virus

น.ส ชฎาภรณ์ พภิ พ ส.1สารสนเทศ 2 เลขท่ี 3

1. ม้าโทรจัน (Trojan Horse) เป็ นโปรแกรมที่ถูกเขียนข้ึนมาให้ทาตัวเหมือนว่าเป็ นโปรแกรมธรรมดา ทว่ั ๆ ไป เพ่ือหลอกล่อผูใ้ ชใ้ ห้ทาการเรียนข้ึนมาทางาน แต่เม่ือถูกเรียกข้ึนมา ก็จะเร่ิมทาลายตามท่ีโปรแกรมมาทนั ที มา้ โทรจนั บางตวั ถูกเขียนข้ึนมาใหม่ท้งั ชุด โดยคนเขียนจะทาการต้งั ช่ือโปรแกรมพร้อมชื่อรุ่นและคา อธิบาย การใชง้ าน ท่ีดูสมจริง เพื่อหลอกใหค้ นท่ีจะเรียกใชต้ ายใจจุดประสงคข์ องคนเขียนมา้ โทรจนั คือเขา้ ไปทาอนั ตรายต่อ ขอ้ มูลท่ีมีอยู่ในเคร่ือง หรืออาจมีจุดประสงค์เพ่ือท่ีจะลว้ ง เอาความลบั ของระบบคอมพิวเตอร์ มา้ โทรจนั ถือวา่ ไม่ใช่ไวรัส เพราะเป็นโปรแกรมที่ถูกเขียนข้ึนมาโดด ๆ และจะไม่มีการเขา้ ไปติดในโปรแกรมอื่นเพื่อสาเนาตวั เอง แต่จะใช้ความรู้เท่าไม่ถึงการณ์ของผูใ้ ช้ เป็ นตวั แพร่ระบาดซอฟตแ์ วร์ที่มี มา้ โทรจนั อยใู่ นน้นั และนบั ว่าเป็ นหน่ึงในประเภทของโปรแกรมท่ีมีความอนั ตรายสูง เพราะยากที่จะตรวจสอบและ สร้างข้ึนมาไดง้ ่าย ซ่ึงอาจใชแ้ คแ่ บตไ์ ฟลก์ ส็ ามารถโปรแกรมมา้ โทรจนั ได้ 2. โพลมี อร์ฟิ กไวรัส (Polymorphic Viruses) เป็นชื่อที่ใชเ้ รียกไวรัสท่ีมีความสามารถในการแปรเปลี่ยนตวั เอง ไดเ้ มื่อมีการสร้างสาเนาตวั เองเกิดข้ึน ซ่ึงอาจไดถ้ ึงหลายร้อยรูปแบบ ผลก็คือ ทาให้ไวรัสเหล่าน้ียากต่อการถูกตรวจจดั โดยโปรแกรมตรวจหาไวรัสท่ีใชว้ ิธีการสแกนอยา่ งเดียว ไวรัสใหม่ ๆ ในปัจจุบนั ที่มีความสามารถน้ีเร่ิมมีจานวนเพม่ิ มากข้ึนเร่ือย ๆ 3. สทิลต์ไวรัส (Stealth Viruses) เป็นช่ือเรียกไวรัสท่ีมีความสามารถในการพรางตวั ต่อการตรวจจบั ได้ เช่น ไฟลอ์ ินเฟกเตอร์ ไวรัสประเภทท่ีไปติดโปรแกรม ใดแลว้ จะทาใหข้ นาดของ โปรแกรมน้นั

ใหญ่ข้ึน ถา้ โปรแกรมไวรัสน้นั เป็ นแบบสทิสตไ์ วรัส จะไม่สามารถตรวจดูขนาดท่ีแทจ้ ริงของโปรแกรมท่ีเพ่มิ ข้ึนได้เนื่องจากตวั ไวรัสจะเขา้ ไปควบคุมดอส เม่ือมีการใชค้ าสงั่ DIR หรือโปรแกรมใดก็ตามเพอื่ ตรวจดูขนาดของโปรแกรม ดอสกจ็ ะแสดงขนาดเหมือนเดิม ทุกอยา่ งราวกบั วา่ ไม่มีอะไรเกิดข้ึน 4. Macro viruses จะติดต่อกับไฟล์ซ่ึงใช้เป็ นต้นแบบ (template) ในการสร้างเอกสาร(documents หรือ spreadsheet) หลงั จากท่ีตน้ แบบในการใชส้ ร้างเอกสาร ติดไวรัสแลว้ ทุก ๆ เอกสารที่เปิ ดข้ึนใชด้ ว้ ยตน้ แบบอนั น้นั จะเกิดความเสียหายข้ึน 5. W32.MSN.Worm ประเภท Worm ลกั ษณะท่ีหนอนใชส้ ่งจะประกอบไปดว้ ยขอ้ ความต่างๆแลว้ ตามดว้ ยไฟล์ Image.zip และสามารถแพร่กระจายผา่ นทางโปรแกรมสนทนา MSN Messengerผลเสียทเ่ี กดิ 1.เคร่ืองอาจทางานผิดพลาด : เนื่องจากหนอนชนิดน้ีทาการแกไ้ ขค่าในรีจิสทรี สร้างไฟล์ข้ึนมารวมท้งั มีการยตุ ิการทางานบางเซอร์วสิ ของระบบปฏิบตั ิการดว้ ย 2.เปิ ดการเชื่อมต่อท่ีผดิ ปกติ : หนอนชนิดน้ีจะส่งไฟลข์ องหนอนไปยงั บญั ชีรายช่ืออื่นๆ ที่อยใู่ นลิสต์ของโปรแกรมสนทนา MSN Messengerวธิ ีป้ องกนั 1.หา้ มรับหรือรันไฟลท์ ี่ถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือPirch เป็นตน้ จากบุคคลที่ไม่รู้จกั หรือไม่มนั่ ใจวา่ ผสู้ ่งเป็นใครและไม่ทราบวา่ ไฟลด์ งั กล่าวน้นั เป็นไฟลอ์ ะไร 2.สร้างแผน่ กรู้ ะบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้ องกนั ไวรัส และปรับปรุงฐานขอ้ มูลในแผน่ อยเู่ สมอติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหม่ที่สุด 3.ติดต้งั โปรแกรมป้ องกนั ไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสใหท้ นั สมยั อยเู่ สมอ

6. Hacked By MooZilla ไฟล์ : Spoofผลเสียทเ่ี กดิ ขึน้ 1. เคร่ืองจะไม่สามารถ Double Click เปิ ดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพ่ือเปิ ดไดร์ฟโดยเลือกเมนู Open หรือ Explore 2. มีขอ้ ความปรากฏบน Title Bar ของ Internet Explorer วา่ “Hacked by Moozilla” 3. เวลาเขา้ เวปจะลิงคไ์ ปที่หนา้ ของเวปเกมเวปหน่ึงทุกคร้ังวธิ ีแก้ไข 1. ใหท้ ่านดาวน์โหลด โปรแกรม Fix “Hacked By Godzilla” ไปลงที่เครื่องครับ คลิกดาวโหลด 2. ทาการเปิ ดโปรแกรมข้ึนมาครับ หลงั จากน้นั มีหนา้ ต่างโชว์ ขอ้ มูลเกี่ยวกบั ลิขสิทธ์ิของโปรแกรมครับ ใหก้ ด I Agree 3. จากน้นั ในหนา้ ต่างถดั ไปจะมี Option ใหเ้ ลือกครับวา่ ตอ้ งการอะไรบา้ ง โดย – Remove Godzilla[Butsur.A,B] คือการกาจดั ตวั ไวรัสท้งั สองน้ีออกไป – Remove Autorun.inf คือการกาจดั ตวั Autorun ของไดร์ฟน้นั ๆออกไป (เพื่อเป็ นการกนั ไม่ให้ไวรัสติดมาและกระจายตวั อีกครับ) – Scan and clean with NOD32 ทาการสแกนเครื่องของคุณด้วย NOD32 อีกคร้ัง สาหรับใน Option น้ีสาหรับผูท้ ี่ติดต้งั โปรแกรม Nod32 Antivirus หากเคร่ืองของท่านไม่ไดต้ ิดต้งั ไว้ ก็ไม่จาเป็ นตอ้ งเลือกในหวั ขอ้ น้ี 4. หลงั จากน้นั โปรแกรมจะข้ึนมาใหเ้ ลือก Drive ที่มีปัญหา ซ่ึงหากไม่รู้กใ็ หเ้ ลือก Scan ทีละ Drive จนครบท้งั หมด 5. หลงั จากกาจดั ไวรัสเรียบร้อยแลว้ โปรแกรมทาการรีสตาร์ทเคร่ืองคอมพิวเตอร์7. W32.Sober.AG@mm ประเภท : fishingผลเสียทเี่ กดิ ขึน้ 1.ส่งอี-เมลอ์ อกมาเป็นจานวนมาก : หนอนจะส่งอี-เมลโ์ ดยใช้ SMTP ของหนอนเอง 2.เคร่ืองอาจทางานผดิ พลาด : เน่ืองจากหนอนจะแกไ้ ขไฟลแ์ ละรีจิสทรีย์ ทาใหเ้ คร่ืองทางานผดิ พลาดได้ 3.ลดระดบั ความปลอดภยั ของเคร่ือง : เขียนทบั ไฟลท์ ี่ชื่อ luall.exe ซ่ึงจะรันตวั หนอนทุกคร้ังที่มีการเรียกโปรแกรม Live Updateวธิ ีแก้ไข การกาจดั หนอนแบบอตั โนมตั ิ

1.ดาวนโ์ หลดโปรแกรม Sysclean.com จากเวบ็ ไซต์http://www.trendmicro.com/ftp/products/tsc/sysclean.com 2.ดาวนโ์ หลดไฟล์ pattern ช่ือ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.aspหมายเหตุ xxx แทนตวั เลขเวอร์ชนั ล่าสุดของไฟล์ pattern 3.แตกไฟล์ lptxxx.zip นาไฟลช์ ื่อ lpt$vpn.xxx เก็บไวใ้ นโฟลเดอร์เดียวกบั ไฟล์ Sysclean.com ท่ีได้จากขอ้ 1 4.ตดั การเชื่อมต่อเครือข่าย 5.หยดุ การทางานทุกโปรแกรม รวมท้งั โปรแกรมป้ องกนั ไวรัสดว้ ย 6.จากน้นั รันไฟล์ Sysclean.com จะปรากฏไดอะลอ็ กใหท้ าการสแกนโดยกดป่ ุม Scan 7.เริ่มตน้ การใชง้ านโปรแกรมป้ องกนั ไวรัสอีกคร้ัง 8.ทาการปรับปรุงฐานขอ้ มูลไวรัสท่ีใชอ้ ยแู่ ลว้ ทาการสแกนอีกคร้ังเพื่อใหแ้ น่ใจว่าเคร่ืองที่ใชง้ านอยู่ไม่มีไวรัสวธิ ีป้ องกนั 1.ควรลบอี-เมลท์ ่ีน่าสงสยั วา่ มีไวรัสแนบมา รวมท้งั อี-เมลข์ ยะและอี-เมลล์ ูกโซ่ทิ้งทนั ที 2.ห้ามรันไฟลท์ ี่แนบมากบั อี-เมลซ์ ่ึงมาจากบุคคลที่ไม่รู้จกั หรือไม่มนั่ ใจวา่ ผสู้ ่งเป็ นใครและไม่ทราบว่าไฟลด์ งั กล่าวน้ันเป็ นไฟล์อะไร ตลอดจนไฟลท์ ่ีถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQหรือ Pirch เป็นตน้ 3.ติดต้งั โปรแกรมต่อตา้ นไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสเป็นตวั ล่าสุดอยเู่ สมอ 4.(Emergency disk) ของโปรแกรมป้ องกนั ไวรัส และปรับปรุงฐานขอ้ มลู ในแผน่ อยเู่ สมอ5.ติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟตแ์ วร์อย่เู สมอ โดยเฉพาะ Internet Explorer และระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหม่ท่ีสุด6.สร้างแผน่ กรู้ ะบบฉุกเฉิน

8. W32.Nimda ประเภท backdoorการทางาน1.กระจายตวั จาก client ไปยงั client โดยผา่ นทางอี-เมล์2.กระจายตวั จาก client ไปยงั client โดยผา่ นทาง network shares3.จาก web server (ที่ถกู compromised) ไปยงั client โดยผา่ นทาง web browser โดยท่ีจะข้ึน prompt ใหด้ าวน์โหลดไฟล์ .eml4.จาก client ไปยงั web server ( IIS 4.0/5.0 directory traversal vulnerability VU #11677)5.จาก client ไปยงั web server ผา่ นทาง backdoor ท่ีเปิ ดไวโ้ ดย Code Red II และ Sadmind/IIS wormวธิ ีป้ องกนั1.สาหรับ Internet Explorer version 5.01 or 5.5 without SP2 ใหต้ ิดต้งั Patch คลิกดาวโหลด เพอ่ื ทาการแกไ้ ขBug ของ Outlook Express ที่จะรันไฟลท์ ่ีแนบมากบั จดหมายทีติดไวรัส W32.Nimba โดยอตั โนมตั ิ2.สาหรับ Windows NT และ Windows 2000 จะตอ้ งทาการอพั เดต Patch เพอื่ แกไ้ ขบกั๊ ของ IIS server จากhttp://www.microsoft.com/technet/security/bulletin/ms00-078.asphttp://www.microsoft.com/technet/security/bulletin/MS01-044.asp3.ติดต้ังโปรแกรม Antivirus ท่ีมีความสามารถในการ Scan Web Page ได้เช่น PC-Cillin 2000, NortonAntivirus 2001, McAfee Virus Scan เป็นตน้4.อพั เดต ฐานขอ้ มลู ของไวรัสอยเู่ สมอ5.ยกเลิกการแชร์ไฟลห์ รือโฟลเดอร์วธิ ีแก้ไข ดาวนโ์ หลดโปรแกรมสาหรับกาจดั1.หลงั จากท่ีดาวน์โหลดไฟลด์ งั กล่าวแลว้ ให้ดบั เบิ้ลคลิกไฟล์ Fixnimda.com และเลือก Clean Share และClean Registry Entries2.กดป่ ุม START เพ่อื เริ่มการตรวจสอบและกาจดั ไวรัสออกจากระบบ