นั�ฐพงศ์� ส่งเนั�ยมhttp://www.siam2dev.comxnattapong@hotmail.com

วิ�ชา ควิามปลอดภั�ยของส่ารส่นัเทศ์

Lec03 :: ไวิร�ส่คอมพ�วิเตอร� และ การป!องก�นั

หั�วิข#อในัการบรรยายเก�&ยวิก�บไวิร�ส่• ไวรั�สคื�ออะไรั • ปรัะเภทของไวรั�ส • อาการัของเคืรั��องท��ติ�ดไวรั�ส • การัป�องก�นไวรั�ส • การัก�าจั�ดไวรั�ส • อ�ปกรัณ์�ท��ช่ วยในการัป�องก�นไวรั�ส

ไวิร�ส่ค'ออะไร ไวรั�ส คื�อโปรัแกรัมช่น�ดหน'�งท��ม�คืวามสามารัถในการัส�าเนาติ�วเอง

เข)าไปติ�ดอย* ในรัะบบคือมพิ�วเติอรั�ได)และถ)าม�โอกาสก.สามารัถแทรักเข)าไปรัะบาดในรัะบบคือมพิ�วเติอรั�อ��น ๆ ซึ่'�งอาจัเก�ดจัากการัน�าเอาด�สก�ท��ติ�ดไวรั�สจัากเคืรั��องหน'�งไปใช่)อ�กเคืรั��องหน'�ง หรั�ออาจัผ่ านรัะบบเคืรั�อข ายหรั�อรัะบบส��อสารัข)อม*ลไวรั�สก.อาจัแพิรั รัะบาดได)เช่ นก�น

การัท��คือมพิ�วเติอรั�ใดติ�ดไวรั�ส หมายถ'งว าไวรั�สได)เข)าไปผ่�งติ�วอย* ในหน วยคืวามจั�า คือมพิ�วเติอรั� เรั�ยบรั)อยแล)ว เน��องจัากไวรั�สก.เป2นแคื โปรัแกรัมๆ หน'�ง การัท��ไวรั�สจัะเข)าไปอย* ในหน วยคืวามจั�าได)น�3นจัะติ)องม�การัถ*กเรั�ยกให)ท�างานได)น�3นย�งข'3นอย* ก�บปรัะเภทของไวรั�สแติ ละติ�ว ปกติ�ผ่*)ใช่)ม�กจัะไม รั* )ติ�วว าได)ท�าการัปล�กคือมพิ�วเติอรั�ไวรั�สข'3นมาท�างานแล)ว

จั�ดปรัะสงคื�ของการัท�างานของไวรั�สแติ ละติ�วข'3นอย* ก�บติ�วผ่*)เข�ยนโปรัแกรัมไวรั�สน�3น เช่ น ท�าลายรัะบบปฏิ�บ�ติ�การั โปรัแกรัมใช่)งานหรั�อข)อม*ลอ��นๆ ท��อย* ในเคืรั��องคือมพิ�วเติอรั� หรั�อรับกวนการัท�างาน เช่ น การับ*ติรัะบบช่)าลง เรั�ยกใช่)โปรัแกรัมได)ไม สมบ*รัณ์� หรั�อเก�ดอาการัคื)าง (แฮงก�ไม ทรัาบสาเหติ�) เก�ดข)อคืวามว��งไปมาท��หน)าจัอ หรั�อกรัอบข)อคืวามเติ�อนไม ทรัาบสาเหติ� เป2นติ)น

ประเภัทของไวิร�ส่ • บ*ติเซึ่กเติอรั�ไวรั�ส (Boot Sector or Boot Infector

Viruses )

• โปรัแกรัมไวรั�ส (Program or File Infector Viruses)

• มาโคืรัไวรั�ส (Macro Viruses) • สคืรั�ปติ�ไวรั�ส (Scripts Viruses)

• ม)าโทรัจั�น (Trojan Horses)

• ไวรั�สปรัะเภทกลายพิ�นธุ์��

บ(ตเซกเตอร�ไวิร�ส่ (Boot Sector or Boot Infector Viruses)

คื�อไวรั�สท��เก.บติ�วเองอย* ในบ*ติเซึ่กเติอรั�ของด�สก� เม��อเคืรั��องคือมพิ�วเติอรั�เรั��มท�างานข'3นมาติอนแรัก เคืรั��องจัะเข)าไปอ านโปรัแกรัมบ*ติรัะบบท��อย* ในบ*ติเซึ่กเติอรั�ก อน ถ)าม�ไวรั�สเข)าไปฝั8งติ�วอย* ในบ*ติเซึ่กเติอรั�ในบรั�เวณ์ท��เรั�ยกว า Master Boot Record (MBR) ในท�กคืรั�3งท��เรัาเป9ดเคืรั��อง ก.เท าก�บว าเรัาไปปล�กให)ไวรั�สข'3นมาท�างานท�กคืรั�3งก อนการัเรั�ยกใช่)โปรัแกรัมอ��นๆ

โปรแกรมไวิร�ส่ (Program or File Infector Viruses)

เป2นไวรั�สอ�กปรัะเภทหน'�งท��ม�กจัะรัะบาดด)วยการัติ�ดไปก�บไฟล�โปรัแกรัมท��ม�นามสก�ลเป2น com, exe, sys, dll ส�งเกติได)จัากไฟล�โปรัแกรัมจัะม�ขนาดท��โติข'3นจัากเด�ม บางช่น�ดอาจัจัะส�าเนาติ�วเองไปท�บบางส วนของโปรัแกรัมซึ่'�งไม อาจัส�งเกติจัากขนาดของไฟล�ได)การัท�างานของไวรั�สจัะเรั��มข'3นเม��อไฟล�โปรัแกรัมท��ติ�ดไวรั�สถ*กเรั�ยกมาท�างาน ไวรั�สจัะถ�อโอกาสไปฝั8งติ�วในหน วยคืวามจั�าท�นท�แล)วจั'งให)โปรัแกรัมน�3นท�างานติ อไป เม��อม�การัเรั�ยกโปรัแกรัมอ��นๆ ข'3นมาท�างานไวรั�สก.จัะส�าเนาติ�วเองให)ติ�ดไปก�บโปรัแกรัมติ�วอ��นๆ ติ อไปได)อ�กเรั��อยๆ

มาโคืรัไวรั�ส (Macro Viruses)

เป2นไวรั�สสายพิ�นธุ์��ท��ก อกวนโปรัแกรัมส�าน�กงานติ างๆ เช่ น MS Word, Excel, PowerPoint เป2นช่�ดคื�าส��งเล.กๆ ท�างานอ�ติโนม�ติ� ติ�ดติ อด)วยการัส�าเนาไฟล�จัากเคืรั��องหน'�งไปย�งเคืรั��องหน'�ง ม�กจัะท�าให)ไฟล�ม�ขนาดใหญ่ ข'3นผ่�ดปกติ� การัท�างานหย�ดช่ะง�กโดยไม ทรัาบสาเหติ� หรั�อท�าให)ไฟล�เส�ยหาย ข�ดขวางกรัะบวนการัพิ�มพิ� เป2นติ)น

สคืรั�ปติ�ไวรั�ส(Scripts Viruses)

ไวรั�สสายพิ�นธุ์��น�3เข�ยนข'3นมาจัากภาษาท��ใช่)ในการัเข�ยนโปรัแกรัม เช่ น VBScript, JavaScript ซึ่'�งไวรั�สคือมพิ�วเติอรั�เหล าน�3จัะท�างานเม��อผ่*)ใช่)เป9ดหรั�อเรั�ยกใช่)งานไฟล�นามสก�ล .vbs, .js ท��เป2นไวรั�ส ซึ่'�งอาจัจัะติ�ดมาจัากการัเรั�ยกด*ไฟล� HTML ในหน)าเว.บเพิจับนเคืรั�อข ายอ�นเทอรั�เน.ติ

ม)าโทรัจั�น(Trojan Horses)

เป2นไวรั�สปรัะเภทสปาย (SPY) ท��จัะคือยล)วงคืวามล�บจัากเคืรั��องของเรัาส งไปให)ผ่*)เข�ยนโปรัแกรัม รัะบาดก�นมากบนอ�นเทอรั�เน.ติ คืวามล�บท��ม)าโทรัจั�นจัะส งกล�บไปย�งผ่*)เข�ยนโปรัแกรัมได)แก Username, Password หรั�อเลขท��บ�ติรัเคืรัด�ติ ส�าหรั�บท านท��ช่อบป93 งออนไลน� โดยโปรัแกรัมพิวกน�3จัะสามารัถจั�บการักดคื�ย�ใดๆ บนคื�ย�บอรั�ดแล)วจั�ดเก.บเป2นไฟล�ข)อคืวามขนาดเล.กส งกล�บไปย�งผ่*)เข�ยนโปรัแกรัม

ไวรั�สปรัะเภทกลายพิ�นธุ์��หมายถ'ง ไวรั�สในย�คืป8จัจั�บ�นน�3ท��ม�คืวามสามารัถในการัแพิรั

กรัะจัายติ�วเองได)อย างรัวดเรั.ว เปล��ยนแปลงล�กษณ์ะติ�วเองไปเรั��อยๆ เพิ��อหล�กเล��ยงการัติรัวจัจั�บ และซึ่ อนแอบอย* ได)ในรัะบบคือมพิ�วเติอรั� ท��รั* )จั�กก�นมากได)แก ปรัะเภทหนอน (Worm) ช่น�ดติ างๆ ซึ่'�งสามารัถแพิรั กรัะจัายผ่ านเคืรั�อข ายอ�นเทอรั�เน.ติด)วยการัแฝังติ�วไปก�บอ�เมล� ก�บไฟล�สคืรั�ปติ�ท��ให)บรั�การับนอ�นเทอรั�เน.ติ ติ�วอย างของไวรั�สปรัะเภทน�3ท��รั* )จั�กก�นด�ก.ได)แก Love bug จัะแพิรั กรัะจัายผ่ านทางอ�เมล� เม��อผ่*)รั�บเป9ดอ านจัดหมายน�3นไวรั�สจัะแฝังติ�วเข)าในเคืรั��องและคื)นหารัายช่��อท��อย* อ�เมล�ใน Addrees book โดยเฉพิาะผ่*)ใช่)งาน Outlook Express แล)วท�าการัส งจัดหมายไปย�งผ่*)รั�บติามรัายช่��อพิรั)อมไฟล�ไวรั�สน�3นด)วย

อาการของเคร'&องท�&ต�ดไวิร�ส่คอมพ�วิเตอร�

เรัาสามารัถจัะส�งเกติการัท�างานของเคืรั��องคือมพิ�วเติอรั�ได)ว าเข)าข ายติ�ดไวรั�สหรั�อไม ถ)าม�อาการัด�งติ อไปน�3 ให)ส�นน�ษฐานไว)ก อนว าน าจัะเก�ดจัากไวรั�สได)รั�กล�3าเข)าไปในเคืรั��องคือมพิ�วเติอรั�ของคื�ณ์แล)ว

- ใช่)เวลานานผ่�ดปกติ�ในการัเรั�ยกโปรัแกรัมข'3นมาท�างาน - ขนาดของโปรัแกรัมใหญ่ ข'3น (เพิ��มจัากปกติ�อย างผ่�ดส�งเกติ)- ว�นเวลาของโปรัแกรัมหรั�อไฟล�ข)อม*ลเปล��ยนไป (โดยไม ได)ม�การัแก)ไขหรั�อ

เรั�ยกใช่)งาน)- ขนาดของหน วยคืวามจั�าท��เหล�อลดน)อยลงกว าปกติ� โดยไม ทรัาบสาเหติ�- ไฟแสดงสถานะการัท�างานของฮารั�ดด�สก�ติ�ดคื)างนานกว าท��เคืยเป2น (แม)จัะไม

เรั�ยกโปรัแกรัม ท�างานก.กรัะพิรั�บติลอด)- แป�นพิ�มพิ�หรั�อเมาท�ท�างานผ่�ดปกติ�หรั�อไม ท�างานเลย- เคืรั��องท�างานช่)าลงหรั�อหย�ดท�างานโดยไม ทรัาบสาเหติ� รัวมท�3งเก�ดการัรั�บ*ติ

ติ�วเองโดย ไม ได)ส� �ง- เซึ่กเติอรั�ท��เส�ยม�จั�านวนเพิ��มข'3น โดยม�การัรัายงานว าม�จั�านวนเซึ่กเติอรั�ท��เส�ย

เพิ��มข'3นท�3งๆ ท��ย�ง ไม ได)ใช่)โปรัแกรัมใดๆ เข)าไปติรัวจัหาเลย ไฟล�ข)อม*ลหรั�อโปรัแกรัมท��เคืยใช่)อย* ๆ ก.หายไป

- ม�การัส งข)อม*ลออกจัากเคืรั��องคือมพิ�วเติอรั�ไปย�งเคืรั��องอ��นๆท��เป2นจั�านวนมาก

การัป�องก�นไวรั�ส• ใช่)โปรัแกรัมติรัวจัจั�บและก�าจั�ดไวรั�ส (anti-virus) อย างไรัก.ติามไม ม�

โปรัแกรัมติรัวจัจั�บและก�าจั�ดไวรั�ส โปรัแกรัมใดสมบ*รัณ์�แบบ การัเติ�อนท��ผ่�ดพิลาดว า ม�ไวรั�สก อให)เก�ดคืวามรั�าคืาญ่พิอๆก�บติ�วไวรั�สเอง อย าล�มว าจัะติ)อง update โปรัแกรัมท��ใช่)ติรัวจัจั�บ และก�าจั�ดไวรั�สอย างสม��าเสมอเพิ��อให)คืรัอบคืล�มถ'ง ไวรั�สช่น�ดใหม ๆ

• scan ท�กไฟล�บนด�สเกติติ�และ CD-ROM ก อน น�าลง hard disk • scan ท�กไฟล�ท�� download มาจัาก internet • scan ไฟล�หรั�อโปรัแกรัมท��ติ�ดมาก�บ e-mail ก อน ท��จัะเป9ดอ านหรั�อเก.บลง

บน hard disk • เก.บเอกสารัในรั*ปของ ASCII Text Mode หรั�อ Rich Text Format

(RTF) โดยเฉพิาะเอกสารัท��ใช่) รั วมก�นบน network ท�3งสอง format จัะไม save ส วนท��เป2น macro ลงพิรั)อมก�บเอกสารัด)วยซึ่'�งท�าให) ปลอดภ�ยจัาก macro viruses

• back up ข)อม*ลและโปรัแกรัมบนเคืรั��องคือมพิ�วเติอรั� อย างสม��าเสมอ และท��ส�าคื�ญ่อย าเก.บ back up ไว)ใน hard disk อ�นเด�ยวก�นก�บข)อม*ลและโปรัแกรัม

การัก�าจั�ดไวรั�สโปรัแกรัมติรัวจัจั�บและก�าจั�ดไวรั�ส (anti-virus)

ส วนมากจัะ scan หน วยคืวามจั�าของเคืรั��องคือมพิ�วเติอรั� ท�กคืรั�3งท��เป9ดเคืรั��องและคืวรัจัะเติ�อนเม��อเรัาเป9ดไฟล� หรั�อ run โปรัแกรัมท��ม�ไวรั�ส หากโปรัแกรัม anti-virus พิบ ไวรั�ส ม�กจัะถามว าจัะให)ก�าจั�ดไวรั�สหรั�อไม หากไม สามารัถ ก�าจั�ดไวรั�สได)โปรัแกรัมจัะถามว าติ)องการัให)ลบไฟล� หรั�อ โปรัแกรัมท��ติ�ดไวรั�สท�3งหรั�อไม และน��คื�อคืวามจั�าเป2นท��เรัา จัะติ)องม� back up หากไฟล�หรั�อโปรัแกรัมติ�ดไวรั�ส และไม สามารัถก�าจั�ดได) จันติ)องลบท�3ง เรัาคืวรัจัะท�าอย างไรั หากพิบไวรั�สบนเคืรั��องคือมพิ�วเติอรั�

การัก�าจั�ดไวรั�ส• ใจัเย.นๆ ไวรั�สอาจัจัะย�งไม ท�าลายข)อม*ลใดๆก.ได) แติ หาก

คื�ณ์ใจัรั)อน คื�ณ์อาจัจัะเป2นคืนท�าลายข)อม*ลเส�ยเอง • ป9ดเคืรั��องคือมพิ�วเติอรั�และ boot เคืรั��องใหม ด)วย

แผ่ นด�สเกติติ�ท��ไม ม�ไวรั�ส หรั�ออาจัะเข)า safe mode ของรัะบบ Window

• คื)นหา และก�าจั�ดไวรั�สด)วยโปรัแกรัม anti-virus หากจั�าเป2นอาจัจัะติ)องลบไฟล�ท��ติ�ดไวรั�สท�3ง และแทนท�� ด)วยไฟล�เด�ยวก�นท�� back up ไว)ก อนหน)าน�3

• scan ท�กไฟล�บนเคืรั��องคือมพิ�วเติอรั�อ�กคืรั�3ง

อ�ปกรัณ์�ท��ช่ วยในการัป�องก�นไวรั�ส• อ�ปกรัณ์� Security Gateway

- Scan Web

- Scan Mail

• Router ( Access Control List )

• Firewall

• IDP ( Intrusion Detection Prevention )

Netstat Command• SYNTAX

• NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

• -a Displays all connections and listening ports. • -e Displays Ethernet statistics. This may be combined with the -s option. • -n Displays addresses and port numbers in numerical form. • -p proto Shows connections for the protocol specified by proto; proto may be TCP or UDP. If used with the -s

option to display per-protocol statistics, proto may be TCP, UDP, or IP. • -r Displays the routing table. • -s Displays per-protocol statistics. By default, statistics are shown for TCP, UDP and IP; the -p option may be

used to specify a subset of the default. • interval Redisplays selected statistics, pausing interval seconds between each display. Press CTRL+C to stop

redisplaying statistics. If omitted, netstat will print the current configuration information once.

• EXAMPLES

• netstat - displays all local network information. Below is an example of what may be displayed

• Proto Local Address Foreign Address State • TCP hope:4409 www.computerhope.com:telnet ESTABLISHED • TCP hope:3708 multicity.com:80 CLOSE_WAIT • TCP hope:4750 www.google.com:80 CLOSE_WAIT

Netstat Command

• C:\>netstat -an

• Active Connections

• Proto Local Address Foreign Address State• TCP 0.0.0.0:135 0.0.0.0:0 LISTENING• TCP 0.0.0.0:445 0.0.0.0:0 LISTENING• TCP 127.0.0.1:110 0.0.0.0:0 LISTENING• TCP 127.0.0.1:110 127.0.0.1:1064 TIME_WAIT• TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING• TCP 127.0.0.1:1091 127.0.0.1:110 TIME_WAIT• TCP 192.1.1.220:139 0.0.0.0:0 LISTENING• TCP 192.1.1.220:1066 65.54.239.80:1863 TIME_WAIT• TCP 192.1.1.220:1067 207.46.2.62:1863 ESTABLISHED• TCP 192.1.1.220:1095 203.146.50.201:80 ESTABLISHED• TCP 192.1.1.220:1098 203.146.50.201:80 ESTABLISHED• TCP 192.1.1.220:1100 210.184.108.94:80 CLOSE_WAIT• TCP 192.1.1.220:1101 65.54.142.189:80 CLOSE_WAIT• UDP 0.0.0.0:445 *:*• UDP 0.0.0.0:500 *:*• UDP 0.0.0.0:1027 *:*• UDP 0.0.0.0:1093 *:*• UDP 0.0.0.0:4500 *:*• UDP 127.0.0.1:123 *:*• UDP 127.0.0.1:1068 *:*• UDP 127.0.0.1:1900 *:*• UDP 192.1.1.220:9 *:*• UDP 192.1.1.220:123 *:*• UDP 192.1.1.220:137 *:*• UDP 192.1.1.220:138 *:*• UDP 192.1.1.220:1900 *:*• UDP 192.1.1.220:5856 *:*

• C:\>

เว.บไซึ่ติ� Thaicert

http://thaicert.nectec.or.th/advisory/alert.php

ติ.ย. หนอน และ ไวรั�สช'&อ : W32.MSN.Worm และ W32.MSN2.Wormชนั�ด : หนอนอ�นเทอรั�เน.ติ (Internet Worm)ช'&ออ'&นัท�&ร(#จั�ก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky], IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32]

ระด�บควิามร,นัแรง : ต-&าระบบปฏิ�บ�ต�การท�&ม�ผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vistaระบบปฏิ�บ�ต�การท�&ไมม�ผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x

W32.MSN.Worm

ซึ่อฟติ�แวรั� ใน การัก�าจั�ดไวรั�ส• NOD

• McAfee

• Sysclean

• AVG

• ฯลฯ