WORM : หนอมคอมพิวเตอร์
หนอนคอมพิวเตอร์เป็นโปรแกรมคล้าย ๆ กับไวรัส แต่หนอน คอมพิวเตอร์ทำงานแตกต่างไปบ้าง กล่าวคือ จะทำงานในระบบเครือข่าย เช่นระบบอินเทอร์เน็ต เมื่อหนอนคอมพิวเตอร์ หาทางเข้าไปสู่หน่วยความจำ ของคอมพิวเตอร์ได้แล้ว มันก็จะเริ่มตรวจสอบ บัญชีรายชื่อ ในแฟ้มลูกข่ายของ เครื่องนั้นว่า มีที่อยู่ของใครบ้าง จากนั้นก็จะก๊อปปี้ตัวมันเอง ส่งไปยังชื่อในบัญชีนั้น เมื่อไปถึงและมีโอกาส เข้าไปสู่หน่วยความจำ แล้วก็จะรอแผลงฤทธิ์ แบบเดียวกันกับ ที่กล่าวมาแล้ว ดังนั้น ในไม่ช้า ในระบบเครือข่าย ก็จะมีหนอนส่งตัวเอง กลับไปกลับมา อยู่ตลอดเวลา ผลก็คือ ระบบเครือข่ายก็ทำงานช้าลง
หนอนคอมพิวเตอร์บางตัว ถูกบรรจุใส่ห่อแฟ้มข้อมูลมาพร้อมกับจดหมายอีเมล์ หากไม่เปิดห่อดูหนอนก็ไม่ออกมาอาละวาด แต่หนอนบางตัวมาพร้อมกับ จดหมายอีเมล์ เลยทีเดียว ดังนั้นเพียงแค่เปิดจดหมายอ่าน หนอนก็ออกมาอาละวาดได้แล้ว หนอนบางตัวเป็นไวรัสด้วย ดังนั้นความร้ายกาจจึงมีมาก
อันตรายที่เกิดจากหนอนคอมพิวเตอร์
หนอนคอมพิวเตอร์สามารถที่จะควบคุมความสามารถบางอย่างของคอมพิวเตอร์ และสามารถที่จะส่งไฟล์หรือข้อมูลที่สำคัญของคุณไปสู่ผู้ที่ไม่หวังดี คู่แข่ง หรือใครก็ได้ ทำให้เกิดความเสียหายได้
การป้องกัน
1. ไม่เปิด ไฟล์ที่แนบมากับ อีเมล ที่ส่งมาจากผู้ที่ไม่รู้ว่าเป็นใคร
2. ถึงไม้ว่าจะรู้ว่าผู้ส่งเป็นใคร ก็ไม่ควรเปิดไฟล์ที่แนบมาถ้าไม่แน่ใจว่าไฟล์ที่แนบมาเป็นอะไรกันแน่
3. ทำการติดตั้งโปรแกรมป้องกันไวรัส
4. ทำการ อัปเดตข้อมูลไวรัสของโปรแกรมป้องกันไวรัสให้เป็นปัจจุบันตลอด
5. ติดตั้งตัวแก้ไขระบบปฏิบัติการ
6. ติดตั้งไฟร์วอลล์
ตัวอย่างหนอนคอมพิวเตอร์
หนอนคอมพิวเตอร์ระบาด MyDoom (Novarg)
หนอนคอมพิวเตอร์ตัวนี้มีชื่อว่า "มายดูม" (MyDoom) หรืออีกชื่อหนึ่งว่า "โนวาร์ก" (Novarg) เครื่องคอมพิวเตอร์ที่ถูกหนอนตัวนี้เจาะเข้าไปแล้ว จะส่งอีเมล์นับร้อยฉบับออกจากเครื่อง โดยใช้ชื่อเรื่อง (Subject:) ว่า "Test" หรือ "Status" และจะส่งโปรแกรมเล็กติดไปด้วย ซึ่งเมื่อผู้รับเปิดโปรแกรมนี้ จะทำให้เครื่องถูกหนอนมายดูมเจาะเข้าสู่ระบบ
อีเมล์ที่ส่งออก จะใช้อีเมล์ผู้ส่งจากแหล่งต่าง ๆ ซึ่งอาจจะไม่ใช้อีเมล์ของเครื่องที่ติดไวรัส และเมื่อเครื่องติดไวรัสแล้ว เครื่องอาจจะถูกควบคุมโดยผู้สร้างไวรัสในภายหลัง
หนอนคอมพิวเตอร์ตัวนี้ จะต้องถูกสั่งรัน มันถึงจะติดได้ เพราะฉะนั้นการเปิดดูอีเมล์เฉย ๆ แล้วลยทิ้งไป จะไม่ทำให้เครื่องติดเชื้อ แต่ถ้าเราสั่งเปิดโปรแกรมที่ถูกส่งมาด้วย อาจทำให้เครื่องติดหนอนคอมพิวเตอร์ตัวนี้ได้
W32.Bugbear.B@mm เป็นหนอนในตระกูลหรือสายพันธุ์ของ W32.Bugbear@mm ซึ่งจัดอยู่ในประเภท Polymorphic (หนอนที่อาศัยการเปลี่ยนแปลงรูปแบบของหนอน มีการแบ่งรหัสของหนอนเป็นส่วนย่อยแทรกอยู่ระหว่างไฟล์) และสามารถแพร่กระจายลงไปในไฟล์ที่เอ็กซิคิวต์ได้
หนอนชนิดนี้มีลักษณะการแพร่กระจายผ่านทางอี-เมล์และการแชร์ไฟล์ รวมทั้งมีความสามารถในการเก็บข้อมูลของการกดคีย์บอร์ด (Keystroke-logger) และเปิดพอร์ตประตูลับ (พอร์ต 1080) ตลอดจนพยายามที่จะหยุดการทำงานของโปรแกรมป้องกันไวรัสและไฟร์วอลล์
การแพร่กระจายของหนอนชนิดนี้ผ่านทางอี-เมล์นั้นจะอาศัยช่องโหว่ของโปรแกรม IE ที่เรียกว่า "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" กล่าวคือเป็นช่องโหว่ที่ให้โปรแกรม Internet Explorer รันไฟล์ที่แนบมากับอี-เมล์โดยอัตโนมัติ
นอกจากนี้หนอนชนิดยังมีจุดเด่นอีกอย่างคือการ flood ไปยังเครื่องพิมพ์ที่เปิดการแชร์ไว้ ทำให้เครื่องพิมพ์ทำการพิมพ์ข้อมูลที่เป็นขยะออกมามากมาย
วิธีกำจัดหนอนชนิดนี้
สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
- ถ้าใช้งานระบบปฏิบัติการวินโดวส์ ME หรือ XP ให้ทำการ disable System Restore ก่อน
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโปรแกรมป้องกันไวรัสที่ท่าน ใช้ หรือ ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
- รีสตาร์ทเครื่องให้เข้าในระบบแบบ Safe Mode โดยในระบบ windows 95/2000/XP ให้กด F8 ระหว่างการบูตเครื่อง และ windows 98/ME ให้กดปุ่ม Ctrl
- สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมูลไวรัสจากข้อที่ 2 หลังจากการสแกนโปรแกรมป้องกันไวรัสจะทำการลบไฟล์ตัวหนอนออกจากระบบทั้งหมดที่กล่าวมาแล้วในข้างต้น
การกำจัดหนอนแบบอัตโนมัติ
- ดาวน์โหลดโปรแกรม Sysclean.com จากเว็บไซต์ http://www.trendmicro.com/ftp/products/tsc/sysclean.com
- ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
- แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์ Sysclean.com ที่ได้จากข้อ 1
- ตัดการเชื่อมต่อเครือข่าย
- หยุดการทำงานทุกโปรแกรม รวมทั้งโปรแกรมป้องกันไวรัสด้วย
- จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
- เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
- ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
หนอนคอมพิวเตอร์ชวนเหยื่อเล่นเกมเตอร์ติส
หนอนชวนเล่นเกมเตอร์ติสนี้มีชื่อว่า Cellery.A อาศัยเกมเตอร์ติสเป็นตัวล่อเหยื่อ โดยขณะที่เหยื่อกำลังเล่นเกมเตอร์ติส (Tetris) อย่างเมามัน หนอนตอมพิวเตอร์จะเริ่มแพร่กระจายตัวเองไปยังฮาร์ดดิสก์ของเครื่อง คอมพิวเตอร์ตัวอื่นในเครือข่าย โดยโซโฟสระบุว่าการสำรวจในระยะนี้พบการแพร่กระจายในเครื่องที่ใช้ระบบปฎิบัต ิการวินโดวส์ของไมโครซอฟท์เท่านั้น ทั้ง Windows 95, 98, ME, NT, 2000 และ XP ตามการรายงานของบีบีซี
การใช้เกมเป็นช่องทางในการแพร่กระจายโค้ดในเครือข่ายนั้นไม่ใช่เรื่อง ธรรมดา ในอดีตที่ผ่านมาการแพร่กระจายของหนอนคอมพิวเตอร์ที่มากับเกมเตอร์ติสนั้น อาศัยช่องทางแชทหรือการก๊อปปี้เกมด้วยมือตามปกติ โดยโซโฟสไม่มีการระบุถึงหนอนคอมพิวเตอร์เกมเตอร์ติสเวอร์ชันก่อนหน้านี้แต่ อย่างใด ขณะที่มีการเพิ่มชื่อหนอนตระกูล Cellery เพื่ออัปเดทฐานข้อมูลรายชื่อไวรัสล่าสุดของตัวเอง
ตามรายงานพบว่าหนอน Cellery จะไม่สร้างอันตรายกับเครื่องมากมาย และคาดว่าความเสี่ยงต่อการติดเชื้อจะยังคงมีเล็กน้อยเท่านั้น เนื่องจากพบเครื่องที่ติดเชื้อเพียงไม่กี่เครื่องในขณะนี้
หนอน Cellery ไม่ได้แพร่กระจายทางอีเมลอย่างเช่นหนอนหรือไวรัสอื่นๆ แต่จะสแกนหาเครื่องคอมพิวเตอร์ในเครือข่ายที่ไม่มีการรักษาความปลอดภัยด้าน การเชื่อมต่อ เมื่อหาพบหนอน Cellery จะติดตั้งเกม Tetris ที่ยูเซอร์สามารถเล่นได้จริง ซึ่งทันทีที่เพลงประกอบเกมเริ่มต้นขึ้น หนอน Cellery ก็จะเริ่มสแกนหาเครื่องคอมพิวเตอร์ในเครือข่ายต่อไป
"หากหนอนนี้แพร่กระจายในบริษัทที่อนุญาตให้สามารถเล่นเกมในสำนักงานได้ พนักงานในบริษัทนั้นก็จะเข้าใจว่าเพิ่งมีการติดตั้งเกมใหม่ตามปกติ ซึ่งเป็นจุดพรางตัวเองได้อย่างแนบเนียนที่องค์กรต้องระวัง" เกรแฮม คลูลีย์ (Graham Cluley) ที่ปรึกษาด้านเทคโนโลยีอาวุโสของโซโฟสกล่าว ตามรายงานของซีเน็ต
การติดเชื้อบนเครือข่ายจะลดลงได้หากป้องกันด้วยการสแกนทราฟฟิกในเครือข่าย และเจ้าของเครื่องคอมพิวเตอร์ที่ติดเชื้อจะต้องไม่ใช้เวลาเล่นเกมเตอร์ติส ซึ่งในจุดนี้โซโฟสแนะนำว่าอย่าไว้ใจเหตุกรณ์แปลกๆที่ปรากฎในเครื่องและให้มี การอัปเดทโปรแกรมแอนตี้ไวรัสล่าสุดอยู่ตลอดเวลา
หนอนคอมพิวเตอร์ “โซท็อบ”
หนอนคอมพิวเตอร์ตัวใหม่ชื่อ “โซท็อบ” มุ่งเป้าโจมตีระบบปฏิบัติการวินโดวส์ 2000 โดยเฉพาะ ลูกค้าที่ใช้ระบบปฏิบัติการวินโดวส์เอ็กซ์พี และวินโดวส์เวอร์ชั่นอื่นจะไม่ได้รับผลกระทบจากหนอนตัวนี้
หนอนคอมพิวเตอร์ “ conficker, downadup, หรือ kido ”
หนอนตัวนี้ชื่อ conficker, downadup, หรือ kido หนอนตัวนี้มีวิธีแพร่กระจายตัวเองหลัก ๆ อยู่สามช่องทาง ผ่านทางช่องโหว่ของวินโดวส์ (เหมือนหนอนตัวอื่น ๆ) หรือแพร่ตัวเองผ่านเครือข่ายที่มีการป้องกันที่หละหลวมเช่นมีการเปิดให้ใช้ ดิสก์ร่วมกันแต่ไม่มีการตั้งรหัสผ่านไว้ เป็นต้น และอีกช่องทางหนึ่งคือทางแฟลชไดรว์
เมื่อ เจ้าหนอนตัวนี้เข้ามาติดเครื่องเราแล้ว มันจะปิดบริการการสำรองข้อมูล (backup) อัตโนมัติ ลบจุดย้อนกลับ (restore point) ปิดการทำงานของบริการด้านความปลอดภัยบางตัว กันไม่ให้เครื่องเราเข้าสู่เว็บด้านความปลอดภัยต่าง ๆ และเปิดทางให้เจ้าของหนอนเข้ามาควบคุมเครื่องของเราได้ ดังนั้นวิธีการหนึ่งของที่เราจะตรวจสอบว่าเครื่องเราติดหนอนตัวนี้หรือไม่ก็ คือลองเข้าเว็บด้านความปลอดภัยทางคอมพิวเตอร์ดู ถ้าเข้าไม่ได้ แต่เข้าเว็บอื่น ๆ ได้ตามปกติ ก็มีความเป็นไปได้ว่าเราจะติดหนอนตัวนี้
สิ่ง ที่ผู้เชี่ยวชาญกังวลเกี่ยวกับหนอนตัวนี้ก็คือตอนนี้อาจจะมีเครื่อง คอมพิวเตอร์ประมาณ 9 ล้านเครื่องที่ติดหนอนตัวนี้ โดยที่ผู้ใช้ไม่รู้ตัว และที่น่าสนใจก็คือผู้เชี่ยวชาญยังไม่รู้ว่าผู้พัฒนาหนอนตัวนี้จะสั่งให้ หนอนที่อยู่ในเครื่องประมาณ 9 ล้านเครื่องนี้ทำอะไร มีบางคนบอกว่าการติดเชื้อจากหนอนตัวนี้อาจเป็นการติดเชื้อที่เลวร้ายที่สุด นับจากการติดเชื้อของหนอน Slammer เมื่อเดือนมกราคม พ.ศ. 2546
วิธีการป้องกันไม่ให้เครื่องของเราติดหนอนตัวนี้ก็คือการปรับปรุงวินโดวส์ของเรา ตามที่ไมโครซอฟต์แจ้งมา ถ้าเป็นไปได้ก็ให้เปิดระบบปรับปรุงอัตโนมัติ(auto update) ไว้ ซึ่งจริง ๆ แล้วไมโครซอฟต์ได้ออกส่วนปรับปรุงช่องโหว่ที่หนอนตัวนี้ใช้ในการโจมตีมา ตั้งแต่เดือนตุลาคมปีที่แล้ว แต่จากข้อมูลพบว่ายังมีเครื่องคอมพิวเตอร์ที่ใช้วินโดวส์ถึงร้อยละสามสิบที่ ยังไม่ได้ติดตั้งส่วนปรับปรุงดังกล่าว อีกวิธีการหนึ่งก็คือให้เราติดตั้งโปรแกรมป้องกันไวรัสที่สามารถตรวจจับหนอน ตัวนี้ได้ เช่น Norton Antivirus 2009 และ AVG
หนอนคอมพิวเตรอร์ "Check up this"
หนอนคอมพิวเตรอร์ "Check up this" ที่มียูอาร์แอลและไฮเปอร์ลิงค์ ซึ่งจะมีหนอนคอมพิวเตอร์ม้าโทรจันแฝงตัวอยู่ ทั้งนี้ ม้าโทรจัน เป็นที่รู้จักทั้งในชื่อของ Warezov หรือ Stration เหมือนเวอร์ชั่นก่อนหน้าที่ถูกตรวจจับเมื่อเดือนกุมภาพันธ์ แต่ต่างกันที่มียูอาร์แอลลิงค์ใหม่ และเป็นหนอนคอมพิวเตอร์เวอร์ชั่นใหม่
ตัวหนอน จะไม่สร้างตัวเองขึ้นใหม่ แต่เมื่อทำงาน ลิงค์ยูอาร์แแอล จะส่งไปให้ทุกคนที่อยู่ในรายชื่อผู้ติดต่อของผู้ใช้งาน โดยเมื่อผู้ใช้หลงไปคลิกลิงค์ที่ให้มา ระบบจะเชื่อมโยงไปที่เวบไซต์ที่มีโปรแกรมร้ายชื่อไฟล์ file_01.exe ที่เตรียมพร้อมจะทำงาน
ทันทีที่ไฟล์ดังกล่าวถูกเรียกให้ทำงาน ไฟล์อื่นๆ อีกหลายไฟล์ก็จะถูกดาวน์โหลดและเรียกให้ทำงานตามไปด้วย ไฟล์ที่ดาวน์โหลดนั้น จะเป็นเวอร์ชั่นอื่นๆ ของหนอนคอมพิวเตอร์ Waresov และ Stration นั่นเอง
หลังจากนั้น ม้าโทรจันถูกติดตั้งในเครื่อง และจะพยายามจะต่อเชื่อมไปที่เครื่องแม่ข่ายที่รองรับงานด้านอีเมล ของยาฮู อิงค์ เพื่อส่งข้อความที่เป็น เอสเอ็มทีพี (Simple Mail Transfer Protocol:SMTP)
ทั้งนี้ สไกป์ ออกมาระบุว่า กำลังหาพันธมิตรด้านระบบความปลอดภัย เพื่อนำเสนอการกลั่นกรองลิงค์ที่มีหนอนคอมพิวเตอร์แฝงอยู่ด้วย
นายเคิร์ท เซาเออร์ ประธานเจ้าหน้าที่ด้านความปลอดภัยของสไกป์ กล่าวว่า ไวรัสร้าย และม้าโทรจัน อาจทำลายข้อมูลที่เก็บอยู่ในเครื่องคอมพิวเตอร์ของผู้ใช้งาน ทั้งการใช้ผ่านอีเมล หรือโปรแกรมสนทนาทันใจ (ไอเอ็ม)
สไกป์ ยังให้คำแนะนำกับผู้ใช้ที่จะเปิดไฟล์ที่แนบมากับเมลหรือไอเอ็ม และให้ลูกค้าใช้ซอฟต์แวร์แอนตี้ไวรัส เพื่อตรวจสอบไฟล์ที่เข้ามาในระบบด้วย
ไม่มีความคิดเห็น:
แสดงความคิดเห็น