ความรู้เรื่อง ไวรัสคอมพิวเตอร์ และมัลแวร์ (Malware)
Download
Report
Transcript ความรู้เรื่อง ไวรัสคอมพิวเตอร์ และมัลแวร์ (Malware)
เรี ยบเรี ยงจากเว็บไซต์
http://www.needformen.com
โดยครู หนึง่ ฤทัย เจริ ญสุข
• อย่าสับสน! ระหว่างคาว่า ไวรัสคอมพิวเตอร์ (Computer Virus)
กับไวรัสที่เป็ นเชื ้อโรค ไวรัสคอมพิวเตอร์ นนเป็
ั ้ นแค่ชื่อเรี ยกโปรแกรม
ประเภทหนึง่ ที่มีพฤติกรรมคล้ ายๆ กับไวรัสที่เป็ นเชื ้อโรคที่สามารถแพร่
เชื ้อได้ และมักทาอันตรายต่อสิ่งมีชีวิตที่มนั อาศัยอยู่ แต่ตา่ งกันตรงที่วา่
ไวรัสคอมพิวเตอร์ เป็ นเพียงโปรแกรมชนิดหนึง่ เท่านันไม่
้ ใช่ไวรัสที่เป็ น
สิง่ มีชีวิต มาดูรายละเอียดเกี่ยวกับไวรัสคอมพิวเตอร์
มัลแวร์ (Malware)
• มัลแวร์ (Malware) ย่อมาจาก Malicious Software
หมายถึงโปรแกรมคอมพิวเตอร์ ทกุ ชนิดที่มีจดุ ประสงค์ร้ายต่อ
คอมพิวเตอร์ และเครื อข่าย หรื อเป็ นคาที่ใช้ เรี ยกโปรแกรมที่มีจดุ ประสงค์
ร้ ายต่อระบบคอมพิวเตอร์ ทกุ ชนิดแบบรวมๆ โปรแกรมพวกนี ้ได้ แก่
Virus, Worm, Trojan, Spyware, Keylogger,
Downloader, Adware, Dialer, Hijacker, BHO,
Toolbar บางอย่าง, Hack Tool, Phishing, รวมไปถึง
Zombie network, Zero-day attack และอื่นๆ
ไวรัสคอมพิวเตอร์ (Computer Virus)
• ไวรัสคอมพิวเตอร์ (Computer Virus) คือ โปรแกรมชนิดหนึง่ ที่มี
ความสามารถในการสาเนาตัวเองเข้ าไปติดอยูใ่ นเครื่ องคอมพิวเตอร์
และถ้ ามีโอกาสก็สามารถแทรกเข้ าไปติดอยูใ่ นระบบคอมพิวเตอร์ อื่นๆ
ซึง่ อาจเกิดจากการนาเอาแผ่นดิสก์หรื อแฟลชไดร์ ฟที่ติดไวรัสจากเครื่ อง
หนึง่ ไปใช้ กบั อีกเครื่ องหนึง่
การที่คอมพิวเตอร์ ใดติดไวรัส หมายความว่าไวรัสได้ เข้ าไปผังตัว
อยูใ่ นหน่วยความจาคอมพิวเตอร์ เครื่ องนันเรี
้ ยบร้ อยแล้ ว การที่ไวรัสจะเข้ า
ไปอยูใ่ นหน่วยความจาได้ นนจะต้
ั ้ องมีการถูกเรี ยกใช้ ให้ ทางาน ซึง่ โดยปกติ
แล้ วผู้ใช้ มกั จะไม่ร้ ูตวั เลยว่า ขณะที่ตนเรี ยกใช้ โปรแกรมหรื อเปิ ดไฟล์ใดๆ
ขึ ้นมาทางาน ก็ได้ เรี ยกไวรัสขึ ้นมาทางานด้ วย
จุดประสงค์การทางานของไวรัสแต่ละตัวขึ ้นอยูก่ บั ผู้เขียนโปรแกรม
ไวรัสนัน้ เช่น อาจสร้ างไวรัสให้ ไปทาลายโปรแกรมหรื อข้ อมูลอื่นๆ
ที่อยูใ่ นเครื่ องคอมพิวเตอร์ หรื อแสดงข้ อความวิ่งไปมาบนหน้ าจอ
คอมพิวเตอร์ เป็ นต้ น
• ไวรัส (Virus) เป็ นมัลแวร์ (Malware) ชนิดแรกที่เกิดขึ ้น
บนโลกนี ้และอยูม่ านาน ดังนันโดยทั
้
ว่ ไปตามข่าวหรื อบทความต่างๆที่
ไม่เน้ นไปทางวิชาการมากเกินไป หรื อเพื่อความง่ายและคุ้นเคยที่จะพูด
ก็จะใช้ คาว่า Virus แทนคาว่า Malware แต่ถ้าจะคิดถึงความจริง
แล้ วมันไม่ถกู ต้ อง อาจจะเป็ นเพราะความเคยชินหรื ออะไรก็ตาม จึง
กลายเป็ นว่าคนส่วนใหญ่ใช้ คาว่า Virus แทนคาว่า Worm,
Trojan, Spyware, Adware เป็ นต้ น ที่ถกู ต้ องควรใช้ คา
ว่ามัลแวร์ (Malware) เพราะมัลแวร์ มีหลายชนิด แต่ละชนิดก็ไม่
เหมือนกัน
•
–
–
–
–
1.ไวรั ส (Virus)
ไวรัสบูตเซกเตอร์
โปรแกรมไวรัส
โพลีมอร์ ฟิกไวรัส
สทีลต์ ไวรัส
• 2.เวิร์ม
(Worm)
•
•
•
•
•
Email worm
File-Sharing
Networks Worm
Internet Worm หรื อ
Network Worm
IRC Worm
Instant Messaging
Worm
• 3.โทรจัน (Trojan)
• 4.สปายแวร์ (Spyware)
- Remote Access Trojan
(RAT) หรื อ Backdoor
- Data Sending and
Password Sending Trojan
- Keylogger Trojan
- Destructive Trojan
- DoS (Denial of
Service ) Attack
Trojan
- Proxy Trojan
- FTP Trojan
- Security software
Killer Trojan
- Trojan Downloader
– Dialer
– Hijacker
– BHO (Browser
Helper Objects)
– Toolbar
• 5. ฟิ ชชิง (Phishing)
• 6. Zombie Network
• 7. Zero-day Attack
ความแตกต่างของไวรัส เวิร์ม โทรจัน และสปายแวร์
• ไวรัส (Virus) มีลกั ษณะการแพร่เชื ้อไปติดไฟล์อื่นๆในคอมพิวเตอร์
โดยการแนบตัวมันเองเข้ าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์
เครื่ องอื่นๆได้ คือต้ องอาศัยไฟล์และ Removable Drive เป็ น
พาหะ สิ่งที่มนั ทาคือสร้ างความเสียหายให้ กบั ไฟล์งานและไฟล์
โปรแกรมต่างๆ ประเภทของไวรัสมีดงั นี ้
Boot Sector Viruses หรื อ Boot Infector Viruses คือ
ไวรัสบูตเซกเตอร์ ที่เก็บตัวเองอยู่ในบูตเซกเตอร์ ของดิสก์ เมื่อเครื่ อง
คอมพิวเตอร์ เริ่มสตาร์ ทขึ ้นมาตอนแรก เครื่ องจะเข้ าไปอ่านบูตเซกเตอร์ นี ้
ก่อน ซึง่ ในบูตเซกเตอร์ นี ้จะมีโปรแกรมเล็กๆ ไว้ ใช้ ในการเรี ยกระบบปฎิบตั ิ
การขึ ้นมาทางาน ไวรัสจึงอาศัยช่องทางตรงนี ้เข้ าไปแทนที่โปรแกรม
ดังกล่าว โดยทัว่ ไปจะเข้ าไปติดอยูบ่ ริเวณที่เรี ยกว่า Master Boot
Sector หรื อ Partition Table ของดิสก์นนั ้ ถ้ าดิสก์ใดมีไวรัสบู
ตเซกเตอร์ ประเภทนี ้ติดอยู่ ทุกๆครัง้ ที่สตาร์ ทบูตเครื่ องขึ ้นมา ตัวโปรแกรม
ไวรัสจะทางานก่อน และจะเข้ าไปฝั งตัวอยูใ่ นหน่วยความจาเพื่อ
เตรี ยมพร้ อมที่จะทางานตามที่ได้ ถกู โปรแกรมเอาไว้ ตอ่ ไป
โปรแกรมไวรัส
• Program Viruses หรื อ File Infector viruses เป็ นโปรแกรมไวรัสอีก
ประเภทหนึง่ ที่สามารถแพร่เชื ้อไปติดไฟล์โปรแกรมที่มีนามสกุลเป็ น .COM หรื อ
.EXE และไวรัสประเภทนี ้สามารถเข้ าไปติดอยูใ่ นไฟล์ที่มีนามสกุลเป็ น .SYS หรื อ
โปรแกรมประเภท Overlay Programs ได้ ด้วย วิธีการที่ไวรัสใช้ คือการแทรก
ตัวเองเข้ าไปอยูใ่ นโปรแกรม ผลก็คือหลังจากที่โปรแกรมนันติ
้ ดไวรัสแล้ วขนาดของ
ไฟล์โปรแกรมจะใหญ่ขึ ้น หรื อถ้ ามีการสาเนาตัวเองเข้ าไปทับส่วนของโปรแกรมที่มีอยู่
เดิมขนาดของไฟล์อาจจะไม่เปลี่ยนแปลง และยากที่จะซ่อมแซมให้ กลับมาได้
เหมือนเดิม ลักษณะการทางานของไวรัสก็คือ เมื่อมีการเรี ยกใช้ โปรแกรมที่ติดไวรัส
ส่วนตัวของไวรัสจะทางานก่อนและจะถือโอกาสนี ้ฝั งตัวเข้ าไปอยูใ่ นหน่วยความจา
และเมื่อมีการเรี ยกใช้ โปรแกรมอื่นๆ เพิ่มขึ ้นมาทางานอีก ไวรัสก็จะสาเนาตัวเองเข้ า
ไปในโปรแกรมนันทั
้ นที แต่ก็มไี วรัสอีกอย่างหนึง่ ที่ไม่ต้องรอให้ ผ้ ใู ช้ เปิ ดโปรแกรมอะไร
ขึ ้นมาเลย แค่อาศัยจุดอ่อนของระบบปฏิบตั ิการ มันก็สามารถรันตัวเองให้ เข้ าไปหา
โปรแกรมอื่นๆที่อยูใ่ นดิสก์ได้ ด้วยตัวเอง
โพลีมอร์ ฟิกไวรัส
• Polymorphic Viruses เป็ นชื่อที่ใช้ เรี ยกไวรัสที่มีความสามารถ
ในการเปลี่ยนแปลงตัวเองเมื่อมีการสร้ างสาเนาของตัวเองเกิดขึ ้น ซึง่
อาจทาได้ ถึงหลายร้ อยรูปแบบ ผลก็คือทาให้ ไวรัสเหล่านี ้ยากต่อการถูก
ตรวจจับด้ วยโปรแกรมตรวจหาไวรัสที่ใช้ วิธีสแกนเพียงอย่างเดียว ไวรัส
ใหม่ๆ ในปั จจุบนั ก็เริ่มใช้ ความสามารถนี ้และมีจานวนเพิม่ มากขึ ้น
เรื่ อยๆ
• Stealth Viruses เป็ นชื่อเรี ยกไวรัสที่มีความสามารถในการพราง
ตัวต่อการตรวจจับด้ วยโปรแกรมตรวจหาไวรัสชนิดต่างๆ ไวรัสประเภทนี ้
จะทางานด้ วยการให้ กาเนิด (Generate) หรื อสร้ างไฟล์ขึ ้นมาใหม่
เพื่อทาหน้ าที่แทนตนเอง ถึงแม้ วา่ จะสแกนด้ วยโปรแกรมตรวจหาไวรัส
แล้ วก็ตาม แต่ก็จะพบเพียงไฟล์ไวรัสที่สร้ างขึ ้นมาใหม่เท่านัน้ จะไม่พบ
ตัวตนที่แท้ จริงของไวรัสเลย จึงยากต่อการตรวจจับเพราะหาเท่าไรก็ไม่
พบ จนถึงขันต้
้ องฟอร์ แมตล้ างเครื่ องใหม่กนั เลยทีเดียว และไวรัส
ประเภทนี ้นับวันจะยิ่งมีมากขึ ้นเรื่ อยๆ
เวิร์ม (Worm) มีลกั ษณะและพฤติกรรมคัดลอกตัวเองและสามารถส่ง
ตัวเองไปยังคอมพิวเตอร์ เครื่ องอื่นๆได้ อย่างอิสระ โดยอาศัยอีเมล์หรื อช่อง
โหว่ของระบบปฏิบตั ิการ มักจะไม่แพร่เชื ้อไปติดไฟล์อื่น สิง่ ที่มนั ทาคือมักจะ
สร้ างความเสียหายให้ กบั ระบบเครื อข่าย และเหมือนจะสร้ างความเสียหาย
ให้ กบั ระบบเศรษฐกิจมากที่สดุ เวิร์มยังแบ่งออกเป็ นชนิดต่างๆได้ ดงั ต่อไปนี ้
• Email worm เป็ นเวิร์มที่อาศัยอีเมล์เป็ นพาหะเช่น Massmailing worm เป็ นเวิร์มที่สามารถค้ นหารายชื่ออีเมล์ในเครื่ องที่ตก
เป็ นเหยื่อแล้ วก็สง่ ตัวเองไปยังที่อยูอ่ ีเมล์เหล่านัน้
• File-Sharing Networks Worm เป็ นเวิร์มที่คดั ลอกตัวเองไป
ไว้ ในโฟลเดอร์ ที่ขึ ้นต้ นหรื อประกอบด้ วยคาว่า sha และแชร์ โฟลเดอร์
ของโปรแกรมประเภท Peer to Peer (P2P) เช่นเวิร์มที่มีชื่อว่า
KaZaa Worm เป็ นต้ น
• Internet Worm หรื อ Network Worm เป็ นเวิร์มที่โจมตี
ช่องโหว่ของโปรแกรมและระบบปฎิบตั กิ ารต่างๆเช่น Blaster worm
และ Sasser worm ที่ได้ เป็ นที่ร้ ูจกั กันดี
• IRC Worm เป็ นเวิร์มที่สง่ ตัวเองจากเครื่ องที่ตกเป็ นเหยื่อไปหาคนที่
อยูใ่ นห้ องสนทนา (Chat room) เดียวกัน
• Instant Messaging Worm เป็ นเวิร์มที่สง่ ตัวเองจากเครื่ องที่
ตกเป็ นเหยื่อไปหาคนที่อยูใ่ น Contact list ผ่านทางโปรแกรม
Instant Messaging หรื อ IM เช่นโปรแกรม MSN และ ICQ
เป็ นต้ น
• โทรจัน (Trojan) เป็ นมัลแวร์ อีกชนิดที่พบเห็นการแพร่ระบาดได้ ทวั่ ไป
มีลกั ษณะและพฤติกรรมไม่แพร่เชื ้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเอง
ไปยังคอมพิวเตอร์ เครื่ องอื่นๆได้ ต้ องอาศัยการหลอกผู้ใช้ ให้ ดาวน์โหลด
เอาไปไว้ ในเครื่ องหรื อด้ วยวิธีอื่นๆ สิง่ ที่มนั ทาคือเปิ ดโอกาสให้ ผ้ ไู ม่
ประสงค์ดีเข้ ามาควบคุมเครื่ องที่ตดิ เชื ้อจากระยะไกล ซึง่ จะทาอะไรก็ได้
หรื อมีจดุ ประสงค์เพื่อล้ วงเอาความลับต่างๆ โทรจันยังแบ่งออกได้ เป็ น
หลายชนิดดังนี ้
• Remote Access Trojan (RAT) หรื อ Backdoor เป็ นโทร
จันที่เปิ ดช่องทางให้ ผ้ ไู ม่ประสงค์ดีสามารถเข้ ามาควบคุมเครื่ องได้ จาก
ระยะไกล หรื อทาอะไรก็ได้ บนเครื่ องคอมพิวเตอร์ ที่ตกเป็ นเหยื่อ
• Data Sending and Password Sending Trojan เป็ น
โทรจันที่โขมยรหัสผ่านต่างๆ แล้ วส่งไปให้ ผ้ ไู ม่ประสงค์ดี
• Keylogger Trojan เป็ นโทรจันที่ดกั จับทุกข้ อความที่พิมพ์ผ่าน
แป้นพิมพ์ของคีย์บอร์ ด
• Destructive Trojan เป็ นโทรจันที่สามารถลบไฟล์บนเครื่ อง
คอมพิวเตอร์ ที่ตกเป็ นเหยื่อได้
• DoS (Denial of Service ) Attack Trojan เป็ นโทรจันที่
เข้ าโจมตีระบบคอมพิวเตอร์ ที่เป็ นเป้าหมายบนอินเทอร์ เน็ตในรูปแบบ
DoS หรื อ DDoS (Distributed denial-of-service)
เพื่อทาให้ ระบบเป้าหมายปฏิเสธหรื อหยุดการให้ บริการ (Denial-ofService) การโจมตีจะเกิดขึ ้นพร้ อมๆกันและมีเป้าหมายเดียวกัน โดย
เครื่ องที่ตกเป็ นเหยื่อทังหมดจะสร้
้
างข้ อมูลขยะขึ ้นมาแล้ วส่งไปที่ระบบ
เป้าหมาย เพื่อสร้ างกระแสข้ อมูลให้ ไหลเข้ าไปในปริมาณมหาศาลทาให้
ระบบเป้าหมายต้ องทางานหนักขึ ้นและช้ าลงเรื่ อยๆ เมื่อเกินกว่าระดับที่
จะรับได้ ก็จะหยุดการทางานลงในที่สดุ อันเป็ นเหตุให้ ผ้ ูใช้ ไม่สามารถใช้
บริการระบบเป้าหมายได้ ตามปกติ ส่วนรูปแบบของการโจมตีที่นิยมใช้
กันก็มีเช่น SYN flood, UDP flood, ICMP flood, surf,
Fraggle เป็ นต้ น
• Proxy Trojan เป็ นโทรจันที่ทาให้ เครื่ องคอมพิวเตอร์ ที่ตกเป็ นเหยื่อ
กลายเป็ นเครื่ อง Proxy Server, Web Server หรื อ Mail
Server เพื่อสร้ าง Zombie Network ซึง่ จะถูกใช้ ให้ เป็ นฐาน
ปฏิบตั ิการเพื่อจุดประสงค์อย่างอื่น
• FTP Trojan เป็ นโทรจันที่ทาให้ ครื่ องคอมพิวเตอร์ ที่ตกเป็ นเหยื่อ
กลายเป็ นเครื่ อง FTP Server
• Security software Killer Trojan เป็ นโทรจันที่ Kill
Process หรื อลบโปรแกรมป้องกันไวรัสหรื อลบไฟร์ วอลบนเครื่ องที่
ตกเป็ นเหยื่อ เพื่อง่ายต่อการปฏิบตั กิ ารอย่างอื่นต่อไป
• Trojan Downloader เป็ นโทรจันที่ดาวน์โหลด Adware,
Spyware และ Worm ให้ มาติดตังบนเครื
้
่ องเหยื่อ
• สปายแวร์ (Spyware) มีลกั ษณะและพฤติกรรมคล้ ายโทรจันคือ ไม่
แพร่เชื ้อไปติดไฟล์อื่นๆ อาศัยการหลอกผู้ใช้ ให้ ตดิ ตังโปรแกรมที
้
่ไม่
ประสงค์ดีลงบนเครื่ องของตนเอง หรื ออาศัยช่องโหว่ของ Web
Browser ในการติดตังตั
้ วเองลงบนเครื่ องเหยื่อ สิง่ ที่มนั ทาคือรบกวน
และละเมิดความเป็ นส่วนตัวของผู้ใช้ คอมพิวเตอร์ สร้ างความราคาญ
ให้ กบั ผู้ใช้ มากที่สดุ บางตาราอาจใช้ คาว่า Grayware ซึง่ แบ่งออก
ได้ เป็ นหลายชนิด เช่น
• Dialer เป็ นสปายแวร์ ที่เคยอยูบ่ นเว็บโป๊ ต่างๆ และใช้ โมเด็มเครื่ อง
เหยื่อหมุนโทรศัพท์ทางไกลต่อไปยังต่างประเทศ
• Hijacker เป็ นสปายแวร์ ที่สามารถเปลี่ยนแปลง Start Page และ
Bookmark บนเว็บบราวเซอร์ ตา่ งๆ
• BHO (Browser Helper Objects) เป็ นสปายแวร์ ที่ยดั เยียด
ฟั งก์ชนั่ ที่ไม่พงึ ประสงค์ให้ บนเว็บบราวเซอร์
• Toolbar บางอย่างก็จดั เป็ นสปายแวร์ ที่ยดั เยียดเครื่ องมือที่ไม่พงึ
ประสงค์ให้ บนเว็บบราวเซอร์ ด้วย
• ฟิ ชชิง (Phishing) คือเทคนิคการหลอกลวงผ่านทางอินเทอร์ เน็ต เพื่อทา
ให้ เหยื่อเปิ ดเผยข้ อมูลการทาธุรกรรมทางการเงินจาพวก Online Bank
Account เป็ นต้ น โดยใช้ เทคนิคแบบ Social Engineering
ประกอบเพื่อเพิ่มความน่าเชื่อถือ ในการขอข้ อมูลที่สาคัญเช่น รหัสผ่าน หรื อ
หมายเลขบัตรเครดิต โดยการส่งข้ อความผ่านทางอีเมลหรื อเมสเซนเจอร์
ตัวอย่างของการฟิ ชชิง เช่น การบอกแก่ผ้ รู ับปลายทางว่าเป็ นธนาคารหรื อ
บริ ษัทที่น่าเชื่อถือ และแจ้ งว่ามีสาเหตุทาให้ คณ
ุ ต้ องเข้ าสูร่ ะบบและใส่ข้อมูล
ที่สาคัญใหม่ โดยเว็บไซต์ทลี่ ิงก์เข้ าไปนัน้ มักจะมีหน้ าตาคล้ ายคลึงกับเว็บที่
กล่าวถึง คาว่า Phishing มาจากคาว่า Fishing ที่แปลว่าการตกปลา
ซึง่ หมายถึง การปล่อยให้ ปลามากินเหยื่อที่ลอ่ ไว้
• Zombie Network คือการทาเครื อข่ายมืดโดยใช้ เครื่ อง
คอมพิวเตอร์ จานวนมากๆ จากทัว่ โลกที่ตกเป็ นเหยื่อของ Worm,
Trojan หรื อ Malware เรี ยกเครื่ องคอมพิวเตอร์ เหล่านันว่
้ า
Compromised Machine ซึง่ จะถูก Attacker หรื อ
Hacker ใช้ เป็ นฐานปฏิบตั ิการในการส่ง Spam mail,
Phishing, DDoS หรื อเอาไว้ เก็บไฟล์หรื อซอฟแวร์ ที่ผิดกฎหมาย
• Zero-day Attack ในที่นี ้หมายถึง การโจมตีของมัลแวร์ หรื อของ
แฮคเกอร์ โดยการใช้ ประโยชน์จากช่องโหว่ (Vulnerability) ที่มีอยู่
ในซอฟแวร์ หรื อระบบปฎิบตั กิ ารซึง่ ไม่มีใครรู้มาก่อน หรื อรู้ อยูแ่ ล้ วแต่ยงั
ไม่มี Patch สาหรับอุดช่องโหว่นนั ้ หรื อยังไม่มี Signature ของ
โปรแกรมด้ านความปลอดภัย (Security) สาหรับตรวจหาการโจมตี
ที่วา่ ในเวลานัน้
นอกจากนี ้แล้ วยังมี Malware ที่รวมความสามารถ
ของ Virus, Worm, Trojan, Spyware เข้ าไว้ ด้วยกัน
ซึง่ เรี ยกว่า Hybrid malware หรื อ Blended
Threats อีกด้ วย