Spyware คือ โปรแกรมที่แฝงเข้ามาในคอมพิวเตอร์ขณะที่คุณท่องอินเตอร์เน็ต ถูกเขียนขึ้นมาสอดส่อง
หลักการทำงาน
การใช้งานเครื่องคอมพิวเตอร์ของคุณ และจะทำการเก็บพฤติกรรมการใช้งานอินเตอร์เน็ตของเรา รวมถึงข้อมูลส่วนตัวหลาย ๆ อย่าง
ได้แก่ ชื่อ - นามสกุล , ที่อยู่ , E-Mail --mlinkarticle--} Address และอื่น ๆ ซึ่งอาจจะรวมถึงสิ่งสำคัญต่าง ๆ เช่น Password หรือ หมายเลข บัตรเครดิตของเราด้วย
อาการที่เกิดขึ้น
ถ้าหากคอมของคุณเริ่มมีพฤติกรรมแปลกๆหรือแสดงอาการดังต่อไปนี้คุณอาจมีสปายแวร์ติดตั้อยู่ก็เป็นได้
·
คุณเห็นโฆษณาป๊อบอัพโผล่ขึ้นมาบนหน้าจอ
แม้ว่าคุณไม่ได้ติดต่อกับอินเทอร์เน็ตอยู่ก็ตาม
·
โฮมเพจหรือเพจแรกที่บราวเซอร์ของคุณเรียกขึ้นมาหรือเพจค้นหาข้อมูลมีการเปลี่ยนแปลงโดยที่คุณไม่ทราบมาก่อน
·
คุณสังเกตเห็นทูลบาร์แบบใหม่ที่คุณไม่ต้องการในบราวเซอร์
และการขจัดทูลบาร์ดังกล่าวทิ้งไปทำได้ยากมาก
·
คอมพิวเตอร์ของคุณทำงานบางอย่างนานกว่าปกติ
·
คุณเจอปัญหาคอมพิวเตอร์แฮงก์บ่อยครั้ง
วิธีแก้ไข
- ดาวน์โหลดเครื่องมือแจกฟรีชนิดใดชนิดหนึ่งจากรายการที่อยู่ด้านล่าง
จากนั้นทำการติดตั้งเครื่องมือดังกล่าวลงไปในคอมพิวเตอร์ของคุณ
- สั่งงานเครื่องมือให้ทำการสแกนดูว่าในคอมพิวเตอร์ของคุณมีสปายแวร์หรือซอฟต์แวร์ไม่พึงประสงค์หรือไม่
- ทบทวนรายการของไฟล์ต่างๆที่เครื่องมือค้นหาสปายแวร์พบในคอมพิวเตอร์ของคุณ
- ลบไฟล์ที่ต้องสงสัยทิ้งไป
โดยการปฏิบัติตามคำสั่งของเครื่องมือดังกล่าว
2. สนิฟเฟอร์ (sniffer)
sniffer คืออุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลในเครือข่าย มีการนำ sniffing program มาใช้เป็นเวลานานแล้ว
ลักษณะการใช้จะแบ่งเป็น 2 ประเภทคือ sniffer เชิงพานิชย์ ซึ่งใช้ในการดูแลเครือข่ายและ sniffer ซ่อนเร้น ซึ่งใช้ในการโจมตีหรือบุกรุกคอมพิวเตอร์โดยใช้งานโปรแกรม ได้แก่
1. การดักจับรหัสผ่านและ user name จากเครือข่าย ซึ่ง hacker/แก้ไขโปรแกรม=ผิดลิขสิทธิ์ ใช้ในการเจาะเข้าสู่ระบบ
2.ใช้ในการวิเคราะห์ปัญหาเรื่องความผิดพลาดของเครือข่าย
3.การวิเคราะห์ประสิทธิภาพของเครือข่าย
4. ใช้ในระบบตรวจจับการบุกรุก
หลักการทำงาน
โปรแกรมสนิฟเฟอรส่วนใหญ่ทำงานให้กับอีเธอร์เน็ตการ์ดแทบทุกแบบ
และเมื่อจับเฟรมข้อมูลขึ้นมาได้แล้ว ก็จะนำไปใส่ในบัฟเฟอร์ โดยการจับ ข้อมูลมีอยู่
2 โหมด จับข้อมูลจนกระทั่งบัฟเฟอร์เต็ม หรือใช้บัฟเฟอร์แบบ round-robin (เขียนข้อมูลใหม่ทับข้อมูลที่เก่าที่สุด) โปรแกรมบางชนิด (เช่น BlackICE Sentry
IDS ของ Network ICE) สามารถใช้ดิสก์เป็นบัฟเฟอร์แบบ round-robin ในการจับข้อมูลที่ความเร็วเต็มที่ 100 mbps ได้ ซึ่งทำให้มีบัฟเฟอร์ขนาดหลายกิกะไบต์
แทนที่จะใช้เฉพาะหน่วยความจำที่มีขนาดจำกัด
วิธีป้องกัน
1. อย่างแรกเลย เปลี่ยนจาก Hub มาใช้ Switch
2. หลีกเลี่ยงการส่งข้อมูลที่ไม่มีการเข้ารหัส
3. ให้ตระหนักว่า ใน network นั้นสามารถถูกดักอ่านได้เสมอ เพราะฉะนั้นการส่งข้อมูลแต่ละครั้ง ต้องประเมินว่า หากโดนดักอ่านแล้วจะคุ้มกันมั้ย หากมีความสำคัญมากควรหาวิธีอื่นในการส่งข้อมูล
4. หากมีการใช้บริการเกี่ยวกับด้านการเงิน หรือข้อมูลรหัสผ่าน ให้เลือกใช้ผู้บริการที่เข้ารหัสข้อมูลด้วย SSL
5. หากสามารถเพิ่มความปลอดภัยของการส่งข้อมูลด้วยการเข้ารหัส ก็จะเป็นวิธีที่ดี แม้การส่งแบบนี้จะโดนดักได้ แต่ข้อมูลมีการเข้ารหัสไว้ ทำให้คนที่ดักไป ต้องไปนั่งปวดหัวถอดกันอีก โดยใช้โปรแกรมเข้ารหัสไฟล์
6. หากมีการสื่อสารข้อมูลภายในองค์กรโดยผ่านอินเทอร์เน็ต การนำเทคโนโลยีของ VPN (Vitual Private Network) มาใช้จะช่วยเพิ่มความปลอดภัยได้
การใช้ประโยชน์จาก
Sniffer
1. Network Analyzer
แปล ตรงตัวครับ คือการนำ sniffer มาดักข้อมูลบนเน็ตเวิร์คทำให้เรารู้ว่า network นั้นเป็นไปอย่างไร มี packet (หรือข้อมูล) ที่วิ่งไปวิ่งมานั้น มีอะไรบ้าง และ แพ็กเก็ต ที่วิ่งไปวิ่งมา มีอันตรายอะไรหรือเปล่า มีผู้ใช้มาน้อยเพียงไร เวลาใดมีคนใช้เยอะและเวลาใดมีคนใช้น้อย ผู้ใช้ ใช้แบนด์วิดธ์ไปในทางไหนบ้าง ข้อมูลเหล่านี้ เราสามารถเอามาประเมินเพราะจัดการระบบ network ของเราได้
2. Network Debugging Tools
ใน บางครั้ง Application ที่สื่อสารกันบน network นั้นเกิดมีความผิดพลาดขึ้นมาในการส่งข้อมูลและสื่อสาร เราต้องสืบลงไปดูถึงการวิ่งของ แพ็กเก็ตกันเลย และ sniffer นี่แหละที่จะช่วยไปสืบมาให้เราดู เพื่อจะดูว่า การส่งข้อมูลนั้นถูกต้องหรือไม่ มีอะไรแปลกปลอมวิ่งอยู่รึเปล่า โดนเฉพาะกรณีที่มีการใช้เครื่องมือระดับ network มาเกี่ยวด้วย เช่น ส่งไฟล์ผ่าน fire wall แล้วมีปัญหา หรือการทดสอบ ACL (Access Control List) ของเราเตอร์ เป็นต้น หากไม่มี sniffer แล้วเราก็จะหากต้นตอของปัญหาได้ยาก
3. Packet Monitoring
กรณีการ ศึกษาโปรโตคอลในระดับ network จำเป็นต้องเห็นข้อมูลที่มันสื่อสารกันจึงจะเห็นภาพจริงได้ packet monitoring เป็นการนำแพ็กเก็ตมาแสดงให้ดูให้ผู้ใช้เห็นในรูปแบบต่างๆ เช่นการ scan ของ hacker หากไม่มีเครื่องมือประเภท sniffer แล้วเราก็จะรู้ได้ลำบาก
4. IDS (Intrusion Detection System)
IDS คือ ระบบตรวจจับผู้บุกรุก เป็นตัวที่อยู่บน traffic เพื่อดูข้อมูลที่วิ่งไปวิ่งมาบน network ว่ามีข้อมูลอะไรบ้าง และหากมีข้อมูลที่เป็นอันตราย ตามที่มันได้ถูก config ไว้มันก็จะเตะข้อมูล(หรือแพ็กเก็ต)นั้นทิ้งไป และหากมันพบว่าข้อมูลไม่เป็นอันตราย มันก็จะอนุญาติให้ผ่านไป การทำงานต่างกับไฟล์วอลนะ อย่าเหมารวมกัน ซึ่ง IDS นั้นถือว่าเป็นเครื่องมือกันทรงพลังของเหล่า admin. เลย และ IDS ก็จะมี sniffer อยู่ในตัวมันด้วย
3. ฟิชชิ่ง (phishing)
phishing คือการหลอกลวงทางอินเตอร์เน็ตในรูปแบบของการปลอมแปลงอีเมล์ หรือข้อความที่สร้างขึ้นเพื่อหลอกให้เหยื่อเปิดเผยข้อมูลทางด้านการเงินหรือ ข้อมูลส่วนตัวต่างๆ อาทิ ข้อมูลหมายเลขบัตรเครดิต หมายเลขประจำตัวผู้ใช้ (User name) รหัสผ่าน (password) หมายเลขบัตรประจำตัว
ความเสียหายที่เกิดขึ้น
1. มิจฉาชีพออนไลน์ จะนำข้อมูลบัตรเครดิต
หรือข้อมูลส่วนตัวที่ได้ไปใช้ประโยชน์ทางการเงินต่างๆ เช่น ซื้อสินค้า
สมัครบัตรเครดิต สมัครสินเชื่อ หรือแม้แต่ทำสิ่งผิดกฎหมายอื่นๆ
ในนามของท่านโดยที่ท่านไม่ทราบจนกว่าจะได้รับใบแจ้งหนี้จากธนาคารมาเรียกเก็บเป็นต้น
2. เหยื่ออาจถูกหลอกให้โอนเงินไปให้ผู้ไม่ประสงค์ดี
3. มิจฉาชีพออนไลน์อาจนำข้อมูลส่วนบุคคลของเหยื่อไปเปิดเผยในอินเทอร์เน็ต
หรือนำไปใช้ในทางเสียหาย
4. มิจฉาชีพออนไลน์อาจขู่กรรโชกทรัพย์ด้วยข้อมูลส่วนบุคคลของเหยื่อที่ได้ไป
วิธีการป้องกัน
1. หยุดคิดก่อนคลิก
และพิจารณาข้อมูลที่ได้รับทางอีเมล ข้อความ (SMS) หรือข้อมูลที่เข้าไปดูในเว็บไซต์ทุกครั้ง และ
ควรลบข้อมูลที่น่าสงสัยนั้นทิ้งทันที
2. หากมีความจำเป็นต้องกรอกหรือส่งข้อมูลใดทางเว็บไซต์
ต้องพิจารณาความน่าเชื่อถือของเว็บไซต์ดังกล่าวว่ามีตัวตนหรือมีการรับรองหรือไม่
หากไม่แน่ใจควรติดต่อไปยังเจ้าของเว็บไซต์หรือเจ้าของสถาบันการเงินดังกล่าว
เพื่อสอบถามข้อมูลและยืนยันข้อมูลก่อนการดำเนินการใดๆ เช่น
ตรวจสอบที่อยู่ของเว็บไซต์สถาบันการเงินที่ปลอดภัย ซึ่งจะขึ้นต้นด้วย “https://” ซึ่ง s คือ security หมายถึง ความปลอดภัย ไม่ใช่มีแค่ “http://”
3. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอีเมลซึ่งมาจากบุคคลที่ไม่รู้จัก
หรือไม่มั่นใจว่าผู้ส่งเป็นใคร หรือไม่ทราบว่าไฟล์ดังกล่าวเป็นไฟล์อะไร
ตลอดจนเว็บไซต์หรือไฟล์ที่ถูกส่งมาด้วยโปรแกรมสนทนาประเภทต่างๆ เช่น IRC, ICQ, MSN หรือ PIRCH เป็นต้น
4. พึงระลึกไว้เสมอว่า ไม่มีธนาคารใดๆ
จะสอบถามข้อมูลส่วนตัว, ข้อมูลบัญชี หรือ PIN ของคุณผ่านทางอีเมล
5. ติดตั้งโปรแกรมต้านไวรัสและ Firewall ซึ่งสามารถป้องกันการรับอีเมลที่ไม่พึงประสงค์หรือการสื่อสารจากผู้ที่ไม่
ได้รับอนุญาต การติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ก็สามารถป้องกันผู้ลักลอบ (hacker) หรือผู้ส่งอีเมลปลอมได้
6. ควรตรวจสอบข้อมูลบัญชีบัตรเครดิตและใบแจ้งยอดบัญชีออนไลน์เป็นประจำอย่างน้อยเดือนละครั้ง
ท่านอาจจะพบอีเมลหลอกลวงและป้องกันผลเสียที่อาจเกิดขึ้นได้อย่างทันท่วงที
4. การสแปม (spaming)Spaming คือ การส่งอีเมลที่มีข้อความโฆษณาไปให้โดยไม่ได้รับอนุญาตจากผู้รับ การสแปมส่วนใหญ่ทำเพื่อการโฆษณาเชิงพาณิชย์ มักจะเป็นสินค้าที่น่าสงสัย หรือการเสนองานที่ทำให้รายได้อย่างรวดเร็ว หรือบริการที่ก้ำกึ่งผิดกฏหมาย ผู้ส่งจะเสียค่าใช้จ่ายในการส่งไม่มากนัก แต่ค่าใช้จ่ายส่วนใหญ่จะตกอยู่กับผู้รับอีเมลนั้น
เกิดขึ้นจาก
ก็อย่างที่เรารู้กันว่าการส่งอีเมล์เป็นการสื่อสารที่เสียค่าใช่จ่ายน้อยและสามารถเข้าถึงกลุ่มผู้บริโภคได้จำนวนมาก
พวกสร้าง SPAM ก็คือพวกที่ต้องการเข้าถึงกลุ่มผู้บริโภคให้ได้มากที่สุดเพื่อจุดประสงค์ในการ
โฆษณาขายสินค้า, ประชาสัมพันธ์ ทางธุรกิจของตน
จึงใช้วิธีการให้ได้มาซึ่งอีเมล์แอดเดรสของกลุ่มผู้บริโภคที่เป็นกลุ่มเป้าหมาย
ซึ่งอาจเป็นได้จากหลายกรณี เช่น การที่เราส่งต่ออีเมล์ต่างๆ, การใช้อีเมล์แอดเดรสในการสมัครสมาชิกของกลุ่มข่าว( newsgroup) หรือ สมัครสมาชิกของwebsite ต่างๆ เป็นต้น
วิธีป้องกัน
จะเห็นได้ว่า SPAM เกิดจากการที่พวกที่สร้าง SPAM รู้อีเมล์แอดเดรสของเรา ดังนั้นการป้องกันที่สาเหตุที่ดีที่สุด
คือการที่ป้องกันไม่ให้คนอื่นที่ไม่จำเป็นหรือไม่เกี่ยวข้องในติดต่อรู้อีเมล์แอดเดรสของเรา
แต่ถ้าเราไม่สามารถป้องกันได้ที่สาเหตุตั้งแต่แรก
และเราได้เคยได้รับ SPAM อีเมล์แล้ว
เราก็สามารถการป้องกันได้ที่ปลายเหตุ โดยใช้ความสามารถของอีเมล์ไคลเอ็นท์ เช่น Microsoft Outlook ในการกรอง SPAM อีเมล์
หรือ/และร่วมกับความสามารถของอีเมล์เซอร์เวอร์ เช่น Microsoft Exchange
หรือ ซอร์ฟแวร์ anti-spam เพิ่มเติม ตามความเหมาะสม โดยทั่วไปการป้องกัน SPAM สามารถทำได้ดังนี้
- ใช้ Outlook ในการกรองอีเมล์ SPAM
- หลีกเลี่ยงการตอบอีเมล์ SPAM
- ไม่ควรใช้อีเมล์แอดเดรสที่ใช้ในองค์กร
ในการลงทะเบียนใดๆ บนอินเตอร์เน็ต
- ถ้าคุณเป็นผู้ดูแลระบบคุณอาจจะต้องกำหนดให้ผู้ใช้เครือข่ายของคุณใช้กฎการป้องกันอีเมล์
- หากคุณมี web site เป็นของตัวเอง ไม่ควรใส่อีเมล์แอดเดรสหลักที่คุณใช้ในองค์กรลงบน web site
- หากต้องใช้อีเมล์แอดเดรสในการลงทะเบียน
website ใดๆให้อ่าน privacy policy ให้ละเอียด
- ลบข้อมูลของคุณจาก profile ต่างๆที่อาจค้นเจอได้โดยทางอินเตอร์เน็ต
- ไม่ควรส่งต่ออีเมล์ประเภท chain e-mail หรือ forward mail
5. ไวรัส (Vius)
Vius คือ โปรแกรมคอมพิวเตอร์ที่พัฒนาขึ้นมา เพื่อก่อกวนทำลายระบบคอมพิวเตอร์ไม่ว่าจะเป็นข้อมูลชุดคำสั่ง หรืออุปกรณ์ต่างๆ เช่น แผ่นดิสก์ ฮาร์ดดิสก์ หน่วยความจำคอมพิวเตอร์ และเป็นโปรแกรมที่สามารถกระจายจากคอมพิวเตอร์ตัวหนึ่ง ไปยังคอมพิวเตอร์อีกตัวหนึ่งได้โดยผ่านระบบสื่อสารคอมพิวเตอร์ เช่น โดยผ่านทาง แผ่นบันทึกข้อมูล (Diskette) หรือระบบเครือข่ายข้อมูล
อาการที่เกิด
|
สามารถสังเกตุการทำงานของเครื่องคอมพิวเตอร์ถ้ามีอาการดังต่อไปนี้อาจเป็นไปได้ว่าได้มีไวรัสเ้ข้าไปติดอยู่ในเครื่องแล้ว
อาการที่ว่านั้น ได้แก่
|
|
|
การกำจัดไวรัส
|
เมื่อแน่ใจว่าเครื่องติดไวรัสแล้ว
ให้ทำการแก้ไขด้วยความใคร่ครวญและระมัดระวังอย่างมาก
เพราะบางครั้งตัวคนแก้เองจะเป็นตัวทำลายมากกว่าตัวไวรัสจริงๆ เสียอีก
การฟอร์แมตฮาร์ดดิสก์ใหม่อีกครั้งก็ไม่ใช่วิธีที่ดีที่สุดเสมอไป
ยิ่งแย่ไปกว่านั้นถ้าทำไปโดยยังไม่ได้มีการสำรองข้อมูลขึ้นมาก่อน
การแก้ไขนั้นถ้าผู้ใช้มีความรู้เกี่ยวกับไวรัสที่กำลังติดอยู่ว่าเป็นประเภทใดก็จะช่วยได้อย่างมาก
และข้อเสนอแนะต่อไปนี้อาจจะมีประโยชน์ต่อท่าน
|
|
บูตเครื่องใหม่ทันทีที่ทราบว่าเครื่องติดไวรัส
|
|
เมื่อทราบว่าเครื่องติดไวรัสให้ทำการบูตเครื่องใหม่ทันที
โดยเรียกดอสขึ้นมาทำงานจากฟลอปปีดิสก์ที่ได้เตรียมไว้
เพราะถ้าไปเรียกดอสจากฮาร์ดดิสก์
เป็นไปได้ว่าตัวไวรัสอาจกลับเข้าไปในหน่วยความจำได้อีก
เมื่อเสร็จขั้นตอนการเรียกดอสแล้ว ห้ามเรียกโปรแกรมใดๆ ก็ตามในดิสก์ที่ติดไวรัส
เพราะไม่ทราบว่าโปรแกรมใดบ้างที่มีไวรัสติดอยู่
|
|
เรียกโปรแกรมไวรัสขึ้นมาตรวจหาและทำลาย
|
|
ให้เรียกโปรแกรมตรวจจับไวรัส
เพื่อตรวจสอบดูว่ามีโปรแกรมใดบ้างติดไวรัส
ถ้าโปรแกรมตรวจหาไวรัสที่ใช้อยู่สามารถกำจัดไวรัสตัวที่พบได้ก็ให้ลองทำดู
แต่ก่อนหน้านี้ให้ทำการคัดลอกเพื่อสำรองโปรแกรมาที่ติดไวรัสไปเสียก่อน
โดยโปรแกรมจัดการไวรัสบางโปรแกรมสามารถสั่งให้ทำสำรองโปรแกรมที่ติดไวรัสไปเป็นอีกชื่อหนึ่งก่อนที่จะกำจัดไวรัส
เช่น MSAV ของดอสเอง เป็นต้น
|
|
การทำสำรองก็เพราะว่า
เมื่อไวรัสถูกกำจัดออกจากโปรแกรมไป โปรแกรมนั้นอาจไม่สามารถทำงานได้ตามปกติหรือทำงานไม่ได้เลยก็เป็นไปได้
วิธีการตรวจขั้นต้น คือ
ให้ลองเปรียบเทียบขนาดของโปรแกรมหลังจากที่ถูกกำจัดไวรัสไปแล้วกับขนาดเดิม
ถ้ามีขนาดน้อยกว่าแสดงว่าไม่สำเร็จ
หากเป็นเช่นนั้นให้เอาโปรแกรมที่ติดไวรัสที่สำรองไว้ แล้วหาโปรแกรมจัดการไวรัสตัวอื่นมาใช้แทน
แต่ถ้ามีขนาดมากกว่าหรือเท่ากับของเดิม เป็นไปได้ว่าการกำจัดไวรัสอาจสำเร็จ
โดยอาจลองเรียกโปรแกรมตรวจหาไวรัสเพื่อทดสอบโปรแกรมอีกครั้ง
|
|
หากผลการตรวจสอบออกมาว่าปลอดเชื้อ
ก็ให้ลองเรียกโปรแกรมที่ถูกกำจัดไวรัสไปนั้นขึ้นมาทดสอบการทำงานดูอย่างละเอียดว่าเป็นปกติดีอยู่หรือไม่อีกครั้ง
ในช่วงดังกล่าวควรเก็บโปรแกรมนี้ที่สำรองไปขณะที่ติดไวรัสอยู่ไว้
เผื่อว่าภายหลังพบว่าโปรแกรมทำงานไม่เป็นไปตามปกติ
ก็สามารถลองเรียกโปรแกรมจัดการไวรัสตัวอื่นขึ้นมากำจัดต่อไปในภายหลัง
แต่ถ้าแน่ใจว่าโปรแกรมทำงานเป็นปกติดี
ก็ทำการลบโปรแกรมสำรองที่ยังติดไวรัสอยู่ทิ้งไปทันที
เป็นการป้องกันไม่ให้มีการเรียกขึ้นมาใช้งานภายหลังเพราะความบังเอิญได้
|
6. เวิร์ม (Worm)
Worm คือการคัดลอกข้อมูลของเครื่องตัวเองและส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆ โดยอาศัยอีเมล์หรือช่องโหว่ของระบบปฏิบัติการ
มักจะไม่แพร่เชื้อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย และจะสร้างความเสียหายให้กับระบบเศรษฐกิจมาก
อาการที่เกิด
- เครื่องคอมพิวเตอร์ทำงานช้าลง
- เครื่องคอมพิวเตอร์ไม่สามารถทำงานได้
- ไม่สามารถติดต่อระบบเครือข่ายได้
- ไม่สามารถทำงานในระบบอินเตอร์เน็ตได้
- เครื่องคอมพิวเตอร์ไม่สามารถทำงานได้
- ไม่สามารถติดต่อระบบเครือข่ายได้
- ไม่สามารถทำงานในระบบอินเตอร์เน็ตได้
·
สำหรับผู้ติดตั้งโปรแกรมป้องกันไวรัส
1.
ถ้าใช้งานระบบปฏิบัติการวินโดวส์
XP ให้ทำการ disable System Restore ก่อน
2.
ปรับปรุงฐานข้อมูลไวรัสใหม่ล่าสุดจากเว็บเพจของบริษัทเจ้าของโป
รแกรมป้องกันไวรัสที่ท่านใช้ หรือ
ติดต่อบริษัทที่ท่านติดต่อซื้อโปรแกรมป้องกันไวรัส
3.
รีสตาร์ทเครื่องหรือหยุดการทำงานของหนอน
4.
สแกนไวรัสด้วยโปรแกรมป้องกันไวรัสที่ได้รับการบรับปรุงฐานข้อมู
ลไวรัสจากข้อที่ 2 และลบไฟล์ที่ถูกโปรแกรมตรวจสอบว่าเป็นหนอน
W32.Nachi.Worm
5.
ลบไฟล์ Svchost.exe
6.
จากนั้นเพื่อป้องกันการกลับมาติดหนอนชนิดนี้อีก
ให้ทำการอัพเดต patch เพื่ออุดช่องโหว่ของ MS03-026 และ MS03-007
7.
และเพื่ออุดช่องโหว่อื่นๆ
ของระบบปฏิบัติการที่ใช้งานอยู่ให้ทำการติดตั้ง patch ทั้งหมดของระบบปฏิบัติการวินโดวส์ผ่านทาง Windows Update หรือจากเว็บไซต์ http://www.microsoft.com/technet/treeview/default.asp?url=/t echnet/security/current.asp (โดยเลือก Product เป็นระบบปฏิบัติการที่ใช้อยู่
และ Service Pack รุ่นที่ได้ติดตั้งไปแล้ว)
·
การกำจัดหนอนแบบอัตโนมัติ
วิธีที่ 1
1.
ดาวน์โหลดโปรแกรม
Sysclean.com จากเว็บไซต์http://www.trendmicro.com/ftp/products/tsc/sysclean.com
2.
ดาวน์โหลดไฟล์ pattern ชื่อ lptxxx.zip จาก http://www.trendmicro.com/download/pattern.asp
หมายเหตุ xxx แทนตัวเลขเวอร์ชันล่าสุดของไฟล์ pattern
3.
แตกไฟล์ lptxxx.zip นำไฟล์ชื่อ lpt$vpn.xxx เก็บไว้ในโฟลเดอร์เดียวกับไฟล์
Sysclean.com ที่ได้จากข้อ 1
4.
ตัดการเชื่อมต่อเครือข่าย
5.
หยุดการทำงานทุกโปรแกรม
รวมทั้งโปรแกรมป้องกันไวรัสด้วย
6.
จากนั้นรันไฟล์ Sysclean.com จะปรากฏไดอะล็อกให้ทำการสแกนโดยกดปุ่ม Scan
7.
เริ่มต้นการใช้งานโปรแกรมป้องกันไวรัสอีกครั้ง
8.
ทำการปรับปรุงฐานข้อมูลไวรัสที่ใช้อยู่แล้วทำการสแกนอีกครั้งเพื่อให้แน่ใจว่าเครื่องที่ใช้งานอยู่ไม่มีไวรัส
·
การกำจัดหนอนแบบอัตโนมัติ
วิธีที่ 2
1.
ดาวน์โหลดไฟล์ FixWelch.exe จาก http://www.symantec.com/avcenter/FixWelch.exe
2.
ปิดโปรแกรมทุกโปรแกรมที่กำลังใช้งานอยู่ก่อนรันไฟล์ที่ดาวน์โหล
ดจากข้อ 1
3.
ตัดขาดการเชื่อมต่อจากเครือข่ายทุกทาง
4.
ถ้าใช้ระบบปฎิบัติการ
Windows XP หรือ ME ให้ทำการ disable System
Restore ก่อน
(อ่านรายละเอียดเพิ่มเติมที่ส่วนของ ข้อมูลเพิ่มเติมสำหรับ Windows XP และ ME)
5.
จากนั้นทำการรันไฟล์
FixWelch.exe โดยการดับเบิลคลิ้กไฟล์ดังกล่าวแล้วกดปุ่ม start
6.
รีสตาร์ทเครื่อง
แล้วรัน FixWelch.exe อีกครั้งเพื่อให้แน่ใจว่าไม่มีหนอนตัวนี้หลงเหลือในระบบ
7.
ถ้าใช้ระบบปฎิบัติการ
Windows XP หรือ ME ให้ทำการ enable System
Restore
8.
ปรับปรุงฐานข้อมูลไวรัสให้กับโปรแกรมป้องกันไวรัสที่ติดตั้งอยู่ในระบบ
9.
สแกนหาไวรัสทั้งระบบดูอีกครั้ง
หมายเหตุ: Windows XP ใช้ backup utility สำหรับ backup ไฟล์โดยอัตโนมัติไว้ที่โฟลเดอร์ C:\_Restore ดังนั้นไฟล์ที่ติดเชื้อสามารถถูกเก็บไว้เป็นไฟล์ backup ได้ และ โปรแกรมป้องกันไวรัสจะไม่สามารถลบไฟล์เหล่านี้ได้
จึงต้องทำการยกเลิกการใช้งาน Restore Utility ตามขั้นตอนดังนี้
- คลิ๊กขวาที่ไอคอน My Computer บน
Desktop
และ เลือก Properties
- เลือกแถบ System
Restore
- ใส่เครื่องหมายเลือก "Turn off System Restore" หรือ "Turn off System Restore on all drives"
- กดปุ่ม Apply
- กดปุ่ม Yes
หมายเหตุ: ตอนนี้ Restore Utility ถูกยกเลิกแล้ว - หลังจากเรียกใช้งาน Fix tools เรียบร้อยแล้ว เปิดหาตำแหน่งของไฟล์เหล่านั้นได้จากโฟลเดอร์ C:\_Restore และกำจัดออก
หลังจากกำจัดเรียบร้อยแล้วก็รีสตาร์ทเครื่องให้ใช้งานได้ตามปกติ
หมายเหตุ: การเปิดใช้ Restore Utility อีกครั้ง ให้ทำตามขั้นตอนที่ 1-5 และในขั้นตอนที่ 5 ให้ยกเลิกเครื่องหมายที่เลือก "Turn off System Restore" ออก
- ระงับการใช้งาน DCOM ตามรายละเอียดที่ http://support.microsoft.com/default.aspx?scid=kb;en-us;8257 50
- ติดตั้งโปรแกรมปรับปรุงช่องโหว่ (patch) ของทุกซอฟต์แวร์อยู่เสมอ
โดยเฉพาะ Internet
Explorer และระบบปฏิบัติการ
ให้เป็นเวอร์ชั่นใหม่ที่สุด
IE 6.0 Service Pack 1
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS03-026 และ MS03-007 ด้วย
Windows 2000 Service Pack 4
Windows XP Service Pack 1a
และที่สำคัญเพื่อป้องกันหนอนชนิดนี้ ต้องอัพเดต MS03-026 และ MS03-007 ด้วย
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- ตั้งค่า security
zone ของ Internet Explorer ให้เป็น high
ดังคำแนะนำที่http://thaicert.nectec.or.th/paper/virus/zone.php
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ
และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
ซึ่งสามารถขอใช้บริการส่งข่าวสารผ่านทางอี-เมล์ของทีมงาน ThaiCERT ได้ที่http://thaicert.nectec.or.th/mailinglist/register.php
- สามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับวิธีป้องกันตัวเองจากไว
รัสทั่วไปได้ในหัวข้อ วิธีป้องกันตัวเองให้ปลอดภัยจากไวรัสคอมพิวเตอร์
7. ม้าโทรจัน (Trojan House)
Trojan House คือ โปรแกรมที่ถูกโหลดเข้าไปในคอมพิวเตอร์ เพื่อ ปฎิบัติการ "ล้วงความลับ"เช่น รหัสผ่าน, User Name และข้อมูลส่วนตัวเกี่ยวกับการ Login ระบบ ที่ถูกพิมพ์ผ่านคีย์บอร์ดโดยผู้ใช้งาน โดยส่วนใหญ่แฮคเกอร์จะส่งโปรแกรมม้าโทรจัน เข้าไปในคอมพิวเตอร์เพื่อดักจับข้อมูลดังกล่าว แล้วนำไปใช้ในการเจาะระบบ หรือเพื่อโจมตีคอมพิวเตอร์ เซิร์ฟเวอร์
หลักการทำงาน
อย่างที่กล่าวแล้วว่า
ม้าโทรจันแตกต่างจากไวรัสที่การทํางาน ไวรัสทํางานโดย ทําลายคอมพิวเตอร์
ทั้งฮารดแวร์และซอฟตแวร์อย่างแท้จริง ไวรัสบางตัวอย่าง Love BUG ทําลายไฟล์โดยการเปลี่ยนแปลงรายละเอียดในไฟล์ ไวรัส CIH ทําให้ไบออสของคอมพิวเตอร์เสีย และเข้าถึงข้อมูลในฮารดดิสกไม่ได้
แต่”ม้าโทรจัน” ไม่ทําอะไรกับคอมพิวเตอร์
ม้าโทรจันไม่มีคําสั่งหรือพฤติกรรมการทําลายคอมพิวเตอร์เหมือนไวรัส
ม้าโทรจันเหมือนโปรแกรมทั่วไปในคอมพิวเตอร์ สมัยก่อนเวลาพูดถึงม้าโทรจัน
จะว่ากันว่าขนาดของไฟล์ แตกตางจากไวรัสที่ขนาดของม้าโทรจันนั้น เป็นโปรแกรมขนาดเล็ก
และเป็นโปรแกรมที่ไม่ถือวามีพฤติกรรมเป็นอันตรายต่อคอมพิวเตอร์
ซึ่งในทางการกําจัดไวรัส จะมีการตรวจสอบโดยการดูลักษณะการทํางาน
ไวรัสนั้นมีคําสั่งอันตราย แต่โทรจันไม่มี
ดังนั้นโปรแกรมตรวจสอบไวรัสไม่มีทางที่จะตรวจสอบหา “ม้าโทรจัน” พบ ม้าโทรจันนั้นเป็นเครื่องมือของแฮคเกอร์ในการเจาะระบบ
ว่ากันว่าบรรดาแฮคเกอร์นั้นมีสังคมเฉพาะที่แจกจ่าย เผยแพ่รม้าโทรจันออกไปใช้งาน
โดยส่วนใหญม้าโทรจันซึ่งปัจจุบันมีอยู่นับพันโปรแกรม ถูกพัฒนาโดยพวกนักศึกษา
แฮคเกอร์ และมือสมัครเล่นอีกหลายคน เพราะม้าโทรจันนั้นคือโปรแกรมที่เขียนขึ้นเพื่อบันทึกว่าแป้นคีย์บอร์ดแป้นไหนถูกกดบ้าง
ด้วยวิธีการนี้ก็จะได้ข้อมูลของ User ID, Password หลังจากนั้นโปรแกรมม้าโทรจันจะบันทึกข้อมูลลงไปใน RAM , CMOS หรือ Hidden Directory ในฮารดดิสก์
แล้วก็หาโอกาสที่จะอัพโหลดตัวเองไปยังแหล่งที่ผู้เขียนม้าโทรจันกําหนด
หรือบางทีแฮคเกอรอาจจะใช้วิธีการเก็บไฟล์ดังกล่าวไปด้วยวิธีอื่น การใช้อินเตอรเน็ต
ใช้โมเด็ม หรือใช้ LAN อย่างไรก็ตาม
ปัจจุบัน เนื่องจากเป็นยุคของอินเตอรเน็ต ขนาดของโปรแกรมม้าโทรจันนั้นใหญ่ขึ้น และClient / server ม้าโทรจันแบบนี้จะส่งจากเซิรฟเวอร์ไปไว้ที่ไคลเอ็นต์ โดยสั่งเปิด
พอร์ตที่ไคลเอ็นท์แล้วให้เครื่องไคลเอ็นต์อีกเครื่องไปควบคุม DDOS Distributed
Denial of Service แฮคเกอร์จะส่งโทรจันไปไว้ที่เครื่องไคลเอ็นต์หลายๆ
เครื่อง
หลังจากนั้นจะใช้เครื่องไคลเอนต์เหล่านั้นโจมตีเว็บไซต์เป้าหมายพร้อมๆกันเพื่อให้หยุดบริการ
โทรจันประเภทนี้ทํางานเหมือนไวรัสคือ พยายามทําลายไฟล์ระบบของเครื่อง
จนกระทั่งบูตไม่ได้ FTP โทรจันแบบนี้ทําให้ไดร์ฟ
C สามารถใช้คําสั่ง FTP ได้ ข้อมูลในไดร์ฟ C จะถูกดูด ออกไปด้วย IRC Internet Relay Chat ทําให้เปิด Connection กับ Chat Server หลายๆตัว Keylogger ทําหน้าที่บันทึกแป้นคียบอรด์ที่ถูกคีย์ลงไปขณะที่เราใช้คอมพิวเตอร์
การบันทึกนั้นรวมถึงรหัสผ่าน User Name และทุกๆคียที่ถูกกดผ่านคียบอรด์
Password Stealer ตัวขโมยรหัสผ่าน โดยขโมยรหัสผ่านของ ICQ , e-mail , ระบบคอมพิวเตอร์ ,การต่อเชื่อม ISP แล้วเก็บรหัสผ่านนั้นไว้ในไฟล์หนึ่ง
แล้วเอาม้าโทรจันอีกตัวมาอัพโหลดไฟล์นั้นไปยังปลายทาง Remote Flooder ทํางานเหมือนกับ DDOS คือส่งโทรจันไปที่เครื่องปลายทาง
(รีโมท) แล้วสั่งจากเครื่องมาสเตอร์ให้เครื่องปลายทาง (รีโมท)
โจมตีเป้าหมายอีกทีหนึ่ง Telnet ม้าโทรจันตัวนี้จะยึดเครื่องรีโมทเป็นอาวุธโจมตีเครื่องปลายทาง
โดยผ่าน Telnet ใช้คําร้องขอบริการ
Telnet เพื่อจัดการกับเครื่องเหยื่อเป้าหมาย เหมือน DDOS อีกตัว VBS ตัวนี้เป็นโทรจันที่อันตราย
เพราะมันอาจจะซ่อนตัวในเว็บไซต์ รอโจมตี เครื่องเป้าหมาย
แล้วหลังจากนั้นก็เผยแพ่รผ่าน e-mail Outlook Express เพื่อโจมตีหรือกระจาย ไวรัสต่อไป นอกจากนี้ VB ยังมีอันตรายอย่างมากด้วย
เพราะสามารถใช้คําสั่งในการรันคําสั่งอื่นเพื่อทําลายระบบ หรือเปลี่ยนไฟล์ได้
ป้องกัน-กำจัด
ส่วนการใช้งานคอมพิวเตอร์ภายในบ้าน โดยการออนไลน์ปกติโดยการต่อเชื่อมอินเตอร์เน็ตจากคอมพิวเตอร์ภายในบ้านที่ใช้ Dial Up Network โดยการต่อเชื่อมผ่านโมเด็มนั้น เสี่ยงต่อม้าโทรจันเช่นกัน ผมเคยถูกม้าโทรจันหลายๆตัวโจมตีภายในเดือนเดียวกัน 5 ครั้ง วิธีการป้องกันได้แก่การติดตั้งโปรแกรม อย่าง NetBUS Detective จะคอยตรวจจับม้าโทรจันพวก Netbus ,BO Orifice , หรือโปรแกรม NukeNubber ก็ป้องกันระบบ โดยการตรวจสอบพอร์ตต่างๆของ TCP/IP ถึง 50 พอร์ต
ระบบการป้องกันสำหรับบ้านที่ดีที่สุดคือ ไฟร์วอลส่วนตัว (personal firewalls) ซึ่งเป็นซอฟต์แวร์ติดตั้งในพีซี เช่น Norton Personal Firewall 2.0 , Norton Internet Security 2.0 , ZoneAlarm 2.1.44 โปรแกรม Firewall เหล่านี้จะเป็นทหารยามป้องกันการลักลอบแฝงเข้ามาในพอร์ตต่างๆของการต่อเชื่อมที่ไม่ได้รับอนุญาต
สำหรับกรณีที่ต้องการตรวจสอบว่ามีม้าโทรจัน หรือต้องการกำจัดนั้น ต้องทำความเข้าใจคือ โปรแกรมป้องกันไวรัสทั้งหลายที่มีขายในท้องตลาดนั้น อาจจะป้องกันและตรวจสอบม้าโทรจันได้ไม่ครบ ทางที่ดีแนะนำให้ใช้โปรแกรมการป้องกัน ตรวจสอบม้าโทรจันเฉพาะ อย่าง PC Guard , The Cleaner ซึ่งในการตรวจจับม้าโทรจันโดยเฉพาะ
นโยบายการป้องกันม้าโทรจันนั้น แตกต่างกันไปในแต่ละที่ โดยส่วนใหญ่จะต้องใช้วิธีการ กันไว้ดีกว่าแก้ โดยการติดตั้ง Firewall ไว้ก่อนเลยในชั้นแรก แต่ถ้าหากวันหนึ่งเกิดสงสัยว่าในระบบคอมพิวเตอร์นั้นมีม้าโทรจันถูกส่งมาหรือไม่ ก็ต้องใช้ซอฟต์แวร์ในการตรวจจับ
8. Denial of Service(Dos)
Denial of Service (DoS) คือการโจมตีระบบคอมพิวเตอร์ มีจุดมุ่งหมายเพื่อขัดขวางการให้บริการของระบบคอมพิวเตอร์ โดยมักใช้ข้อบกพร่องของโพรโตคอล ซึ่งจะส่งผลให้ระดับของการให้บริการลดต่ำลงหรือ อาจทำให้ไม่สามารถให้บริการได้เลย สำหรับระบบคอมพิวเตอร์ที่ต่ออยู่กับ อินเทอร์เน็ตการโจมตีนี้มักจะหมายถึง การทำให้การให้บริการหลายๆ อย่างเสียไปหรือการทำให้ทรัพยากรของเครื่องดังกล่าวถูกใช้ไปจนหมด
อาการที่เกิด
- เครื่องคอมฯ ทำงานช้าผิดปกติ
- การเชื่อมต่ออินเตอร์เน็ตช้าผิดปกติ
- ไฟแสดงการเชื่อมต่อของ ADSL หรือ Cable Modem ติดตลอดเวลา
- อาการข้างต้น อาจเป็นปัญหามาจากการถูกโจมตีแบบ DDOS ทั้งนี้ควรสังเกตุความเปลี่ยนแปลงของคอมพิวเตอร์ตลอดเวลาการใช้งาน ว่าเกิดปัญหาเหล่านี้เมื่อใด หรือเมื่อทำกิจกรรมใด เช่น มีปัญหาทุกครั้งที่ต่ออินเตอร์เน็ต เป็นต้น
- การเชื่อมต่ออินเตอร์เน็ตช้าผิดปกติ
- ไฟแสดงการเชื่อมต่อของ ADSL หรือ Cable Modem ติดตลอดเวลา
- อาการข้างต้น อาจเป็นปัญหามาจากการถูกโจมตีแบบ DDOS ทั้งนี้ควรสังเกตุความเปลี่ยนแปลงของคอมพิวเตอร์ตลอดเวลาการใช้งาน ว่าเกิดปัญหาเหล่านี้เมื่อใด หรือเมื่อทำกิจกรรมใด เช่น มีปัญหาทุกครั้งที่ต่ออินเตอร์เน็ต เป็นต้น
การป้องกันเบื้องต้น
update โปรแกรมระบบปฏิบัติให้ทันสมัยอยู่เสมอ
(update patch)หลีกเลี่ยงการเปิดอีเมล์ที่ไม่แน่ใจ และไม่ติดตั้งโปรแกรมใดๆ ที่มาจากอีเมล์ที่เราไม่รู้จัก
ติดตั้งระบบ Firewall
ติดตั้งอุปกรณ์ที่มีระบบป้องกัน เช่น Router บางยี่ห้อ
ตัวอย่าง DDOS attack ได้แก่ MyDoom
ไม่มีความคิดเห็น:
แสดงความคิดเห็น