ไวรัสทำงานอย่างไร
สำหรับ ขั้นตอนการทำงานของไวรัสนั้นโดยคร่าวๆไม่มีอะไ รซับซ้อนมากมายครับ ขั้นต้นคือจะมีการเรียก Process ตัวเองขึ้นมารันอยู่ในหน่วยความจำก่อน หลังจากนั้นก็ทำงานเงียบๆตามที่มีการ Code สั่งงานไว้ ไม่ว่าจะเป็นการลบไฟล์ แก้ไขไฟล์ Copy ตัวเอง ฯลฯ
ประเด็น ก็คือทำยังไงถึงจะเรียกตัวเองขึ้นมาเพื่อไปอย ู่ในหน่วยความจำให้ได้ก่อน เท่าที่เจอคือจะใช้การเพิ่มคำสั่งเข้าไปใน Registry เพื่อ Run ตัวเองขึ้นมาพร้อมๆกับ Windows นั่นเองครับ และสำหรับพวก Worm ที่สามารถแพร่ตัวเองโดยติดไปกับ Thumb Drive นั้นก็จะอาศัยสร้างตัวไฟล์ Autorun.inf ไว้ใน Thumb Drive เพื่อที่จะให้มีการเรียกตัวไวรัสขึ้นมาทำงานทันทีที่ เสียบ Thumb Drive เข้ากับเครื่องนั้นๆ ซึ่งโดยมากเมื่อรันแล้วก็จะทำการ Copy ตัวไวรัสพร้อมทั้งไฟล์ Autorun.inf ลงไปในเครื่องนั้นด้วย ซึ่งโดยส่วนใหญ่(อีกแล้ว) จะใส่ตัว Autorun.inf ใน Root ของ Drive เพื่อสร้างความมั่นใจว่าถ้ามีความผิดพลาดไวรัสไม่ได้ โหลดขึ้นมาพร้อม Windows จะด้วยเหตุผลอะไรก็แล้วแต่ ยังไงซะเมื่อผู้ใช้เปิด Drive ด้วยการ Double Click ก็จะเป็นการเรียกไฟล์ Autorun.inf ให้ทำงานเป็นอันดับแรก(ตามนโยบายของ Windows) ซึ่งในไฟล์ Autorun.inf นี่ล่ะครับที่จะไปเรียกไฟล์ไวรัส(ตัวจริง)ให้ทำงานขึ ้นมา ดังนั้นถึงจะพลาดแผนแรกที่โหลดพร้อม Windows ก็ยังมีแผน 2 รองรับ เพราะยังไงซะผู้ใช้ก็ต้องมีการ Double Click เรียก Drive บ้างล่ะ แค่นี้ก็เรียบร้อยโรงเรียนไวรัสไปแล้วครับ มันเข้ามาแอบอยู่ในหน่วยความจำเครื่องเราและพร้อมปฏิ บัติหน้าที่ของมันตามที่ได้รับการ Coding ไว้แล้ว
ขั้นตอนการตรวจสอบไวรัสเบื้องต้น
ต่อ เนื่องจากที่ได้อธิบายขั้นตอนการทำงานของไวรัสไว้ ข้างต้นครับ คราวนี้มาดูกันว่าเราสามารถ ที่จะตรวจสอบ คร่าวๆได้ยังไงบ้างว่าเครื่องเรามีไวรัสเข้ามาเยี่ยม เยียนแล้ว ช่วงหลังๆนี่เท่าที่เห็นมันมักจะออกอาการ เหมือนๆกัน อยู่หลายอย่าง ซึ่งน่าจะมีเหตุผลมาจากหลายสาเหตุ เช่นพวกตระกูล Hacked By ทั้งหลายนี่เท่าที่รู้ก็คือมีการสร้าง มาจาก Tools ตัวเดียวกันซึ่งมีให้โหลดตาม Internet นี่ล่ะ เรียกว่าอยากได้ไวรัสอาการแบบไหน ก็แค่ติ๊กเลือก เอาได้ เลยครับ อยากได้ชื่ออะไรตั้งกันเอา จะประกาศศักดาว่า Hacked โดยใครก็ตามสบายเลยครับ ซึ่งอาการที่มีให้เลือกก็ เดิมๆล่ะครับ มีไม่กี่แบบ อาการหลักๆของพวก Hacked By นี่คือการประกาศศักดาประมาณพวกพ่นสีตามผนังน่ะครับ เพียงแค่เปลี่ยนทำเลจากฝาผนัง มาเป็นหัวของ IE เท่านั้นเองครับ
เจ้า ตัวนี้ก็อาศัยช่องทางของตัว Autorun.inf นี่ล่ะครับในการเรียกเจ้าตัวไวรัสขึ้นมาทำงาน ซึ่งพวกตระกูล Hacked By พวกนี้เจ้าตัวไวรัสตัวจริงของมันจะมีนามสกุล .VBS ครับ ซึ่งเป็นไฟล์ VBScript ครับ ซึ่งเราสามารถที่จะเปิดดู Code มันได้โดยใช้ Notepad นี่ล่ะครับ ถ้าใครพอจะมีพื้นฐานด้านเขียน โปรแกรมหน่อย ก็สามารถอ่านดูได้เลยครับว่ามันสั่งให้ทำอะไรกับเครื ่องเราบ้าง ซึ่งนี่อาจจะเป็นสาเหตุหนึ่งที่ทำให้มันแตกสายเป็น Hacked By โน่น By นี่ เพราะแค่ใช้ Notepad เข้าไปแก้เป็นชื่อที่เราต้องการ ก็จะได้ตัว Hacked By ชื่อนั้นๆ แล้วล่ะครับ แต่ไม่แนะนำให้ทำนะครับ เพียงแค่เล่าให้ฟังว่ามันไม่ยาก คิดถึงใจเขาใจเราเวลาติดไวรัส มันไม่ดีครับ
สำหรับ การตรวจสอบพวก Hacked By ทั้งหลายนี่ อย่างที่บอกข้างต้นครับ มันมักจะประกาศศักดา สิ่งแรกที่ เห็นชัดๆคือมันเปลี่ยนหัวของ IE เรา และเนื่องจากมันเป็นตัวที่ไม่ได้ร้ายแรงอะไรมากมาย จึงต้องใช้การอำพรางตัวโดย Set Attribute ของตัวเองและลูกน้อง(Autorun.inf) ให้เป็น Hidden และเพื่อป้องกันผู้ใช้เปิดมา แล้วเห็นมัน ก็เลยไปแก้ Registry ให้ไม่สามารถเปิด Show All Files ได้ โดยการปิด Folder Options มันซะเลย บางตัวนี่ ซ่อนไฟล์ของเราใน Thumb Drive ด้วยทำให้เราตกใจเล่นๆว่าไฟล์โดนลบไปแล้ว แต่จริงๆมันยังอยู่ครับ สำหรับเครื่องมือที่จะใช้ในการหาไฟล์ที่โดนแอบผมขอรว บยอดไปแนะนำในหัวข้อต่อไปนะครับ
สำหรับ ไวรัสตัวอื่นๆนี่ก็แล้วแต่เค้าจะเขียนกันมาล่ะ ครับ จริงๆมันก็ไม่ยากที่เราจะรู้ว่าติดไวรัสแล้ว เพราะจะรู้สึกว่า เครื่องมันช้าๆ ทำงานแปลกๆ สำหรับการตรวจสอบแบบละเอียดขึ้นอีกนิด เดี๋ยวผมจะอธิบายในหัวข้อต่อไปแล้วกันนะครับ
การกำจัดไวรัสขั้นพื้นฐาน
หลัง จากอธิบายมายืดยาวในขั้นต้น ซึ่งอาจจะรู้เรื่องบ้าง งงบ้าง อาจจะเพราะผมถ่ายทอดออกมาเป็นคำพูด ไม่ค่อยเก่งหรือผมมั่วเองก็ไม่รู้ คราวนี้เรามาดูว่าถ้าเราสงสัยว่าเครื่องติดไวรัสแน่น อนแล้ว เราจะจัดการกับมันอย่างไรดี ตามที่บอกไว้ด้านบนๆนั่นล่ะครับว่าไอ้ตัวไวรัสนี่มัน มีหลายอาการ มีหลายระดับด้วย พวกที่ไม่ได้ร้ายแรงอะไรเช่นพวก Hacked By ทั้งหลายเนี่ยจะไม่มีการทำลายไฟล์หรือทำอะไรที่ซับซ้ อนมากนัก แต่บางตัวนี่รุนแรงครับเล่นกันถึงขั้น ลบไฟล์ในเครื่องจนต้องลง Windows ใหม่กันเลยทีเดียวครับ
เอา เป็นว่าเรามาดูขั้นตอนคร่าวๆกันดีกว่านะครับว่าจะ ทำอะไรกับมั้นได้บ้าง ไอ้ไวรัสตัวร้ายเนี่ย ถึงแม้อาจจะ ไม่สามารถแก้ไขได้ทุกตัวแต่ก็น่าจะพอเป็นแนวทางได้บ้ างครับ
อย่าง ที่บอกว่าสำหรับขั้นตอนการทำงานของไวรัสนั้นมีอ ะไรบ้าง คราวนี้เรามาไล่ย้อนขั้นตอนมันกลับไปเพื่อ ที่จะจัดการ มันครับ ตามที่บอกครับว่าไวรัส นั้นเมื่อมันติดมาแล้วมันจะต้องไปแอบอยู่ในหน่วยความ จำ เครื่องเราเพื่อทำหน้าที่ ของมัน และตรวจสอบการทำงานของตัวเองด้วย เช่นถ้ามันสั่งปิด Show All File แล้วเราไปเปิด มันก็จะปิดอีกครับ ดังนั้นถ้าเราเอามัน ออกไปจากตรงนี้ได้ อย่างน้อยๆตอนนี้มันก็จะไม่สามารถทำอะไรได้แล้วล่ะคร ับ แล้วเราค่อยตามล่าเอาตัวจริงของมันออก จากเครื่องไปซะให้สิ้นซาก
ใน การตรวจสอบตัวไวรัสที่อยู่ในหน่วยความจำ(Process) ส่วนใหญ่ก็อาศัยตัว Task Manager ของตัว Windows นั่นล่ะครับ แต่มันมักจะมีปัญหาตรงที่ว่า ไอ้ไวรัสตัวหลังๆนี่มันรู้ทันเราซะแล้วครับ เลยอาศัยคุณสมบัติของ Windows ที่สามารถปิดการใช้ตัว Task Manger มาปิดกั้นการใช้ของเราซะงั้น พอจะเรียกใช้ก็ดันขึ้นเป็นสีเทาไม่ให้เรียกอีก ไม่เป็นไรครับผมแนะนำว่าไปใช้ตัวนี้แทนก็ได้ครับ ฟรีเหมือนกัน โหลดมาติดเครื่องไว้ก็ดีครับเผื่อเจอปัญหาโดน Lock Task Manager ก็ใช้ตัวนี้แทนซะเลย หรือถ้าใครติดใจจะกำหนดให้มันมาแทน Task Manager ของ Windows เลยก็ได้ครับ เอาไว้ผมค่อยทำบทความโฆษณารายละเอียดมันอีกทีแล้วกัน เดี่ยวออกนอกเรื่องไปใหญ่
เจ้าตัวที่กล่าวถึงนี่คือโปรแกรม Process Viewer ครับ แนะนำนิดนึงครับว่าเมื่อโหลดมามันจะเป็น Zip ไฟล์ ให้เราเอาออกมาแค่ PrcView.exe ตัวเดียวก็พอครับส่วนตัวอื่นๆซึ่งเป็นแบบ Command Line นั้นเราไม่ได้ใช้ครับ หรือใครอยากลองเล่นดูจะเอาทั้งหมดก็ไม่มีปัญหาครับ เพียงแต่แนะนำว่าใช้ตัวเดียวก็ได้แล้ว ถ้าให้ดีก็ Copy ตัวนี้ใส่ Thumb Drive ไว้เลยครับ เผื่อไปเจอเครื่องที่มีปัญหาเรียก Task Manager ไม่ได้เราจะได้ใช้ตัวนี้ได้เลยสะดวกดีครับไม่ต้อง Install
หมายเหตุนิด นึงว่าหลังจากเรียกใช้โปรแกรมนี้แล้วถ้าเราเปิด Show All File ไว้จะเห็นไฟล์ชื่อ PRCVIEW.GID เป็น Icon ใสๆ ก็ไม่ต้องตกใจนะครับ เป็นไฟล์ที่โปรแกรมสร้างขึ้นมาเก็บค่า Config ของมันน่ะครับไม่ใช่ไวรัสแต่ประการใด ที่เห็นใสๆ เพราะเป็นไฟล์ที่ Hidden ไว้แต่เราเปิด Show All เลยมองเห็นเท่านั้นเองครับ
เอา ล่ะครับเมื่อเราเรียกมันขึ้นมาแล้วก็จะเห็น Process เหมือนๆ Task Manger นั่นล่ะครับ แถมรูปมันสวยกว่าด้วยซ้ำ การเชิญตัวไวรัสซึ่งเราไม่ได้ชวนมาให้ออกไปจากหน่วยค วามจำนี่ก็ใช้การ Click ที่ชื่อ Process ที่เป็นไวรัสแล้วเลือก Kill(เครื่องหมาย X) มันเลยครับ เหมือนกับการ End Process ใน Task Manager นั่นล่ะครับ แค่นี้มันก็โดนเนรเทศ ออกไปจากหน่วยความจำเครื่องเราเรียบร้อยแล้วล่ะครับ
คำ ถามคือแล้วเราจะรู้ได้ไงล่ะว่าตัวไหนเป็น Process ของไวรัส ตามรูปนี่ผมขอยกตัวอย่างเจ้าตระกูล Hack By รวมถึงพวกตระกูลที่ใช้ VB Script เหมือนกัน ซึ่งสังเกตุง่ายๆเจ้าพวกนี้ชอบเปลี่ยนหัวของ IE เพื่อประกาศศักดานะครับ เนื่องจากเจ้าพวก VB Script(.VBS ) นี่ไม่สามารถจะทำการ Execute ด้วยตัวเองได้จึงต้องอาศัยตัวโปรแกรมของ Windows มาแปลคำสั่งแล้วทำตามที่กำหนดไว้ เจ้าตัวช่วยแปลที่กล่าวถึงคือ Wscript.exe ซึ่งเป็นของ Windows เองนี่ล่ะครับ ซึ่งโดยตัวมันเองไม่ใช่ไวรัสนะครับ เพียงแค่โดนไวรัสใช้เป็นเครื่องมือในการทำงานเท่านั้ นเอง อย่าไปลบมันทิ้งซะล่ะ ถ้าใครอยากรู้จักมันมากกว่านี้ว่าเอาไว้ทำอะไรได้บ้า งก็ลองดูที่นี่นะครับ
