คำว่าไวรัส (virus) ในปัจจุบันนี้ถูกใช้แบบไม่ค่อยจะถูกต้องตรงกับความเป็นจริงเท่าไหร่ อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตามแต่ (ผมเองก็เป็น) มันกลายเป็นว่าคนส่วนใหญ่ใช้คำว่า virus แทน worm, trojan, adware, spyware, malicious code, etc. ใช้เรียกแทนยังไม่เท่าไหร่ แต่ถ้าเข้าใจว่า virus คือ malicious software ทั้งหมดที่บอกไปนั่น อันนี้เป็นความเข้าใจที่ผิด แม้กระทั่งในร่างกฎหมายอาชญากรรมทางคอมพิวเตอร์ก็ยังมีการเสนอขอให้แก้ไขคำว่า virus โดยเปลี่ยนไปใช้คำว่า malware แทน เพราะถ้าไม่งั้นแล้วคนที่ใช้ worm, trojan โจมตีคนอื่นอาจจะไม่มีความผิด เพราะ worm, trojan ไม่ใช่ virus

ที่ถูกต้องใช้คำว่ามาลแวร์ ซึ่งมาจากคำในภาษาอังกฤษว่า malware (malicious software) อันหมายถึง โปรแกรมคอมพิวเตอร์ทั้งหมดที่ถูกออกแบบมาให้มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์และเครือข่าย โปรแกรมเหล่านี้ก็เช่น classic virus, worm, trojan, adware, spyware, toolbar, BHO, hijacker, downloader, phishing, exploit malware รวมไปถึง zero-day attack, zombie network และอื่นๆ

ความแตกต่างระหว่าง ไวรัส worm spywere trojan malwere :

ITW malware ใน the wildlist (แม้กระทั่งใน supplemental list) มากกว่า 90% เป็น worm (hybrid worm) ครับ ไม่ใช่ virus (classic virus) ก็ตามที่ความคิดเห็นที่ 2 บอกนั่นล่ะครับ classic virus โดยเฉพาะแบบ file infector ที่แนบตัวมันเองเข้าไปยังส่วนต่างๆของไฟล์อื่น (host file) และ boot sector virus มันแทบจะหมดยุคไปแล้ว (อาจจะมีพวก proof-of-concept virus บ้าง) ที่ยังพบเห็นอยู่ใน the wildlist ส่วนใหญ่จะเป็น macro virus (ซึ่งเป็น virus บน PC ในยุคท้ายๆ) ซึ่งยังพบเห็นการแพร่ระบาดอยู่บ้าง และ virus ที่ชื่อ VBS/Redlof คือตัวอย่างของ classic virus ที่ยังพอพบเห็นได้ทั่วไป

Malware ที่พบเห็นการแพร่ระบาดทั่วไปและเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุดก็คือ worm และ worm ก็ยังแบ่งออกเป็นชนิดแยกย่อยได้ดังต่อไปนี้

- Email Worm เช่น mass-mailing worm ที่ค้นหารายชื่ออีเมลล์ในเครื่องที่ตกเป็นเหยื่อแล้วก็ส่งตัวเองไปหาอีเมลล์เหล่านั้น
- File-sharing Networks Worm คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นค้นหรือประกอบด้วยคำว่าด้วย sha และแชร์โฟลเดอร์ของโปรแกรม P2P เช่น KaZaa
- Internet Worm, Network Worm โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการเช่นเวิร์ม Blaster, Sasser ที่เรารู้จักกันดี
- IRC Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนาเดียวกัน
- Instant Messaging Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน contact list ผ่านทางโปรแกรม IM เช่น MSN, ICQ

Trojan เป็น malware อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป trojan ยังแบ่งออกได้เป็นหลายชนิดดังนี้

- Remote Access Trojan (RAT) หรือ Backdoor ที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุมหรือทำอะไรก็ได้บนเครื่องที่ตกเป็นเหยื่อในแบบระยะไกล
- Data Sending/Password Sending Trojan โขมยรหัสผ่านแล้วส่งไปให้ผู้ไม่ประสงค์ดี
- Keylogger Trojan ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์
- Destructive Trojan ลบไฟล์บนเครื่องที่ตกเป็นเหยื่อ
- Denial of Service (DoS) Attack Trojan ใช้ทำ DDoS เพื่อโจมตีระบบอื่น
- Proxy Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น proxy server หรือ web server, mail server เพื่อสร้าง zombie network
- FTP Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น FTP server
- Security software Killer Trojan ฆ่า process หรือลบโปรแกรมป้องกันไวรัส/โทรจัน/ไฟล์วอลบนเครื่องที่ตกเป็นเหยื่อ
- Trojan Downloader ดาวน์โหลด adware, spyware, worm เอามาติดตั้งบนเครื่องเหยื่อ

และ malware ที่พบเห็นได้ง่ายทั่วไปในปัจจุบันและสร้างความรำคาญให้มากที่สุดก็คือ spyware (บางตำราอาจใช้คำว่า grayware) ซึ่งแบ่งออกได้เป็นหลายชนิด (ซึ่งบางส่วนก็มีพฤติกรรมคล้ายๆ trojan ด้วย) เช่น

- Adware ดาวน์โหลดและแสดงแบนเนอร์โฆษณา
- Dialer อยู่ตามเว็บโป๊เพื่อใช้ต่อโทรศัพท์ทางไกลไปต่างประเทศ
- Spyware เก็บรวมรวมพฤติกรรมการใช้อินเตอร์เน็ตบนเครื่องเหยื่อ
- Hijacker เปลี่ยนแปลง start page, bookmark บนบราวเซอร์เช่นใน IE
- Trojan like เช่น trojan downlaoder ดาวน์โหลด spyware หรือแบนเนอร์โฆษณา
- BHO (Browser Helper Objects) ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE
- Toolbar ยัดเยียด toolbar ที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE

และต่อไปนี้คือ trend ใหม่ของ malware บน PC ที่เกิดขึ้นแล้วในปัจจุบันและกำลังจะเกิดขึ้นในอนาคตอันใกล้ ซึ่งแต่เดิมนักเขียนไวรัสยุคโบราณเขียนไวรัสขึ้นเพราะความสนุก แต่ attacker ในปัจจุบันเขียน malware เพื่อเงินกันแล้ว มีการซื้อขายแลกเปลี่ยน zombie กันด้วยเช่น zombie จำนวน 5,000 เครื่องขาย 500 เหรีญอะไรแบบนี้

Hybrid malware/Blended Threat คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน

Zero-day attack ในที่นี้หมายถึง การโจมตีของมาลแวร์/แฮคเกอร์ โดยการใช้ประโยชน์จากช่องโหว่ (vulnerability) ที่มีอยู่ในซอฟแวร์หรือระบบปฎิบัติการซึ่งไม่มีใครรู้มาก่อนว่ามีช่องโหว่นั้นอยู่ หรือรู้แล้วแต่ยังไม่มี patch สำหรับอุดช่องโหว่ หรือยังไม่มี signature ของโปรแกรมด้าน security สำหรับตรวจหาการโจมตีที่ว่าในเวลานั้น

Zombie Network คือ เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย

จะเห็นได้ว่า worm, trojan, spyware (grayware) ซึ่งพบเห็นการแพร่ระบาดทั่วไปในปัจจุบันนี้มันไม่ใช่ virus และโปรแกรมป้องกันไวรัสทั่วไปส่วนใหญ่ก็ไม่สามารถป้องกัน malware พวกนี้ได้ทั้งหมดด้วย โปรแกรมป้องกันไวรัสทั่วไปให้ผลดีแทบจะ 100% กับ ITW malware แต่กับมาลแวร์อื่นๆแล้วมันยังไม่มีมาตรฐานอะไรมาทดสอบโปรแกรมป้องกันไวรัส ดังนั้นแค่โปรแกรมป้องกันไวรัส (จริงๆแล้วน่าจะเรียกว่าโปรแกรมป้องกันมาลแวร์มากกว่า) แค่อย่างเดียวไม่สามารถป้องกันมาลแวร์ที่กล่าวมาได้ทั้งหมด

แต่มีโปรแกรมป้องกันไวรัสอยู่ยี่ห้อหนึ่งซึ่งเน้นการตรวจหามาลแวร์ทุกๆอย่างที่กล่าวมาแบบเอาจริงเอาจัง แบบเอาเป็นเอาตาย (ไม่มาลแวร์ก็เครื่องของเราได้ตายกันไปข้างหนึ่ง) โปรแกรมนั้นคือ Kaspersky Anti-Virus (KAV) อันนี้ผมไม่ได้ค่าโฆษณา ผมไม่ได้ขาย KAV และไม่ได้ชี้นำใครนะครับ แต่บอกจากความรู้และประสบการณ์ที่ผมมี แต่ก็ไม่ได้หมายความว่าโปรแกรมอื่นๆ ไม่ดีนะครับ ก็อย่างที่บอกคือ โปรแกรมป้องกันไวรัสแทบจะทุกยี่ห้อสามารถป้องกันกลุ่มมาลแวร์ที่สำคัญที่สุด ที่พวกเรามีโอกาสพบเจอมากที่สุด อันตรายที่สุด ที่เรียกว่า ITW malware ได้แบบ 100% หากเราอัพเดทมันทันเวลาและใช้มันอย่างถูกต้อง ส่วนมาลแวร์อื่นๆที่เหลือเราก็ใช้โปรแกรมเฉพาะทางอื่นๆ ช่วย เช่น โปรแกรมป้องกันโทรจัน โปรแกรมป้องกันสปายแวร์ ไฟล์วอล และอื่นๆ

จากคุณ : Xoop - [ 11 เม.ย. 48 18:25:25 ]

สาเหตุหลักๆ ที่ทำให้คอมพิวเตอร์ติด malware (virus, worm, trojan, spyware, etc)

1. ทางอีเมลล์ โดยเฉพาะการดูดอีเมลล์จาก pop3 server ด้วยโปรแกรมอย่าง Outlook Express ส่วนใหญ่จะเป็นพวกหนอนอินเตอร์เน็ตประเภท mass-mailing worm เช่น Netsky, Beagle, Mydoom

2. จากช่องโหว่ (vulnerability) ของระบบปฏิบัติการหรือของโปรแกรม โดย network worm, mass-mailing worm ที่โจมตีช่องโหว่ของ Windows เช่น Blaster, Sasser, Bobax ซึ่งต่อไปอาจจะเป็นกรณีของ zero-day attack

3. จากการเข้าไปในเว็บที่มี malicious script/malware ซ่อนอยู่ก็อย่างเว็บโป๊ เว็บ crack ทั้งหลาย เช่นพวก dialer, trojan downloader, spyware, browser hijacker

4. จากการเข้าไปในเว็บธรรมดาที่ติดไวรัสเช่น VBS/Redlof

5. จากการเคลื่อนย้ายไฟล์จากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งผ่านทางแผ่นดิสก์เช่น macro virus ที่อยู่ในไฟล์ของ MS Office

6. การดาวโหลดไฟล์จากเครือข่าย P2P อย่างเช่น KaZaA เช่น P2P worm และโทรจันทั้งหลาย

7. จากการดาวโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถืออย่างเช่นเว็บ crack, warez ส่วนใหญ่จะเป็นพวก private/modified trojan

8. จากการเล่นหรือรับไฟล์จากโปรแกรมประเภท Instant Message เช่น MSN, ICQ

9. จากการเล่นโปรแกรมประเภท IRC เช่น Pirch98 เช่น IRC Worm

และอื่นๆ ที่ยังนึกไม่ออกตอนนี้

จากคุณ : Xoop - [ 11 เม.ย. 48 18:27:15 ]