ความรู้เรื่อง ไวรัสคอมพิวเตอร์ และมัลแวร์ (Malware)

ความรู้เรื่อง ไวรัสคอมพิวเตอร์ และมัลแวร์ (Malware)

อย่าสับสน! ระหว่างคำว่า ไวรัสคอมพิวเตอร์ (Computer Virus) กับไวรัสที่เป็นเชื้อโรค ไวรัสคอมพิวเตอร์นั้นเป็นแค่ชื่อเรียกโปรแกรมประเภทหนึ่งที่มีพฤติกรรมคล้ายๆ กับไวรัสที่เป็นเชื้อโรคที่สามารถแพร่เชื้อได้ และมักทำอันตรายต่อสิ่งมีชีวิตที่มันอาศัยอยู่ แต่ต่างกันตรงที่ว่าไวรัสคอมพิวเตอร์เป็นเพียงโปรแกรมชนิดหนึ่งเท่านั้นไม่ใช่ไวรัสที่เป็นสิ่งมีชีวิต เราลองมาดูรายละเอียดเกี่ยวกับไวรัสคอมพิวเตอร์กันเลยนะครับ ลองติดตามดู

ไวรัสคอมพิวเตอร์ (Computer Virus) คือ โปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในเครื่องคอมพิวเตอร์ และถ้ามีโอกาสก็สามารถแทรกเข้าไปติดอยู่ในระบบคอมพิวเตอร์อื่นๆ ซึ่งอาจเกิดจากการนำเอาแผ่นดิสก์หรือแฟลชไดร์ฟที่ติดไวรัสจากเครื่องหนึ่งไปใช้กับอีกเครื่องหนึ่ง การที่คอมพิวเตอร์ใดติดไวรัส หมายความว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำคอมพิวเตอร์เครื่องนั้นเรียบร้อยแล้ว การที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกใช้ให้ทำงาน ซึ่งโดยปกติแล้วผู้ใช้มักจะไม่รู้ตัวเลยว่า ขณะที่ตนเรียกใช้โปรแกรมหรือเปิดไฟล์ใดๆขึ้นมาทำงาน ก็ได้เรียกไวรัสขึ้นมาทำงานด้วย จุดประสงค์การทำงานของไวรัสแต่ละตัวขึ้นอยู่กับผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบนหน้าจอคอมพิวเตอร์ เป็นต้น

ไวรัส (Virus) เป็น มัลแวร์ (Malware) ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบทความต่างๆที่ไม่เน้นไปทางวิชาการมากเกินไป หรือเพื่อความง่ายและคุ้นเคยที่จะพูด ก็จะใช้คำว่า Virus แทนคำว่า Malware แต่ถ้าจะคิดถึงความจริงแล้วมันไม่ถูกต้อง อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตาม จึงกลายเป็นว่าคนส่วนใหญ่ใช้คำว่า Virus แทนคำว่า Worm, Trojan, Spyware, Adware เป็นต้น ที่ถูกต้องควรใช้คำว่ามัลแวร์ (Malware) เพราะมัลแวร์มีหลายชนิด แต่ละชนิดก็ไม่เหมือนกัน

มัลแวร์ (Malware) ย่อมาจาก Malicious Software หมายถึงโปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่าย หรือเป็นคำที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ โปรแกรมพวกนี้ได้แก่ Virus, Worm, Trojan, Spyware, Keylogger, Downloader, Adware, Dialer, Hijacker, BHO, Toolbar บางอย่าง, Hack Tool, Phishing, รวมไปถึง Zombie network, Zero-day attack และอื่นๆ

ความแตกต่างของไวรัส เวิร์ม โทรจัน และสปายแวร์ ความแตกต่างระหว่างไวรัส (Virus), เวิร์ม (Worm), โทรจัน (Trojan), และสปายแวร์ (Spyware) สามารถแบ่งแยกได้ตามลักษณะการทำงาน และพฤติกรรมของการแพร่เชื้อเข้าสู่เครื่องคอมพิวเตอร์

ไวรัส (Virus) มีลักษณะการแพร่เชื้อไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวมันเองเข้าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้คือต้องอาศัยไฟล์และ Removable Drive เป็นพาหะ สิ่งที่มันทำคือสร้างความเสียหายให้กับไฟล์งานและไฟล์โปรแกรมต่างๆ ลองมารู้จักกับประเภทของไวรัสกันดังนี้ ไวรัสบูตเซกเตอร์ Boot Sector Viruses หรือ Boot Infector Viruses คือไวรัสบูตเซกเตอร์ที่เก็บตัวเองอยู่ในบูตเซกเตอร์ของดิสก์ เมื่อเครื่องคอมพิวเตอร์เริ่มสตาร์ทขึ้นมาตอนแรก เครื่องจะเข้าไปอ่านบูตเซกเตอร์นี้ก่อน ซึ่งในบูตเซกเตอร์นี้จะมีโปรแกรมเล็กๆ ไว้ใช้ในการเรียกระบบปฎิบัติการขึ้นมาทำงาน ไวรัสจึงอาศัยช่องทางตรงนี้เข้าไปแทนที่โปรแกรมดังกล่าว โดยทั่วไปจะเข้าไปติดอยู่บริเวณที่เรียกว่า Master Boot Sector หรือ Partition Table ของดิสก์นั้น ถ้าดิสก์ใดมีไวรัสบูตเซกเตอร์ประเภทนี้ติดอยู่ ทุกๆครั้งที่สตาร์ทบูตเครื่องขึ้นมา ตัวโปรแกรมไวรัสจะทำงานก่อน และจะเข้าไปฝังตัวอยู่ในหน่วยความจำเพื่อเตรียมพร้อมที่จะทำงานตามที่ได้ถูกโปรแกรมเอาไว้ต่อไป2 โปรแกรมไวรัส Program Viruses หรือ File Infector viruses เป็นโปรแกรมไวรัสอีกประเภทหนึ่งที่สามารถแพร่เชื้อไปติดไฟล์โปรแกรมที่มีนามสกุลเป็น .COM หรือ .EXE และไวรัสประเภทนี้สามารถเข้าไปติดอยู่ในไฟล์ที่มีนามสกุลเป็น .SYS หรือโปรแกรมประเภท Overlay Programs ได้ด้วย วิธีการที่ไวรัสใช้คือการแทรกตัวเองเข้าไปอยู่ในโปรแกรม ผลก็คือหลังจากที่โปรแกรมนั้นติดไวรัสแล้วขนาดของไฟล์โปรแกรมจะใหญ่ขึ้น หรือถ้ามีการสำเนาตัวเองเข้าไปทับส่วนของโปรแกรมที่มีอยู่เดิมขนาดของไฟล์อาจจะไม่เปลี่ยนแปลง และยากที่จะซ่อมแซมให้กลับมาได้เหมือนเดิม ลักษณะการทำงานของไวรัสก็คือ เมื่อมีการเรียกใช้โปรแกรมที่ติดไวรัส ส่วนตัวของไวรัสจะทำงานก่อนและจะถือโอกาสนี้ฝังตัวเข้าไปอยู่ในหน่วยความจำ และเมื่อมีการเรียกใช้โปรแกรมอื่นๆ เพิ่มขึ้นมาทำงานอีก ไวรัสก็จะสำเนาตัวเองเข้าไปในโปรแกรมนั้นทันที แต่ก็มีไวรัสอีกอย่างหนึ่งที่ไม่ต้องรอให้ผู้ใช้เปิดโปรแกรมอะไรขึ้นมาเลย แค่อาศัยจุดอ่อนของระบบปฏิบัติการ มันก็สามารถรันตัวเองให้เข้าไปหาโปรแกรมอื่นๆที่อยู่ในดิสก์ได้ด้วยตัวเอง2 โพลีมอร์ฟิกไวรัส Polymorphic Viruses เป็นชื่อที่ใช้เรียกไวรัสที่มีความสามารถในการเปลี่ยนแปลงตัวเองเมื่อมีการสร้างสำเนาของตัวเองเกิดขึ้น ซึ่งอาจทำได้ถึงหลายร้อยรูปแบบ ผลก็คือทำให้ไวรัสเหล่านี้ยากต่อการถูกตรวจจับด้วยโปรแกรมตรวจหาไวรัสที่ใช้วิธีสแกนเพียงอย่างเดียว ไวรัสใหม่ๆ ในปัจจุบันก็เริ่มใช้ความสามารถนี้และมีจำนวนเพิ่มมากขึ้นเรื่อยๆ2 สทีลต์ไวรัส Stealth Viruses เป็นชื่อเรียกไวรัสที่มีความสามารถในการพรางตัวต่อการตรวจจับด้วยโปรแกรมตรวจหาไวรัสชนิดต่างๆ ไวรัสประเภทนี้จะทำงานด้วยการให้กำเนิด (Generate) หรือสร้างไฟล์ขึ้นมาใหม่เพื่อทำหน้าที่แทนตนเอง ถึงแม้ว่าจะสแกนด้วยโปรแกรมตรวจหาไวรัสแล้วก็ตาม แต่ก็จะพบเพียงไฟล์ไวรัสที่สร้างขึ้นมาใหม่เท่านั้น จะไม่พบตัวตนที่แท้จริงของไวรัสเลย จึงยากต่อการตรวจจับเพราะหาเท่าไรก็ไม่พบ จนถึงขั้นต้องฟอร์แมตล้างเครื่องใหม่กันเลยทีเดียว และไวรัสประเภทนี้นับวันจะยิ่งมีมากขึ้นเรื่อยๆ2

เวิร์ม (Worm) มีลักษณะและพฤติกรรมคัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื้อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย และเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุด เวิร์มยังแบ่งออกเป็นชนิดต่างๆได้ดังต่อไปนี้ Email worm เป็นเวิร์มที่อาศัยอีเมล์เป็นพาหะเช่น Mass-mailing worm เป็นเวิร์มที่สามารถค้นหารายชื่ออีเมล์ในเครื่องที่ตกเป็นเหยื่อแล้วก็ส่งตัวเองไปยังที่อยู่อีเมล์เหล่านั้น File-Sharing Networks Worm เป็นเวิร์มที่คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นต้นหรือประกอบด้วยคำว่า sha และแชร์โฟลเดอร์ของโปรแกรมประเภท Peer to Peer (P2P) เช่นเวิร์มที่มีชื่อว่า KaZaa Worm เป็นต้น Internet Worm หรือ Network Worm เป็นเวิร์มที่โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการต่างๆเช่น Blaster worm และ Sasser worm ที่ได้เป็นที่รู้จักกันดี IRC Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนา (Chat room) เดียวกัน Instant Messaging Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน Contact list ผ่านทางโปรแกรม Instant Messaging หรือ IM เช่นโปรแกรม MSN และ ICQ เป็นต้น

โทรจัน (Trojan) เป็นมัลแวร์อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป มีลักษณะและพฤติกรรมไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกผู้ใช้ให้ดาวน์โหลดเอาไปไว้ในเครื่องหรือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้ หรือมีจุดประสงค์เพื่อล้วงเอาความลับต่างๆ โทรจันยังแบ่งออกได้เป็นหลายชนิดดังนี้ Remote Access Trojan (RAT) หรือ Backdoor เป็นโทรจันที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุมเครื่องได้จากระยะไกล หรือทำอะไรก็ได้บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ Data Sending and Password Sending Trojan เป็นโทรจันที่โขมยรหัสผ่านต่างๆ แล้วส่งไปให้ผู้ไม่ประสงค์ดี Keylogger Trojan เป็นโทรจันที่ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์ของคีย์บอร์ด Destructive Trojan เป็นโทรจันที่สามารถลบไฟล์บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อได้ DoS (Denial of Service ) Attack Trojan เป็นโทรจันที่เข้าโจมตีระบบคอมพิวเตอร์ที่เป็นเป้าหมายบนอินเทอร์เน็ตในรูปแบบ DoS หรือ DDoS (Distributed denial-of-service) เพื่อทำให้ระบบเป้าหมายปฏิเสธหรือหยุดการให้บริการ (Denial-of-Service) การโจมตีจะเกิดขึ้นพร้อมๆกันและมีเป้าหมายเดียวกัน โดยเครื่องที่ตกเป็นเหยื่อทั้งหมดจะสร้างข้อมูลขยะขึ้นมาแล้วส่งไปที่ระบบเป้าหมาย เพื่อสร้างกระแสข้อมูลให้ไหลเข้าไปในปริมาณมหาศาลทำให้ระบบเป้าหมายต้องทำงานหนักขึ้นและช้าลงเรื่อยๆ เมื่อเกินกว่าระดับที่จะรับได้ ก็จะหยุดการทำงานลงในที่สุด อันเป็นเหตุให้ผู้ใช้ไม่สามารถใช้บริการระบบเป้าหมายได้ตามปกติ2 ส่วนรูปแบบของการโจมตีที่นิยมใช้กันก็มีเช่น SYN flood, UDP flood, ICMP flood, surf, Fraggle เป็นต้น Proxy Trojan เป็นโทรจันที่ทำให้เครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกลายเป็นเครื่อง Proxy Server, Web Server หรือ Mail Server เพื่อสร้าง Zombie Network ซึ่งจะถูกใช้ให้เป็นฐานปฏิบัติการเพื่อจุดประสงค์อย่างอื่น FTP Trojan เป็นโทรจันที่ทำให้ครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกลายเป็นเครื่อง FTP Server Security software Killer Trojan เป็นโทรจันที่ Kill Process หรือลบโปรแกรมป้องกันไวรัสหรือลบไฟร์วอลบนเครื่องที่ตกเป็นเหยื่อ เพื่อง่ายต่อการปฏิบัติการอย่างอื่นต่อไป Trojan Downloader เป็นโทรจันที่ดาวน์โหลด Adware, Spyware และ Worm ให้มาติดตั้งบนเครื่องเหยื่อ

สปายแวร์ (Spyware) มีลักษณะและพฤติกรรมคล้ายโทรจันคือ ไม่แพร่เชื้อไปติดไฟล์อื่นๆ อาศัยการหลอกผู้ใช้ให้ติดตั้งโปรแกรมที่ไม่ประสงค์ดีลงบนเครื่องของตนเอง หรืออาศัยช่องโหว่ของ Web Browser ในการติดตั้งตัวเองลงบนเครื่องเหยื่อ สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้คอมพิวเตอร์ สร้างความรำคาญให้กับผู้ใช้มากที่สุด บางตำราอาจใช้คำว่า Grayware ซึ่งแบ่งออกได้เป็นหลายชนิด เช่น Dialer เป็นสปายแวร์ที่เคยอยู่บนเว็บโป๊ต่างๆ และใช้โมเด็มเครื่องเหยื่อหมุนโทรศัพท์ทางไกลต่อไปยังต่างประเทศ Hijacker เป็นสปายแวร์ที่สามารถเปลี่ยนแปลง Start Page และ Bookmark บนเว็บบราวเซอร์ต่างๆ BHO (Browser Helper Objects) เป็นสปายแวร์ที่ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์ให้บนเว็บบราวเซอร์ Toolbar บางอย่างก็จัดเป็นสปายแวร์ที่ยัดเยียดเครื่องมือที่ไม่พึงประสงค์ให้บนเว็บบราวเซอร์ด้วย

Author: นายโชคทวี ฉิมพุฒ

ใส่ความเห็น