Malware

                 แนวคิด

                         เนื้อหาในส่วนนี้จะกล่าวถึงไวรัสคอมพิวเตอร์ (Computer Virus) และเป็นโปรแกรมอื่น ๆ ที่เป็นภัยคุกคามต่อคอมพิวเตอร์และระบบเครือข่ายคอมพิวเตอร์ เช่น เวิร์ม (Worm) โทรจัน (Trojan) สปายแวร์ (Spyware) ซึ่งโปรแกรมอันตรายทั้งหมดนี้เรียกรวมกันว่า "มัลแวร์"  (Malware) โดยเราจะได้เรียนรู้ความหมายและความแตกต่างของมัลแวร์แต่ละชนิด (เช่น ความแตกต่างระหว่างไวรัสกับเวิร์ม) ตัวอย่างไวรัส เวิร์ม และม้าโทรจันที่กำลังระบาดในปัจจุบัน รวมทั้งศึกษาวิธีการป้องกันระบบให้ปลอดภัย จากการโจมตีของมัลแวร์นี้

                วัตถุประสงค์

                    1. เพื่อให้เข้าใจความหมายและความแตกต่างของไวรัส เวิร์ม โทรจัน และมัลแวร์

                    2. เพื่อให้เข้าใจอันตรายและขั้นตอนการทำงานของมัลแวร์

                    3. เพื่อให้ทราบวิธีการป้องกันและกำจัดมัลแวร์ชนิด ต่าง ๆ

   1.  ไวรัสคอมพิวเตอร์ (Computer Virus)

                ไวรัสคอมพิวเตอร์ (Computer Virus) คือ โปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในเครื่องคอมพิวเตอร์ และถ้ามีโอกาสก็สามารถแทรกเข้าไปติดอยู่ในระบบคอมพิวเตอร์อื่นๆ ซึ่งอาจเกิดจากการนำเอาแผ่นดิสก์หรือแฟลชไดร์ฟที่ติดไวรัสจากเครื่องหนึ่งไปใช้กับอีกเครื่องหนึ่งการที่คอมพิวเตอร์ใดติดไวรัส หมายความว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำคอมพิวเตอร์เครื่องนั้นเรียบร้อยแล้ว การที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกใช้ให้ทำงาน ซึ่งโดยปกติแล้วผู้ใช้มักจะไม่รู้ตัวเลยว่า ขณะที่ตนเรียกใช้โปรแกรมหรือเปิดไฟล์ใดๆ ขึ้นมาทำงาน ก็ได้เรียกไวรัสขึ้นมาทำงานด้วยจุดประสงค์การทำงานของไวรัสแต่ละตัวขึ้นอยู่กับผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบนหน้าจอคอมพิวเตอร์ เป็นต้น

                    ไวรัส (Virus) เป็นมัลแวร์ (Malware) ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบทความต่างๆที่ไม่เน้นไปทางวิชาการมากเกินไป หรือเพื่อความง่ายและคุ้นเคยที่จะพูด ก็จะใช้คำว่า Virus แทนคำว่า Malware แต่ถ้าจะคิดถึงความจริงแล้วมันไม่ถูกต้อง อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตาม จึงกลายเป็นว่าคนส่วนใหญ่ใช้คำว่า Virus แทนคำว่า Worm, Trojan, Spyware, Adware เป็นต้น ที่ถูกต้องควรใช้คำว่ามัลแวร์ (Malware) เพราะมัลแวร์มีหลายชนิด แต่ละชนิดก็ไม่เหมือนกัน

    ไวรัส (Virus)

                ไวรัส (Virus) มีลักษณะการแพร่เชื้อไปติดไฟล์อื่น ๆ ในคอมพิวเตอร์โดยการแนบตัวมันเองเข้าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้คือต้องอาศัยไฟล์และ Removable Drive เป็นพาหะ สิ่งที่มันทำคือสร้างความเสียหายให้กับไฟล์งานและไฟล์โปรแกรมต่างๆ ลองมารู้จักกับประเภทของไวรัสกัน ดังนี้

    ไวรัสบูตเซกเตอร์

                Boot Sector Viruses หรือ Boot Infector Viruses คือไวรัสบูตเซกเตอร์ที่เก็บตัวเองอยู่ในบูตเซกเตอร์ของดิสก์ เมื่อเครื่องคอมพิวเตอร์เริ่มสตาร์ทขึ้นมาตอนแรก เครื่องจะเข้าไปอ่านบูตเซกเตอร์นี้ก่อน ซึ่งในบูตเซกเตอร์นี้จะมีโปรแกรมเล็กๆ ไว้ใช้ในการเรียกระบบปฎิบัติการขึ้นมาทำงาน ไวรัสจึงอาศัยช่องทางตรงนี้เข้าไปแทนที่โปรแกรมดังกล่าว โดยทั่วไปจะเข้าไปติดอยู่บริเวณที่เรียกว่า Master Boot Sector หรือ Partition Table ของดิสก์นั้น ถ้าดิสก์ใดมีไวรัสบูตเซกเตอร์ประเภทนี้ติดอยู่ ทุกๆครั้งที่สตาร์ทบูตเครื่องขึ้นมา ตัวโปรแกรมไวรัสจะทำงานก่อน และจะเข้าไปฝังตัวอยู่ในหน่วยความจำเพื่อเตรียมพร้อมที่จะทำงานตามที่ได้ถูกโปรแกรมเอาไว้ต่อไป

     โปรแกรมไวรัส

               Program Viruses หรือ File Infector viruses เป็นโปรแกรมไวรัสอีกประเภทหนึ่งที่สามารถแพร่เชื้อไปติดไฟล์โปรแกรมที่มีนามสกุลเป็น .COM หรือ .EXE และไวรัสประเภทนี้สามารถเข้าไปติดอยู่ในไฟล์ที่มีนามสกุลเป็น .SYS หรือโปรแกรมประเภท Overlay Programs ได้ด้วย วิธีการที่ไวรัสใช้คือการแทรกตัวเองเข้าไปอยู่ในโปรแกรม ผลก็คือหลังจากที่โปรแกรมนั้นติดไวรัสแล้วขนาดของไฟล์โปรแกรมจะใหญ่ขึ้น หรือถ้ามีการสำเนาตัวเองเข้าไปทับส่วนของโปรแกรมที่มีอยู่เดิมขนาดของไฟล์อาจจะไม่เปลี่ยนแปลง และยากที่จะซ่อมแซมให้กลับมาได้เหมือนเดิม ลักษณะการทำงานของไวรัสก็คือ เมื่อมีการเรียกใช้โปรแกรมที่ติดไวรัส ส่วนตัวของไวรัสจะทำงานก่อนและจะถือโอกาสนี้ฝังตัวเข้าไปอยู่ในหน่วยความจำ และเมื่อมีการเรียกใช้โปรแกรมอื่นๆ เพิ่มขึ้นมาทำงานอีก ไวรัสก็จะสำเนาตัวเองเข้าไปในโปรแกรมนั้นทันที แต่ก็มีไวรัสอีกอย่างหนึ่งที่ไม่ต้องรอให้ผู้ใช้เปิดโปรแกรมอะไรขึ้นมาเลย แค่อาศัยจุดอ่อนของระบบปฏิบัติการ มันก็สามารถรันตัวเองให้เข้าไปหาโปรแกรมอื่นๆที่อยู่ในดิสก์ได้ด้วยตัวเอง

     โพลีมอร์ฟิกไวรัส

                Polymorphic Viruses เป็นชื่อที่ใช้เรียกไวรัสที่มีความสามารถในการเปลี่ยนแปลงตัวเองเมื่อมีการสร้างสำเนาของตัวเองเกิดขึ้น ซึ่งอาจทำได้ถึงหลายร้อยรูปแบบ ผลก็คือทำให้ไวรัสเหล่านี้ยากต่อการถูกตรวจจับด้วยโปรแกรมตรวจหาไวรัสที่ใช้วิธีสแกนเพียงอย่างเดียว ไวรัสใหม่ๆ ในปัจจุบันก็เริ่มใช้ความสามารถนี้และมีจำนวนเพิ่มมากขึ้นเรื่อยๆ2

     สทีลต์ไวรัส

                Stealth Viruses เป็นชื่อเรียกไวรัสที่มีความสามารถในการพรางตัวต่อการตรวจจับด้วยโปรแกรมตรวจหาไวรัสชนิดต่างๆ ไวรัสประเภทนี้จะทำงานด้วยการให้กำเนิด (Generate) หรือสร้างไฟล์ขึ้นมาใหม่เพื่อทำหน้าที่แทนตนเอง ถึงแม้ว่าจะสแกนด้วยโปรแกรมตรวจหาไวรัสแล้วก็ตาม แต่ก็จะพบเพียงไฟล์ไวรัสที่สร้างขึ้นมาใหม่เท่านั้น จะไม่พบตัวตนที่แท้จริงของไวรัสเลย จึงยากต่อการตรวจจับเพราะหาเท่าไรก็ไม่พบ จนถึงขั้นต้องฟอร์แมตล้างเครื่องใหม่กันเลยทีเดียว และไวรัสประเภทนี้นับวันจะยิ่งมีมากขึ้นเรื่อย ๆ

      2.  เวิร์ม (Worm)

                เวิร์ม (Worm) มีลักษณะและพฤติกรรมคัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื้อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย และเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุด เวิร์มยังแบ่งออกเป็นชนิดต่างๆได้ดังต่อไปนี้ Email worm เป็นเวิร์มที่อาศัยอีเมล์เป็นพาหะเช่น Mass-mailing worm เป็นเวิร์มที่สามารถค้นหารายชื่ออีเมล์ในเครื่องที่ตกเป็นเหยื่อแล้วก็ส่งตัวเองไปยังที่อยู่อีเมล์เหล่านั้น File-Sharing Networks Worm เป็นเวิร์มที่คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นต้นหรือประกอบด้วยคำว่า sha และแชร์โฟลเดอร์ของโปรแกรมประเภท Peer to Peer (P2P) เช่นเวิร์มที่มีชื่อว่า KaZaa Worm เป็นต้น Internet Worm หรือ Network Worm เป็นเวิร์มที่โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการต่างๆเช่น Blaster worm และ Sasser worm ที่ได้เป็นที่รู้จักกันดี IRC Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนา (Chat room) เดียวกัน Instant Messaging Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน Contact list ผ่านทางโปรแกรม Instant Messaging หรือ IM เช่นโปรแกรม MSN และ ICQ เป็นต้น