virat

1.บูตเซกเตอร์ไวรัส (Boot Sector Viruses) หรือ Boot Infector Virusesคือไวรัสท่ีเก็บตวั เองอยใู่ นบูตเซกเตอร์ของดิสก์ การใชง้ านของบูตเซกเตอร์ คือเมื่อเครื่องคอมพิวเตอร์เริ่มทางานข้ึนมาคร้ังแรก เครื่องจะเขา้ ไปอ่านบูตเซกเตอร์ โดยในบูตเซกเตอร์จะมีโปรแกรมเล็ก ๆ ไวใ้ ชใ้ นการเรียกระบบปฏิบตั ิการข้ึนมาทางาน การทางานของบูตเซกเตอร์ไวรัสคือ จะเขา้ ไปแทนท่ีโปรแกรมท่ีอยใู่ นบูตเซกเตอร์ โดยทวั่ ไปแลว้ ถ้าติดอยู่ในฮาร์ดดิสก์ จะเขา้ ไปอยู่บริเวณที่เรียกว่า Master Boot Sector หรือPartition Table ของฮาร์ดดิสก์น้นั ถา้ บูตเซกเตอร์ของดิสกใ์ ดมีไวรัสประเภทน้ีติดอยู่ ทุก ๆ คร้ังที่บูตเครื่องข้ึนมา เม่ือมีการเรียนระบบปฏิบตั ิการ จากดิสก์น้ี โปรแกรมไวรัสจะทางานก่อนและเขา้ ไปฝังตวั อยู่ในหน่วยความจาเพ่ือเตรียมพร้อมที่จะทางานตามท่ีไดถ้ ูกโปรแกรม มา ก่อนท่ีจะไปเรียนใหร้ ะบบปฏิบตั ิการทางานต่อไป ทาใหเ้ หมือนไม่มีอะไรเกิดข้ึน2. โปรแกรมไวรัส (Program Viruses) หรือ File Intector Virusesเป็ นไวรัสอีกประเภทหน่ึงที่จะติดอยู่กบั โปรแกรม ซ่ึงปกติจะเป็ นไฟล์ท่ีมีนามสกุลเป็ น COM หรือ EXEและบางไวรัสสามารถเขา้ ไปอยใู่ น โปรแกรมที่มีนามสกุลเป็ น SYS ไดด้ ว้ ยการทางานของไวรัสประเภทน้ีคือ เม่ือมีการเรียกโปรแกรมที่ติดไวรัส ส่วนของไวรัสจะทางานก่อนและจะถือโอกาสน้ีฝังตวั เขา้ ไปอยู่ในหน่วยความจาทนั ทีแลว้ จึงค่อยให้โปรแกรมน้นั ทา งานตามปกติ เม่ือฝังตวั อยใู่ นหน่วยความจาแลว้ หลงั จากน้ีหากมีการ เรียกโปรแกรมอื่น ๆ ข้ึนมาทางานต่อ ตวั ไวรัสจะสาเนาตวั เองเขา้ ไปในโปรแกรมเหล่าน้ีทนั ทีเป็นการแพร่ระบาดต่อไป นอกจากน้ีไวรัสน้ียงั มีวธิ ีการแพร่ระบาดอีกคือ เมื่อมีการเรียกโปรแกรมที่มีไวรัสติดอยู่ ตวั ไวรัสจะเขา้ ไปหา โปรแกรมอื่น ๆ ที่อยตู่ ิดเพื่อทาสาเนาตวั เองลงไปทนั ที แลว้ จึงค่อยให้โปรแกรมที่ถูกเรียกน้นั ทางานตามปกติต่อไป3. ม้าโทรจัน (Trojan Horse)เป็ นโปรแกรมท่ีถูกเขียนข้ึนมาให้ทาตวั เหมือนวา่ เป็ นโปรแกรมธรรมดา ทวั่ ๆ ไป เพ่ือหลอกล่อผูใ้ ชใ้ ห้ทาการเรียนข้ึนมาทางาน แต่เมื่อถูกเรียกข้ึนมา ก็จะเริ่มทาลายตามที่โปรแกรมมาทนั ที มา้ โทรจนั บางตวั ถูกเขียนข้ึนมาใหม่ท้งั ชุด โดยคนเขียนจะทาการต้งั ช่ือโปรแกรมพร้อมช่ือรุ่นและคา อธิบาย การใชง้ าน ที่ดูสมจริง เพ่ือหลอกให้คนที่จะเรียกใช้ตายใจ จุดประสงค์ของคนเขียนมา้ โทรจนั คือเขา้ ไปทาอนั ตรายต่อขอ้ มูลที่มีอยใู่ นเครื่อง หรืออาจมีจุดประสงคเ์ พื่อท่ีจะลว้ ง เอาความลบั ของระบบคอมพิวเตอร์ มา้ โทรจนั ถือวา่ ไม่ใช่ไวรัส เพราะเป็นโปรแกรมท่ีถูกเขียนข้ึนมาโดด ๆ และจะไม่มีการ

เข้าไปติดในโปรแกรมอ่ืนเพ่ือสาเนาตวั เอง แต่จะใช้ความรู้เท่าไม่ถึงการณ์ของผูใ้ ช้ เป็ นตวั แพร่ระบาดซอฟตแ์ วร์ท่ีมี มา้ โทรจนั อยใู่ นน้นั และนบั วา่ เป็ นหน่ึงในประเภทของโปรแกรมที่มีความอนั ตรายสูง เพราะยากที่จะตรวจสอบและ สร้างข้ึนมาไดง้ ่าย ซ่ึงอาจใชแ้ ค่แบตไ์ ฟลก์ ็สามารถโปรแกรมมา้ โทรจนั ได้4. โพลมี อร์ฟิ กไวรัส (Polymorphic Viruses)เป็ นช่ือท่ีใชเ้ รียกไวรัสที่มีความสามารถในการแปรเปล่ียนตวั เอง ไดเ้ มื่อมีการสร้างสาเนาตวั เองเกิดข้ึน ซ่ึงอาจไดถ้ ึงหลายร้อยรูปแบบ ผลก็คือ ทาให้ไวรัสเหล่าน้ียากต่อการถูกตรวจจดั โดยโปรแกรมตรวจหาไวรัสท่ีใชว้ ธิ ีการสแกนอยา่ งเดียว ไวรัสใหม่ ๆ ในปัจจุบนั ที่มีความสามารถน้ีเร่ิมมีจานวนเพิ่มมากข้ึนเรื่อย ๆ5. สทลิ ต์ไวรัส (Stealth Viruses)เป็ นชื่อเรียกไวรัสที่มีความสามารถในการพรางตวั ต่อการตรวจจบั ได้ เช่น ไฟล์อินเฟกเตอร์ ไวรัสประเภทท่ีไปติดโปรแกรม ใดแลว้ จะทาให้ขนาดของ โปรแกรมน้ันใหญ่ข้ึน ถา้ โปรแกรมไวรัสน้นั เป็ นแบบสทิสต์ไวรัส จะไมส่ ามารถตรวจดูขนาดท่ีแทจ้ ริงของโปรแกรมที่เพม่ิ ข้ึนได้เน่ืองจากตวั ไวรัสจะเขา้ ไปควบคุมดอส เมื่อมีการใชค้ าส่ัง DIR หรือโปรแกรมใดกต็ ามเพื่อตรวจดูขนาดของโปรแกรม ดอสก็จะแสดงขนาดเหมือนเดิม ทุกอยา่ งราวกบั วา่ ไม่มีอะไรเกิดข้ึน6. Macro virusesจะติดต่อกบั ไฟล์ซ่ึงใชเ้ ป็นตน้ แบบ (template) ในการสร้างเอกสาร (documents หรือ spreadsheet) หลงั จากท่ีตน้ แบบในการใช้สร้างเอกสาร ติดไวรัสแล้ว ทุก ๆ เอกสารที่เปิ ดข้ึนใช้ด้วยตน้ แบบอนั น้นั จะเกิดความเสียหายข้ึน7. W32.MSN.Wormประเภท Worm ลกั ษณะที่หนอนใชส้ ่งจะประกอบไปดว้ ยขอ้ ความต่างๆ แลว้ ตามดว้ ยไฟล์ Image.zipและสามารถแพร่กระจายผา่ นทางโปรแกรมสนทนา MSN Messengerผลเสียท่ีเกิด 1.เคร่ืองอาจทางานผิดพลาด : เน่ืองจากหนอนชนิดน้ีทาการแก้ไขค่าในรีจิสทรี สร้างไฟล์ข้ึนมารวมท้งั มีการยตุ ิการทางานบางเซอร์วสิ ของระบบปฏิบตั ิการดว้ ย 2.เปิ ดการเช่ือมต่อที่ผิดปกติ : หนอนชนิดน้ีจะส่งไฟลข์ องหนอนไปยงั บญั ชีรายช่ืออ่ืนๆ ท่ีอยใู่ นลิสต์ของโปรแกรมสนทนา MSN Messengerวธิ ีป้ องกนั

1.ห้ามรับหรือรันไฟล์ที่ถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ต่างๆ เช่น MSN, Yahoo, IRC, ICQ หรือPirch เป็นตน้ จากบุคคลที่ไม่รู้จกั หรือไม่มน่ั ใจวา่ ผสู้ ่งเป็นใครและไมท่ ราบวา่ ไฟลด์ งั กล่าวน้นั เป็นไฟลอ์ ะไร 2.สร้างแผน่ กรู้ ะบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้ องกนั ไวรัส และปรับปรุงฐานขอ้ มูลในแผน่ อยเู่ สมอติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ โดยเฉพาะ Internet Explorer และระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหม่ที่สุด 3.ติดต้งั โปรแกรมป้ องกนั ไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสใหท้ นั สมยั อยเู่ สมอ8. Hacked By MooZillaไฟล์ : Spoofผลเสียที่เกิดข้ึน 1. เคร่ืองจะไม่สามารถ Double Click เปิ ดไดร์ฟต่างๆได้ แต่จะคลิกเมาส์ขวาเพื่อเปิ ดไดร์ฟโดยเลือกเมนู Open หรือ Explore 2. มีขอ้ ความปรากฏบน Title Bar ของ Internet Explorer วา่ “Hacked by Moozilla” 3. เวลาเขา้ เวปจะลิงคไ์ ปท่ีหนา้ ของเวปเกมเวปหน่ึงทุกคร้ังวธิ ีแกไ้ ข 1. ใหท้ ่านดาวน์โหลด โปรแกรม Fix “Hacked By Godzilla” ไปลงที่เครื่องครับ คลิกดาวโหลด 2. ทาการเปิ ดโปรแกรมข้ึนมาครับ หลงั จากน้นั มีหนา้ ต่างโชว์ ขอ้ มูลเก่ียวกบั ลิขสิทธ์ิของโปรแกรมครับ ใหก้ ด I Agree 3. จากน้นั ในหนา้ ตา่ งถดั ไปจะมี Option ใหเ้ ลือกครับวา่ ตอ้ งการอะไรบา้ ง โดย – Remove Godzilla[Butsur.A,B] คือการกาจดั ตวั ไวรัสท้งั สองน้ีออกไป – Remove Autorun.inf คือการกาจดั ตวั Autorun ของไดร์ฟน้นั ๆออกไป (เพื่อเป็ นการกนั ไม่ให้ไวรัสติดมาและกระจายตวั อีกครับ) – Scan and clean with NOD32 ทาการสแกนเคร่ืองของคุณด้วย NOD32 อีกคร้ัง สาหรับใน Option น้ีสาหรับผูท้ ่ีติดต้งั โปรแกรม Nod32 Antivirus หากเครื่องของท่านไม่ได้ติดต้งั ไว้ ก็ไม่จาเป็ นตอ้ งเลือกในหวั ขอ้ น้ี 4. หลงั จากน้นั โปรแกรมจะข้ึนมาใหเ้ ลือก Drive ท่ีมีปัญหา ซ่ึงหากไมร่ ู้ก็ให้เลือก Scan ทีละ Drive จนครบท้งั หมด 5. หลงั จากกาจดั ไวรัสเรียบร้อยแลว้ โปรแกรมทาการรีสตาร์ทเครื่องคอมพวิ เตอร์

9. W32.Sober.AG@mmประเภท : fishingผลเสียที่เกิดข้ึน 1.ส่งอี-เมลอ์ อกมาเป็นจานวนมาก : หนอนจะส่งอี-เมลโ์ ดยใช้ SMTP ของหนอนเอง 2.เคร่ืองอาจทางานผิดพลาด : เน่ืองจากหนอนจะแก้ไขไฟล์และรีจิสทรีย์ ทาให้เคร่ืองทางานผดิ พลาดได้ 3.ลดระดบั ความปลอดภยั ของเครื่อง : เขียนทบั ไฟลท์ ี่ช่ือ luall.exe ซ่ึงจะรันตวั หนอนทุกคร้ังที่มีการเรียกโปรแกรม Live Updateวธิ ีแกไ้ ข การกาจดั หนอนแบบอตั โนมตั ิ 1.ดาวนโ์ หลดโปรแกรม Sysclean.com จากเวบ็ ไซต์http://www.trendmicro.com/ftp/products/tsc/sysclean.com 2.ดาวนโ์ หลดไฟล์ pattern ช่ือ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.aspหมายเหตุ xxx แทนตวั เลขเวอร์ชนั ล่าสุดของไฟล์ pattern 3.แตกไฟล์ lptxxx.zip นาไฟล์ชื่อ lpt$vpn.xxx เก็บไวใ้ นโฟลเดอร์เดียวกบั ไฟล์ Sysclean.com ที่ได้จากขอ้ 1 4.ตดั การเช่ือมต่อเครือข่าย 5.หยดุ การทางานทุกโปรแกรม รวมท้งั โปรแกรมป้ องกนั ไวรัสดว้ ย 6.จากน้นั รันไฟล์ Sysclean.com จะปรากฏไดอะล็อกใหท้ าการสแกนโดยกดป่ ุม Scan 7.เร่ิมตน้ การใชง้ านโปรแกรมป้ องกนั ไวรัสอีกคร้ัง 8.ทาการปรับปรุงฐานขอ้ มูลไวรัสท่ีใชอ้ ยแู่ ลว้ ทาการสแกนอีกคร้ังเพื่อใหแ้ น่ใจวา่ เคร่ืองท่ีใชง้ านอยู่ไมม่ ีไวรัสวธิ ีป้ องกนั 1.ควรลบอี-เมลท์ ่ีน่าสงสยั วา่ มีไวรัสแนบมา รวมท้งั อี-เมลข์ ยะและอี-เมลล์ ูกโซ่ทิง้ ทนั ที 2.หา้ มรันไฟลท์ ี่แนบมากบั อี-เมลซ์ ่ึงมาจากบุคคลที่ไม่รู้จกั หรือไมม่ นั่ ใจวา่ ผสู้ ่งเป็ นใครและไม่ทราบวา่ ไฟลด์ งั กล่าวน้นั เป็ นไฟลอ์ ะไร ตลอดจนไฟล์ที่ถูกส่งดว้ ยโปรแกรมสนทนา (Chat) ต่างๆ เช่น IRC, ICQหรือ Pirch เป็นตน้ 3.ติดต้งั โปรแกรมตอ่ ตา้ นไวรัส และตอ้ งทาการปรับปรุงฐานขอ้ มูลไวรัสเป็นตวั ล่าสุดอยเู่ สมอ 4.(Emergency disk) ของโปรแกรมป้ องกนั ไวรัส และปรับปรุงฐานขอ้ มูลในแผน่ อยเู่ สมอ 5.ติดต้งั โปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟตแ์ วร์อยเู่ สมอ โดยเฉพาะ Internet Explorerและระบบปฏิบตั ิการ ใหเ้ ป็นเวอร์ชนั ใหม่ท่ีสุด 6.สร้างแผน่ กรู้ ะบบฉุกเฉิน

10. W32.Nimdaประเภท backdoorการทางาน 1.กระจายตวั จาก client ไปยงั client โดยผา่ นทางอี-เมล์ 2.กระจายตวั จาก client ไปยงั client โดยผา่ นทาง network shares 3.จาก web server (ท่ีถูก compromised) ไปยงั client โดยผา่ นทาง web browser โดยท่ีจะข้ึน promptใหด้ าวนโ์ หลดไฟล์ .eml 4.จาก client ไปยงั web server ( IIS 4.0/5.0 directory traversal vulnerability VU #11677) 5.จาก client ไปยงั web server ผา่ นทาง backdoor ที่เปิ ดไวโ้ ดย Code Red II และ Sadmind/IIS wormวธิ ีป้ องกนั 1.สาหรับ Internet Explorer version 5.01 or 5.5 without SP2 ใหต้ ิดต้งั Patch คลิกดาวโหลด เพ่ือทาการแก้ไข Bug ของ Outlook Express ที่จะรันไฟล์ท่ีแนบมากับ จดหมายทีติดไวรัส W32.Nimba โดยอตั โนมตั ิ 2.สาหรับ Windows NT และ Windows 2000 จะตอ้ งทาการอพั เดต Patch เพื่อแกไ้ ขบก๊ั ของ IISserver จาก http://www.microsoft.com/technet/security/bulletin/ms00-078.asphttp://www.microsoft.com/technet/security/bulletin/MS01-044.asp 3.ติดต้ังโปรแกรม Antivirus ที่มีความสามารถในการ Scan Web Page ได้เช่น PC-Cillin 2000,Norton Antivirus 2001, McAfee Virus Scan เป็นตน้ 4.อพั เดต ฐานขอ้ มูลของไวรัสอยเู่ สมอ 5.ยกเลิกการแชร์ไฟลห์ รือโฟลเดอร์วธิ ีแกไ้ ข ดาวน์โหลดโปรแกรมสาหรับกาจดั 1.หลงั จากท่ีดาวน์โหลดไฟลด์ งั กล่าวแลว้ ใหด้ บั เบิ้ลคลิกไฟล์ Fixnimda.com และเลือก Clean Shareและ Clean Registry Entries 2.กดป่ ุม START เพอื่ เร่ิมการตรวจสอบและกาจดั ไวรัสออกจากระบบ