วันอังคารที่ 20 กันยายน พ.ศ. 2554

การทำงานของไวรัสแต่ละชนิด

สำหรับ การทำงานของไวรัสที่พบมากในปัจจุบันส่วนใหญ่มีการติดมาจากการใช้ Handy Drive ซึ่งปัจจุบันเป็นที่นิยมกันอย่างแพร่หลาย จึงขออธิบายหลักการทำงานของไวรัสที่พบบ่อยในช่วงนี้ให้ได้ทราบกันครับ
Anti AntiVirus
ไวรัสตัวนี้จะทำการแก้ไข Windows Title ให้เป็น Anti AntiVirus ตลอดเวลา สามารถติดเชื้อ Handy Drive โดยใช้ไฟล์ Auto Run ไวรัสจะแก้ไขค่าใน Registries ที่เกี่ยวกับไฟล์นามสกุล exe ให้ไวรัสเป็นผู้จัดการแทนระบบปฏิบัติการ ด้วยเหตุนี้อาจทำให้เปิดไฟล์ exe ไม่ได้

Hacked by 8BITS ไวรัสถูกเขียนโดยใช้ Visual Basic Script โดยจะสร้างไฟล์ Auto Run ลงบนทุกๆ Drive พร้อมคัดลอกไฟล์ไวรัส kernel32.dll.vbs ไปด้วย ไวรัสจะแก้ไข Title Bar ของ IE เป็น Hacked by 8BITS โดยไวริสชนิดนี้สามารถเรียกใช้โปรแกรมที่ใช้ในการควบคุมการเปิด-ปิดเครื่องของระบบปฏิบัติการ ดังนั้นเครื่องที่ติดไวรัสจะโอกาสปิดลง โดยไม่มีการแจ้งเตือน

Data.exe ไวรัส จะทำการเขียนแก้ไขค่าใน Registries ที่ระบบปฏิบัติการใช้ Run MSN Messenger ในตอนเริ่ม Bootเครื่องด้วยวิธีนี้ทำให้ไวรัสถูกเรียกขึ้นมาทำงาน ทุกครั้งที่ เปิดเครื่อง ในไฟล์ไวรัสปรากฏโค้ดที่พยายามติดต่อกับ www.Atom-Soft.com ผ่านทาง http และ ftp เชื่อว่ามีการเขียนขึ้นมา 3 รุ่น ไวรัสจะแพร่กระจายตัวเองไปทุกๆ Drive และ Folder โดยอาศัยช่วงเวลาที่ผู้ใช้ทำงานใน Folder นั้น ทำการเลียนแบบชื่อ Folder แล้วคัดลอกตัวเองเป็นไฟล์นามสกุล exe มีขนาด 213 KB,221KB และ 224 KB ยกเว้น Program Files และ Desktop ไวรัสจะไม่ติดเชื้อ ไวรัสอาจ Overwrite ไฟล์ exe บนเครื่องได้ เมื่อชื่อ Folder ที่เก็บไฟล์ เป็นชื่อเดียวกับไฟล์ ซึ่งจะทำให้ไฟล์สูญหายไป นอกจากนี้ไวรัสตัวนี้มีฟังก์ชั่นในการทำลายข้อมูลบน Hard Disk ด้วย

.MS32DLL.dll.vbs
ไวรัสตัวนี้เชื่อว่ามาจากการดัดแปลงไฟล์ไวรัสต้นแบบที่ชื่อ VBS.Godzilla ไวรัสตัวนี้กระจายตัวผ่านทาง Handy Drive แล้วจะสร้างไฟล์ Auto Run ลงในทุกๆ Drive บนเครื่อง โดยจะใช้ชื่อไฟล์เป็น .MS32DLL.dll.vbs เมื่อผู้ใช้ Double Click ไวรัสจะถูกเรียกขึ้นมาทำงาน ไวรัสพยายามซ่อนตัวเองโดยการปรับแต่ง Registries และการเปลี่ยนสกุล ไฟล์ไวรัสเป็น Boot.ini เพื่อหลบซ่อนในระบบด้วย
Toy.exe
ไวรัสติดเชื้อ Handy Drive โดยใช้เทคนิค Auto Run ตัวแก้นี้จะทำการแก้ไขไวรัสแบบสมบูรณ์ ไวรัสตัวนี้ไม่ได้ทำลายข้อมูล เพียงแต่ก่อกวน โดยสังเกตที่หน้าจอในตอนที่ Log on เข้าใช้งาน จะมีข้อความเกี่ยวกับการสร้างโลกของพระเจ้า หรือรู้จักไวรัสตัวนี้กันดีในชื่อไวรัสภาษาจีน
music.exe
ไวรัสตัวนี้รู้จักกันดีในชื่อ music.exe ติดเชื้อผ่านทาง Handy Drive โดยเทคนิค Auto Run ไวรัสถูกเขียนโดยใช้ภาษา Visual Basic จะทำการลบไฟล์ นามสกุล *.mp3 และ *.dat ทุกไฟล์ที่พบบนเครื่อง ไวรัสพยายามใช้คำสั่งที่มีวิธีการเหมือนผู้ใช้ทำปกติ แทนที่การเขียนโค้ดโดยตรงเพื่อหลบการวิเคราะห์ไฟล์ของโปรแกรม Anti Virus ไวรัสทำการคัดลอกตัวเองโดยใช้ชื่อ Folder ที่พบ มีนามสกุลเป็น *.exe ตลอดเวลาทำให้เครื่องประมวลผลงานอื่นๆช้าลง แต่ไม่พบฟังก์ชั่นที่เปิดทางให้ Hacker ควบคุม คาดว่าไวรัสตัวนี้ถูกเขียนมาเพื่อทำลายข้อมูล สร้างความเสียหายโดยเฉพาะ

iexp1ore.exe ไวรัสตัวนี้ติดต่อผ่านทาง Handy Drive โดยใช้วิธี Auto Run เมื่อผู้ใช้ Double Click เข้าใช้งานในเครื่องที่ฟังก์ชั่นเล่นอัตโนมัติทำงานอยู่ ไวรัสจะติดเข้าสู่เครื่องทันที ไวรัสจะคัดลอกตัวเองไปใน Folder โปรแกรม Internet Explorer โดยพยายามทำตัวเองเป็นเสมือนโปรแกรม Internet Explorer ทำการแก้ไขทางลัดทุกทางที่จะเรียกใช้โปรแกรมให้ชี้ไปที่ไวรัสแทน Process ของไวรัสมีชื่อว่า iexp1ore.exe โดยไวรัสจะไม่สร้างความผิดปกติใดๆ บนเครื่องที่ติดเชื้อ ทำให้ผู้ใช้ที่ไม่สังเกต ไม่สามารถตรวจพบได้

sxs.exe เครื่องที่ติดไวรัสชนิดนี้ จะไม่สามารถ Double Click เปิดเข้า Drive ต่างๆ ไม่ได้ แต่สามารถเข้าใช้งาน Drive C ได้
คลิป VDO
ความรุนแรงของมันไม่มากแต่ก็เป็นโปรแกรมที่มีความสามารถในการแพร่กระจายตัวเองจากเครื่องหนึ่งไปอีกเครื่องหนึ่งโดยจะสร้างไฟล์ คลิป VDO.exe ลงบนทุกๆ Drive โดยทำ Icon ของมันเป็นแบบ Folder สร้างความรำคาญแก่ผู้ใช้

AdobeR ไวรัส AdobeR.exe หรือ Worm Rjump ตัวนี้สามารถผ่านทาง Handy Drive โดยใช้เทคนิค Auto Run ด้วยเหตุนี้ไวรัสจะติดทันทีที่ผู้ใช้ Click เปิด เพื่อเข้าใช้งานจากอุปกรณ์ที่ติดเชื้อ นอกจากนี้ไวรัสยังทำตัวของมันให้เป็น Protected OS File ทำให้ผู้ใช้มองไม่เห็นตัวมัน
Flashy.exe
ไวรัสชนิดนี้จะทำให้ไม่สามารถเรียกใช้ Task Manager, Registry Editor และ Folder Option ได้ ไม่ว่าจะเรียกด้วยวิธีใด หากพยายามแก้ไขด้วยวิธีการทำ System Restore ถ้าเครื่องของเราได้ทำการตั้งรหัสเอาไว้ ไวรัสจะทำการแก้รหัสของเราใหม่ ทำให้ไม่สามารถ Login เข้าเครื่องของเราได้อีกเลย
Error นี้จะแสดงขึ้นมาทันทีเมื่อ ตรวจพบการใช้งาน Controller ของ Removeble Media ต่างๆ อยู่เฉยๆอาจจะปกติไม่มีอะไร แต่เมื่อเสียบ Card Reader เข้าไป ก็จะ Error ทันที เมื่อเสียบ Flash Drive เข้าไป หรือเสียบ Memory Card เข้าไปใน Card Reader แล้ว หากว่า ใน Memory Card นั้นมี Folder อยู่ Folder เหล่านั้นจะถูกเปลี่ยนให้ไปอยู่ใน สถานะ Hidden ทำให้เราไม่สามารถมองเห็น Folder ของเราในนั้นได้ หากว่าใน Memory Card หรือ Flash Drive ของเรามี Aplication อยู่ (ที่มีนามสกุลว่า .exe) Flashy.exe จะทำการปลอมชื่อตัวเองไปเป็นชื่อเดียวกัน Aplication นั้นๆ ทำให้เราเข้าใจว่า Aplication ของเรากำลังเรียกใช้งานอยู่ตามปกติ จะมีการเขียนค่าลงใน Memory Card ที่เราใส่ลงไป และทำให้ตัวเองมีหน้าตาเหมือน Folder และเมื่อเราเอาไปใช้ที่ใหม่ เครื่องอื่นจะมองเห็นเป็น Folder ทำให้ User ไม่ทันระวังตัว พอ Double Click ไปก็เท่ากับเป็นการ Run ไวรัสเข้าเครื่องในทันที แต่ไวรัสตัวนี้ไม่สามารถแพร่กระจายในเครือข่ายได้
เขียนโดย Pookpik ที่ วันอังคาร, กันยายน 20, 2554

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)