Virus
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Virus as PDF for free.
More details
- Words: 812
- Pages: 4
ความแตกต่างระหว่าง Virus, Worm, Spyware, Trojan, Malware Virus = แพร่เชื้อไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวมันเองเข้าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ต้องอาศัย ไฟล์พาหะ สิ่งที่มันทาคือสร้างความเสียหายให้กับไฟล์
Worm = คัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมลล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะ ไม่แพร่เชื่อไปติดไฟล์อื่น สิ่งที่มันทาคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย
Trojan = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่ เครื่องเองหรือด้วยวิธีอื่นๆ สิ่งที่มันทาคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทาอะไรก็ได้ และโทรจันยังมี อีกหลายชนิด
Spyware = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่ เครื่องเองหรืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเหยื่อ สิ่งที่มันทาคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้
Hybrid malware/Blended Threats = คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน
Phishing = เป็นเทคนิคการทา social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทาธุรกรรมทางการเงินบนอินเตอร์เน็ตเช่น บัตรเครดิตหรือพวก online bank account
Zombie Network = เครื่องคอมพิวเตอร์จานวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิด กฎหมาย
Malware ย่อมาจาก Malicious Software หมายถึงโปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่าย หรือเป็นคา ที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ โปรแกรมพวกนี้ก็เช่น virus, worm, trojan, spyware, keylogger, hack tool, dialer, phishing, toolbar, BHO, etc แต่เนื่องจาก virus คือ malware ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบทความต่างๆที่ไม่เน้นไปในทาง วิชาการมากเกินไป หรือเพื่อความง่าย ก็จะใช้คาว่า virus แทนคาว่า malware แต่ถ้าจะคิดถึงความจริงแล้วมันไม่ถูกต้อง malware แต่ละชนิด ไม่เหมือนกัน คาว่าไวรัส (virus) ในปัจจุบันนี้ถูกใช้แบบไม่ค่อยจะถูกต้องตรงกับความเป็นจริงเท่าไหร่ อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตามแต่ (ผม เองก็เป็น) มันกลายเป็นว่าคนส่วนใหญ่ใช้คาว่า virus แทน worm, trojan, adware, spyware, malicious code, etc. ใช้เรียกแทนยังไม่ เท่าไหร่ แต่ถ้าเข้าใจว่า virus คือ malicious software ทั้งหมดที่บอกไปนั่น อันนี้เป็นความเข้าใจที่ผิด แม้กระทั่งในร่างกฎหมายอาชญากรรม ทางคอมพิวเตอร์ก็ยังมีการเสนอขอให้แก้ไขคาว่า virus โดยเปลี่ยนไปใช้คาว่า malware แทน เพราะถ้าไม่งั้นแล้วคนที่ใช้ worm, trojan โจมตี คนอื่นอาจจะไม่มีความผิด เพราะ worm, trojan ไม่ใช่ virus ทีถ ่ ก ู ต้องใช้คาว่ามาลแวร์ ซึ่งมาจากคาในภาษาอังกฤษว่า malware (malicious software) อันหมายถึง โปรแกรมคอมพิวเตอร์ทั้งหมดที่ถูก ออกแบบมาให้มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์และเครือข่าย โปรแกรมเหล่านี้ก็เช่น classic virus, worm, trojan, adware, spyware, toolbar, BHO, hijacker, downloader, phishing, exploit malware รวมไปถึง zero-day attack, zombie network และ อื่นๆ ความแตกต่างระหว่าง ไวรัส worm spyware trojan malware ITW malware ใน the wildlist (แม้กระทั่งใน supplemental list) มากกว่า 90% เป็น worm (hybrid worm) ครับ ไม่ใช่ virus (classic virus) ก็ตามที่ความคิดเห็นที่ 2 บอกนั่นล่ะครับ classic virus โดยเฉพาะแบบ file infector ที่แนบตัวมันเองเข้าไปยังส่วนต่างๆของไฟล์อื่น (host file) และ boot sector virus มันแทบจะหมดยุคไปแล้ว (อาจจะมีพวก proof-of-concept virus บ้าง) ที่ยังพบเห็นอยู่ใน the wildlist ส่วนใหญ่จะเป็น macro virus (ซึ่งเป็น virus บน PC ในยุคท้ายๆ) ซึ่งยังพบเห็นการแพร่ระบาดอยู่บ้าง และ virus ที่ชื่อ VBS/Redlof คือ ตัวอย่างของ classic virus ที่ยังพอพบเห็นได้ทั่วไป
Malware ที่พบเห็นการแพร่ระบาดทั่วไปและเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุดก็คือ worm และ worm ก็ยังแบ่งออก เป็นชนิดแยกย่อยได้ดังต่อไปนี้ - Email Worm เช่น mass-mailing worm ที่ค้นหารายชื่ออีเมลล์ในเครื่องที่ตกเป็นเหยื่อแล้วก็ส่งตัวเองไปหาอีเมลล์เหล่านั้น - File-sharing Networks Worm คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นค้นหรือประกอบด้วยคาว่าด้วย sha และแชร์โฟลเดอร์ของโปรแกรม P2P เช่น KaZaa - Internet Worm, Network Worm โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการเช่นเวิร์ม Blaster, Sasser ที่เรารู้จักกันดี - IRC Worm ส่งตัวเองจากเครื่องทีต ่ กเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนาเดียวกัน - Instant Messaging Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน contact list ผ่านทางโปรแกรม IM เช่น MSN, ICQ Trojan เป็น malware อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป trojan ยังแบ่งออกได้เป็นหลายชนิดดังนี้ - Remote Access Trojan (RAT) หรือ Backdoor ที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุมหรือทาอะไรก็ได้บนเครื่องที่ตกเป็น เหยื่อในแบบระยะไกล - Data Sending/Password Sending Trojan โขมยรหัสผ่านแล้วส่งไปให้ผู้ไม่ประสงค์ดี - Keylogger Trojan ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์ - Destructive Trojan ลบไฟล์บนเครื่องที่ตกเป็นเหยื่อ - Denial of Service (DoS) Attack Trojan ใช้ทา DDoS เพื่อโจมตีระบบอื่น - Proxy Trojan เปลี่ยนเครื่องทีต ่ กเป็นเหยื่อให้กลายเป็น proxy server หรือ web server, mail server เพื่อสร้าง zombie network - FTP Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น FTP server - Security software Killer Trojan ฆ่า process หรือลบโปรแกรมป้องกันไวรัส/โทรจัน/ไฟล์วอลบนเครื่องที่ตกเป็นเหยื่อ - Trojan Downloader ดาวน์โหลด adware, spyware, worm เอามาติดตั้งบนเครื่องเหยื่อ และ malware ที่พบเห็นได้ง่ายทั่วไปในปัจจุบันและสร้างความราคาญให้มากที่สุดก็คือ spyware (บางตาราอาจใช้คาว่า grayware) ซึ่งแบ่ง ออกได้เป็นหลายชนิด (ซึ่งบางส่วนก็มีพฤติกรรมคล้ายๆ trojan ด้วย) เช่น - Adware ดาวน์โหลดและแสดงแบนเนอร์โฆษณา - Dialer อยู่ตามเว็บโป๊เพื่อใช้ต่อโทรศัพท์ทางไกลไปต่างประเทศ - Spyware เก็บรวมรวมพฤติกรรมการใช้อินเตอร์เน็ตบนเครื่องเหยื่อ - Hijacker เปลี่ยนแปลง start page, bookmark บนบราวเซอร์เช่นใน IE - Trojan like เช่น trojan downlaoder ดาวน์โหลด spyware หรือแบนเนอร์โฆษณา - BHO (Browser Helper Objects) ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE - Toolbar ยัดเยียด toolbar ที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE และต่อไปนี้คือ trend ใหม่ของ malware บน PC ที่เกิดขึ้นแล้วในปัจจุบันและกาลังจะเกิดขึ้นในอนาคตอันใกล้ ซึ่งแต่เดิมนักเขียนไวรัสยุค โบราณเขียนไวรัสขึ้นเพราะความสนุก แต่ attacker ในปัจจุบันเขียน malware เพื่อเงินกันแล้ว มีการซื้อขายแลกเปลี่ยน zombie กันด้วยเช่น zombie จานวน 5,000 เครื่องขาย 500 เหรีญอะไรแบบนี้ Hybrid malware/Blended Threat คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน Zero-day attack ในที่นี้หมายถึง การโจมตีของมาลแวร์/แฮคเกอร์ โดยการใช้ประโยชน์จากช่องโหว่ (vulnerability) ที่มีอยู่ในซอฟแวร์หรือ ระบบปฎิบัติการซึ่งไม่มีใครรู้มาก่อนว่ามีช่องโหว่นั้นอยู่ หรือรู้แล้วแต่ยังไม่มี patch สาหรับอุดช่องโหว่ หรือยังไม่มี signature ของโปรแกรม ด้าน security สาหรับตรวจหาการโจมตีที่ว่าในเวลานั้น Zombie Network คือ เครื่องคอมพิวเตอร์จานวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์ หรือซอฟแวร์ที่ผิดกฎหมาย จะเห็นได้ว่า worm, trojan, spyware (grayware) ซึ่งพบเห็นการแพร่ระบาดทั่วไปในปัจจุบันนี้มันไม่ใช่ virus และโปรแกรมป้องกันไวรัส ทั่วไปส่วนใหญ่ก็ไม่สามารถป้องกัน malware พวกนี้ได้ทั้งหมดด้วย โปรแกรมป้องกันไวรัสทั่วไปให้ผลดีแทบจะ 100% กับ ITW malware แต่กับมาลแวร์อื่นๆแล้วมันยังไม่มีมาตรฐานอะไรมาทดสอบโปรแกรมป้องกันไวรัส ดังนั้นแค่โปรแกรมป้องกันไวรัส (จริงๆแล้วน่าจะเรียกว่า โปรแกรมป้องกันมาลแวร์มากกว่า) แค่อย่างเดียวไม่สามารถป้องกันมาลแวร์ที่กล่าวมาได้ทั้งหมด แต่มโี ปรแกรมป้องกันไวรัสอยู่ยี่หอ้ หนึ่งซึ่งเน้นการตรวจหามาลแวร์ทุกๆอย่างที่กล่าวมาแบบเอาจริงเอาจัง แบบเอาเป็นเอาตาย (ไม่มาลแวร์ก็ เครื่องของเราได้ตายกันไปข้างหนึ่ง) โปรแกรมนั้นคือ Kaspersky Anti-Virus (KAV) อันนี้ผมไม่ได้ค่าโฆษณา ผมไม่ได้ขาย KAV และไม่ได้ ชี้นาใครนะครับ แต่บอกจากความรู้และประสบการณ์ที่ผมมี แต่ก็ไม่ได้หมายความว่าโปรแกรมอื่นๆ ไม่ดีนะครับ ก็อย่างที่บอกคือ โปรแกรมป้อง กันไวรัสแทบจะทุกยี่ห้อสามารถป้องกันกลุ่มมาลแวร์ที่สาคัญที่สุด ที่พวกเรามีโอกาสพบเจอมากที่สุด อันตรายที่สุด ที่เรียกว่า ITW malware ได้ แบบ 100% หากเราอัพเดทมันทันเวลาและใช้มันอย่างถูกต้อง ส่วนมาลแวร์อื่นๆที่เหลือเราก็ใช้โปรแกรมเฉพาะทางอื่นๆ ช่วย เช่น โปรแกรม ป้องกันโทรจัน โปรแกรมป้องกันสปายแวร์ ไฟล์วอล และอื่นๆ
สาเหตุหลักๆ ที่ทาให้คอมพิวเตอร์ติด malware (virus, worm, trojan, spyware, etc) 1. ทางอีเมลล์ โดยเฉพาะการดูดอีเมลล์จาก pop3 server ด้วยโปรแกรมอย่าง Outlook Express ส่วนใหญ่จะเป็นพวกหนอนอินเตอร์เน็ตประ เภท mass-mailing worm เช่น Netsky, Beagle, Mydoom 2. จากช่องโหว่ (vulnerability) ของระบบปฏิบัติการหรือของโปรแกรม โดย network worm, mass-mailing worm ที่โจมตีช่องโหว่ของ Windows เช่น Blaster, Sasser, Bobax ซึ่งต่อไปอาจจะเป็นกรณีของ zero-day attack 3. จากการเข้าไปในเว็บที่มี malicious script/malware ซ่อนอยู่ก็อย่างเว็บโป๊ เว็บ crack ทั้งหลาย เช่นพวก dialer, trojan downloader, spyware, browser hijacker 4. จากการเข้าไปในเว็บธรรมดาที่ติดไวรัสเช่น VBS/Redlof 5. จากการเคลื่อนย้ายไฟล์จากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งผ่านทางแผ่นดิสก์เช่น macro virus ที่อยู่ในไฟล์ของ MS Office 6. การดาวโหลดไฟล์จากเครือข่าย P2P อย่างเช่น KaZaA เช่น P2P worm และโทรจันทั้งหลาย 7. จากการดาวโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถืออย่างเช่นเว็บ crack, warez ส่วนใหญ่จะเป็นพวก private/modified trojan 8. จากการเล่นหรือรับไฟล์จากโปรแกรมประเภท Instant Message เช่น MSN, ICQ 9. จากการเล่นโปรแกรมประเภท IRC เช่น Pirch98 เช่น IRC Worm และอื่นๆ ที่ยังนึกไม่ออกตอนนี้ เรามาดูความหมายของชื่อไวรัสกันครับ เพื่อนๆคงจะเห็นรายชื่ออัพเดทไวรัสตรงหน้าเว็บต่างๆเป็นประจา และเคยสงสัยกันบ้างไหมครับ ว่าชื่อของไวรัสที่เห็นทั่วไปนั้นมีความหมายว่า อย่างไร ส่วนประกอบของชื่อไวรัสนั้นแบ่งได้เป็นส่วนๆ ดังนี้ครับ Family_Names Group_Name Variant Tail W32 Mydoom bb @mm
1. ส่วนแรกแสดงชื่อตระกูลของไวรัส (Family_Names) ส่วนมากแล้วจะตั้งตามที่ไวรัสตัวนั้น ก่อปัญหาขึ้นกับระบบปฏิบัติการอะไร หรือภาษาที่ใช้ในการเขียนของไวรัส ดังตารางนี้ Family_Names ความหมาย WM ไวรัสที่เป็นมาโครของโปรแกรม Word W97M ไวรัสที่เป็นมาโครของโปรแกรม Word 97 XM ไวรัสที่เป็นมาโครของโปรแกรม Excel X97M ไวรัสที่เป็นมาโครของโปรแกรม Excel 97 W95 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 95 W32/Win32 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 32 บิต WNT ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ NT 32 บิต I-Worm/Worm หนอนอินเทอร์เน็ต Trojan/Troj โทรจัน VBS ไวรัสที่ถูกพัฒนาด้วย Visual Basic Script AOL โทรจัน America Online PWSTEAL โทรจันที่มีความสามารถในการขโมยรหัสผ่าน Java ไวรัสที่ถูกพัฒนาด้วยภาษาจาวา Linux ไวรัสที่มีผลกระทบกับระบบปฏิบัติการลินุกซ์ Palm ไวรัสที่มีผลกระทบกับระบบปฏิบัติการ Palm OS Backdoor เปิดช่องให้ผู้บุกรุกเข้าถึงเครื่องได้ HILLW บ่งบอกว่าไวรัสถูกคอมไพล์ด้วยภาษาระดับสูง
2. ส่วนชื่อของไวรัส (Group_Name) ตัวนีจ้ ะถูกตั้งขึ้นจากชื่อของผู้ที่เขียนไวรัส หรือนามแฝง ที่ใช้แทรกในโค้ดของตัวโปรแกรมไวรัส
3. ส่วนของ Variant รายละเอียดส่วนนี้จะบอกว่าสายพันธุ์ของไวรัสชนิดนั้นๆ มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธุ์เดิมที่มีอยู่ Vvariant มี 2 ลักษณะคือ Major_Variants จะตามหลังส่วนชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกันอย่างชัดเจน เช่น W32.Mydoom.bb@MM (bb เป็น Major_Variant) แตกต่างจาก W32.Mydoom.Q@MM อย่างชัดเจน Minor_Variants ใช้บ่งบอกในกรณีที่แตกต่างกันนิดหน่อย ในบางครั้ง Minor_Variant เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB.
4. ส่วนท้าย (Tail) เป็นส่วนที่จะบอกว่าวิธีการแพร่กระจาย ประกอบด้วย @M หรือ @m บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mailer" ที่จะส่งตัวเองผ่านทางอี-เมล์เมื่อผู้ใช้ส่งอี-เมล์เท่านั้น @MM หรือ @mm บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mass-mailer" ที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์
ตัวอย่าง W32/Mydoom.bb@mm หมายความว่า ไวรัสชนิดนีโ้ จมตีในเพลตฟอร์มของวินโดว 32 บิต ชื่อของไวรัสคือ Mydoom Variant สายพันธุ์ของตัวนี้คือ bb และมีความสามารถที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์
Worm = คัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมลล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะ ไม่แพร่เชื่อไปติดไฟล์อื่น สิ่งที่มันทาคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย
Trojan = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่ เครื่องเองหรือด้วยวิธีอื่นๆ สิ่งที่มันทาคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทาอะไรก็ได้ และโทรจันยังมี อีกหลายชนิด
Spyware = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่ เครื่องเองหรืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเหยื่อ สิ่งที่มันทาคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้
Hybrid malware/Blended Threats = คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน
Phishing = เป็นเทคนิคการทา social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทาธุรกรรมทางการเงินบนอินเตอร์เน็ตเช่น บัตรเครดิตหรือพวก online bank account
Zombie Network = เครื่องคอมพิวเตอร์จานวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิด กฎหมาย
Malware ย่อมาจาก Malicious Software หมายถึงโปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่าย หรือเป็นคา ที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ โปรแกรมพวกนี้ก็เช่น virus, worm, trojan, spyware, keylogger, hack tool, dialer, phishing, toolbar, BHO, etc แต่เนื่องจาก virus คือ malware ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบทความต่างๆที่ไม่เน้นไปในทาง วิชาการมากเกินไป หรือเพื่อความง่าย ก็จะใช้คาว่า virus แทนคาว่า malware แต่ถ้าจะคิดถึงความจริงแล้วมันไม่ถูกต้อง malware แต่ละชนิด ไม่เหมือนกัน คาว่าไวรัส (virus) ในปัจจุบันนี้ถูกใช้แบบไม่ค่อยจะถูกต้องตรงกับความเป็นจริงเท่าไหร่ อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตามแต่ (ผม เองก็เป็น) มันกลายเป็นว่าคนส่วนใหญ่ใช้คาว่า virus แทน worm, trojan, adware, spyware, malicious code, etc. ใช้เรียกแทนยังไม่ เท่าไหร่ แต่ถ้าเข้าใจว่า virus คือ malicious software ทั้งหมดที่บอกไปนั่น อันนี้เป็นความเข้าใจที่ผิด แม้กระทั่งในร่างกฎหมายอาชญากรรม ทางคอมพิวเตอร์ก็ยังมีการเสนอขอให้แก้ไขคาว่า virus โดยเปลี่ยนไปใช้คาว่า malware แทน เพราะถ้าไม่งั้นแล้วคนที่ใช้ worm, trojan โจมตี คนอื่นอาจจะไม่มีความผิด เพราะ worm, trojan ไม่ใช่ virus ทีถ ่ ก ู ต้องใช้คาว่ามาลแวร์ ซึ่งมาจากคาในภาษาอังกฤษว่า malware (malicious software) อันหมายถึง โปรแกรมคอมพิวเตอร์ทั้งหมดที่ถูก ออกแบบมาให้มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์และเครือข่าย โปรแกรมเหล่านี้ก็เช่น classic virus, worm, trojan, adware, spyware, toolbar, BHO, hijacker, downloader, phishing, exploit malware รวมไปถึง zero-day attack, zombie network และ อื่นๆ ความแตกต่างระหว่าง ไวรัส worm spyware trojan malware ITW malware ใน the wildlist (แม้กระทั่งใน supplemental list) มากกว่า 90% เป็น worm (hybrid worm) ครับ ไม่ใช่ virus (classic virus) ก็ตามที่ความคิดเห็นที่ 2 บอกนั่นล่ะครับ classic virus โดยเฉพาะแบบ file infector ที่แนบตัวมันเองเข้าไปยังส่วนต่างๆของไฟล์อื่น (host file) และ boot sector virus มันแทบจะหมดยุคไปแล้ว (อาจจะมีพวก proof-of-concept virus บ้าง) ที่ยังพบเห็นอยู่ใน the wildlist ส่วนใหญ่จะเป็น macro virus (ซึ่งเป็น virus บน PC ในยุคท้ายๆ) ซึ่งยังพบเห็นการแพร่ระบาดอยู่บ้าง และ virus ที่ชื่อ VBS/Redlof คือ ตัวอย่างของ classic virus ที่ยังพอพบเห็นได้ทั่วไป
Malware ที่พบเห็นการแพร่ระบาดทั่วไปและเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุดก็คือ worm และ worm ก็ยังแบ่งออก เป็นชนิดแยกย่อยได้ดังต่อไปนี้ - Email Worm เช่น mass-mailing worm ที่ค้นหารายชื่ออีเมลล์ในเครื่องที่ตกเป็นเหยื่อแล้วก็ส่งตัวเองไปหาอีเมลล์เหล่านั้น - File-sharing Networks Worm คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นค้นหรือประกอบด้วยคาว่าด้วย sha และแชร์โฟลเดอร์ของโปรแกรม P2P เช่น KaZaa - Internet Worm, Network Worm โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการเช่นเวิร์ม Blaster, Sasser ที่เรารู้จักกันดี - IRC Worm ส่งตัวเองจากเครื่องทีต ่ กเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนาเดียวกัน - Instant Messaging Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน contact list ผ่านทางโปรแกรม IM เช่น MSN, ICQ Trojan เป็น malware อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป trojan ยังแบ่งออกได้เป็นหลายชนิดดังนี้ - Remote Access Trojan (RAT) หรือ Backdoor ที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุมหรือทาอะไรก็ได้บนเครื่องที่ตกเป็น เหยื่อในแบบระยะไกล - Data Sending/Password Sending Trojan โขมยรหัสผ่านแล้วส่งไปให้ผู้ไม่ประสงค์ดี - Keylogger Trojan ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์ - Destructive Trojan ลบไฟล์บนเครื่องที่ตกเป็นเหยื่อ - Denial of Service (DoS) Attack Trojan ใช้ทา DDoS เพื่อโจมตีระบบอื่น - Proxy Trojan เปลี่ยนเครื่องทีต ่ กเป็นเหยื่อให้กลายเป็น proxy server หรือ web server, mail server เพื่อสร้าง zombie network - FTP Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น FTP server - Security software Killer Trojan ฆ่า process หรือลบโปรแกรมป้องกันไวรัส/โทรจัน/ไฟล์วอลบนเครื่องที่ตกเป็นเหยื่อ - Trojan Downloader ดาวน์โหลด adware, spyware, worm เอามาติดตั้งบนเครื่องเหยื่อ และ malware ที่พบเห็นได้ง่ายทั่วไปในปัจจุบันและสร้างความราคาญให้มากที่สุดก็คือ spyware (บางตาราอาจใช้คาว่า grayware) ซึ่งแบ่ง ออกได้เป็นหลายชนิด (ซึ่งบางส่วนก็มีพฤติกรรมคล้ายๆ trojan ด้วย) เช่น - Adware ดาวน์โหลดและแสดงแบนเนอร์โฆษณา - Dialer อยู่ตามเว็บโป๊เพื่อใช้ต่อโทรศัพท์ทางไกลไปต่างประเทศ - Spyware เก็บรวมรวมพฤติกรรมการใช้อินเตอร์เน็ตบนเครื่องเหยื่อ - Hijacker เปลี่ยนแปลง start page, bookmark บนบราวเซอร์เช่นใน IE - Trojan like เช่น trojan downlaoder ดาวน์โหลด spyware หรือแบนเนอร์โฆษณา - BHO (Browser Helper Objects) ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE - Toolbar ยัดเยียด toolbar ที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE และต่อไปนี้คือ trend ใหม่ของ malware บน PC ที่เกิดขึ้นแล้วในปัจจุบันและกาลังจะเกิดขึ้นในอนาคตอันใกล้ ซึ่งแต่เดิมนักเขียนไวรัสยุค โบราณเขียนไวรัสขึ้นเพราะความสนุก แต่ attacker ในปัจจุบันเขียน malware เพื่อเงินกันแล้ว มีการซื้อขายแลกเปลี่ยน zombie กันด้วยเช่น zombie จานวน 5,000 เครื่องขาย 500 เหรีญอะไรแบบนี้ Hybrid malware/Blended Threat คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน Zero-day attack ในที่นี้หมายถึง การโจมตีของมาลแวร์/แฮคเกอร์ โดยการใช้ประโยชน์จากช่องโหว่ (vulnerability) ที่มีอยู่ในซอฟแวร์หรือ ระบบปฎิบัติการซึ่งไม่มีใครรู้มาก่อนว่ามีช่องโหว่นั้นอยู่ หรือรู้แล้วแต่ยังไม่มี patch สาหรับอุดช่องโหว่ หรือยังไม่มี signature ของโปรแกรม ด้าน security สาหรับตรวจหาการโจมตีที่ว่าในเวลานั้น Zombie Network คือ เครื่องคอมพิวเตอร์จานวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์ หรือซอฟแวร์ที่ผิดกฎหมาย จะเห็นได้ว่า worm, trojan, spyware (grayware) ซึ่งพบเห็นการแพร่ระบาดทั่วไปในปัจจุบันนี้มันไม่ใช่ virus และโปรแกรมป้องกันไวรัส ทั่วไปส่วนใหญ่ก็ไม่สามารถป้องกัน malware พวกนี้ได้ทั้งหมดด้วย โปรแกรมป้องกันไวรัสทั่วไปให้ผลดีแทบจะ 100% กับ ITW malware แต่กับมาลแวร์อื่นๆแล้วมันยังไม่มีมาตรฐานอะไรมาทดสอบโปรแกรมป้องกันไวรัส ดังนั้นแค่โปรแกรมป้องกันไวรัส (จริงๆแล้วน่าจะเรียกว่า โปรแกรมป้องกันมาลแวร์มากกว่า) แค่อย่างเดียวไม่สามารถป้องกันมาลแวร์ที่กล่าวมาได้ทั้งหมด แต่มโี ปรแกรมป้องกันไวรัสอยู่ยี่หอ้ หนึ่งซึ่งเน้นการตรวจหามาลแวร์ทุกๆอย่างที่กล่าวมาแบบเอาจริงเอาจัง แบบเอาเป็นเอาตาย (ไม่มาลแวร์ก็ เครื่องของเราได้ตายกันไปข้างหนึ่ง) โปรแกรมนั้นคือ Kaspersky Anti-Virus (KAV) อันนี้ผมไม่ได้ค่าโฆษณา ผมไม่ได้ขาย KAV และไม่ได้ ชี้นาใครนะครับ แต่บอกจากความรู้และประสบการณ์ที่ผมมี แต่ก็ไม่ได้หมายความว่าโปรแกรมอื่นๆ ไม่ดีนะครับ ก็อย่างที่บอกคือ โปรแกรมป้อง กันไวรัสแทบจะทุกยี่ห้อสามารถป้องกันกลุ่มมาลแวร์ที่สาคัญที่สุด ที่พวกเรามีโอกาสพบเจอมากที่สุด อันตรายที่สุด ที่เรียกว่า ITW malware ได้ แบบ 100% หากเราอัพเดทมันทันเวลาและใช้มันอย่างถูกต้อง ส่วนมาลแวร์อื่นๆที่เหลือเราก็ใช้โปรแกรมเฉพาะทางอื่นๆ ช่วย เช่น โปรแกรม ป้องกันโทรจัน โปรแกรมป้องกันสปายแวร์ ไฟล์วอล และอื่นๆ
สาเหตุหลักๆ ที่ทาให้คอมพิวเตอร์ติด malware (virus, worm, trojan, spyware, etc) 1. ทางอีเมลล์ โดยเฉพาะการดูดอีเมลล์จาก pop3 server ด้วยโปรแกรมอย่าง Outlook Express ส่วนใหญ่จะเป็นพวกหนอนอินเตอร์เน็ตประ เภท mass-mailing worm เช่น Netsky, Beagle, Mydoom 2. จากช่องโหว่ (vulnerability) ของระบบปฏิบัติการหรือของโปรแกรม โดย network worm, mass-mailing worm ที่โจมตีช่องโหว่ของ Windows เช่น Blaster, Sasser, Bobax ซึ่งต่อไปอาจจะเป็นกรณีของ zero-day attack 3. จากการเข้าไปในเว็บที่มี malicious script/malware ซ่อนอยู่ก็อย่างเว็บโป๊ เว็บ crack ทั้งหลาย เช่นพวก dialer, trojan downloader, spyware, browser hijacker 4. จากการเข้าไปในเว็บธรรมดาที่ติดไวรัสเช่น VBS/Redlof 5. จากการเคลื่อนย้ายไฟล์จากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งผ่านทางแผ่นดิสก์เช่น macro virus ที่อยู่ในไฟล์ของ MS Office 6. การดาวโหลดไฟล์จากเครือข่าย P2P อย่างเช่น KaZaA เช่น P2P worm และโทรจันทั้งหลาย 7. จากการดาวโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถืออย่างเช่นเว็บ crack, warez ส่วนใหญ่จะเป็นพวก private/modified trojan 8. จากการเล่นหรือรับไฟล์จากโปรแกรมประเภท Instant Message เช่น MSN, ICQ 9. จากการเล่นโปรแกรมประเภท IRC เช่น Pirch98 เช่น IRC Worm และอื่นๆ ที่ยังนึกไม่ออกตอนนี้ เรามาดูความหมายของชื่อไวรัสกันครับ เพื่อนๆคงจะเห็นรายชื่ออัพเดทไวรัสตรงหน้าเว็บต่างๆเป็นประจา และเคยสงสัยกันบ้างไหมครับ ว่าชื่อของไวรัสที่เห็นทั่วไปนั้นมีความหมายว่า อย่างไร ส่วนประกอบของชื่อไวรัสนั้นแบ่งได้เป็นส่วนๆ ดังนี้ครับ Family_Names Group_Name Variant Tail W32 Mydoom bb @mm
1. ส่วนแรกแสดงชื่อตระกูลของไวรัส (Family_Names) ส่วนมากแล้วจะตั้งตามที่ไวรัสตัวนั้น ก่อปัญหาขึ้นกับระบบปฏิบัติการอะไร หรือภาษาที่ใช้ในการเขียนของไวรัส ดังตารางนี้ Family_Names ความหมาย WM ไวรัสที่เป็นมาโครของโปรแกรม Word W97M ไวรัสที่เป็นมาโครของโปรแกรม Word 97 XM ไวรัสที่เป็นมาโครของโปรแกรม Excel X97M ไวรัสที่เป็นมาโครของโปรแกรม Excel 97 W95 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 95 W32/Win32 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 32 บิต WNT ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ NT 32 บิต I-Worm/Worm หนอนอินเทอร์เน็ต Trojan/Troj โทรจัน VBS ไวรัสที่ถูกพัฒนาด้วย Visual Basic Script AOL โทรจัน America Online PWSTEAL โทรจันที่มีความสามารถในการขโมยรหัสผ่าน Java ไวรัสที่ถูกพัฒนาด้วยภาษาจาวา Linux ไวรัสที่มีผลกระทบกับระบบปฏิบัติการลินุกซ์ Palm ไวรัสที่มีผลกระทบกับระบบปฏิบัติการ Palm OS Backdoor เปิดช่องให้ผู้บุกรุกเข้าถึงเครื่องได้ HILLW บ่งบอกว่าไวรัสถูกคอมไพล์ด้วยภาษาระดับสูง
2. ส่วนชื่อของไวรัส (Group_Name) ตัวนีจ้ ะถูกตั้งขึ้นจากชื่อของผู้ที่เขียนไวรัส หรือนามแฝง ที่ใช้แทรกในโค้ดของตัวโปรแกรมไวรัส
3. ส่วนของ Variant รายละเอียดส่วนนี้จะบอกว่าสายพันธุ์ของไวรัสชนิดนั้นๆ มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธุ์เดิมที่มีอยู่ Vvariant มี 2 ลักษณะคือ Major_Variants จะตามหลังส่วนชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกันอย่างชัดเจน เช่น W32.Mydoom.bb@MM (bb เป็น Major_Variant) แตกต่างจาก W32.Mydoom.Q@MM อย่างชัดเจน Minor_Variants ใช้บ่งบอกในกรณีที่แตกต่างกันนิดหน่อย ในบางครั้ง Minor_Variant เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB.
4. ส่วนท้าย (Tail) เป็นส่วนที่จะบอกว่าวิธีการแพร่กระจาย ประกอบด้วย @M หรือ @m บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mailer" ที่จะส่งตัวเองผ่านทางอี-เมล์เมื่อผู้ใช้ส่งอี-เมล์เท่านั้น @MM หรือ @mm บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mass-mailer" ที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์
ตัวอย่าง W32/Mydoom.bb@mm หมายความว่า ไวรัสชนิดนีโ้ จมตีในเพลตฟอร์มของวินโดว 32 บิต ชื่อของไวรัสคือ Mydoom Variant สายพันธุ์ของตัวนี้คือ bb และมีความสามารถที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์
