้ใช้เป็นหลัก ถ้าผู้ใช้มีความระมัดระวังการใช้สื่อบันทึกข้อมูล ไม่ติดตั้งโปรแกรมที่เป็นการละเมิดลิขสิทธิ์ของผู้อื่น เครื่องคอมพิวเตอร์มีโปรแกรมตรวจหาไวรัสและอัพเดทอยู่เสมอ เมื่อเข้าไปใช้บริการอินเตอร์เน็ตเปิดเว็บไซต์ที่น่าเชื่อถือเท่านั้นและจะคลิกอะไรควรอ่านคิดดูให้รอบคอบ เปอร์เซ็นต์การติดไวรัสของเครื่องคอมพิวเตอร์ก็จะลดน้อยลง แต่ไม่ได้หมายความว่าไวรัสคอมพิวเตอร์จะหมดไปจากโลก เพราะยังมีช่องทางอื่นๆที่ทำให้เครื่องคอมพิวเตอร์ติดไวรัสได้อีก เช่น จากทางแผ่นดิสก์หรือแฟลชไดร์ฟที่ได้ทำการคัดลอกไฟล์จากเครื่องหนึ่งไปใช้กับอีกเครื่องหนึ่ง โดยหารู้ไม่ว่า ไวรัสได้สำเนาตัวเองติดไปกับดิสก์หรือแฟลชไดร์ฟ เพื่อไปติดคอมพิวเตอร์เครื่องอื่นต่อไป จากทางอีเมล์ โดยเฉพาะจากการดาวน์โหลดอีเมล์ผ่านทางโปรโตคอล POP3 ซึ่งอาจมีไวรัสหรือมัลแวร์แอบแฝงเข้ามาได้ ส่วนใหญ่จะเป็นพวกหนอนอินเตอร์เน็ตประเภท Mass-mailing worm หรือพวก Netsky, Beagle และ Mydoom เป็นต้น จากการเข้าไปเปิดเว็บที่มีสคริปต์มุ่งร้าย (Malicious script) ซ่อนอยู่ เช่นพวกเว็บโป๊ และเว็บแคร็กต่างๆ อาจมีมัลแวร์ซ่อนตัวอยู่และพร้อมที่จะทำงานตามที่ได้ถูกโปรแกรมไว้ จากการดาวโหลดไฟล์ต่างๆบนเครือข่าย P2P หรือจากแหล่งที่ไม่น่าเชื่อถือซึ่งนิยมเรียกกันว่า โหลดบิท จากการเล่นหรือรับไฟล์จากโปรแกรมประเภท Instant Messaging เช่นโปรแกรมประเภท MSN และ ICQ เป็นต้น จากช่องโหว่ (Vulnerability) ของระบบปฏิบัติการหรือของโปรแกรมต่างๆ ซึ่งพวก Network worm และที่เคยเป็นข่าวได้แก่ Blaster, Sasser และ Bobax จะอาศัยช่องโหว่ที่พบนี้เข้าโจมตีเครื่องเป้าหมาย และต่อไปอาจจะเป็นพวก Zero-day attack ก็เป็นได้นะครับ |