" Virus " วายร้าย..

ไวรัส-เวิร์ม บนอินเทอร์เน็ต

คุณรู้หรือไม่ว่า การสร้างไวรัส หรือเวิร์มขึ้น 1 ตัว แพร่กระจายบนอินเทอร์เน็ตนั้น เป็นไปอย่างรวดเร็ว และสร้างความเสียหาย ได้มาก ยิ่งผู้สร้างมีเจตนาสร้างความเสียหาย เช่น ผู้ก่อการร้าย ความเสียหายก็อาจรุนแรงมาก และถ้าคิดเป็นทรัพย์สิน ก็คงจะมากมายตามมาด้วย ฉะนั้น เราจึงต้องทำความรู้จักเข้าใจว่า เวิร์มคืออะไร จะมีวิธีการป้องกันตนเองได้อย่างไร และจะทำอย่างไรที่จะไม่แพร่กระจาย หรือช่วยให้ขยายออกไป

เริ่มต้นจากจดหมายลูกโซ่

จดหมายลูกโซ่ เป็นจดหมายที่เริ่มจากบุคคลที่ผิดปกติทางจิต หรือผู้ไม่ประสงค์ดี หรือชอบสนุก โดยลืมคิดถึงปัญหาที่ตามมา สร้างจดหมายขึ้นฉบับหนึ่ง ในข้อความอาจทำให้ดูน่าสนใจ หรือน่าเชื่อถือ อาจเกี่ยวข้องกับความเชื่อถือทางไสยศาสตร์ หรือทางศาสนา จากนั้น บอกให้ผู้รับช่วยคัดลอกส่งต่อให้ผู้อื่น โดยเน้นให้ทำกันเป็นทอดๆ

 

การแพร่กระจายของจดหมายลูกโซ่จึงแพร่ได้รวดเร็ว ถ้าจดหมายนั้นเน้นการสร้างความหวาดระแวงหวาดกลัวให้กับผู้รับ เช่น ถ้าไม่ส่งต่อ จะได้รับโชคร้ายต่างๆ นานา จึงมีบุคคลบางคนตัดรำคาญ และปฏิบัติตาม จดหมายลูกโซ่ หรือจดหมายที่ไม่พึงปรารถนาเช่นนี้ มีอยู่ในเครือข่ายมากมายมหาศาลในขณะนี้ มีคนสร้างขึ้นทุกวัน และกระจายอยู่ ดังนั้น เพื่อเป็นตัวอย่างที่ดี และไม่แพร่กระจายต่อไป ผู้รับจะต้องหยุดการแพร่ โดยไม่ส่งต่อให้ผู้ใด หากช่วยกันโดยไม่ส่งต่อ จดหมายลูกโซ่นั้นก็จะไม่กระจายเลยออกไปมาก

การโจมตีให้หยุดให้บริการ

นอกจากจดหมายลูกโซ่แล้ว ยังมีวิธีการดำเนินการที่เรียกว่า การโจมตีเพื่อให้เครื่องให้บริการหยุดการให้บริการ การโจมตีมีหลายรูปแบบ เช่น เครื่องเซิร์ฟเวอร์หลักให้บริการจดหมายที่เรียกว่า เมล์เซิร์ฟเวอร์ หากส่งจดหมายอีเมล์เข้าสู่เครื่องพร้อมกันจำนวนมาก หรือที่เรียกว่า เมล์บอมบ์ เครื่องจะรับจดหมายไว้ในเครื่องจนเกิดการ โอเวอร์โฟลว์หรือ พื้นที่เก็บไม่พอ เครื่องก็จะหยุดการทำงาน

การโจมตีนี้มีหลายรูปแบบ ตั้งแต่การส่งจดหมายฉบับเดียว แต่ส่งถึงทุกคนในเครื่องหลักพร้อมกัน หรือ ส่งถึงคนเดียวแต่เป็นจำนวนมาก และหลายฉบับ การโจมตีมีทั้งที่สร้างฐานจากที่เดียวส่งโจมตีมา หรือสร้างจากฐานหลายแห่ง เมื่อได้เวลาก็จะพร้อมโจมตีมาจากฐานหลายแห่ง การโจมตีจนเครื่องหยุดการให้บริการนี้เรียกว่าดิไน- เอิล (Denial) หากเป็นเครื่องดีเอ็นเอส ก็โจมตีโดยการเรียกเข้ามาที่เครื่องด้วยคำสั่งเรียกจำนวน เพื่อให้เครื่องบริการไม่ได้ หรือหากเป็นเว็บเซิร์ฟเวอร์ ก็มีคำขอข้อมูลเข้ามาพร้อมกันเป็นจำนวนมากจนเครื่องไม่สามารถรับได้ทันการโจมตีในลักษณะนี้จึงเหมือนกับการสร้างฐาน โดยอาจมีบุคคลไม่หวังดี ได้สร้างโปรแกรมเจาะเข้าไปในเครื่องต่างๆ บนอินเทอร์เน็ต จากนั้น ให้โปรแกรมที่ฝังตัวอยู่นั้นส่งคำขอมาโจมตีเครื่องเป้าหมาย ซึ่งทำให้เครื่องเป้าหมาย ไม่สามารถป้องกันตนเองได้ เพราะคำขอมาจากที่ต่างๆ มากมายเสมือนการใช้งานปกติ แต่มีปริมาณคำขอมากจนไม่สามารถ ปฏิบัติตามได้ ปัจจุบันมีผู้พัฒนาโปรแกรมโจมตีในลักษณะต่างๆ กัน ตั้งแต่เครื่องบริการเนมเซิร์ฟเวอร์ การโจมตีเครื่องบริการเอฟทีพี โปรแกรมที่แทรกตัวเพื่อทำให้ระบบสื่อการในเครือข่ายเต็มไปด้วยข้อมูลแฝง ทำให้ระบบช้าลง เช่น การส่งข้อมูล เป็นวงรอบผ่านเราเตอร์หลายๆ ตัวเป็นจำนวนมาก การส่งแพ็คเกจ ICMP เพื่อชะลอการทำงานของเราเตอร์ เป็นต้น ระบบการโจมตีมีการพัฒนาไปมาก บางครั้งการสร้างจดหมายวนรอบก็สร้างปัญหาให้กับเครื่องบริการได้แล้ว โดยเฉพาะ ในระบบการส่งจดหมายแบบอัตโนมัติของระบบสมาชิกต่างๆ

เวิร์มผ่านทางเครือข่าย

เมื่อมีการใช้งานเครือข่ายมากขึ้น การพัฒนาเวิร์มบนเครือข่ายก็มากขึ้น การสร้างเวิร์มบนเครือข่ายเป็นเรื่องง่าย เพราะเพียงแค่ส่งจดหมายที่มีการส่งไฟล์ที่เป็นตัวเวิร์มในรูป Attach file ไปด้วย และหาทางโน้มน้าวให้ผู้รับ เปิดอ่านดู เมื่อผู้รับเปิดอ่าน โปรแกรมเวิร์มก็จะได้รับการปลุกให้ทำงาน โปรแกรมจะทำการคัดลอก และสร้างจดหมาย โดยดูจากแอดเดรสบุ๊ค แล้วส่งต่อไปปลายทางอีกตามชื่อที่มี อาจส่งเป็นร้อยฉบับกระจายออกไป เมื่อผู้รับรับแล้ว คลิกดูที่ Attach file อีก ก็จะกระจายต่อไปเรื่อยๆ โดยไม่มีจุดจบ

ตัวอย่างเวิร์มจดหมายรัก I LOVE YOU

เวิร์มจดหมายรักนี้ เริ่มแพร่กระจายราววันที่ 7 พ.ค. 2543 ภายในระยะเวลาไม่กี่ชั่วโมง การแพร่กระจายเป็นไป อย่างรวดเร็ว และเชื่อกันว่า มีเครื่องคอมพิวเตอร์ที่ใช้ไมโครซอฟท์วินโดวส์กว่าล้านเครื่องได้รับไวรัสนี้

การแพร่กระจายทางใดบ้าง

แน่นอน....จดหมายรักมีจุดมุ่งหมายการแพร่กระจายด้วยอีเมล์ไปบนอินเทอร์เน็ต แต่เมื่อแพร่ไปแล้ว จะมีการคัดลอกไฟล์ไว้บนเครื่อง ดังนั้น ถ้าเครื่องนั้นแชร์ข้อมูล หรืออยู่ในเครื่องข่ายเวิร์กกรุ๊ป ที่ใช้ไฟล์ร่วมกัน การแพร่กระจายเข้าสู่เครื่องต่างๆ ก็เกิดด้วย นอกจากการกระจายผ่านไฟล์แบบไวรัสแล้ว ยังกระจายผ่านทาง IRC และกระดานข่าว USENET เพราะมีการส่งไฟล์ระหว่างกันทางนี้ด้วย การที่แหล่งแพร่กระจายมีหลายทาง จึงทำให้เวิร์มตัวนี้ แพร่กระจายเร็วกว่าที่คิด และสร้างความโกลาหลได้อย่างรวดเร็ว การแพร่กระจายผ่านทางอีเมล์กระทำโดยการคัดลอกตัวเอง แล้วสร้างจดหมายฉบับใหม่ ภายใต้โปรแกรมไมโครซอฟท์ เอาท์ลุค (outlook) โดยดูการจ่าหน้าจากแอดเดรสบุ๊ค ลักษณะของจดหมายที่มีเวิร์มตัวนี้ประกอบด้วย

subject :"I LOVE YOU"
Attachment:
"LOVE-LETTER-FOR-YOU.TXT.VBS"
Body of Message:
"kindly check the altachel LOVELETTER coming from me."

การรับจดหมายนี้จะรับได้ผ่านอินเทอร์เน็ต โดยผู้รับจะรู้จักกับผู้ส่งและคุ้นเคยดี ทำให้ไม่กังวลที่จะเปิดไฟล์ดู สิ่งที่เห็นเด่นชัดคือ การส่งไฟล์ที่แนบมาเป็น VBScript หรือสคริปต์ที่รันได้เหมือนโปรแกรม exe ทำให้สามารถเขียนตัวเวิร์ม มาใน VBScriptนี้ได้

การส่งผ่าน IRC

เมื่อมีการเอ็กซีคิวต์ตัวเวิร์มบนเครื่องพีซีแล้ว เวิร์มจะทำการสร้างไฟล์ขึ้นมาไฟล์หนึ่ง ชื่อ script.ini ซึ่งเป็นไฟล์ ที่อยู่ในไดเรคทอรี่ที่ผู้ใช้ IRC ใช้งานเป็นไคลเอนท์

โดยทั่วไปแล้ว ผู้ใช้ IRC ที่เป็นไคลเอนท์จะมี mIRC อยู่ สคริปต์ไฟล์นี้จะพยายามส่งไฟล์เวิร์มผ่านทาง DCC ไปยังผู้ใช้ IRC อื่น ผ่านทางช่องสื่อสารที่มีการเชื่อมโยงใช้งานถึงกัน ดังนั้น ถ้าผู้ใช้ IRC เปิดช่องสื่อสารร่วมด้วย และไม่ดิสเอเบิ้ล การรับไฟล์ก็จะได้ไฟล์เวิร์มผ่านทาง DCC นี้

การแพร่ผ่านทางเวิร์มกรุ๊ปที่ใช้ไฟล์ร่วมกัน

เมื่อมีการเอ็กซีคิวต์ไฟล์เวิร์มแล้ว เวิร์มจะทำการค้นหาไฟล์ แล้วทำการเปลี่ยนแปลงไฟล์เหล่านั้น โดยการเปลี่ยนแปลง ข้อมูลในไฟล์ โดยขึ้นอยู่กับชนิดของไฟล์ การปรับเปลี่ยนข้อมูลในไฟล์จะกระทำทั้งที่อยู่ในฮาร์ดดิสก์ของพีซี หรือของไดรฟ์ ที่ต่ออยู่ในเครือข่ายที่มีการแชร์การใช้งาน

การแปลงข้อมูลมีขั้นตอนดังนี้

- ไฟล์ที่มีส่วนขยายเป็น vbs, vbe จะมีการคัดลอกตัวไฟล์มาแทนข้อมูลเดิม โดยใช้ส่วนขยาย และชื่อเดิม
- ไฟล์ที่มีส่วนขยายเป็น js, jse,css,wsh,sct หรือ hta ไฟล์เหล่านี้จะได้รับการคัดลอกนำข้อมูลตัวเวิร์มมาแทน และเปลี่ยนส่วนขยายเป็น vbs เช่น ไฟล์ที่ชื่อ x.css จะได้รับการเปลี่ยนเป็น x.vbs และภายในไฟล์จะเป็นตัวเวิร์ม
- ไฟล์ที่มีส่วนขยายเป็น jpg หรือ jpeg จะไดัรับการเปลี่ยนให้เป็น .vbs เช่น x.jpg จะเปลี่ยนเป็น x.vbs และมีเวิร์ม อยู่ภายใน
- ไฟล์ที่มีส่วนขยายเป็น mp3 หรือ mp3 ก็จะได้รับการเปลี่ยนให้เป็น .vbs เช่นเดียวกัน และยังเปลี่ยนแอตทริบิวต์ ให้เป็นแบบซ่อมไฟล์

สิ่งที่น่าสังเกตคือ การกระทำของเวิร์มจดหมาย I LOVE YOU นี้ เน้นการดัดแปลงโดยการคัดลอกไฟล์เวิร์มมาแทนที่ในไฟล์ ดังนั้น การแก้ปัญหา หรือการกู้ข้อมูลเดิมจึงทำได้ยากกว่าการลบ

ส่วนอีกประการหนึ่งคือ การสร้างไฟล์ที่ใช้ใน IRC โดยไฟล์ที่เวิร์มสร้างขึ้นจะเป็น mIRC สคริปต์ไฟล์ โดยตัวเวิร์มจะตรวจสอบดูว่าในระบบมีไฟล์ mirc32.exe, mlink32.exe, mirc.ini, script ,ini หรือ mirc, hlp

ซึ่งหมายถึง มีการใช้ IRC เวิร์มจะสร้าง script.int ในโฟลเดอร์เดียวกันนี้ โดย script.ini มีข้อสรุปดังนี้

[script]
no=on 1:JOIN:#:{
n1 = /if (nick ==me) {halt}
n2 = /3.dcc send nick DIRSYSTEM\LOVE-LETTER-FOR-YOU. HTM
n3=}

**ลักษณะสคริปต์นี้เป็นการเปิดช่องเพื่อส่งไฟล์ผ่านกัน** การสร้างไวรัสหรือเวิร์ม เป็นเทคโนโลยีที่ไม่ยาก และมีโอกาสที่จะพัฒนาไปได้อีกมาก ลองนึกดูว่า ถ้าเวิร์ม ILOVEYOU แสดงความรุนแรง ด้วยการเปลี่ยนข้อมูลในแฟลชเมมโมรีที่เก็บระบบเหมือนไวรัสเชอโนบิล ความร้ายแรงระบบจะสร้าง ความเสียหายอีกมากมายมหาศาล

หนทางป้องกัน

ทั้งนี้ หนทางที่จะป้องกันได้อย่างหนึ่งคือ ระมัดระวัง และไม่คลิกเปิดไฟล์ที่แนบมากับจดหมาย หากจะคลิกเปิดไฟล์ จะต้องมั่นใจว่ามาจากผู้ที่ติดต่อด้วย และมั่นใจในข้อมูลที่ส่งมา นอกจากนี้ ควรจะดิสเอเบิ้ล การรันสคริปต์ไฟล์ออกเสีย เพื่อไม่ให้มีการรันสคริปต์ไฟล์


ที่มา : http://technic.asiaaccess.net.th/virus/virusworm.html

โดย : นาย กุศล จันฝาก, สถาบันราชภัฏสงขลา, วันที่ 31 ตุลาคม 2545