บทที่ 8 Virus and Malware

มาทำความรู้จัก​ malware ,virus, worm, trojan, spyware
Virus = ​แพร่​เชื้อไปติดไฟล์​อื่นๆ​ใน​คอมพิวเตอร์​โดย​การแนบตัวมันเอง​เข้า​ไป​
​มัน​ไม่​สามารถ​ส่งตัวเองไป​ยัง​คอมพิวเตอร์​เครื่อง​อื่นๆ​ได้​ต้อง​อาศัยไฟล์พาหะ​ ​สิ่งที่มันทำ​คือสร้าง​ความ​เสียหาย​ให้​กับ​ไฟล์

Worm = ​คัดลอกตัวเอง​และ​สามารถ​ส่งตัวเองไป​ยัง​คอมพิวเตอร์​เครื่อง​อื่นๆ​ได้​อย่างอิสระ​ ​
โดย​อาศัยอี​เมลล์​หรือ​ช่องโหว่ของระบบปฏิบัติการ​ ​มัก​จะ​ไม่​แพร่​เชื่อไปติดไฟล์​อื่น​ ​สิ่งที่มันทำ​คือมัก​จะ​สร้าง​ความ​เสียหาย​ให้​กับ​ระบบเครือข่าย

Trojan = ​ไม่​แพร่​เชื้อไปติดไฟล์​อื่นๆ​ ​ไม่​สามารถ​ส่งตัวเองไป​ยัง​คอมพิวเตอร์​เครื่อง​อื่นๆ​ได้​ ​ต้อง​อาศัยการหลอกคน​ใช้​ให้​ดาวโหลดเอา​ไป​ใส่​เครื่องเอง​หรือ​ด้วย​วิธี​อื่นๆ​ ​สิ่งที่มันทำ​คือเปิดโอกาส​ให้​ผู้​ไม่​ประสงค์ดี​เข้า​มาควบคุมเครื่องที่ติดเชื้อ​จาก​ระยะ​ไกล​ ​ซึ่ง​จะ​ทำ​อะ​ไรก็​ได้​ ​และ​โทรจัน​ยัง​มีอีกหลายชนิด

Spyware = ​ไม่​แพร่​เชื้อไปติดไฟล์​อื่นๆ​ ​ไม่​สามารถ​ส่งตัวเองไป​ยัง​คอมพิวเตอร์​เครื่อง​อื่นๆ​ได้​ ​ต้อง​อาศัยการหลอกคน​ใช้​ให้​ดาวโหลดเอา​ไป​ใส่​เครื่องเอง​หรือ​อาศัยช่องโหว่ของ​ web browser ​ใน​การติดตั้งตัวเองลง​ใน​เครื่องเหยื่อ​ ​สิ่งที่มันทำ​คือรบกวน​และ​ละ​เมิด​ความ​เป็น​ส่วน​ตัวของ​ผู้​ใช้

Hybrid malware/Blended Threats = ​คือ​ malware ​ที่รวม​ความ​สามารถ​ของ​ virus, worm, trojan, spyware ​เข้า​ไว้​ด้วย​กัน

Phishing = ​เป็น​เทคนิคการทำ​ social engineer ​โดย​ใช้​อี​เมลล์​เพื่อหลอก​ให้​เหยื่อเปิดเผยข้อมูลการทำ​ธุรกรรมทางการเงินบนอินเตอร์​เน็ตเช่น​ ​บัตรเครดิต​หรือ​พวก​ online bank account

Zombie Network = ​เครื่องคอมพิวเตอร์จำ​นวนมากๆ​ ​จาก​ทั่ว​โลกที่ตก​เป็น​เหยื่อของ​ worm, trojan ​และ​ malware ​อย่าง​อื่น​ (compromised machine) ​ซึ่ง​จะ​ถูก​ attacker/hacker ​ใช้​เป็น​ฐานปฏิบัติการ​ใน​การส่ง​ spam mail, phishing, DoS ​หรือ​เอา​ไว้​เก็บไฟล์​หรือ​ซอฟแวร์ที่ผิดกฎหมาย

Malware ​ย่อมา​จาก​ Malicious Software ​หมาย​ถึง​โปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์​และ​เครือข่าย​ ​หรือ​เป็น​คำ​ที่​ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ​ ​โปรแกรมพวกนี้ก็​เช่น​ virus, worm, trojan, spyware, keylogger, hack tool, dialer, phishing, toolbar, BHO, etc

แต่​เนื่อง​จาก​ virus ​คือ​ malware ​ชนิดแรกที่​เกิดขึ้นบนโลกนี้​และ​อยู่​มานาน​ ​ดัง​นั้น​โดย​ทั่ว​ไปตามข่าว​หรือ​บท​ความ​ต่างๆ​ที่​ไม่​เน้นไป​ใน​ทางวิชาการมากเกินไป​ ​หรือ​เพื่อ​ความ​ง่าย​ ​ก็​จะ​ใช้​คำ​ว่า​ virus ​แทนคำ​ว่า​ malware ​แต่​ถ้า​จะ​คิด​ถึง​ความ​จริง​แล้ว​มัน​ไม่​ถูก​ต้อง​ malware ​แต่ละชนิด​ไม่​เหมือน​กัน
คำ​ว่า​ไวรัส​ (virus) ​ใน​ปัจจุบันนี้ถูก​ใช้​แบบ​ไม่​ค่อย​จะ​ถูก​ต้อง​ตรง​กับ​ความ​เป็น​จริง​เท่า​ไหร่​ ​อาจ​จะ​เป็น​เพราะ​ความ​เคยชิน​หรือ​อะ​ไรก็ตามแต่​ (ผมเองก็​เป็น)​ ​มันกลาย​เป็น​ว่าคน​ส่วน​ใหญ่​ใช้​คำ​ว่า​ virus ​แทน​ worm, trojan, adware, spyware, malicious code, etc. ​ใช้​เรียกแทน​ยัง​ไม่​เท่า​ไหร่​ ​แต่​ถ้า​เข้า​ใจว่า​ virus ​คือ​ malicious software ​ทั้ง​หมดที่บอกไปนั่น​ ​อันนี้​เป็น​ความ​เข้า​ใจที่ผิด​ ​แม้กระทั่ง​ใน​ร่างกฎหมายอาชญากรรมทางคอมพิวเตอร์ก็​ยัง​มีการเสนอขอ​ให้​แก้​ไขคำ​ว่า​ virus ​โดย​เปลี่ยนไป​ใช้​คำ​ว่า​ malware ​แทน​ ​เพราะ​ถ้า​ไม่​งั้น​แล้ว​คนที่​ใช้​ worm, trojan ​โจมตีคน​อื่น​อาจ​จะ​ไม่​มี​ความ​ผิด​ ​เพราะ​ worm, trojan ​ไม่​ใช่​ virus

ที่ถูก​ต้อง​ใช้​คำ​ว่ามาลแวร์​ ​ซึ่ง​มา​จาก​คำ​ใน​ภาษาอังกฤษว่า​ malware (malicious software) ​อันหมาย​ถึง​ ​โปรแกรมคอมพิวเตอร์​ทั้ง​หมดที่ถูกออกแบบมา​ให้​มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์​และ​เครือข่าย​ ​โปรแกรมเหล่านี้ก็​เช่น​ classic virus, worm, trojan, adware, spyware, toolbar, BHO, hijacker, downloader, phishing, exploit malware ​รวมไป​ถึง​ zero-day attack, zombie network ​และ​อื่นๆ

ITW malware ​ใน​ the wildlist (แม้กระทั่ง​ใน​ supplemental list) ​มากกว่า​ 90% ​เป็น​ worm (hybrid worm) ​ครับ​ ​ไม่​ใช่​ virus (classic virus) ​ก็ตามที่​ความ​คิดเห็นที่​ 2 ​บอกนั่นล่ะครับ​ classic virus ​โดย​เฉพาะ​แบบ​ file infector ​ที่​แนบตัวมันเอง​เข้า​ไป​ยัง​ส่วน​ต่างๆ​ของไฟล์​อื่น​ (host file) ​และ​ boot sector virus ​มันแทบ​จะ​หมดยุคไป​แล้ว​ (อาจ​จะ​มีพวก​ proof-of-concept virus ​บ้าง) ​ที่​ยัง​พบเห็น​อยู่​ใน​ the wildlist ​ส่วน​ใหญ่​จะ​เป็น​ macro virus ​(​ซึ่ง​เป็น​ virus ​บน​ PC ​ใน​ยุคท้ายๆ​) ​ซึ่ง​ยัง​พบเห็นการแพร่ระบาด​อยู่​บ้าง​ ​และ​ virus ​ที่ชื่อ​ VBS/Redlof ​คือตัวอย่างของ​ classic virus ​ที่​ยัง​พอพบเห็น​ได้​ทั่ว​ไป

Malware ​ที่พบเห็นการแพร่ระบาด​ทั่ว​ไป​และ​เหมือน​จะ​สร้าง​ความ​เสียหาย​ให้​กับ​ระบบเศรษฐกิจมากที่สุดก็คือ​ worm ​และ​ worm ​ก็​ยัง​แบ่งออก​เป็น​ชนิดแยกย่อย​ได้​ดังต่อไปนี้

– Email Worm ​เช่น​ mass-mailing worm ​ที่​ค้น​หารายชื่ออี​เมลล์​ใน​เครื่องที่ตก​เป็น​เหยื่อ​แล้ว​ก็ส่งตัวเองไปหาอี​เมลล์​เหล่า​นั้น
– File-sharing Networks Worm ​คัดลอกตัวเองไป​ไว้​ใน​โฟลเดอร์ที่ขึ้น​ค้น​หรือ​ประกอบ​ด้วย​คำ​ว่า​ด้วย​ sha ​และ​แชร์​โฟลเดอร์ของโปรแกรม​ P2P ​เช่น​ KaZaa
– Internet Worm, Network Worm ​โจมตีช่องโหว่ของโปรแกรม​และ​ระบบปฎิบัติการเช่นเวิร์ม​ Blaster, Sasser ​ที่​เรารู้จัก​กัน​ดี
– IRC Worm ​ส่งตัวเอง​จาก​เครื่องที่ตก​เป็น​เหยื่อไปหาคนที่​อยู่​ใน​ห้องสนทนา​เดียว​กัน
– Instant Messaging Worm ​ส่งตัวเอง​จาก​เครื่องที่ตก​เป็น​เหยื่อไปหาคนที่​อยู่​ใน​ contact list ​ผ่านทางโปรแกรม​ IM ​เช่น​ MSN, ICQ

Trojan ​เป็น​ malware ​อีกชนิดที่พบเห็นการแพร่ระบาด​ได้​ทั่ว​ไป​ trojan ​ยัง​แบ่งออก​ได้​เป็น​หลายชนิดดังนี้

– Remote Access Trojan (RAT) ​หรือ​ Backdoor ​ที่​เปิดช่องทาง​ให้​ผู้​ไม่​ประสงค์ดี​สามารถ​เข้า​มาควบคุม​หรือ​ทำ​อะ​ไรก็​ได้​บนเครื่องที่ตก​เป็น​เหยื่อ​ใน​แบบระยะ​ไกล
– Data Sending/Password Sending Trojan ​โขมยรหัสผ่าน​แล้ว​ส่งไป​ให้​ผู้​ไม่​ประสงค์ดี
– Keylogger Trojan ​ดักจับทุกข้อ​ความ​ที่พิมพ์ผ่านแป้นพิมพ์
– Destructive Trojan ​ลบไฟล์บนเครื่องที่ตก​เป็น​เหยื่อ
– Denial of Service (DoS) Attack Trojan ​ใช้​ทำ​ DDoS ​เพื่อโจมตีระบบ​อื่น
– Proxy Trojan ​เปลี่ยนเครื่องที่ตก​เป็น​เหยื่อ​ให้​กลาย​เป็น​ proxy server ​หรือ​ web server, mail server ​เพื่อสร้าง​ zombie network
– FTP Trojan ​เปลี่ยนเครื่องที่ตก​เป็น​เหยื่อ​ให้​กลาย​เป็น​ FTP server
– Security software Killer Trojan ​ฆ่า​ process ​หรือ​ลบโปรแกรมป้อง​กัน​ไวรัส​/​โทรจัน​/​ไฟล์วอลบนเครื่องที่ตก​เป็น​เหยื่อ
– Trojan Downloader ​ดาวน์​โหลด​ adware, spyware, worm ​เอามาติดตั้งบนเครื่องเหยื่อ

และ​ malware ​ที่พบเห็น​ได้​ง่าย​ทั่ว​ไป​ใน​ปัจจุบัน​และ​สร้าง​ความ​รำ​คาญ​ให้​มากที่สุดก็คือ​ spyware (บางตำ​ราอาจ​ใช้​คำ​ว่า​ grayware) ​ซึ่ง​แบ่งออก​ได้​เป็น​หลายชนิด​ ​(​ซึ่ง​บาง​ส่วน​ก็มีพฤติกรรมคล้ายๆ​ trojan ​ด้วย)​ ​เช่น

– Adware ​ดาวน์​โหลด​และ​แสดงแบนเนอร์​โฆษณา
– Dialer ​อยู่​ตามเว็บโป๊​เพื่อ​ใช้​ต่อโทรศัพท์ทาง​ไกล​ไปต่างประ​เทศ
– Spyware ​เก็บรวมรวมพฤติกรรมการ​ใช้​อินเตอร์​เน็ตบนเครื่องเหยื่อ
– Hijacker ​เปลี่ยนแปลง​ start page, bookmark ​บนบราวเซอร์​เช่น​ใน​ IE
– Trojan like ​เช่น​ trojan downlaoder ​ดาวน์​โหลด​ spyware ​หรือ​แบนเนอร์​โฆษณา
– BHO (Browser Helper Objects) ​ยัดเยียดฟังก์ชั่นที่​ไม่​พึงประสงค์บนบราวเซอร์​เช่น​ใน​ IE
– Toolbar ​ยัดเยียด​ toolbar ​ที่​ไม่​พึงประสงค์บนบราวเซอร์​เช่น​ใน​ IE

และ​ต่อไปนี้คือ​ trend ​ใหม่​ของ​ malware ​บน​ PC ​ที่​เกิดขึ้น​แล้ว​ใน​ปัจจุบัน​และ​กำ​ลัง​จะ​เกิดขึ้น​ใน​อนาคตอัน​ใกล้​ ​ซึ่ง​แต่​เดิมนักเขียนไวรัสยุคโบราณเขียนไวรัสขึ้น​เพราะ​ความ​สนุก​ ​แต่​ attacker ​ใน​ปัจจุบันเขียน​ malware ​เพื่อเงิน​กัน​แล้ว​ ​มีการซื้อขายแลกเปลี่ยน​ zombie ​กัน​ด้วย​เช่น​ zombie ​จำ​นวน​ 5,000 ​เครื่องขาย​ 500 ​เหรีญอะ​ไรแบบนี้

Hybrid malware/Blended Threat ​คือ​ malware ​ที่รวม​ความ​สามารถ​ของ​ virus, worm, trojan, spyware ​เข้า​ไว้​ด้วย​กัน

Zero-day attack ​ใน​ที่นี้หมาย​ถึง​ ​การโจมตีของมาลแวร์​/​แฮคเกอร์​ ​โดย​การ​ใช้​ประ​โยชน์​จาก​ช่องโหว่​ (vulnerability) ​ที่มี​อยู่​ใน​ซอฟแวร์​หรือ​ระบบปฎิบัติการ​ซึ่ง​ไม่​มี​ใครรู้มาก่อนว่ามีช่องโหว่​นั้น​อยู่​ ​หรือ​รู้​แล้ว​แต่​ยัง​ไม่​มี​ patch ​สำ​หรับอุดช่องโหว่​ ​หรือ​ยัง​ไม่​มี​ signature ​ของโปรแกรมด้าน​ security ​สำ​หรับตรวจหาการโจมตีที่ว่า​ใน​เวลา​นั้น

Zombie Network ​คือ​ ​เครื่องคอมพิวเตอร์จำ​นวนมากๆ​ ​จาก​ทั่ว​โลกที่ตก​เป็น​เหยื่อของ​ worm, trojan ​และ​ malware ​อย่าง​อื่น​ (compromised machine) ​ซึ่ง​จะ​ถูก​ attacker/hacker ​ใช้​เป็น​ฐานปฏิบัติการ​ใน​การส่ง​ spam mail, phishing, DoS ​หรือ​เอา​ไว้​เก็บไฟล์​หรือ​ซอฟแวร์ที่ผิดกฎหมาย

จะ​เห็น​ได้​ว่า​ worm, trojan, spyware (grayware) ​ซึ่ง​พบเห็นการแพร่ระบาด​ทั่ว​ไป​ใน​ปัจจุบันนี้มัน​ไม่​ใช่​ virus ​และ​โปรแกรมป้อง​กัน​ไวรัส​ทั่ว​ไป​ส่วน​ใหญ่​ก็​ไม่​สามารถ​ป้อง​กัน​ malware ​พวกนี้​ได้​ทั้ง​หมด​ด้วย​ ​โปรแกรมป้อง​กัน​ไวรัส​ทั่ว​ไป​ให้​ผลดี​แทบ​จะ​ 100% ​กับ​ ITW malware ​แต่​กับ​มาลแวร์​อื่นๆ​แล้ว​มัน​ยัง​ไม่​มีมาตรฐานอะ​ไรมาทดสอบโปรแกรมป้อง​กัน​ไวรัส​ ​ดัง​นั้น​แค่​โปรแกรมป้อง​กัน​ไวรัส​ (จริงๆ​แล้ว​น่า​จะ​เรียกว่า​โปรแกรมป้อง​กัน​มาลแวร์มากกว่า) ​แค่อย่างเดียว​ไม่​สามารถ​ป้อง​กัน​มาลแวร์ที่กล่าวมา​ได้​ทั้ง​หมด

แต่มี​โปรแกรมป้อง​กัน​ไวรัส​อยู่​ยี่ห้อหนึ่ง​ซึ่ง​เน้นการตรวจหามาลแวร์ทุกๆ​อย่างที่กล่าวมา​แบบเอาจริงเอาจัง​ ​แบบเอา​เป็น​เอาตาย​ ​(​ไม่​มาลแวร์ก็​เครื่องของเรา​ได้​ตาย​กัน​ไปข้างหนึ่ง) ​โปรแกรม​นั้น​คือ​ Kaspersky Anti-Virus (KAV) ​อันนี้ผม​ไม่​ได้​ค่า​โฆษณา​ ​ผม​ไม่​ได้​ขาย​ KAV ​และ​ไม่​ได้​ชี้นำ​ใครนะครับ​ ​แต่บอก​จาก​ความ​รู้​และ​ประสบการณ์ที่ผมมี​ ​แต่ก็​ไม่​ได้​หมาย​ความ​ว่า​โปรแกรม​อื่นๆ​ ​ไม่​ดีนะครับ​ ​ก็อย่างที่บอกคือ​ ​โปรแกรมป้อง​กัน​ไวรัสแทบ​จะ​ทุกยี่ห้อ​สามารถ​ป้อง​กัน​กลุ่มมาลแวร์ที่สำ​คัญที่สุด​ ​ที่พวกเรามี​โอกาสพบเจอมากที่สุด​ ​อันตรายที่สุด​ ​ที่​เรียกว่า​ ITW malware ​ได้​แบบ​ 100% ​หากเราอัพเดทมันทันเวลา​และ​ใช้​มันอย่างถูก​ต้อง​ ​ส่วน​มาลแวร์​อื่นๆ​ที่​เหลือเราก็​ใช้​โปรแกรมเฉพาะทาง​อื่นๆ​ ​ช่วย​ ​เช่น​ ​โปรแกรมป้อง​กัน​โทรจัน​ ​โปรแกรมป้อง​กัน​สปายแวร์​ ​ไฟล์วอล​ ​และ​อื่นๆ
สา​เหตุหลักๆ​ ​ที่ทำ​ให้​คอมพิวเตอร์ติด​ malware (virus, worm, trojan, spyware, etc)

1. ​ทางอี​เมลล์​ ​โดย​เฉพาะการดูดอี​เมลล์​จาก​ pop3 server ​ด้วย​โปรแกรมอย่าง​ Outlook Express ​ส่วน​ใหญ่​จะ​เป็น​พวกหนอนอินเตอร์​เน็ตประ​เภท

mass-mailing worm ​เช่น​ Netsky, Beagle, Mydoom

2. ​จาก​ช่องโหว่​ (vulnerability) ​ของระบบปฏิบัติการ​หรือ​ของโปรแกรม​ ​โดย​ network worm, mass-mailing worm ​ที่​โจมตีช่องโหว่ของ​ Windows ​เช่น​ Blaster, Sasser, Bobax ​ซึ่ง​ต่อไปอาจ​จะ​เป็น​กรณีของ​ zero-day attack

3. ​จาก​การ​เข้า​ไป​ใน​เว็บที่มี​ malicious script/malware ​ซ่อน​อยู่​ก็อย่างเว็บโป๊​ ​เว็บ​ crack ​ทั้ง​หลาย​ ​เช่นพวก​ dialer, trojan downloader,

spyware, browser hijacker

4. ​จาก​การ​เข้า​ไป​ใน​เว็บธรรมดาที่ติดไวรัสเช่น​ VBS/Redlof

5. ​จาก​การเคลื่อนย้ายไฟล์​จาก​เครื่องหนึ่งไป​ยัง​อีกเครื่องหนึ่งผ่านทางแผ่นดิสก์​เช่น​ macro virus ​ที่​อยู่​ใน​ไฟล์ของ​ MS Office

6. ​การดาวโหลดไฟล์​จาก​เครือข่าย​ P2P ​อย่างเช่น​ KaZaA ​เช่น​ P2P worm ​และ​โทรจัน​ทั้ง​หลาย

7. ​จาก​การดาวโหลดไฟล์​จาก​แหล่งที่​ไม่​น่า​เชื่อถืออย่างเช่นเว็บ​ crack, warez ​ส่วน​ใหญ่​จะ​เป็น​พวก​ private/modified trojan

8. ​จาก​การเล่น​หรือ​รับไฟล์​จาก​โปรแกรมประ​เภท​ Instant Message ​เช่น​ MSN, ICQ

9. ​จาก​การเล่นโปรแกรมประ​เภท​ IRC ​เช่น​ Pirch98 ​เช่น​ IRC Worm

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: