ไวรัสคอมพิวเตอร์

ไวรัสคอมพวิ เตอร์ 1. บูตเซกเตอร์ไวรัส (Boot Sector Viruses) หรือ Boot Infector Viruses คือไวรัสที่เกบ็ ตวั เองอยใู่ นบูตเซกเตอร์ของดิสก์ การใชง้ านของบูตเซกเตอร์ คือเมื่อเคร่ืองคอมพวิ เตอร์เริ่มทางานข้ึนมาคร้ังแรก เคร่ืองจะเขา้ ไปอ่านบูตเซกเตอร์ โดยในบูตเซกเตอร์จะมีโปรแกรมเล็กๆ ไวใ้ ชใ้ นการเรียกระบบปฏิบตั ิการข้ึนมาทางาน การทางานของบูตเซกเตอร์ไวรัสคือ จะเขา้ ไปแทนท่ีโปรแกรมท่ีอยใู่ นบูตเซกเตอร์ โดยทวั่ ไปแลว้ถา้ ติดอยใู่ นฮาร์ดดิสก์ จะเขา้ ไปอยบู่ ริเวณท่ีเรียกวา่ Master Boot Sector หรือ Partition Table ของฮาร์ดดิสก์น้นั ถา้ บูตเซกเตอร์ของดิสกใ์ ดมีไวรัสประเภทน้ีติดอยู่ ทุก ๆ คร้ังท่ีบูตเคร่ืองข้ึนมา เมื่อมีการเรียนระบบปฏิบตั ิการ จากดิสกน์ ้ี โปรแกรมไวรัสจะทางานก่อนและเขา้ ไปฝังตวั อยใู่ นหน่วยความจาเพ่ือเตรียมพร้อมที่จะทางานตามท่ีไดถ้ ูกโปรแกรม มา ก่อนท่ีจะไปเรียนให้ระบบปฏิบตั ิการทางานต่อไป ทาให้เหมือนไม่มีอะไรเกิดข้ึน 2. โปรแกรมไวรัส (Program Viruses) หรือ File Intector Viruses เป็นไวรัสอีกประเภทหน่ึงท่ีจะติดอยกู่ บั โปรแกรม ซ่ึงปกติจะเป็นไฟลท์ ่ีมีนามสกุลเป็น COM หรือ EXEและบางไวรัสสามารถเขา้ ไปอยใู่ นโปรแกรมท่ีมีนามสกลุ เป็น SYS ไดด้ ว้ ยการทางานของไวรัสประเภทน้ีคือ เม่ือมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะทางานก่อนและจะถือโอกาสน้ีฝังตวั เขา้ ไปอยใู่ นหน่วยความจาทนั ทีแลว้ จึงค่อยใหโ้ ปรแกรมน้นั ทา งานตามปกติ เม่ือฝังตวั อยใู่ นหน่วยความจาแลว้ หลงั จากน้ีหากมีการ เรียกโปรแกรมอ่ืน ๆ ข้ึนมาทางานต่อ ตวั ไวรัสจะสาเนาตวั เองเขา้ ไปในโปรแกรมเหล่าน้ีทนั ทีเป็ นการแพร่ ระบาดต่อไป

3. ม้าโทรจนั (Trojan Horse) เป็นโปรแกรมที่ถูกเขียนข้ึนมาใหท้ าตวั เหมือนวา่ เป็นโปรแกรมธรรมดา ทวั่ ๆ ไป เพอ่ื หลอกล่อผใู้ ชใ้ ห้ทาการเรียนข้ึนมาทางาน แตเ่ ม่ือถูกเรียกข้ึนมา ก็จะเร่ิมทาลายตามที่โปรแกรมมาทนั ที มา้ โทรจนั บางตวั ถูกเขียนข้ึนมาใหม่ท้งั ชุด โดยคนเขียนจะทาการต้งั ช่ือโปรแกรมพร้อมชื่อรุ่นและคา อธิบาย การใชง้ าน ที่ดูสมจริง เพือ่ หลอกใหค้ นท่ีจะเรียกใชต้ ายใจ จุดประสงคข์ องคนเขียนมา้ โทรจนั คือเขา้ ไปทาอนั ตรายต่อ ขอ้ มูลที่มีอยใู่ นเคร่ือง หรืออาจมีจุดประสงค์เพอื่ ท่ีจะลว้ ง เอาความลบั ของระบบคอมพวิ เตอร์ มา้ โทรจนั ถือวา่ ไมใ่ ช่ไวรัส เพราะเป็ นโปรแกรมท่ีถูกเขียนข้ึนมาโดด ๆ และจะไมม่ ีการเขา้ ไปติดในโปรแกรมอ่ืนเพ่ือสาเนาตวั เอง แต่จะใชค้ วามรู้เทา่ ไมถ่ ึงการณ์ของผใู้ ช้ เป็นตวั แพร่ระบาดซอฟตแ์ วร์ท่ีมี มา้ โทรจนั อยใู่ นน้นั และนบั วา่ เป็นหน่ึงในประเภทของโปรแกรมท่ีมีความอนั ตรายสูง เพราะยากท่ีจะตรวจสอบและ สร้างข้ึนมาไดง้ ่าย ซ่ึงอาจใชแ้ ค่แบตไ์ ฟลก์ ็สามารถโปรแกรมมา้ โทรจนั ได้ 4. โพลมี อร์ฟิ กไวรัส (Polymorphic Viruses) เป็นชื่อที่ใชเ้ รียกไวรัสที่มีความสามารถในการแปรเปลี่ยนตวั เอง ไดเ้ ม่ือมีการสร้างสาเนาตวั เองเกิดข้ึนซ่ึงอาจไดถ้ ึงหลายร้อยรูปแบบ ผลกค็ ือ ทาใหไ้ วรัสเหล่าน้ียากต่อการถูกตรวจจดั โดยโปรแกรมตรวจหาไวรัสท่ีใชว้ ธิ ีการสแกนอยา่ งเดียว ไวรัสใหม่ ๆ ในปัจจุบนั ที่มีความสามารถน้ีเริ่มมีจานวนเพ่มิ มากข้ึนเรื่อย ๆ

5. สทิลต์ไวรัส (Stealth Viruses) เป็นช่ือเรียกไวรัสท่ีมีความสามารถในการพรางตวั ต่อการตรวจจบั ได้ เช่น ไฟลอ์ ินเฟกเตอร์ ไวรัสประเภทที่ไปติดโปรแกรม ใดแลว้ จะทาใหข้ นาดของ โปรแกรมน้นั ใหญข่ ้ึน ถา้ โปรแกรมไวรัสน้นั เป็นแบบสทิสตไ์ วรัส จะไม่สามารถตรวจดูขนาดท่ีแทจ้ ริงของโปรแกรมที่เพิ่มข้ึนได้ เนื่องจากตวั ไวรัสจะเขา้ ไปควบคุมดอส เมื่อมีการใชค้ าสง่ั DIR หรือโปรแกรมใดก็ตามเพอื่ ตรวจดูขนาดของโปรแกรม ดอสกจ็ ะแสดงขนาดเหมือนเดิม ทุกอยา่ งราวกบั วา่ ไมม่ ีอะไรเกิดข้ึน 6. Macro viruses จะติดต่อกบั ไฟลซ์ ่ึงใชเ้ ป็นตน้ แบบ (template) ในการสร้างเอกสาร (documents หรือ spreadsheet)หลงั จากที่ตน้ แบบในการใชส้ ร้างเอกสาร ติดไวรัสแลว้ ทุก ๆ เอกสารที่เปิ ดข้ึนใชด้ ว้ ยตน้ แบบอนั น้นั จะเกิดความเสียหายข้ึน

7. W32.MSN.Worm ประเภท Worm ลกั ษณะที่หนอนใชส้ ่งจะประกอบไปดว้ ยขอ้ ความตา่ งๆ แลว้ ตามดว้ ยไฟล์ Image.zipและสามารถแพร่กระจายผา่ นทางโปรแกรมสนทนา MSN Messengerผลเสียทเ่ี กดิ 1.เครื่องอาจทางานผดิ พลาด : เน่ืองจากหนอนชนิดน้ีทาการแกไ้ ขค่าในรีจิสทรี สร้างไฟลข์ ้ึนมารวมท้งั มีการยตุ ิการทางานบางเซอร์วสิ ของระบบปฏิบตั ิการดว้ ย 2.เปิ ดการเชื่อมต่อท่ีผดิ ปกติ : หนอนชนิดน้ีจะส่งไฟลข์ องหนอนไปยงั บญั ชีรายชื่ออ่ืนๆ ท่ีอยใู่ นลิสต์ของโปรแกรมสนทนา MSN Messengerวธิ ปี ้องกนั 1.หา้ มรับหรือรันไฟล์ที่ถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ตา่ งๆ เช่น MSN, Yahoo, IRC, ICQ หรือPirch เป็นตน้ จากบุคคลที่ไม่รู้จกั หรือไมม่ นั่ ใจวา่ ผสู้ ่งเป็นใครและไม่ทราบวา่ ไฟลด์ งั กล่าวน้นั เป็นไฟลอ์ ะไร 2.สร้างแผน่ กูร้ ะบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกนั ไวรัส และปรับปรุงฐานขอ้ มูลในแผน่ อยเู่ สมอ ติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟตแ์ วร์อยเู่ สมอ โดยเฉพาะ InternetExplorer และระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหม่ที่สุด 3.ติดต้งั โปรแกรมป้องกนั ไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสใหท้ นั สมยั อยเู่ สมอ

8. Hacked By MooZillaผลเสียทเ่ี กดิ ขนึ้ 1. เครื่องจะไมส่ ามารถ Double Click เปิ ดไดร์ฟตา่ งๆได้ แตจ่ ะคลิกเมาส์ขวาเพ่ือเปิ ดไดร์ฟโดยเลือกเมนู Open หรือ Explore 2. มีขอ้ ความปรากฏบน Title Bar ของ Internet Explorer วา่ “Hacked by Moozilla” 3. เวลาเขา้ เวปจะลิงคไ์ ปท่ีหนา้ ของเวปเกมเวปหน่ึงทุกคร้ังวธิ แี ก้ไข 1. ใหท้ า่ นดาวน์โหลด โปรแกรม Fix “Hacked By Godzilla” ไปลงที่เครื่องครับ คลิกดาวโหลด 2. ทาการเปิ ดโปรแกรมข้ึนมาครับ หลงั จากน้นั มีหนา้ ต่างโชว์ ขอ้ มูลเกี่ยวกบั ลิขสิทธ์ิของโปรแกรมครับ ใหก้ ด I Agree 3. จากน้นั ในหนา้ ตา่ งถดั ไปจะมี Option ใหเ้ ลือกครับวา่ ตอ้ งการอะไรบา้ ง โดย – Remove Godzilla[Butsur.A,B] คือการกาจดั ตวั ไวรัสท้งั สองน้ีออกไป – Remove Autorun.inf คือการกาจดั ตวั Autorun ของไดร์ฟน้นั ๆออกไป (เพอื่ เป็ นการกนั ไม่ใหไ้ วรัสติดมาและกระจายตวั อีก) – Scan and clean with NOD32 ทาการสแกนเครื่องของคุณดว้ ย NOD32 อีกคร้ัง สาหรับใน Option น้ีสาหรับผทู้ ่ีติดต้งั โปรแกรม Nod32 Antivirus หากเคร่ืองของท่านไมไ่ ดต้ ิดต้งั ไว้ ก็ไมจ่ าเป็นตอ้ งเลือกในหวั ขอ้ น้ี 4. หลงั จากน้นั โปรแกรมจะข้ึนมาให้เลือก Drive ที่มีปัญหา ซ่ึงหากไม่รู้ก็ใหเ้ ลือก Scan ทีละ Drive จนครบท้งั หมด 5. หลงั จากกาจดั ไวรัสเรียบร้อยแลว้ โปรแกรมทาการรีสตาร์ทเครื่องคอมพวิ เตอร์

9. W32.Sober.AG@mmผลเสียทเี่ กดิ ขนึ้ 1.ส่งอี-เมลอ์ อกมาเป็นจานวนมาก : หนอนจะส่งอี-เมลโ์ ดยใช้ SMTP ของหนอนเอง 2.เคร่ืองอาจทางานผดิ พลาด : เน่ืองจากหนอนจะแกไ้ ขไฟลแ์ ละรีจิสทรีย์ ทาใหเ้ คร่ืองทางานผดิ พลาดได้ 3.ลดระดบั ความปลอดภยั ของเครื่อง : เขียนทบั ไฟลท์ ี่ชื่อ luall.exe ซ่ึงจะรันตวั หนอนทุกคร้ังท่ีมีการเรียกโปรแกรม Live Updateวธิ ีแก้ไข การกาจดั หนอนแบบอตั โนมตั ิ 1.ดาวน์โหลดโปรแกรม Sysclean.com จากเวบ็ ไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com 2.ดาวน์โหลดไฟล์ pattern ช่ือ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.aspหมายเหตุ xxx แทนตวั เลขเวอร์ชนั ล่าสุดของไฟล์ pattern 3.แตกไฟล์ lptxxx.zip นาไฟลช์ ื่อ lpt$vpn.xxx เกบ็ ไวใ้ นโฟลเดอร์เดียวกบั ไฟล์ Sysclean.com ท่ีได้จากขอ้ 1 4.ตดั การเช่ือมตอ่ เครือข่าย 5.หยดุ การทางานทุกโปรแกรม รวมท้งั โปรแกรมป้องกนั ไวรัสดว้ ย 6.จากน้นั รันไฟล์ Sysclean.com จะปรากฏไดอะลอ็ กใหท้ าการสแกนโดยกดป่ ุม Scan 7.เริ่มตน้ การใชง้ านโปรแกรมป้องกนั ไวรัสอีกคร้ัง 8.ทาการปรับปรุงฐานขอ้ มูลไวรัสที่ใชอ้ ยแู่ ลว้ ทาการสแกนอีกคร้ังเพ่ือใหแ้ น่ใจวา่ เคร่ืองท่ีใชง้ านอยู่ไมม่ ีไวรัส

วธิ ปี ้องกนั 1.ควรลบอี-เมลท์ ่ีน่าสงสัยวา่ มีไวรัสแนบมา รวมท้งั อี-เมลข์ ยะและอี-เมลล์ ูกโซ่ทิ้งทนั ที 2.หา้ มรันไฟลท์ ี่แนบมากบั อี-เมลซ์ ่ึงมาจากบุคคลท่ีไม่รู้จกั หรือไม่มน่ั ใจวา่ ผสู้ ่งเป็นใครและไมท่ ราบวา่ ไฟลด์ งั กล่าวน้นั เป็นไฟลอ์ ะไร ตลอดจนไฟลท์ ี่ถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQหรือ Pirch เป็นตน้ 3.ติดต้งั โปรแกรมต่อตา้ นไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสเป็ นตวั ล่าสุดอยเู่ สมอ 4.(Emergency disk) ของโปรแกรมป้องกนั ไวรัส และปรับปรุงฐานขอ้ มูลในแผน่ อยเู่ สมอ 5.ติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟตแ์ วร์อยเู่ สมอ โดยเฉพาะ InternetExplorer และระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหม่ท่ีสุด 6.สร้างแผน่ กรู้ ะบบฉุกเฉิน 10. W32.Nimdaการทางาน 1.กระจายตวั จาก client ไปยงั client โดยผา่ นทางอี-เมล์ 2.กระจายตวั จาก client ไปยงั client โดยผา่ นทาง network shares 3.จาก web server (ท่ีถูก compromised) ไปยงั client โดยผา่ นทาง web browser โดยที่จะข้ึน promptใหด้ าวน์โหลดไฟล์ .eml 4.จาก client ไปยงั web server ( IIS 4.0/5.0 directory traversal vulnerability VU #11677) 5.จาก client ไปยงั web server ผา่ นทาง backdoor ที่เปิ ดไวโ้ ดย Code Red II และ Sadmind/IISworm

วธิ ีป้องกนั 1.สาหรับ Internet Explorer version 5.01 or 5.5 without SP2 ใหต้ ิดต้งั Patch คลิกดาวโหลด เพอื่ ทาการแกไ้ ข Bug ของ Outlook Express ที่จะรันไฟลท์ ี่แนบมากบั จดหมายทีติดไวรัส W32.Nimba โดยอตั โนมตั ิ 2.สาหรับ Windows NT และ Windows 2000 จะตอ้ งทาการอพั เดต Patch เพื่อแกไ้ ขบกั๊ ของ IISserver จาก http://www.microsoft.com/technet/security/bulletin/ms00-078.asphttp://www.microsoft.com/technet/security/bulletin/MS01-044.asp 3.ติดต้งั โปรแกรม Antivirus ท่ีมีความสามารถในการ Scan Web Page ไดเ้ ช่น PC-Cillin 2000,Norton Antivirus 2001, McAfee Virus Scan เป็นตน้ 4.อพั เดต ฐานขอ้ มูลของไวรัสอยเู่ สมอ 5.ยกเลิกการแชร์ไฟลห์ รือโฟลเดอร์วธิ ีแก้ไข ดาวน์โหลดโปรแกรมสาหรับกาจดั 1.หลงั จากท่ีดาวน์โหลดไฟลด์ งั กล่าวแลว้ ใหด้ บั เบิ้ลคลิกไฟล์ Fixnimda.com และเลือก Clean Shareและ Clean Registry Entries 2.กดป่ ุม START เพือ่ เร่ิมการตรวจสอบและกาจดั ไวรัสออกจากระบบ