ไวรัสคอมพิวเตอร์5566

ไวรัสคอมพวิ เตอร์ (Viruses Computer)ไวรัสคอมพวิ เตอร์ในโลกน้ีมีนบั ลา้ นๆ ตวั แต่ยกประเภทของไวรัสคอมพิวเตอร์มา ดงั น้ี1. บูตเซกเตอร์ไวรัส (Boot Sector Viruses)หรือ Boot Infector Viruses คือไวรัสที่เก็บตวั เองอยูใ่ นบูตเซกเตอร์ของดิสก์ การใช้งานของบูตเซกเตอร์ คือเมื่อเครื่องคอมพิวเตอร์เร่ิมทางานข้ึนมาคร้ังแรก เคร่ืองจะเขา้ ไปอ่านบูตเซกเตอร์ โดยในบูตเซกเตอร์จะมีโปรแกรมเล็ก ๆ ไวใ้ ชใ้ นการเรียกระบบปฏิบตั ิการข้ึนมาทางานการทางานของบูตเซกเตอร์ไวรัสคือ จะเขา้ ไปแทนที่โปรแกรมที่อยูใ่ นบูตเซกเตอร์ โดยทวั่ ไปแลว้ ถา้ ติดอยู่ในฮาร์ดดิสก์ จะเขา้ ไปอยบู่ ริเวณท่ีเรียกวา่ Master Boot Sector หรือ Partition Table ของฮาร์ดดิสกน์ ้นั ถา้ บูตเซกเตอร์ของดิสก์ใดมีไวรัสประเภทน้ีติดอยู่ ทุก ๆ คร้ังท่ีบูตเคร่ืองข้ึนมา เมื่อมีการเรียนระบบปฏิบตั ิการจากดิสก์น้ี โปรแกรมไวรัสจะทางานก่อนและเขา้ ไปฝังตวั อยูใ่ นหน่วยความจาเพ่ือเตรียมพร้อมท่ีจะทางานตามท่ีไดถ้ ูกโปรแกรม มา ก่อนท่ีจะไปเรียนใหร้ ะบบปฏิบตั ิการทางานตอ่ ไป ทาใหเ้ หมือนไม่มีอะไรเกิดข้ึน2. โปรแกรมไวรัส (Program Viruses)หรือ File Intector Viruses เป็ นไวรัสอีกประเภทหน่ึงที่จะติดอยู่กับโปรแกรม ซ่ึงปกติจะเป็ นไฟล์ที่มีนามสกลุ เป็น COM หรือ EXE และบางไวรัสสามารถเขา้ ไปอยใู่ นโปรแกรมที่มีนามสกุลเป็ น SYS ไดด้ ว้ ยการทางานของไวรัสประเภทน้ี คือ เมื่อมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะทางานก่อนและจะถือโอกาสน้ีฝังตวั เขา้ ไปอยใู่ นหน่วยความจาทนั ทีแลว้ จึงค่อยให้โปรแกรมน้นั ทา งานตามปกติ เมื่อฝังตวั อยใู่ นหน่วยความจาแลว้ หลงั จากน้ีหากมีการ เรียกโปรแกรมอื่น ๆข้ึนมาทางานตอ่ ตวั ไวรัสจะสาเนาตวั เองเขา้ ไปในโปรแกรมเหล่าน้ีทนั ที เป็นการแพร่ระบาดต่อไปนอกจากน้ีไวรัสน้ียงั มีวิธีการแพร่ระบาดอีกคือ เม่ือมีการเรียกโปรแกรมที่มีไวรัสติดอยู่ ตวั ไวรัสจะเขา้ ไปหาโปรแกรมอื่น ๆ ที่อยตู่ ิดเพื่อทาสาเนาตวั เองลงไปทนั ที แลว้ จึงค่อยใหโ้ ปรแกรมที่ถูกเรียกน้นั ทางานตามปกติต่อไป3. ม้าโทรจนั (Trojan Horse)เป็ นโปรแกรมท่ีถูกเขียนข้ึนมาให้ทาตวั เหมือนวา่ เป็ นโปรแกรมธรรมดา ทว่ั ๆ ไป เพื่อหลอกล่อผูใ้ ชใ้ ห้ทาการเรียนข้ึนมาทางาน แต่เม่ือถูกเรียกข้ึนมา ก็จะเร่ิมทาลายตามที่โปรแกรมมาทนั ที มา้ โทรจนั บางตวั ถูก

เขียนข้ึนมาใหม่ท้งั ชุด โดยคนเขียนจะทาการต้งั ช่ือโปรแกรมพร้อมช่ือรุ่นและคา อธิบาย การใช้งาน ท่ีดูสมจริง เพือ่ หลอกใหค้ นที่จะเรียกใชต้ ายใจจุดประสงค์ของคนเขียนมา้ โทรจนั คือเขา้ ไปทาอนั ตรายต่อ ขอ้ มูลท่ีมีอยู่ในเครื่อง หรืออาจมีจุดประสงค์เพ่ือท่ีจะลว้ ง เอาความลบั ของระบบคอมพิวเตอร์ มา้ โทรจนั ถือวา่ ไม่ใช่ไวรัส เพราะเป็นโปรแกรมที่ถูกเขียนข้ึนมาโดด ๆ และจะไมม่ ีการเขา้ ไปติดในโปรแกรมอ่ืนเพ่ือสาเนาตวั เอง แต่จะใช้ความรู้เท่าไม่ถึงการณ์ของผูใ้ ช้ เป็ นตวั แพร่ระบาดซอฟตแ์ วร์ที่มี มา้ โทรจนั อยูใ่ นน้นั และนบั วา่ เป็ นหน่ึงในประเภทของโปรแกรมท่ีมีความอนั ตรายสูง เพราะยากท่ีจะตรวจสอบและ สร้างข้ึนมาไดง้ ่าย ซ่ึงอาจใชแ้ ค่แบตไ์ ฟลก์ ็สามารถโปรแกรมมา้ โทรจนั ได้4. โพลมี อร์ฟิ กไวรัส (Polymorphic Viruses)เป็ นชื่อที่ใชเ้ รียกไวรัสท่ีมีความสามารถในการแปรเปลี่ยนตวั เอง ไดเ้ มื่อมีการสร้างสาเนาตวั เองเกิดข้ึน ซ่ึงอาจไดถ้ ึงหลายร้อยรูปแบบ ผลก็คือ ทาใหไ้ วรัสเหล่าน้ียากต่อการถูกตรวจจดั โดยโปรแกรมตรวจหาไวรัสท่ีใชว้ ธิ ีการสแกนอยา่ งเดียว ไวรัสใหม่ ๆ ในปัจจุบนั ท่ีมีความสามารถน้ีเริ่มมีจานวนเพิ่มมากข้ึนเร่ือย ๆ5. สทลิ ต์ไวรัส (Stealth Viruses)เป็ นชื่อเรียกไวรัสที่มีความสามารถในการพรางตวั ต่อการตรวจจบั ได้ เช่น ไฟลอ์ ินเฟกเตอร์ ไวรัสประเภทท่ีไปติดโปรแกรม ใดแลว้ จะทาให้ขนาดของ โปรแกรมน้ันใหญ่ข้ึน ถา้ โปรแกรมไวรัสน้นั เป็ นแบบสทิสต์ไวรัส จะไม่สามารถตรวจดูขนาดท่ีแทจ้ ริงของโปรแกรมท่ีเพิ่มข้ึนได้เน่ืองจากตวั ไวรัสจะเขา้ ไปควบคุมดอส เมื่อมีการใชค้ าสั่ง DIR หรือโปรแกรมใดก็ตามเพ่ือตรวจดูขนาดของโปรแกรม ดอสกจ็ ะแสดงขนาดเหมือนเดิม ทุกอยา่ งราวกบั วา่ ไมม่ ีอะไรเกิดข้ึน6. Macro virusesจะติดตอ่ กบั ไฟลซ์ ่ึงใชเ้ ป็นตน้ แบบ (template) ในการสร้างเอกสาร (documents หรือ spreadsheet) หลงั จากท่ีตน้ แบบในการใช้สร้างเอกสาร ติดไวรัสแลว้ ทุก ๆ เอกสารที่เปิ ดข้ึนใช้ดว้ ยตน้ แบบอนั น้ันจะเกิดความเสียหายข้ึน

7. W32.MSN.Wormประเภท Worm ลกั ษณะท่ีหนอนใชส้ ่งจะประกอบไปดว้ ยขอ้ ความต่างๆ แลว้ ตามดว้ ยไฟล์ Image.zip และสามารถแพร่กระจายผา่ นทางโปรแกรมสนทนา MSN Messenger ผลเสียท่ีเกิด 1.เคร่ืองอาจทางานผิดพลาด : เนื่องจากหนอนชนิดน้ีทาการแก้ไขค่าในรีจิสทรี สร้างไฟล์ข้ึนมารวมท้งั มีการยตุ ิการทางานบางเซอร์วสิ ของระบบปฏิบตั ิการดว้ ย 2.เปิ ดการเช่ือมต่อที่ผดิ ปกติ : หนอนชนิดน้ีจะส่งไฟล์ของหนอนไปยงั บญั ชีรายชื่ออื่นๆ ท่ีอยูใ่ นลิสต์ของโปรแกรมสนทนา MSN Messengerวธิ ีป้องกนั 1.หา้ มรับหรือรันไฟล์ที่ถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือPirch เป็นตน้ จากบุคคลท่ีไม่รู้จกั หรือไมม่ น่ั ใจวา่ ผสู้ ่งเป็นใครและไมท่ ราบวา่ ไฟลด์ งั กล่าวน้นั เป็นไฟลอ์ ะไร 2.สร้างแผน่ กูร้ ะบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกนั ไวรัส และปรับปรุงฐานขอ้ มูลในแผน่ อยเู่ สมอติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหมท่ ี่สุด 3.ติดต้งั โปรแกรมป้องกนั ไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสใหท้ นั สมยั อยเู่ สมอ8. Hacked By MooZillaไฟล์ : Spoofผลเสียทเี่ กดิ ขึน้ 1. เคร่ืองจะไม่สามารถ Double Click เปิ ดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพ่ือเปิ ดไดร์ฟโดยเลือกเมนู Open หรือ Explore 2. มีขอ้ ความปรากฏบน Title Bar ของ Internet Explorer วา่ “Hacked by Moozilla” 3. เวลาเขา้ เวปจะลิงคไ์ ปท่ีหนา้ ของเวปเกมเวปหน่ึงทุกคร้ังวธิ ีแก้ไข 1. ใหท้ า่ นดาวนโ์ หลด โปรแกรม Fix “Hacked By Godzilla” ไปลงที่เครื่องครับ คลิกดาวโหลด

2. ทาการเปิ ดโปรแกรมข้ึนมาครับ หลงั จากน้นั มีหน้าต่างโชว์ ขอ้ มูลเก่ียวกบั ลิขสิทธ์ิของโปรแกรมครับ ใหก้ ด I Agree 3. จากน้นั ในหนา้ ต่างถดั ไปจะมี Option ใหเ้ ลือกครับวา่ ตอ้ งการอะไรบา้ ง โดย – Remove Godzilla[Butsur.A,B] คือการกาจดั ตวั ไวรัสท้งั สองน้ีออกไป – Remove Autorun.inf คือการกาจดั ตวั Autorun ของไดร์ฟน้นั ๆออกไป (เพื่อเป็ นการกนั ไม่ให้ไวรัสติดมาและกระจายตวั อีกครับ) – Scan and clean with NOD32 ทาการสแกนเคร่ืองของคุณด้วย NOD32 อีกคร้ัง สาหรับใน Option น้ีสาหรับผูท้ ่ีติดต้งั โปรแกรม Nod32 Antivirus หากเคร่ืองของท่านไม่ไดต้ ิดต้งั ไว้ ก็ไม่จาเป็ นตอ้ งเลือกในหวั ขอ้ น้ี 4. หลงั จากน้นั โปรแกรมจะข้ึนมาใหเ้ ลือก Drive ท่ีมีปัญหา ซ่ึงหากไม่รู้ก็ใหเ้ ลือก Scan ทีละ Drive จนครบท้งั หมด 5. หลงั จากกาจดั ไวรัสเรียบร้อยแลว้ โปรแกรมทาการรีสตาร์ทเครื่องคอมพิวเตอร์9. W32.Sober.AG@mmประเภท : fishingผลเสียทเ่ี กดิ ขนึ้1.ส่งอี-เมลอ์ อกมาเป็นจานวนมาก : หนอนจะส่งอี-เมลโ์ ดยใช้ SMTP ของหนอนเอง2.เครื่องอาจทางานผดิ พลาด : เน่ืองจากหนอนจะแกไ้ ขไฟลแ์ ละรีจิสทรีย์ ทาใหเ้ ครื่องทางานผดิ พลาดได้3.ลดระดบั ความปลอดภยั ของเคร่ือง : เขียนทบั ไฟลท์ ี่ช่ือ luall.exe ซ่ึงจะรันตวั หนอนทุกคร้ังท่ีมีการเรียกโปรแกรม Live Updateวธิ ีแก้ไข การกาจัดหนอนแบบอตั โนมตั ิ1.ดาวนโ์ หลดโปรแกรม Sysclean.com จากเวบ็ ไซต์http://www.trendmicro.com/ftp/products/tsc/sysclean.com2.ดาวนโ์ หลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.aspหมายเหตุ xxx แทนตวั เลขเวอร์ชนั ล่าสุดของไฟล์ pattern3.แตกไฟล์ lptxxx.zip นาไฟลช์ ื่อ lpt$vpn.xxx เก็บไวใ้ นโฟลเดอร์เดียวกบั ไฟล์ Sysclean.com ท่ีไดจ้ ากขอ้ 14.ตดั การเช่ือมตอ่ เครือข่าย

5.หยดุ การทางานทุกโปรแกรม รวมท้งั โปรแกรมป้องกนั ไวรัสดว้ ย6.จากน้นั รันไฟล์ Sysclean.com จะปรากฏไดอะล็อกใหท้ าการสแกนโดยกดป่ ุม Scan7.เร่ิมตน้ การใชง้ านโปรแกรมป้องกนั ไวรัสอีกคร้ัง8.ทาการปรับปรุงฐานขอ้ มูลไวรัสท่ีใช้อยู่แลว้ ทาการสแกนอีกคร้ังเพื่อให้แน่ใจว่าเครื่องท่ีใช้งานอยู่ไม่มีไวรัสวธิ ีป้องกนั1.ควรลบอี-เมลท์ ี่น่าสงสยั วา่ มีไวรัสแนบมา รวมท้งั อี-เมลข์ ยะและอี-เมลล์ ูกโซ่ทิง้ ทนั ที2.หา้ มรันไฟล์ที่แนบมากบั อี-เมล์ซ่ึงมาจากบุคคลที่ไม่รู้จกั หรือไม่มน่ั ใจวา่ ผูส้ ่งเป็ นใครและไม่ทราบวา่ ไฟล์ดงั กล่าวน้นั เป็ นไฟล์อะไร ตลอดจนไฟล์ท่ีถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQ หรือPirch เป็นตน้3.ติดต้งั โปรแกรมต่อตา้ นไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสเป็นตวั ล่าสุดอยเู่ สมอ4.(Emergency disk) ของโปรแกรมป้องกนั ไวรัส และปรับปรุงฐานขอ้ มูลในแผน่ อยเู่ สมอ5.ติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหม่ที่สุด6.สร้างแผน่ กรู้ ะบบฉุกเฉิน10. W32.Nimdaประเภท backdoorการทางาน1.กระจายตวั จาก client ไปยงั client โดยผา่ นทางอี-เมล์2.กระจายตวั จาก client ไปยงั client โดยผา่ นทาง network shares3.จาก web server (ที่ถูก compromised) ไปยงั client โดยผา่ นทาง web browser โดยที่จะข้ึน prompt ใหด้ าวน์โหลดไฟล์ .eml4.จาก client ไปยงั web server ( IIS 4.0/5.0 directory traversal vulnerability VU #11677)5.จาก client ไปยงั web server ผา่ นทาง backdoor ที่เปิ ดไวโ้ ดย Code Red II และ Sadmind/IIS wormวธิ ีป้องกนั

1.สาหรับ Internet Explorer version 5.01 or 5.5 without SP2 ใหต้ ิดต้งั Patch คลิกดาวโหลด เพื่อทาการแกไ้ ขBug ของ Outlook Express ท่ีจะรันไฟลท์ ี่แนบมากบั จดหมายทีติดไวรัส W32.Nimba โดยอตั โนมตั ิ2.สาหรับ Windows NT และ Windows 2000 จะตอ้ งทาการอพั เดต Patch เพื่อแกไ้ ขบก๊ั ของ IIS server จากhttp://www.microsoft.com/technet/security/bulletin/ms00-078.asphttp://www.microsoft.com/technet/security/bulletin/MS01-044.asp3.ติดต้ังโปรแกรม Antivirus ท่ีมีความสามารถในการ Scan Web Page ได้เช่น PC-Cillin 2000, NortonAntivirus 2001, McAfee Virus Scan เป็นตน้4.อพั เดต ฐานขอ้ มูลของไวรัสอยเู่ สมอ5.ยกเลิกการแชร์ไฟลห์ รือโฟลเดอร์วธิ ีแก้ไข ดาวน์โหลดโปรแกรมสาหรับกาจัด1.หลงั จากที่ดาวน์โหลดไฟล์ดงั กล่าวแล้วให้ดบั เบิ้ลคลิกไฟล์ Fixnimda.com และเลือก Clean Share และClean Registry Entries2.กดป่ ุม START เพอื่ เริ่มการตรวจสอบและกาจดั ไวรัสออกจากระบบ