ไวรัสทำงานอย่างไร
สำหรับ ขั้นตอนการทำงานของไวรัสนั้นโดยคร่าวๆไม่มีอะไ รซับซ้อนมากมายครับ ขั้นต้นคือจะมีการเรียก Process ตัวเองขึ้นมารันอยู่ในหน่วยความจำก่อน หลังจากนั้นก็ทำงานเงียบๆตามที่มีการ Code สั่งงานไว้ ไม่ว่าจะเป็นการลบไฟล์ แก้ไขไฟล์ Copy ตัวเอง ฯลฯ
ประเด็น ก็คือทำยังไงถึงจะเรียกตัวเองขึ้นมาเพื่อไปอย ู่ในหน่วยความจำให้ได้ก่อน เท่าที่เจอคือจะใช้การเพิ่มคำสั่งเข้าไปใน Registry เพื่อ Run ตัวเองขึ้นมาพร้อมๆกับ Windows นั่นเองครับ และสำหรับพวก Worm ที่สามารถแพร่ตัวเองโดยติดไปกับ Thumb Drive นั้นก็จะอาศัยสร้างตัวไฟล์ Autorun.inf ไว้ใน Thumb Drive เพื่อที่จะให้มีการเรียกตัวไวรัสขึ้นมาทำงานทันทีที่ เสียบ Thumb Drive เข้ากับเครื่องนั้นๆ ซึ่งโดยมากเมื่อรันแล้วก็จะทำการ Copy ตัวไวรัสพร้อมทั้งไฟล์ Autorun.inf ลงไปในเครื่องนั้นด้วย ซึ่งโดยส่วนใหญ่(อีกแล้ว) จะใส่ตัว Autorun.inf ใน Root ของ Drive เพื่อสร้างความมั่นใจว่าถ้ามีความผิดพลาดไวรัสไม่ได้ โหลดขึ้นมาพร้อม Windows จะด้วยเหตุผลอะไรก็แล้วแต่ ยังไงซะเมื่อผู้ใช้เปิด Drive ด้วยการ Double Click ก็จะเป็นการเรียกไฟล์ Autorun.inf ให้ทำงานเป็นอันดับแรก(ตามนโยบายของ Windows) ซึ่งในไฟล์ Autorun.inf นี่ล่ะครับที่จะไปเรียกไฟล์ไวรัส(ตัวจริง)ให้ทำงานขึ ้นมา ดังนั้นถึงจะพลาดแผนแรกที่โหลดพร้อม Windows ก็ยังมีแผน 2 รองรับ เพราะยังไงซะผู้ใช้ก็ต้องมีการ Double Click เรียก Drive บ้างล่ะ แค่นี้ก็เรียบร้อยโรงเรียนไวรัสไปแล้วครับ มันเข้ามาแอบอยู่ในหน่วยความจำเครื่องเราและพร้อมปฏิ บัติหน้าที่ของมันตามที่ได้รับการ Coding ไว้แล้ว
ขั้นตอนการตรวจสอบไวรัสเบื้องต้น
ต่อ เนื่องจากที่ได้อธิบายขั้นตอนการทำงานของไวรัสไว้ ข้างต้นครับ คราวนี้มาดูกันว่าเราสามารถ ที่จะตรวจสอบ คร่าวๆได้ยังไงบ้างว่าเครื่องเรามีไวรัสเข้ามาเยี่ยม เยียนแล้ว ช่วงหลังๆนี่เท่าที่เห็นมันมักจะออกอาการ เหมือนๆกัน อยู่หลายอย่าง ซึ่งน่าจะมีเหตุผลมาจากหลายสาเหตุ เช่นพวกตระกูล Hacked By ทั้งหลายนี่เท่าที่รู้ก็คือมีการสร้าง มาจาก Tools ตัวเดียวกันซึ่งมีให้โหลดตาม Internet นี่ล่ะ เรียกว่าอยากได้ไวรัสอาการแบบไหน ก็แค่ติ๊กเลือก เอาได้ เลยครับ อยากได้ชื่ออะไรตั้งกันเอา จะประกาศศักดาว่า Hacked โดยใครก็ตามสบายเลยครับ ซึ่งอาการที่มีให้เลือกก็ เดิมๆล่ะครับ มีไม่กี่แบบ อาการหลักๆของพวก Hacked By นี่คือการประกาศศักดาประมาณพวกพ่นสีตามผนังน่ะครับ เพียงแค่เปลี่ยนทำเลจากฝาผนัง มาเป็นหัวของ IE เท่านั้นเองครับ
เจ้า ตัวนี้ก็อาศัยช่องทางของตัว Autorun.inf นี่ล่ะครับในการเรียกเจ้าตัวไวรัสขึ้นมาทำงาน ซึ่งพวกตระกูล Hacked By พวกนี้เจ้าตัวไวรัสตัวจริงของมันจะมีนามสกุล .VBS ครับ ซึ่งเป็นไฟล์ VBScript ครับ ซึ่งเราสามารถที่จะเปิดดู Code มันได้โดยใช้ Notepad นี่ล่ะครับ ถ้าใครพอจะมีพื้นฐานด้านเขียน โปรแกรมหน่อย ก็สามารถอ่านดูได้เลยครับว่ามันสั่งให้ทำอะไรกับเครื ่องเราบ้าง ซึ่งนี่อาจจะเป็นสาเหตุหนึ่งที่ทำให้มันแตกสายเป็น Hacked By โน่น By นี่ เพราะแค่ใช้ Notepad เข้าไปแก้เป็นชื่อที่เราต้องการ ก็จะได้ตัว Hacked By ชื่อนั้นๆ แล้วล่ะครับ แต่ไม่แนะนำให้ทำนะครับ เพียงแค่เล่าให้ฟังว่ามันไม่ยาก คิดถึงใจเขาใจเราเวลาติดไวรัส มันไม่ดีครับ
สำหรับ การตรวจสอบพวก Hacked By ทั้งหลายนี่ อย่างที่บอกข้างต้นครับ มันมักจะประกาศศักดา สิ่งแรกที่ เห็นชัดๆคือมันเปลี่ยนหัวของ IE เรา และเนื่องจากมันเป็นตัวที่ไม่ได้ร้ายแรงอะไรมากมาย จึงต้องใช้การอำพรางตัวโดย Set Attribute ของตัวเองและลูกน้อง(Autorun.inf) ให้เป็น Hidden และเพื่อป้องกันผู้ใช้เปิดมา แล้วเห็นมัน ก็เลยไปแก้ Registry ให้ไม่สามารถเปิด Show All Files ได้ โดยการปิด Folder Options มันซะเลย บางตัวนี่ ซ่อนไฟล์ของเราใน Thumb Drive ด้วยทำให้เราตกใจเล่นๆว่าไฟล์โดนลบไปแล้ว แต่จริงๆมันยังอยู่ครับ สำหรับเครื่องมือที่จะใช้ในการหาไฟล์ที่โดนแอบผมขอรว บยอดไปแนะนำในหัวข้อต่อไปนะครับ
สำหรับ ไวรัสตัวอื่นๆนี่ก็แล้วแต่เค้าจะเขียนกันมาล่ะ ครับ จริงๆมันก็ไม่ยากที่เราจะรู้ว่าติดไวรัสแล้ว เพราะจะรู้สึกว่า เครื่องมันช้าๆ ทำงานแปลกๆ สำหรับการตรวจสอบแบบละเอียดขึ้นอีกนิด เดี๋ยวผมจะอธิบายในหัวข้อต่อไปแล้วกันนะครับ
การกำจัดไวรัสขั้นพื้นฐาน
หลัง จากอธิบายมายืดยาวในขั้นต้น ซึ่งอาจจะรู้เรื่องบ้าง งงบ้าง อาจจะเพราะผมถ่ายทอดออกมาเป็นคำพูด ไม่ค่อยเก่งหรือผมมั่วเองก็ไม่รู้ คราวนี้เรามาดูว่าถ้าเราสงสัยว่าเครื่องติดไวรัสแน่น อนแล้ว เราจะจัดการกับมันอย่างไรดี ตามที่บอกไว้ด้านบนๆนั่นล่ะครับว่าไอ้ตัวไวรัสนี่มัน มีหลายอาการ มีหลายระดับด้วย พวกที่ไม่ได้ร้ายแรงอะไรเช่นพวก Hacked By ทั้งหลายเนี่ยจะไม่มีการทำลายไฟล์หรือทำอะไรที่ซับซ้ อนมากนัก แต่บางตัวนี่รุนแรงครับเล่นกันถึงขั้น ลบไฟล์ในเครื่องจนต้องลง Windows ใหม่กันเลยทีเดียวครับ
เอา เป็นว่าเรามาดูขั้นตอนคร่าวๆกันดีกว่านะครับว่าจะ ทำอะไรกับมั้นได้บ้าง ไอ้ไวรัสตัวร้ายเนี่ย ถึงแม้อาจจะ ไม่สามารถแก้ไขได้ทุกตัวแต่ก็น่าจะพอเป็นแนวทางได้บ้ างครับ
อย่าง ที่บอกว่าสำหรับขั้นตอนการทำงานของไวรัสนั้นมีอ ะไรบ้าง คราวนี้เรามาไล่ย้อนขั้นตอนมันกลับไปเพื่อ ที่จะจัดการ มันครับ ตามที่บอกครับว่าไวรัส นั้นเมื่อมันติดมาแล้วมันจะต้องไปแอบอยู่ในหน่วยความ จำ เครื่องเราเพื่อทำหน้าที่ ของมัน และตรวจสอบการทำงานของตัวเองด้วย เช่นถ้ามันสั่งปิด Show All File แล้วเราไปเปิด มันก็จะปิดอีกครับ ดังนั้นถ้าเราเอามัน ออกไปจากตรงนี้ได้ อย่างน้อยๆตอนนี้มันก็จะไม่สามารถทำอะไรได้แล้วล่ะคร ับ แล้วเราค่อยตามล่าเอาตัวจริงของมันออก จากเครื่องไปซะให้สิ้นซาก
ใน การตรวจสอบตัวไวรัสที่อยู่ในหน่วยความจำ(Process) ส่วนใหญ่ก็อาศัยตัว Task Manager ของตัว Windows นั่นล่ะครับ แต่มันมักจะมีปัญหาตรงที่ว่า ไอ้ไวรัสตัวหลังๆนี่มันรู้ทันเราซะแล้วครับ เลยอาศัยคุณสมบัติของ Windows ที่สามารถปิดการใช้ตัว Task Manger มาปิดกั้นการใช้ของเราซะงั้น พอจะเรียกใช้ก็ดันขึ้นเป็นสีเทาไม่ให้เรียกอีก ไม่เป็นไรครับผมแนะนำว่าไปใช้ตัวนี้แทนก็ได้ครับ ฟรีเหมือนกัน โหลดมาติดเครื่องไว้ก็ดีครับเผื่อเจอปัญหาโดน Lock Task Manager ก็ใช้ตัวนี้แทนซะเลย หรือถ้าใครติดใจจะกำหนดให้มันมาแทน Task Manager ของ Windows เลยก็ได้ครับ เอาไว้ผมค่อยทำบทความโฆษณารายละเอียดมันอีกทีแล้วกัน เดี่ยวออกนอกเรื่องไปใหญ่
เจ้าตัวที่กล่าวถึงนี่คือโปรแกรม Process Viewer ครับ แนะนำนิดนึงครับว่าเมื่อโหลดมามันจะเป็น Zip ไฟล์ ให้เราเอาออกมาแค่ PrcView.exe ตัวเดียวก็พอครับส่วนตัวอื่นๆซึ่งเป็นแบบ Command Line นั้นเราไม่ได้ใช้ครับ หรือใครอยากลองเล่นดูจะเอาทั้งหมดก็ไม่มีปัญหาครับ เพียงแต่แนะนำว่าใช้ตัวเดียวก็ได้แล้ว ถ้าให้ดีก็ Copy ตัวนี้ใส่ Thumb Drive ไว้เลยครับ เผื่อไปเจอเครื่องที่มีปัญหาเรียก Task Manager ไม่ได้เราจะได้ใช้ตัวนี้ได้เลยสะดวกดีครับไม่ต้อง Install
หมายเหตุนิด นึงว่าหลังจากเรียกใช้โปรแกรมนี้แล้วถ้าเราเปิด Show All File ไว้จะเห็นไฟล์ชื่อ PRCVIEW.GID เป็น Icon ใสๆ ก็ไม่ต้องตกใจนะครับ เป็นไฟล์ที่โปรแกรมสร้างขึ้นมาเก็บค่า Config ของมันน่ะครับไม่ใช่ไวรัสแต่ประการใด ที่เห็นใสๆ เพราะเป็นไฟล์ที่ Hidden ไว้แต่เราเปิด Show All เลยมองเห็นเท่านั้นเองครับ
เอา ล่ะครับเมื่อเราเรียกมันขึ้นมาแล้วก็จะเห็น Process เหมือนๆ Task Manger นั่นล่ะครับ แถมรูปมันสวยกว่าด้วยซ้ำ การเชิญตัวไวรัสซึ่งเราไม่ได้ชวนมาให้ออกไปจากหน่วยค วามจำนี่ก็ใช้การ Click ที่ชื่อ Process ที่เป็นไวรัสแล้วเลือก Kill(เครื่องหมาย X) มันเลยครับ เหมือนกับการ End Process ใน Task Manager นั่นล่ะครับ แค่นี้มันก็โดนเนรเทศ ออกไปจากหน่วยความจำเครื่องเราเรียบร้อยแล้วล่ะครับ
คำ ถามคือแล้วเราจะรู้ได้ไงล่ะว่าตัวไหนเป็น Process ของไวรัส ตามรูปนี่ผมขอยกตัวอย่างเจ้าตระกูล Hack By รวมถึงพวกตระกูลที่ใช้ VB Script เหมือนกัน ซึ่งสังเกตุง่ายๆเจ้าพวกนี้ชอบเปลี่ยนหัวของ IE เพื่อประกาศศักดานะครับ เนื่องจากเจ้าพวก VB Script(.VBS ) นี่ไม่สามารถจะทำการ Execute ด้วยตัวเองได้จึงต้องอาศัยตัวโปรแกรมของ Windows มาแปลคำสั่งแล้วทำตามที่กำหนดไว้ เจ้าตัวช่วยแปลที่กล่าวถึงคือ Wscript.exe ซึ่งเป็นของ Windows เองนี่ล่ะครับ ซึ่งโดยตัวมันเองไม่ใช่ไวรัสนะครับ เพียงแค่โดนไวรัสใช้เป็นเครื่องมือในการทำงานเท่านั้ นเอง อย่าไปลบมันทิ้งซะล่ะ ถ้าใครอยากรู้จักมันมากกว่านี้ว่าเอาไว้ทำอะไรได้บ้า งก็ลองดูที่นี่นะครับ
รู้ทัน ป้องกัน ไวรัส
สำหรับหน้านี้ผม ตั้งใจเขียนขึ้นมาเพื่อแนะนำอาการ วิธีการของไวรัส รวมทั้งวิธีแก้ไขปัญหาขั้นต้น เท่าที่ผมพอจะทราบ และได้พบเจอมาดังนั้นการนำเสนออาจจะวกวนหรือสับสนไปบ ้างก็ต้องขออภัยจริงๆครับคือเนื้อหาอาจจะไม่ได้มีการ เรียบเรียงที่ดีนัก พูดง่ายๆคือผมเจอหรือรู้อะไรที่คิดว่าน่าสนใจ ก็จะเอามาระบายใส่ไว้ในหน้านี้
ดัง นั้นเนื้อหาอาจจะดูกระโดดไปกระโดดมาบ้าง ไว้มีโอกาสผมจะจัดการเรียบเรียงใหม่อีกทีครับ ในขั้นต้นผมจะพยายามแยกเป็นหัวข้อไว้แล้วกันเผื่อใคร ไม่อยากอ่านทั้งหมดจะได้ข้ามๆไปได้ เพราะรู้สึกว่ามันจะยาวขึ้นเรื่อยๆ
สารบัญ
สายพันธุ์ไวรัส
- สายพันธุ์ Autorun
- สายพันธุ์ Folder(ปลอม)
- สายพันธุ์วุ่นวายกับ File ระบบ
เรื่องน่ารู้เกี่ยวกับไวรัส
ไวรัสทำงานอย่างไร
ขั้นตอนการตรวจสอบไวรัสเบื้องต้น
การกำจัดไวรัสขั้นพื้นฐาน
สายพันธุ์ Autorun
ช่วง นี้ไวรัสที่อาศัยช่องทาง Autorun ของ Windows ระบาดกันเหลือเกิน ออกกันมาไม่ซ้ำเลยจากช่วงแรกๆจะเป็นพวก Hacked By อะไรต่ออะไรเยอะแยะไปหมด แต่ดูแล้วช่วงหลังๆแม้กระทั่งไวรัสตัวอื่นๆที่ไม่ได้ แก้ Title ของ IE ก็อาศัยช่องทางนี้กับเค้าด้วยคงเพราะสามารถแพร่ได้รว ดเร็ว เพียงอาศัยการเกาะติดไปใน Thumb Drive โดยฝังไฟล์ที่ชื่อ Autorun.inf ไว้ใน Thumb Drive นั้นๆ เมื่อนำไปเสียบที่เครื่อง Windows ก็จะมาอ่านคำสั่งที่อยู่ในไฟล์นี้ว่า จะให้ ดำเนินการอะไรต่อไป ซึ่งหลักๆแล้วก็คือการเรียกตัว Virus(ตัวจริง) ให้ทำงานขึ้นมาเท่านั้นเอง และจะมีการ
สร้าง ตัวไวรัสพร้อมทั้งตัว Autorun.inf ไว้ในทุกๆ Drive ซึ่งจะทำให้ไม่สามารถที่จะ Double Click เข้าที่ Drive ตรงๆได้ ต้องใช้การ Click ขวาแล้วเลือก Open เอา เพราะการ Double Click นั้นเป็นการเรียกคำสั่ง AutoPlay ซึ่งก็คือการเรียกให้ตัวไวรัสทำงานขึ้นมานั่นเองครับ
ใน ตัว Kill_Autorun ตัวก่อนๆที่ผมสร้างนั้นผมจึงทำการปิด AutoRun ของทุก Drive เพื่อแก้ปัญหาในส่วนนี้ แต่เท่าที่ใช้ในที่ทำงาน มักมีผู้ใช้แจ้งมาว่าไม่สะดวก เนื่องจากบางครั้งใส่แผ่น CD ที่ต้องการใช้ Autorun แล้วมันไม่ขึ้นเมนูมาให้ต้องเข้าไปเรียกเอาเอง และอยากที่จะเสียบ Thumb Drive แล้วอยากที่จะให้มัน Popup ขึ้นมาเลยจะได้ไม่ต้องเข้าไปผ่านทาง My Computer อีก
ผม จึงได้ทำการแก้ไขในส่วนนี้ โดยตัวล่าสุดที่สร้าง ซึ่งเปลี่ยนชื่อเป็น Ultra_Clean ได้ทำการยกเลิกในการปิด AutoRun ไปแล้วครับ และเพื่อเป็นการพบกันครึ่งทาง คือยังคง AutoRun ไว้แต่ป้องกันการติดไวรัสด้วย จึงลองหาข้อมูลดู พอดีไปได้แนวคิดมาจาก Web ของต่างประเทศ ต้องขออภัยเจ้าของ Web ด้วยครับที่ผมจำชื่อไม่ได้จริงๆ
ผม จึงแก้ปัญหานี้ด้วยการสร้าง Folder ชื่อ Autorun.inf ไว้ในทุกๆ Drive รวมถึง Thumb Drive ด้วย ทำให้ไวรัสไม่สามารถที่จะสร้างไฟล์ Autorun.inf ขึ้นมาได้ เพราะโดยธรรมชาติของ Windows แล้วจะไม่ยอมให้มีชื่อซ้ำกัน โดยไม่ได้แยกแยะว่าเป็น Folder หรือ File ส่วนสาเหตุที่ใช้การสร้าง Folder แทนที่จะสร้าง File นั้นเพราะถ้าเราสร้าง ไฟล์ที่ชื่อ Autorun.inf นั้น ตัวไวรัสสามารถที่จะทำการสร้างไฟล์ Autorun.inf ของตัวมันเองทับไฟล์ของเราได้ครับ แต่ถ้าเราสร้างเป็น Folder จากที่ลองทดสอบดูมันไม่สามารถทับได้ครับ
แต่ไม่ ได้หมายความว่าเมื่อทำแบบนี้แล้วเครื่องเราจะไม่ต ิดไวรัสแล้วนะครับ มันเป็นเพียงการป้องกัน การเรียกไวรัสซ้ำขึ้นมา และเป็นการป้องกันอาการ Double Click เรียก Drive ไม่ได้เท่านั้นเอง และที่สำคัญสำหรับตัว Thumb Drive เองนั้นก็จะเป็นการป้องกันการเป็นพาหะนำไวรัสไปยังเค รื่องอื่นๆครับ คือเมื่อนำ Thumb Drive ที่ติดไวรัสไปเสียบเครื่องอื่นๆก็จะไม่มีการเรียกตัว ไวรัสใน Thumb Drive เพื่อขยายพันธุ์ลงไปในเครื่องนั้นๆครับ แต่ตัวไวรัสยังอยู่ใน Thumb Drive นะครับ เพื่อความปลอดภัยผมแนะนำว่าควรที่จะเปิด Show All File รวมทั้ง File System ด้วยแล้วสังเกตุดูว่ามีไฟล์แปลกๆอยุ่ใน Thumb Drive เราหรือไม่ โดยเฉพาะไฟล์ .VBS และ .Exe ถ้าเจอก็ลบทิ้งไปเลยครับ ไวรัสแน่นอนครับ
เพิ่มเติม:
ตอนนี้ผมได้ทำตัวป้องกันไวรัสตระกูลที่ใช้ Autorun.inf แล้วถ้าสนใจลองดู Ultra_Family นะครับ
หมายเหตุ:
สำหรับ Folder Autorun.inf ที่ผมพูดถึงด้านบนนั้น เพื่อเป็นการหลีกเลี่ยงความสับสนที่อาจ จะเกิดขึ้น กับไวรัสบางตัวที่ใช้ Icon เป็นรูป Folder เหมือนกัน ผมจึงได้ทำให้เป็นรูป Ultraman ไว้นะครับ ถ้าเปิดดูใน Drive แล้วเจอ Autorun.inf ที่เป็นรูป Ultraman ก็ไม่ต้องตกใจนะครับ ไม่ใช่ไวรัสครับ เป็น Folder ที่ผมกล่าวถึง ในด้านบน นั่นเอง ซึ่งภายในจะประกอบด้วยไฟล์ 2 ไฟล์ คือไฟล์ Ultra.ico ซึ่งก็คือรูปที่แสดงนั่นเอง กับอีกไฟล์ชื่อ Desktop.ini เป็นไฟล์ที่กำหนดให้ Folder แสดงรูปครับ ไม่ใช่ไวรัสแต่อย่างใดครับ ไม่ต้องลบทิ้งครับผม
สายพันธุ์ Folder(ปลอม)
พอ ดีวันนี้ได้เข้าไปอ่านกระทู้ใน Pantip.com ซึ่งมีคนถามถึงวิธีปิดการแสดงนามสกุลไฟล์ เลยเกิดนึกขึ้นมาได้ว่าน่า จะเป็นประเด็นนำมาปรับปรุงบทความซะหน่อย เพราะเป็นแนวทางหนึ่งในการป้องกันไวรัสเหมือนกัน
เพื่อ ไม่ให้เป็นการเสียเวลาผู้อ่านมากผมขอเข้าเรื่อง เลยละกันครับ เรื่องของเรื่องก็คือช่วงหลังๆนี่เห็นไวรัสหลายตัวที ่ใช้ Option ของ Windows ที่สามารถปิดการแสดงนามสกุลไฟล์ที่ตัว Windows เองรู้จักโดยการแสดงเพียงชื่อเท่านั้น ซึ่งแน่นอน ครับว่าหนึ่งในนั้นมีไฟล์ .Exe รวมอยู่ด้วยแน่นอนเพราะเป็นไฟล์พื้นฐานอยู่แล้ว เจ้าไวรัสใช้ Option นี้ล่ะครับ เป็นโอกาส ในการหลอกล่อเราให้ตกหลุมพราง วิธีการก็ไม่ยุ่งยากซับซ้อนอะไรมากมายเกินความเข้าใจ ครับ คือเจ้าคนเขียนไวรัสเนี่ยจะใช้วิธีการกำหนดให้ Icon ของตัวไวรัส(เฉพาะไวรัสที่เป็น .exe นะครับ) เป็นรูป Folder ครับ แต่ปัญหาของมันก็คือถึงแม้ Icon จะเป็นรูป Folder แต่ตัวมันจริงๆเป็นไฟล์ครับ ไม่ใช่ Folder จึงมีนามสกุล .exe ห้อยท้ายมาด้วย แอบไม่มิดครับ นอกจากผู้ใช้งานมองแบบไม่ละเอียด คือมองผ่านๆแค่ Icon
คำ ถามคือแล้วจะทำไงให้มันแอบมิดชิดล่ะครับ คำตอบก็คือใช้ Option ที่ผมกล่าวถึงในขั้นต้นนั่นล่ะครับ ปิดการแสดงนามสกุลมันซะเลย ซึ่งอย่างที่บอกว่า .exe นั้น ตัว Windows รู้จักอยู่แล้วก็ไม่ต้องแสดงนามสกุล .exe ต่อท้ายชื่อไฟล์ เท่านี้เองก็แยกแยะไม่ออกแล้วล่ะว่าอันไหนเป็นไฟล์(ไ วรัส) อันไหนเป็น Folder เพราะ Icon เหมือนกันนี่ครับ ลองดูรูปประกอบนะครับ
เมื่อ ปิดการแสดงนามสกุลแล้วทำไงต่อล่ะครับให้ผู้ใช้ห ลวมตัวไป Double Click เรียกมันขึ้นมาได้ เท่าที่เจอมี 2 วิธีครับ คือตั้งชื่อไวรัส(ซึ่ง Icon เป็นรูป Folder) ให้น่าสนใจ เช่น Sex.exe Games.exe ฯลฯ ซึ่งเมื่อผู้ใช้เห็นก็จะเผลอตัว เปิดเข้าไป ดูเพราะคิดว่าเป็นแค่ Folder ซึ่งผู้ใช้หลายคนค่อนข้างมั่นใจว่าเปิดได้โดยไม่มีผล เสียอะไร เพราะไม่ใช่ไฟล์ ยังไงซะก็ไม่มี อันตรายแน่นอน ถ้ามีไฟล์แปลกๆด้านในค่อยว่ากันอีกที ซึ่งหารู้ไม่ว่าที่คุณ Double Click เข้าไปนั้นนั่นล่ะครับ ไฟล์ .exe เต็มๆตัวเลย
กับ อีกพวกหนึ่ง พวกนี้เจ้าคนเขียนไวรัสนี่คิดแบบลึกซึ้งหน่อย(ช่างคิ ดจริงๆพ่อคุณ) ว่าถ้าเกิดผู้ใช้งานบางคนซึ่งรอบคอบล่ะ ไม่เปิดแน่ แม้จะเป็นแค่ Folder แต่ถ้าเป็น Folder ที่ชื่อไม่คุ้น คือมั่นใจว่าตนเองไม่ได้สร้างหรือ Copy มาเองแน่นอน แผนแรกก็ใช้ไม่ได้ครับ แล้วทำไงล่ะ เจ้าพวกนี้ก็ใช้วิธีอ่านชื่อ Folder ใน Drive ที่มันติดเข้าไปนั่นครับ แล้วเอาชื่อพวกนี้ล่ะ มาตั้งชื่อให้ไวรัสตัวเอง ซึ่งแน่นอนครับมี .exe ต่อท้าย หลังจากนั้นก็ใช้วิธีเดิมล่ะครับปิดการแสดงนามสกุลไฟ ล์ซะ แต่ก็ยังไม่ เนียนมากพอ เพราะจะกลายเป็นมองเหมือนมี Folder ชื่อเดียวกันอยู่ 2 Folder เจ้าไวรัสก็ใช้มุขยอดนิยมล่ะครับคือทำการ Set Attribute ของ Folder ตัวจริงให้เป็น Hidden ซะแล้วปิดการ Show Hidden File ซะ เท่านี้เราก็มองไม่เห็น Folder จริงๆของเราแล้ว มองเห็นแต่เจ้าตัวไวรัส ซึ่งไม่แสดงนามสกุล และเป็นชื่อเดียวกับ Folder เรา แน่นอนครับมองผ่านๆ เราก็คิดว่านั่นเป็น Folder ของเรา เมื่อเราไป Double Click เรียกก็ตกหลุมพรางเจ้าไวรัสไปเรียบร้อยครับ
เอา ล่ะครับเมื่อทราบที่มาที่ไปของเจ้าไวรัสรูปแบบนี้ กันแล้วมาดูวิธีป้องกัน กันดีกว่า วิธีการก็ไม่ยากอะไรครับ ผมแนะนำว่าให้ไปปิดเจ้าตัว Option ในการซ่อนนามสกุลไฟล์ซะ ต้องขออภัยจริงๆครับที่ผมจำไม่ได้ว่าโดย Default ของ Windows แล้วเจ้าตัวนี้เปิดหรือปิดอยู่ เอาเป็นว่าถ้ามันเปิดใช้อยู่ก็ไปปิดมันซะ จะได้แยกแยะได้ว่าอันไหน Folder อันไหน File ถ้าเกิดมีโอกาสไปเจอเจ้าไวรัสพวกนี้เข้า เท่านี้เราก็ปลอดภัยจากการตกหลุมพราง เจ้าไวรัสไปอีกขั้น ล่ะครับ ถ้าเป็นไปได้ผมอยากแนะนำให้เปิด Show Hidden Files ซะด้วยเลย จะได้ตรวจสอบได้ง่ายๆเมื่อมีไฟล์ แปลก ปลอมโผล่เข้ามา แต่บางคนอาจจะรุ้สึกรำคาญที่เห็นไฟล์ Hidden ซึ่งเป็นสีจางๆ ยังไงเปิดแค่แสดงนามสกุลไฟล์ก็ยังดีครับ
สายพันธุ์วุ่นวายกับ File ระบบ
วัน เสาร์ที่แล้วได้มีโอกาสคุย MSN กับเพื่อนๆที่ติดไวรัสมา ผมเห็นว่าตัวนี้อาการน่าสนใจดีแปลกกว่าตัวอื่นๆ เลยเอามาเล่าสู่กันฟังครับ สำหรับไวรัสช่วงหลังๆที่เราเจอกัน มักจะใช้การป้องกันตัวเองด้วยการห้ามเราใช้พวก Tool ของ Windows ในการไปกำจัดมันไม่ว่าจะเป็น Task Manager,Msconfig,CMD,Regedit ซึ่งโดยส่วนมากที่เจอคือมันจะ Lock ไว้ไม่ให้เราใช้งานเครื่องมือพวกนี้ ไม่ได้ไปวุ่นวายกับตัวไฟล์โดยตรง แต่เจ้าตัว ที่ผมเจอ เมื่อวันเสาร์มันมาแปลกครับคือไม่ Lock สิทธิ์ เราสามารถเรียกคำสั่งจาก Start =>Run ได้เลยโดยไม่มี Error แจ้งอะไรทั้งสิ้น แต่เมื่อเรียกแล้วแทนที่มันจะขึ้นเป็นโปรแกรมที่เราเ รียกมันกลับขึ้นเป็น Folder ว่างๆขึ้นมาแทนครับ
มา ดูกันว่าเจ้า Folder ที่ว่ามาได้ยังไง เจ้าไวรัสพวกนี้มันก็ใช้วิธีเดียวกับที่ผมสร้าง Folder ชื่อ Autorun.inf ไว้ในทุก Drive น่ะครับ คือมันจะไปลบไฟล์ตัวจริงออกทั้ง Taskmgr.exe,Msconfig.exe,CMD.exe และ Regedit .exe แล้วสร้าง Folder ที่ชื่อเดียวกันนี้ขึ้นมาแทน เมื่อเราเรียกโปรแกรมเช่น Regedit แทนที่ Windows มันจะเปิดโปรแกรม Regedit ขึ้นมาให้ มันกลับเปิด Folder ขึ้นมาแทนครับ เพราะ Regedit.exe เป็นชื่อของ Folder นี่ครับไฟล์ตัวจริงน่ะโดนลบไปแล้ว ดังนั้นไม่ว่าเราจะเรียกโปรแกรมอะไรตามที่บอกไว้ข้าง ต้น Windows ก็จะทำการเปิด Folder ว่างๆขึ้นมาให้ครับเพราะชื่อตรงกับที่เราเรียกนี่ Windows มันแยกแยะไม่ออกหรอกครับว่าเราเรียกไฟล์หรือ Folder เห็นชื่อเหมือนกันก็เปิดให้เลย
ลอง ดูตามรูปตัวอย่างนะครับจะเห็นว่า Regedit.exe เป็นรูป Folder และถ้าเราดูในส่วนของ Type จะเห็นว่า เป็นประเภท Folder ไม่ใช่ไฟล์ครับ จะต่างกับตัวไวรัส Folder(ปลอม) ซึ่งเจ้าตัวนั้นตรง Type จะเป็น Application เพราะมันเป็นตัวโปแกรมแต่ใช้ Icon เป็นรูป Folder แต่สำหรับตัวนี้เป็น Folder แท้ๆครับแต่ใส่นามสกุล .Exe ต่อท้าย ชื่อเท่านั้นเอง ไม่งงนะครับ
และ ถ้าถามว่าทำไมเจ้าไวรัสมันไม่ลบทิ้งอย่างเดียวเลย ล่ะ จะสร้าง Folder ชื่อเหมือนกันขึ้นมาทำไม อันนี้ผมเดาเอา นะครับ คือใน Windows ตั้งแต่ ME เป็นต้นมาจะมีระบบป้องกันไฟล์สำคัญๆของระบบ ซึ่งเท่าที่ลองศึกษาข้อมูลเบื้องต้นใน Windows ME จะเรียกว่าระบบนี้ว่า SFP(System File Protection) แต่ใน Windows 2000 เป็นต้นไปจะเรียกว่า WFP(Windows File Protection) ซึ่งโดยชื่อน่าจะสื่อความหมายว่าดูแลไฟล์มากขึ้นกว่า Windows ME การทำงานโดยย่อๆของมันก็คือจะมีการสร้าง Process ไว้จับตาดูการเปลี่ยนแปลงของไฟล์สำคัญๆที่ Windows ได้ทำการกำหนดเอาไว้ เมื่อมีการเปลี่ยนแปลงไม่ว่าจะเป็นการโดนลบ โดนทับหรือโดนแก้ไขเจ้าไฟล์พวกนี้ ตัว Windows จะทำการนำเอาไฟล์ต้นฉบับกลับมาทับไฟล์ที่เสียหายหรือ โดนลบไปทันทีครับ
โดย Windows เก็บไฟล์ต้นฉบับพวกนี้ไว้ใน Folder ที่ชื่อว่า C:\WINDOWS\system32\dllcache ครับ และจาก ที่ผมทดลองดูกับ Regedit.exe ซึ่งอยู่ใน Folder Windows ด้วยการลบทิ้งแม้กระทั่งการเอาไฟล์อื่นๆมาแก้ชื่อเป็ น Regedit.exe แล้วเอาทับลงไป Windows จะทำการนำเอาไฟล์ต้นฉบับกลับมาทันทีภายในไม่เกิน 3 วินาทีครับ ทำงาน แข็งขันดีจริงๆ
แต่ เท่าที่ลองดู ถ้าเราลบหรือแก้ใน C:\WINDOWS\system32\dllcache โดยตรงมันจะไม่รู้ครับ ไม่มีการเตือนหรือ ทำการแก้คืนใดๆทั้งสิ้น เพราะตัวมันเองเป็นต้นฉบับอยู่แล้วนี่จะไปเอาจากไหนก ลับมาล่ะ จนกว่าเราจะไปแก้หรือลบใน Windows หรือ Windows\System32 นั่นล่ะครับมันถึงเริ่มรู้ตัว และแจ้งว่าไฟล์ระบบมีปัญหาให้เราเอาแผ่น Windows ใส่ให้หน่อย เพราะใน dllcache ไม่มีต้นฉบับแล้ว ซึ่งถ้าเรา Cancel ไปมันก็จะเงียบไม่เตือนอีกเลยครับ เพราะโดย default ตัว Windows ไม่ได้ตั้งไว้ให้ตรวจสอบตอน Boot เพราะอาจจะกลัวช้าครับ
เข้า ใจว่าเจ้าไวรัสก็คงใช้ช่องทางนี้ล่ะครับ เพราะ Folder ที่ชื่อเหมือนไฟล์ระบบที่ผมกล่าวถึงข้างต้นนั้นมีอยู ่ทั้งใน Windows หรือ System32 และรวมไปถึงใน dllcache ด้วย
มา เข้าเรื่องขั้นตอนการแก้ปัญหากันดีกว่าครับจะได้ไม ่งง เพราะผมอาจจะอธิบายงงๆ ด้วยเหตุผลว่ายังรู้ไม่ลึกซึ้งมากนัก ไว้ศึกษาข้อมูลได้ลึกซึ้งกว่านี้จะมาเล่าเรื่องนี้โด ยละเอียดอีกทีหนึ่งแล้วกันครับ
วิธี แก้ปัญหากรณีนี้ก็ตรงไปตรงมาล่ะครับ ไฟล์ไหนโดนทับหรือลบไปก็เอากลับไปใส่คืนมันซะ แต่ก่อนอื่นต้องลบเจ้า Folder ที่ชื่อเดียวกับไฟล์นั้นๆทิ้งก่อนนะครับ ไม่งั้น Windows ก็ไม่ยอมให้ทับ เพราะชื่อเหมือนกัน หรือจะลองโหลดน้องนุชคนสุดท้องเจ้า Run แล้วพิมพ์ SFC /ScanNow นะครับ Windows จะทำการตรวจสอบไฟล์ระบบซึ่งโดนแก้ไขหรือขาดหายไป แล้วจะให้เราใส่แผ่นติดตั้ง Windows เพื่อทำการ Copy ไฟล์ดังกล่าวกลับคืนมาให้ครับ แต่วิธีนี้อาจจะใช้เวลานานหน่อย เพราะมันจะตรวจสอบทีละไฟล์ซึ่งมีอยุ่ประมาณ 3415 ไฟล์ครับ
ดัง นั้นเนื้อหาอาจจะดูกระโดดไปกระโดดมาบ้าง ไว้มีโอกาสผมจะจัดการเรียบเรียงใหม่อีกทีครับ ในขั้นต้นผมจะพยายามแยกเป็นหัวข้อไว้แล้วกันเผื่อใคร ไม่อยากอ่านทั้งหมดจะได้ข้ามๆไปได้ เพราะรู้สึกว่ามันจะยาวขึ้นเรื่อยๆ
สารบัญ
สายพันธุ์ไวรัส
- สายพันธุ์ Autorun
- สายพันธุ์ Folder(ปลอม)
- สายพันธุ์วุ่นวายกับ File ระบบ
เรื่องน่ารู้เกี่ยวกับไวรัส
ไวรัสทำงานอย่างไร
ขั้นตอนการตรวจสอบไวรัสเบื้องต้น
การกำจัดไวรัสขั้นพื้นฐาน
สายพันธุ์ Autorun
ช่วง นี้ไวรัสที่อาศัยช่องทาง Autorun ของ Windows ระบาดกันเหลือเกิน ออกกันมาไม่ซ้ำเลยจากช่วงแรกๆจะเป็นพวก Hacked By อะไรต่ออะไรเยอะแยะไปหมด แต่ดูแล้วช่วงหลังๆแม้กระทั่งไวรัสตัวอื่นๆที่ไม่ได้ แก้ Title ของ IE ก็อาศัยช่องทางนี้กับเค้าด้วยคงเพราะสามารถแพร่ได้รว ดเร็ว เพียงอาศัยการเกาะติดไปใน Thumb Drive โดยฝังไฟล์ที่ชื่อ Autorun.inf ไว้ใน Thumb Drive นั้นๆ เมื่อนำไปเสียบที่เครื่อง Windows ก็จะมาอ่านคำสั่งที่อยู่ในไฟล์นี้ว่า จะให้ ดำเนินการอะไรต่อไป ซึ่งหลักๆแล้วก็คือการเรียกตัว Virus(ตัวจริง) ให้ทำงานขึ้นมาเท่านั้นเอง และจะมีการ
สร้าง ตัวไวรัสพร้อมทั้งตัว Autorun.inf ไว้ในทุกๆ Drive ซึ่งจะทำให้ไม่สามารถที่จะ Double Click เข้าที่ Drive ตรงๆได้ ต้องใช้การ Click ขวาแล้วเลือก Open เอา เพราะการ Double Click นั้นเป็นการเรียกคำสั่ง AutoPlay ซึ่งก็คือการเรียกให้ตัวไวรัสทำงานขึ้นมานั่นเองครับ
ใน ตัว Kill_Autorun ตัวก่อนๆที่ผมสร้างนั้นผมจึงทำการปิด AutoRun ของทุก Drive เพื่อแก้ปัญหาในส่วนนี้ แต่เท่าที่ใช้ในที่ทำงาน มักมีผู้ใช้แจ้งมาว่าไม่สะดวก เนื่องจากบางครั้งใส่แผ่น CD ที่ต้องการใช้ Autorun แล้วมันไม่ขึ้นเมนูมาให้ต้องเข้าไปเรียกเอาเอง และอยากที่จะเสียบ Thumb Drive แล้วอยากที่จะให้มัน Popup ขึ้นมาเลยจะได้ไม่ต้องเข้าไปผ่านทาง My Computer อีก
ผม จึงได้ทำการแก้ไขในส่วนนี้ โดยตัวล่าสุดที่สร้าง ซึ่งเปลี่ยนชื่อเป็น Ultra_Clean ได้ทำการยกเลิกในการปิด AutoRun ไปแล้วครับ และเพื่อเป็นการพบกันครึ่งทาง คือยังคง AutoRun ไว้แต่ป้องกันการติดไวรัสด้วย จึงลองหาข้อมูลดู พอดีไปได้แนวคิดมาจาก Web ของต่างประเทศ ต้องขออภัยเจ้าของ Web ด้วยครับที่ผมจำชื่อไม่ได้จริงๆ
ผม จึงแก้ปัญหานี้ด้วยการสร้าง Folder ชื่อ Autorun.inf ไว้ในทุกๆ Drive รวมถึง Thumb Drive ด้วย ทำให้ไวรัสไม่สามารถที่จะสร้างไฟล์ Autorun.inf ขึ้นมาได้ เพราะโดยธรรมชาติของ Windows แล้วจะไม่ยอมให้มีชื่อซ้ำกัน โดยไม่ได้แยกแยะว่าเป็น Folder หรือ File ส่วนสาเหตุที่ใช้การสร้าง Folder แทนที่จะสร้าง File นั้นเพราะถ้าเราสร้าง ไฟล์ที่ชื่อ Autorun.inf นั้น ตัวไวรัสสามารถที่จะทำการสร้างไฟล์ Autorun.inf ของตัวมันเองทับไฟล์ของเราได้ครับ แต่ถ้าเราสร้างเป็น Folder จากที่ลองทดสอบดูมันไม่สามารถทับได้ครับ
แต่ไม่ ได้หมายความว่าเมื่อทำแบบนี้แล้วเครื่องเราจะไม่ต ิดไวรัสแล้วนะครับ มันเป็นเพียงการป้องกัน การเรียกไวรัสซ้ำขึ้นมา และเป็นการป้องกันอาการ Double Click เรียก Drive ไม่ได้เท่านั้นเอง และที่สำคัญสำหรับตัว Thumb Drive เองนั้นก็จะเป็นการป้องกันการเป็นพาหะนำไวรัสไปยังเค รื่องอื่นๆครับ คือเมื่อนำ Thumb Drive ที่ติดไวรัสไปเสียบเครื่องอื่นๆก็จะไม่มีการเรียกตัว ไวรัสใน Thumb Drive เพื่อขยายพันธุ์ลงไปในเครื่องนั้นๆครับ แต่ตัวไวรัสยังอยู่ใน Thumb Drive นะครับ เพื่อความปลอดภัยผมแนะนำว่าควรที่จะเปิด Show All File รวมทั้ง File System ด้วยแล้วสังเกตุดูว่ามีไฟล์แปลกๆอยุ่ใน Thumb Drive เราหรือไม่ โดยเฉพาะไฟล์ .VBS และ .Exe ถ้าเจอก็ลบทิ้งไปเลยครับ ไวรัสแน่นอนครับ
เพิ่มเติม:
ตอนนี้ผมได้ทำตัวป้องกันไวรัสตระกูลที่ใช้ Autorun.inf แล้วถ้าสนใจลองดู Ultra_Family นะครับ
หมายเหตุ:
สำหรับ Folder Autorun.inf ที่ผมพูดถึงด้านบนนั้น เพื่อเป็นการหลีกเลี่ยงความสับสนที่อาจ จะเกิดขึ้น กับไวรัสบางตัวที่ใช้ Icon เป็นรูป Folder เหมือนกัน ผมจึงได้ทำให้เป็นรูป Ultraman ไว้นะครับ ถ้าเปิดดูใน Drive แล้วเจอ Autorun.inf ที่เป็นรูป Ultraman ก็ไม่ต้องตกใจนะครับ ไม่ใช่ไวรัสครับ เป็น Folder ที่ผมกล่าวถึง ในด้านบน นั่นเอง ซึ่งภายในจะประกอบด้วยไฟล์ 2 ไฟล์ คือไฟล์ Ultra.ico ซึ่งก็คือรูปที่แสดงนั่นเอง กับอีกไฟล์ชื่อ Desktop.ini เป็นไฟล์ที่กำหนดให้ Folder แสดงรูปครับ ไม่ใช่ไวรัสแต่อย่างใดครับ ไม่ต้องลบทิ้งครับผม
สายพันธุ์ Folder(ปลอม)
พอ ดีวันนี้ได้เข้าไปอ่านกระทู้ใน Pantip.com ซึ่งมีคนถามถึงวิธีปิดการแสดงนามสกุลไฟล์ เลยเกิดนึกขึ้นมาได้ว่าน่า จะเป็นประเด็นนำมาปรับปรุงบทความซะหน่อย เพราะเป็นแนวทางหนึ่งในการป้องกันไวรัสเหมือนกัน
เพื่อ ไม่ให้เป็นการเสียเวลาผู้อ่านมากผมขอเข้าเรื่อง เลยละกันครับ เรื่องของเรื่องก็คือช่วงหลังๆนี่เห็นไวรัสหลายตัวที ่ใช้ Option ของ Windows ที่สามารถปิดการแสดงนามสกุลไฟล์ที่ตัว Windows เองรู้จักโดยการแสดงเพียงชื่อเท่านั้น ซึ่งแน่นอน ครับว่าหนึ่งในนั้นมีไฟล์ .Exe รวมอยู่ด้วยแน่นอนเพราะเป็นไฟล์พื้นฐานอยู่แล้ว เจ้าไวรัสใช้ Option นี้ล่ะครับ เป็นโอกาส ในการหลอกล่อเราให้ตกหลุมพราง วิธีการก็ไม่ยุ่งยากซับซ้อนอะไรมากมายเกินความเข้าใจ ครับ คือเจ้าคนเขียนไวรัสเนี่ยจะใช้วิธีการกำหนดให้ Icon ของตัวไวรัส(เฉพาะไวรัสที่เป็น .exe นะครับ) เป็นรูป Folder ครับ แต่ปัญหาของมันก็คือถึงแม้ Icon จะเป็นรูป Folder แต่ตัวมันจริงๆเป็นไฟล์ครับ ไม่ใช่ Folder จึงมีนามสกุล .exe ห้อยท้ายมาด้วย แอบไม่มิดครับ นอกจากผู้ใช้งานมองแบบไม่ละเอียด คือมองผ่านๆแค่ Icon
คำ ถามคือแล้วจะทำไงให้มันแอบมิดชิดล่ะครับ คำตอบก็คือใช้ Option ที่ผมกล่าวถึงในขั้นต้นนั่นล่ะครับ ปิดการแสดงนามสกุลมันซะเลย ซึ่งอย่างที่บอกว่า .exe นั้น ตัว Windows รู้จักอยู่แล้วก็ไม่ต้องแสดงนามสกุล .exe ต่อท้ายชื่อไฟล์ เท่านี้เองก็แยกแยะไม่ออกแล้วล่ะว่าอันไหนเป็นไฟล์(ไ วรัส) อันไหนเป็น Folder เพราะ Icon เหมือนกันนี่ครับ ลองดูรูปประกอบนะครับ
เมื่อ ปิดการแสดงนามสกุลแล้วทำไงต่อล่ะครับให้ผู้ใช้ห ลวมตัวไป Double Click เรียกมันขึ้นมาได้ เท่าที่เจอมี 2 วิธีครับ คือตั้งชื่อไวรัส(ซึ่ง Icon เป็นรูป Folder) ให้น่าสนใจ เช่น Sex.exe Games.exe ฯลฯ ซึ่งเมื่อผู้ใช้เห็นก็จะเผลอตัว เปิดเข้าไป ดูเพราะคิดว่าเป็นแค่ Folder ซึ่งผู้ใช้หลายคนค่อนข้างมั่นใจว่าเปิดได้โดยไม่มีผล เสียอะไร เพราะไม่ใช่ไฟล์ ยังไงซะก็ไม่มี อันตรายแน่นอน ถ้ามีไฟล์แปลกๆด้านในค่อยว่ากันอีกที ซึ่งหารู้ไม่ว่าที่คุณ Double Click เข้าไปนั้นนั่นล่ะครับ ไฟล์ .exe เต็มๆตัวเลย
กับ อีกพวกหนึ่ง พวกนี้เจ้าคนเขียนไวรัสนี่คิดแบบลึกซึ้งหน่อย(ช่างคิ ดจริงๆพ่อคุณ) ว่าถ้าเกิดผู้ใช้งานบางคนซึ่งรอบคอบล่ะ ไม่เปิดแน่ แม้จะเป็นแค่ Folder แต่ถ้าเป็น Folder ที่ชื่อไม่คุ้น คือมั่นใจว่าตนเองไม่ได้สร้างหรือ Copy มาเองแน่นอน แผนแรกก็ใช้ไม่ได้ครับ แล้วทำไงล่ะ เจ้าพวกนี้ก็ใช้วิธีอ่านชื่อ Folder ใน Drive ที่มันติดเข้าไปนั่นครับ แล้วเอาชื่อพวกนี้ล่ะ มาตั้งชื่อให้ไวรัสตัวเอง ซึ่งแน่นอนครับมี .exe ต่อท้าย หลังจากนั้นก็ใช้วิธีเดิมล่ะครับปิดการแสดงนามสกุลไฟ ล์ซะ แต่ก็ยังไม่ เนียนมากพอ เพราะจะกลายเป็นมองเหมือนมี Folder ชื่อเดียวกันอยู่ 2 Folder เจ้าไวรัสก็ใช้มุขยอดนิยมล่ะครับคือทำการ Set Attribute ของ Folder ตัวจริงให้เป็น Hidden ซะแล้วปิดการ Show Hidden File ซะ เท่านี้เราก็มองไม่เห็น Folder จริงๆของเราแล้ว มองเห็นแต่เจ้าตัวไวรัส ซึ่งไม่แสดงนามสกุล และเป็นชื่อเดียวกับ Folder เรา แน่นอนครับมองผ่านๆ เราก็คิดว่านั่นเป็น Folder ของเรา เมื่อเราไป Double Click เรียกก็ตกหลุมพรางเจ้าไวรัสไปเรียบร้อยครับ
เอา ล่ะครับเมื่อทราบที่มาที่ไปของเจ้าไวรัสรูปแบบนี้ กันแล้วมาดูวิธีป้องกัน กันดีกว่า วิธีการก็ไม่ยากอะไรครับ ผมแนะนำว่าให้ไปปิดเจ้าตัว Option ในการซ่อนนามสกุลไฟล์ซะ ต้องขออภัยจริงๆครับที่ผมจำไม่ได้ว่าโดย Default ของ Windows แล้วเจ้าตัวนี้เปิดหรือปิดอยู่ เอาเป็นว่าถ้ามันเปิดใช้อยู่ก็ไปปิดมันซะ จะได้แยกแยะได้ว่าอันไหน Folder อันไหน File ถ้าเกิดมีโอกาสไปเจอเจ้าไวรัสพวกนี้เข้า เท่านี้เราก็ปลอดภัยจากการตกหลุมพราง เจ้าไวรัสไปอีกขั้น ล่ะครับ ถ้าเป็นไปได้ผมอยากแนะนำให้เปิด Show Hidden Files ซะด้วยเลย จะได้ตรวจสอบได้ง่ายๆเมื่อมีไฟล์ แปลก ปลอมโผล่เข้ามา แต่บางคนอาจจะรุ้สึกรำคาญที่เห็นไฟล์ Hidden ซึ่งเป็นสีจางๆ ยังไงเปิดแค่แสดงนามสกุลไฟล์ก็ยังดีครับ
สายพันธุ์วุ่นวายกับ File ระบบ
วัน เสาร์ที่แล้วได้มีโอกาสคุย MSN กับเพื่อนๆที่ติดไวรัสมา ผมเห็นว่าตัวนี้อาการน่าสนใจดีแปลกกว่าตัวอื่นๆ เลยเอามาเล่าสู่กันฟังครับ สำหรับไวรัสช่วงหลังๆที่เราเจอกัน มักจะใช้การป้องกันตัวเองด้วยการห้ามเราใช้พวก Tool ของ Windows ในการไปกำจัดมันไม่ว่าจะเป็น Task Manager,Msconfig,CMD,Regedit ซึ่งโดยส่วนมากที่เจอคือมันจะ Lock ไว้ไม่ให้เราใช้งานเครื่องมือพวกนี้ ไม่ได้ไปวุ่นวายกับตัวไฟล์โดยตรง แต่เจ้าตัว ที่ผมเจอ เมื่อวันเสาร์มันมาแปลกครับคือไม่ Lock สิทธิ์ เราสามารถเรียกคำสั่งจาก Start =>Run ได้เลยโดยไม่มี Error แจ้งอะไรทั้งสิ้น แต่เมื่อเรียกแล้วแทนที่มันจะขึ้นเป็นโปรแกรมที่เราเ รียกมันกลับขึ้นเป็น Folder ว่างๆขึ้นมาแทนครับ
มา ดูกันว่าเจ้า Folder ที่ว่ามาได้ยังไง เจ้าไวรัสพวกนี้มันก็ใช้วิธีเดียวกับที่ผมสร้าง Folder ชื่อ Autorun.inf ไว้ในทุก Drive น่ะครับ คือมันจะไปลบไฟล์ตัวจริงออกทั้ง Taskmgr.exe,Msconfig.exe,CMD.exe และ Regedit .exe แล้วสร้าง Folder ที่ชื่อเดียวกันนี้ขึ้นมาแทน เมื่อเราเรียกโปรแกรมเช่น Regedit แทนที่ Windows มันจะเปิดโปรแกรม Regedit ขึ้นมาให้ มันกลับเปิด Folder ขึ้นมาแทนครับ เพราะ Regedit.exe เป็นชื่อของ Folder นี่ครับไฟล์ตัวจริงน่ะโดนลบไปแล้ว ดังนั้นไม่ว่าเราจะเรียกโปรแกรมอะไรตามที่บอกไว้ข้าง ต้น Windows ก็จะทำการเปิด Folder ว่างๆขึ้นมาให้ครับเพราะชื่อตรงกับที่เราเรียกนี่ Windows มันแยกแยะไม่ออกหรอกครับว่าเราเรียกไฟล์หรือ Folder เห็นชื่อเหมือนกันก็เปิดให้เลย
ลอง ดูตามรูปตัวอย่างนะครับจะเห็นว่า Regedit.exe เป็นรูป Folder และถ้าเราดูในส่วนของ Type จะเห็นว่า เป็นประเภท Folder ไม่ใช่ไฟล์ครับ จะต่างกับตัวไวรัส Folder(ปลอม) ซึ่งเจ้าตัวนั้นตรง Type จะเป็น Application เพราะมันเป็นตัวโปแกรมแต่ใช้ Icon เป็นรูป Folder แต่สำหรับตัวนี้เป็น Folder แท้ๆครับแต่ใส่นามสกุล .Exe ต่อท้าย ชื่อเท่านั้นเอง ไม่งงนะครับ
และ ถ้าถามว่าทำไมเจ้าไวรัสมันไม่ลบทิ้งอย่างเดียวเลย ล่ะ จะสร้าง Folder ชื่อเหมือนกันขึ้นมาทำไม อันนี้ผมเดาเอา นะครับ คือใน Windows ตั้งแต่ ME เป็นต้นมาจะมีระบบป้องกันไฟล์สำคัญๆของระบบ ซึ่งเท่าที่ลองศึกษาข้อมูลเบื้องต้นใน Windows ME จะเรียกว่าระบบนี้ว่า SFP(System File Protection) แต่ใน Windows 2000 เป็นต้นไปจะเรียกว่า WFP(Windows File Protection) ซึ่งโดยชื่อน่าจะสื่อความหมายว่าดูแลไฟล์มากขึ้นกว่า Windows ME การทำงานโดยย่อๆของมันก็คือจะมีการสร้าง Process ไว้จับตาดูการเปลี่ยนแปลงของไฟล์สำคัญๆที่ Windows ได้ทำการกำหนดเอาไว้ เมื่อมีการเปลี่ยนแปลงไม่ว่าจะเป็นการโดนลบ โดนทับหรือโดนแก้ไขเจ้าไฟล์พวกนี้ ตัว Windows จะทำการนำเอาไฟล์ต้นฉบับกลับมาทับไฟล์ที่เสียหายหรือ โดนลบไปทันทีครับ
โดย Windows เก็บไฟล์ต้นฉบับพวกนี้ไว้ใน Folder ที่ชื่อว่า C:\WINDOWS\system32\dllcache ครับ และจาก ที่ผมทดลองดูกับ Regedit.exe ซึ่งอยู่ใน Folder Windows ด้วยการลบทิ้งแม้กระทั่งการเอาไฟล์อื่นๆมาแก้ชื่อเป็ น Regedit.exe แล้วเอาทับลงไป Windows จะทำการนำเอาไฟล์ต้นฉบับกลับมาทันทีภายในไม่เกิน 3 วินาทีครับ ทำงาน แข็งขันดีจริงๆ
แต่ เท่าที่ลองดู ถ้าเราลบหรือแก้ใน C:\WINDOWS\system32\dllcache โดยตรงมันจะไม่รู้ครับ ไม่มีการเตือนหรือ ทำการแก้คืนใดๆทั้งสิ้น เพราะตัวมันเองเป็นต้นฉบับอยู่แล้วนี่จะไปเอาจากไหนก ลับมาล่ะ จนกว่าเราจะไปแก้หรือลบใน Windows หรือ Windows\System32 นั่นล่ะครับมันถึงเริ่มรู้ตัว และแจ้งว่าไฟล์ระบบมีปัญหาให้เราเอาแผ่น Windows ใส่ให้หน่อย เพราะใน dllcache ไม่มีต้นฉบับแล้ว ซึ่งถ้าเรา Cancel ไปมันก็จะเงียบไม่เตือนอีกเลยครับ เพราะโดย default ตัว Windows ไม่ได้ตั้งไว้ให้ตรวจสอบตอน Boot เพราะอาจจะกลัวช้าครับ
เข้า ใจว่าเจ้าไวรัสก็คงใช้ช่องทางนี้ล่ะครับ เพราะ Folder ที่ชื่อเหมือนไฟล์ระบบที่ผมกล่าวถึงข้างต้นนั้นมีอยู ่ทั้งใน Windows หรือ System32 และรวมไปถึงใน dllcache ด้วย
มา เข้าเรื่องขั้นตอนการแก้ปัญหากันดีกว่าครับจะได้ไม ่งง เพราะผมอาจจะอธิบายงงๆ ด้วยเหตุผลว่ายังรู้ไม่ลึกซึ้งมากนัก ไว้ศึกษาข้อมูลได้ลึกซึ้งกว่านี้จะมาเล่าเรื่องนี้โด ยละเอียดอีกทีหนึ่งแล้วกันครับ
วิธี แก้ปัญหากรณีนี้ก็ตรงไปตรงมาล่ะครับ ไฟล์ไหนโดนทับหรือลบไปก็เอากลับไปใส่คืนมันซะ แต่ก่อนอื่นต้องลบเจ้า Folder ที่ชื่อเดียวกับไฟล์นั้นๆทิ้งก่อนนะครับ ไม่งั้น Windows ก็ไม่ยอมให้ทับ เพราะชื่อเหมือนกัน หรือจะลองโหลดน้องนุชคนสุดท้องเจ้า Run แล้วพิมพ์ SFC /ScanNow นะครับ Windows จะทำการตรวจสอบไฟล์ระบบซึ่งโดนแก้ไขหรือขาดหายไป แล้วจะให้เราใส่แผ่นติดตั้ง Windows เพื่อทำการ Copy ไฟล์ดังกล่าวกลับคืนมาให้ครับ แต่วิธีนี้อาจจะใช้เวลานานหน่อย เพราะมันจะตรวจสอบทีละไฟล์ซึ่งมีอยุ่ประมาณ 3415 ไฟล์ครับ
เทคโนโลยีเกมส์ใหม่"สวมหัว-เอาตัวเล่น"
สำหรับชุดอุปกรณ์ที่ใช้ในเทคโนโลยีอินเตอร์เฟซแบบใหม่นี้ ผู้เล่นจะต้องสวมหน้าจอแสดงผลแบบ VR พร้อมกับในมือจะต้องถืออุปกรณ์เซ็นเซอร์ที่สามารถตรวจจับ และติดตามความเคลื่อนไหวของตัวผู้เล่น ซึ่งเมื่อมีการขยับร่างกาย ก้ม เงย กระโดด เล็งเป้าหมาย หรือทำท่าต่างๆ ตลอดจนตั้งท่าต่อสู้กับผู้เล่นคนอื่น รวมถึงการลบหลีกอาวุธต่างๆ จากสิ่่งทีมองเห็นในเกมส์ ท่าทางของผู้เล่นจะถูกเปลียนไปเป็นท่าแอคชั่นของตัวละครที่อยู่ในเกมส์แบบ เรียลไทม์ หมายความว่า เมื่อคุณทำท่าอะไร ตัวละครในเกมส์ทีเห็นผ่านแว่นตา goggle ของระบบ VR ก็จะแสดงท่าทางตามนั้น อารมณ์ของผู้เล่นน่าจะประมาณภาพยนต์เรื่อง Avatar ยังไงยังงั้น แค่ฟังคอนเซปต์ยังอยากจะลองเล่นดูบ้างเลย
แต่ เดี๋ยวก่อน ความสนุกยังไม่จบเพียงแค่นั้น โดยรอินเตอร์เฟซใหม่ดังกล่าวยังได้รวมเทคโนโลยีอย่าง AR (Augmented Reality) ที่ทำให้คุณได้เห็นแบคกราวด์ในโลกแห่งความเป็นจริงผ่านกล้องวิดีโอได้อีก ด้วย ซึ่งเมื่อระบบตรวจจับลักษณะวัตถุในวิดีโอ แล้วพบว่า มันสอดคล้องกับกลไกการทำงานของเกมส์ ผู้เล่นก็อาจจะพบซ่อนของพลัง หรือกับดักบนวัตถุสิ่งของต่างๆ ที่อยู่ในโลกแห่งความเป็นจริงได้อีกด้วย โห...สุดยอด!!!
ลบโปรแกรมออกจากเครื่อง-ล้างขยะให้สะอาดหมดจด...รับรองว่าสุดยอด
ลบโปรแกรมออกจากเครื่อง-ล้างขยะให้สะอาดหมดจด...รับรองว่าสุดยอด
หากคุณเคยลบโปรแกรมที่ในเครื่องแต่ลบเท่าไหร่ก็ไม่ยอมออก ทั้งๆที่ใช้คำสั่ง Add / Remove Programs ใน Control Panel แล้วก็ตาม สาเหตุที่หนึ่งที่ไม่สามารถลบได้อาจเป็นเพราะโปรแกรมกำลังรันทำงานอยู่ เบื้องหลัง หรือมีบางไฟล์ของโปรแกรมหายไปจึงทำไห้โปรแกรมนั้นไม่สมบูรณ์ หรือเพราะสาเหตุอื่นๆอีกมากมาย ซ้ำร้ายกว่าบางโปรแกรมลบไม่ได้แล้ว ยังไม่สามารถติดตั้งลงไปใหม่ หรือติดตั้งเวอร์ชั่นใหม่กว่าที่เคยติดตั้งไว้ ในเครื่อง การแก้ปัญหานี้ผมแนะนำให้คุณใช้โปรแกรมช่วย คือ Your Uninstaller! 2006 โปรแกรมนี้ถือว่าเป็นตัวช่วยที่ทำงานได้ดีมาก นอกจากจะลบโปรแกรมในเครื่องแล้ว ยังช่วยเคลียร์ขยะที่ตกค้างอยู่ภายในเครื่อง ทำให้คอมพิวเตอร์ของคุณให้สะอาดหมดจดครับ มาเริ่มกันดีกว่า
ลบโปรแกรมที่ไม่ต้องการออกจากเครื่องคอมฯ
1. เปิดโปรแกรมขึ้นมาแล้วคลิกปุ่ม Uninstall Programs
2. คลิกเลือกโปรแกรมที่ต้องการจะลบ
3. ปลิกปุ่ม Uninstall
4. คลิกปุ่ม Next> ไปเรื่อยๆ 2-3 ครั้งเราก็ลบโปรแกรมที่ไม่ต้องการได้แล้ว
เคลียร์ขยะที่ตกค้างอยู่ภายในเครื่องให้สะอาดหมดจด
1. คลิกปุ่ม Find/Clean temporary files
2. คลิกปุ่ม Scan
3. หน้าต่าง Scan Option ให้เลือกไดร์ฟ ที่ต้องการให้โปรแกรมค้นหาไฟล์ขยะตกค้าง โดยคลิกปุ่ม Scan เริ่มค้นหา
4. รอสักครู่โปรแกรมจะทำการค้นหาไฟล์ขยะที่ตกต้างภายในเครื่อง
5. โปรแกรมสแกนเสร็จให้คลิกปุ่ม OK
6. คลิกปุ่ม Delete All เพื่อลบไฟล์ขยะที่โปรแกรมค้นหาเจอ เป็นอันเสร็จทุกขั้นตอน...ง่ายแสนง่าย.......ทำให้รู้สึกว่าเครื่องคอมฯของ เราสะอาดหมดจด ไร้สิ่งแปลกปลอมตกค้าง วิ่งฉิ๋วเร็วขึ้นกว่าเดิม
Acer Aspire 4935-642G32Mn/C010
Acer Aspire 4935-642G32Mn/C010
1 วิจารณ์ รายละเอียด ซีพียู : - Intel Core 2 Duo Processor T6400 (2.0GHz, 2MB L2 cache, 800MHz FSB) - Mobile Intel GM45 Express chipset กราฟฟิก : Intel Graphics Media Accelerator 4500MHD with up to 732MB หน่วยความจำ RAM : 2048 MB DDR2 เปรียบเทียบราคาจาก 24,900.00 บ
Compaq Presario V3000 series
Compaq Presario V3000 series
1 วิจารณ์ ราย ละเอียด: Compaq Presario V3001TU - Microsoft® Windows® XP Home; Intel® Core™ Duo Processor T2400 with Intel® Centrino® Duo Mobile Technology (1.83GHz, 2MB L2 cache, 667MHz FSB); 14.1" colour WXGA High-Definition เปรียบเทียบราคาจาก 16,900.00 บ
Acer eMachines D725-421G25Mi/C010
Acer eMachines D725-421G25Mi/C010 2 วิจารณ์สินค้า รายละเอียด # Intel Pentium Dual-core mobile Processor T4200 # (2.0GHz., 1MB L2 cache, 800MHz FSB) # Mobile Intel GL40 Express Chipset) # 802.11b/g Wi-Fi CERTIFIED # Linpus Linux BE # 1024MB DDR2-667 (Max 4GB) # 250GB (5400rpm), Weight เปรียบเทียบราคาจาก 13,800.00 บ
Subscribe to:
Posts (Atom)
