วันพุธที่ 25 เมษายน พ.ศ. 2555

ตัวอย่าง Malware

Malware คืออะไร ?
Malicious Software (หรือ Malware) คือประเภทของโปรแกรมคอมพิวเตอร์ที่ถูกสร้างขึ้นมา โดยมีจุดมุ่งหมายเพื่อที่จะทำลายหรือสร้างความเสียหายให้แก่ระบบคอมพิวเตอร์ ระบบเครือข่าย หรือทรัพย์สินและข้อมูลของผู้ใช้งานคอมพิวเตอร์ ประเภทของ malware ต่างๆ มีดังต่อไปนี้

Virus
พฤติกรรมของ virus คือการขยายพันธุ์หรือก็อปปี้ตัวมันเอง ไปติดกับไฟล์ executable (.exe files) หรือไฟล์ของอีกโปรแกรมหนึ่ง หลังจากนั้น หากผู้ใช้งานไปดับเบิ้ลคลิ๊กหรือรันโปรแกรมไฟล์นั้นๆ virus ก็จะถูกกระตุ้นให้ทำงานทันที โดยส่วนที่เป็นพิษของ virus เราเรียกกันว่า payload ซึ่งเป็นส่วนที่มีคำสั่งที่ระบุให้ virus ทำงานตาม ยกตัวอย่างเช่น payload ของ virus อาจจะระบุไว้ว่าให้ virus ทำการลบไฟล์เอกสารต่างๆ ในเครื่องของผู้ใช้งาน หรือ payload อาจจะสั่งให้ virus ลงโปรแกรมประเภท spyware ไว้ในเครื่องเพื่อคอยดักเก็บข้อมูลส่วนตัวของผู้ใช้งาน เป็นต้น ลักษณะเด่นของ virus คือ มันไม่สามารถที่จะทำงานได้ด้วยตัวของมันเอง virus จะเริ่มการทำงานหรือถูกปลุกให้ตื่นขึ้นมาได้นั้น จะต้องมีการถูกกระตุ้นก่อน เช่น ถ้าเราดาวโหลดไฟล์ attachment ที่มากับอีเมล์ซึ่งมี virus อยู่ การที่เราดาวโหลดไฟล์ virus มาไว้ที่เครื่องเฉยๆ นั้น virus จะยังไม่สามารถทำงานได้ (และบางทีโปรแกรม anti-virus ของเราก็อาจจะฟ้องขึ้นมาทันที ว่าเรากำลังดาวโหลดไฟล์ที่มี virus อยู่ และทำการลบไฟล์นั้นทิ้ง) แต่ถ้าเครื่องของเราไม่มี anti-virus หรือโปรแกรม anti-virus ของเราไม่รู้จัก virus ตัวนี้ ไฟล์ attachment ที่มี virus ก็จะถูกโหลดมาไว้ในเครื่องของเราได้สำเร็จ และเมื่อไหร่ก็ตามที่เราไปดับเบิ้ลคลิ๊กหรือเปิดไฟล์ attachment นี้ขึ้นมาใช้งาน เจ้า virus ก็จะตื่นขึ้นมาจัดการเครื่องของเราทันที

Worms
ลักษณะการทำงานของ worm จะต่างจาก virus ตรงที่ worm สามารถทำงานได้ด้วยตัวของมันเอง (ทำงานแบบอัตโนมัติหรือ automatic) โดยไม่ต้องอาศัยพาหะ หรือการเกาะไฟล์ executable อื่นๆ โดย worm จะใช้การกระจายพันธุ์ผ่านทางระบบ network เป็นหลัก ด้วยการคอยสแกนระบบ network อยู่ตลอดเวลา เพื่อที่จะหาช่องโหว่ของเครื่องที่มีอยู่ในระบบ ถ้าเครื่องไหนมีช่องโหว่ (ซึ่งเกิดจากการไม่ได้ลง patch/service pack หรือใช้โปรแกรมเวอร์ชั่นเก่า) worm ก็จะโจมตี (exploit) เครื่องเหล่านั้นทันที และก็ควบคุมเครื่องเหล่านั้น ให้ช่วยกระจายพันธุ์ต่อไป ดังนั้น เรามักจะสังเกตเห็นได้ว่า เมื่อใดก็ตามที่มีการระบาดของ worm ระบบ network ของเราก็จะทำงานช้ามาก เพราะว่า network bandwidth จะถูก worm ใช้ในการสแกนเครื่องต่างๆ โดยปกติแล้ว worm มักจะแฝงตัวมากับ virus ในลักษณะของ email attachment เพราะว่าการโจมตีผู้ใช้งานแบบนี้ได้ผลดีกว่าและง่ายกว่า และการที่ worm ฝังตัวมากับ email attachment นั้น network firewall ก็จะไม่สามารถตรวจจับและหยุด worm ตัวนั้นได้ นอกเสียจากเราจะมีโปรแกรม anti-virus ทำงานอยู่ใน mail server
Trojan Horses / Backdoors

Rootkits
ถ้าเครื่องคอมพิวเตอร์ของเราถูกเจาะหรือถูก hack ได้สำเร็จ สิ่งแรกๆ ที่ attacker จะทำก็คือลงโปรแกรมประเภท rootkit ในเครื่องของเรา เพราะ rootkit จะช่วยซ่อนไฟล์ โปรแกรมและ process ต่างๆ ที่ attacker ติดตั้งหรือดาวโหลดมาวางไว้ในเครื่องของเรา เพื่อไม่ให้เราหรือโปรแกรม anti-virus ตรวจพบได้นั่นเอง ซึ่งถ้าเครื่องของเราถูกติดตั้ง rootkit ไปแล้วละก็ โอกาสที่จะถอน rootkit ออกจากเครื่องให้ได้นั่น แทบจะเป็นไปไม่ได้เลย เพราะว่า rootkit จะไปแก้ไขหรือเปลี่ยน system file ที่สำคัญต่างๆ ทำให้เมื่อเราลบไฟล์ที่เป็นของ rootkit ออก ก็จะมีผลกระทบต่อ system file เหล่านี้ด้วย ทำให้เกิดความเสียหายต่อระบบปฎิบัติการคอมพิวเตอร์ (Operating System หรือ OS) จนอาจจะไม่สามารถบูตเครื่องขึ้นมาทำงานได้อีกต่อไป

Spyware
โปรแกรมประเภท spyware จะติดตั้งตัวของมันลงในเครื่องของเราอย่างลับๆ โดยไม่ขออนุญาติเราก่อน ว่าอยากจะลงหรือไม่ ซึ่งเมื่อ spyware ถูกติดตั้งลงในเครื่องแล้ว มันจะคอยทำงานโดยการบันทึกข้อมูลต่างๆ ที่เกี่ยวกับการใช้งานเครื่องคอมพิวเตอร์ของเรา เช่น คอยดูว่าเราไปเข้า web site ไหนบ้าง เราพิมพ์ตัวอักษรอะไรบนคีบอร์ดบ้าง และอื่นๆ ดังนั้น spyware จึงสามารถใช้เป็นเครื่องมือสำหรับ attacker ในการขโมย username, password, และข้อมูลเกี่ยวกับบัตรเครดิตการ์ดของเราได้ด้วย โดยที่ spyware จะส่งข้อมูลที่มันเก็บได้จากเครื่องของเราไปให้เจ้านายของมัน ผ่านทางอินเตอร์เน็ต หรือระบบ network อย่างเงียบๆ เพื่อไม่ให้เรารู้ตัว

Adware
โปรแกรมประเภท adware (ส่วนใหญ่มักจะมาคู่กับ spyware เพื่อใช้ในการทำ targeted ads หรือการโฆษณาสินค้าแบบเฉพาะเจาะจงกลุ่มเป้าหมาย เพื่อเพิ่มโอกาสในการขายสินค้าให้ได้มากขึ้น) จะคอยแสดงโฆษณาสินค้าต่างๆ บนหน้าจอของเรา (หรือที่เรียกกันสั้นๆ ว่า "popup ads") ผ่านทาง web browser เช่น Internet Explorer หรือ Mozilla Firefox ซึ่งสร้างความรำคาญให้กับผู้ใช้งานส่วนมาก ที่ไม่สนใจในโฆษณา หรือ popup ads เหล่านั้น โปรแกรมประเภท adware มักจะถูกติดตั้งพร้อมกับโปรแกรมที่เราดาวโหลดมาฟรีๆ จาก web site ที่ไม่น่าเชื่อถือ