หลักการทำงานของ virus ใน flash drive และวิธีการตัดไฟตั้งแต่กองฟืน ก่อนอื่น ผมจะขอพูดเกี่ยวกับหลักการทำงานของไวรัสพอขำ ๆ นะครับ จะได้รู้ที่มาที่ไปของหลักการทำงานของไวรัส flash drive
เกริ่นนำไวรัส
เกริ่นนำไวรัส
ไวรัสเป็นโปรแกรม โปรแกรมหนึ่ง เหมือนกับโปรแกรมที่เราใช้อยู่นั้นแหละ แต่ความสามารถของโปรแกรมมันต่างออกไป แทนที่จะช่วยในความสะดวกสบาย แต่มันกลับเป็นโปรแกรมทำลายล้าง ทำให้เครื่องคอมพิวเตอร์ หรือข้อมูลเราเสียหายนั้นเอง
แต่อย่าไปกลัวมัน โปรแกรม photoshop โปรแกรม internet exploror หรือ โปรแกรม word ถ้าเราไม่ได้คลิ๊กเรียกมันมาใช้ มันก็จะไม่ทำงาน ไวรัสก็เช่นเดียวกัน ถ้าเราไม่ได้คลิ๊กไวรัส ต่อให้เรามีไวรัสเป็นพัน ๆ ตัว คอมของเราก็ไม่เป็นอะไร
ด้วยเหตุนี้เอง ไวรัสจึงทำทุกวิถีทาง เพื่อจะหลอกให้เราคลิ๊กเรียกใช้มัน หรือเราอาจจะเรียกมันโดยมิได้ตั้งใจ เหมือนไวรัส flash drive
เมื่อเราเสียบ flash drive เข้าไปแล้วนั้น window ก็จะหาอุปกรณ์ใหม่ เมื่อมันหาเจอว่าเป็นอุปกรณ์ที่ใช้ในการเก็บข้อมูล สิ่งที่ window มันจะทำเป็นอันดับต่อมาก็คือ มันจะหาไฟล์ที่ชื่อว่า autorun.inf ซึ่งไฟล์นี้ก็จะประกอบไปด้วยคำสั่งหลาย ๆ อย่าง และคำสั่งที่ใช้กันอยู่เป็นประจำก็คือคำสั่งเรียกใช้โปรแกรม และคำสั่งแสดงรูปภาพไอคอน
แต่อย่าไปกลัวมัน โปรแกรม photoshop โปรแกรม internet exploror หรือ โปรแกรม word ถ้าเราไม่ได้คลิ๊กเรียกมันมาใช้ มันก็จะไม่ทำงาน ไวรัสก็เช่นเดียวกัน ถ้าเราไม่ได้คลิ๊กไวรัส ต่อให้เรามีไวรัสเป็นพัน ๆ ตัว คอมของเราก็ไม่เป็นอะไร
ด้วยเหตุนี้เอง ไวรัสจึงทำทุกวิถีทาง เพื่อจะหลอกให้เราคลิ๊กเรียกใช้มัน หรือเราอาจจะเรียกมันโดยมิได้ตั้งใจ เหมือนไวรัส flash drive
เมื่อเราเสียบ flash drive เข้าไปแล้วนั้น window ก็จะหาอุปกรณ์ใหม่ เมื่อมันหาเจอว่าเป็นอุปกรณ์ที่ใช้ในการเก็บข้อมูล สิ่งที่ window มันจะทำเป็นอันดับต่อมาก็คือ มันจะหาไฟล์ที่ชื่อว่า autorun.inf ซึ่งไฟล์นี้ก็จะประกอบไปด้วยคำสั่งหลาย ๆ อย่าง และคำสั่งที่ใช้กันอยู่เป็นประจำก็คือคำสั่งเรียกใช้โปรแกรม และคำสั่งแสดงรูปภาพไอคอน
ตัวอย่างโค้ดในไฟล์ autorun.inf
[autorun]icon=heart.ico
จากโค้ดข้างต้น เมื่อ window อ่านไฟล์ autorun.inf ไปแล้ว มันจะเจอคำสั่งให้ iconรูปของ flash drive ของเราเป็นรูป heart.ico ซึ่งก็คือรูปหัวใจนั้นเอง (แต่ต้องมีไฟล์ heart.ico อยู่ใน flash drive ด้วยนะ)ไวรัสก็อาศัยไฟล์นี้แหละ ที่จะทำให้ไวรัสที่อยู่ใน flash drive ของเรา ถูกเปิดขึ้นมา โดยการใส่คำสั่งประมาณนี้
[autorun]shellexecute=wscript.exe xxx.vbs
และด้วยคำสั่งนี้นี่เอง ที่ทำให้ virus สามารถเรียกโปรแกรมมันออกมาโดยไม่ต้องให้ผู้ใช้คลิ๊กเลยแม้แต่นิดเดียว หรืออาจจะคลิ๊กเองโดยไม่รู้ตัว
เราจะแก้ปัญหายังไงดี
มีวิธีแก้หลาย ๆ วิธี แต่ถ้าขี้เกียจอ่าน ก็ไปอ่านเอาวิธีสุดท้ายเลย ส่วนวิธีอื่น ๆ ก็สามารถแก้ได้ในระดับหนึ่ง
ในเมื่อมันใช้ไฟล์ autorun.inf ในการเรียกไวรัส เราก็ลบไฟล์นี้ทิ้งซะ จะได้ไม่ต้องมีตัวบงการมันให้มันมาวิ่งเล่นในเครื่องของเรา แต่อาจจะเป็นวิธีที่ไม่ได้ผลซะแล้ว ในเมื่อเรานำ flash drive ไปเสียบเครื่องที่ติดไวรัส เราก็จะได้ไฟล์ autorun.inf แถมมาอีก สรุปคือ ไวรัสมันสามารถสร้างไฟล์ autorun.inf ได้ทุกเมื่อ เมื่อเราเสียบ flash drive
ลบไม่ได้ ก็ชิงสร้างไฟล์ autorun.inf เปล่า ๆ มา จะได้ไม่ต้องมีโค้ดเรียกไวรัส แต่วิธีนี้ก็น่าจะเป็นวิธีที่น่าจะได้ แต่แล้ว ไวรัสมันก็สามารถเขียนไฟล์ autorun.inf ที่มีโค้ดแพรวพราว ทับไฟล์เดิมของเราก็ได้
ทำวิธีชิงสร้างไฟล์ autorun.inf เปล่า ๆ มาแล้วเปลี่ยนค่าไฟล์ ๆ นั้นเป็นไฟล์แบบอ่านอย่างเดียว(read only) คือ virus ไม่สามรถเปลี่ยนแปลงไฟล์ ๆ นั้นได้ ดูเหมือนจะได้ผล แต่แล้ว มันก็ไม่ได้ผล virus ก็สามารถเปลี่ยนให้เป็นไฟล์ที่สามารถอ่านเขียนได้ แล้วก็เติมโค้ดเรียกตัวมันเองลงไป
เวลาเสียบ flash drive เข้าไป ไม่ดับเิบิ้ลคลิ๊ก แต่ใช้การคลิ๊กขวา แล้ว open เอา เพราะถ้า double click มันจะทำให้ window ทำการ run file autorun.inf
กด shift ก่อนเสียบ flash drive ทำให้ window ไม่ไปเรียกไฟล์ autorun.inf ไวรัสจึงไม่ออกมาเดินเล่นที่คอมเรา แต่มันไม่สามารถกัน flash drive เรา ไม่ให้ติดไวรัสได้ เพราะ ถ้าเราไปเสียบที่เครื่องคนอื่น โดยการกด shift นั้นคือ flash drive เราไม่แพร่ไวรัสไปที่เครื่อง แต่เครื่องเองจะเอาไวรัสมาแถมให้ flash drive ของเรา และวิธีนี้ ไฟล์ autorun.inf ก็ยังไม่อยู่
วิธีล่าสุด ไวรัสยังไม่สามารถแก้ทางเราได้ ก็คือ ในเมื่อไฟล์ autorun.inf มันอยู่ในระดับ system ซึ่งอยู่ในระดับเดียวกับระดับที่ไวรัสทำงานอยู่ เราต้องทำให้ไฟล์ autorun.inf เป็นระดับที่เหนือกว่า system นั้นก็คือ ระดับ File Structure ซะเลย ซึ่งถ้าเราตั้งชื่อเป็น autorun.inf ก็แสดงว่า ระบบจะไม่ยอมให้มีไฟล์ที่ชื่อ autorun.inf อีกเป็นอันที่สอง ฉนั้น ไฟล์ในระดับที่สูงกว่าก็ย่อมอยู่รอด
เรามาลุยวิธีสุดท้ายกันเลยก่อนอื่น ให้เราสร้าง folder มาใหม่ โดยการคลิ๊กขวาที่พื้นที่ว่าง ๆ แล้วไปที่ new -> folder จากนั้นก็ตั้งชื่อ folder ว่า autorun.inf ซึ่งถ้าเราคิดแบบน่าจะเป็นไปได้คือ ไฟล์ autorun.inf กับ folder ที่ชื่อว่า autorun.inf นั้น มันคนละอย่างกันเลย แต่ผมลองดูแล้ว ปรากฏว่า ถ้าเราตั้งชื่อ folder ว่า autorun.inf แล้ว จะไม่มีทางตั้งชื่อไฟล์ซ้ำกับชื่อ folder ได้เลย
ปล.วิธีสุดท้ายที่กล่าวไป ไม่ใช่เทคนิกการฆ่าไวรัส แต่เป็นการตัดไฟแต่ต้นลม คือไม่ให้ไวรัสแพร่กระจายจาก เครื่องไป flash drive และ จาก flash drive ไปเครื่อง แต่ไวรัสก็อาจจะยังคงมีอยู่ ที่เครื่อง และ flash drive แต่ตราบใดที่เราไม่ไปคลิกมัน มันก็จะไม่ทำออกมาเดินเล่นแน่นอนเหมือนกับการทำหมัน ไม่สามารถมีลูกได้ แต่ก็ยัง..เซ็นเซอร์ 18+..ได้อยู่เกร็ดเล็กเกร็ดน้อย
ในเมื่อเรามี folder ที่ชื่อ autorun.inf แล้ว เปิด flash drive ทีไรก็เจอทุกที แล้วกลัวว่าจะไปเผลอลบเข้าให้ ให้ลองใช้กลเม็ดเคล็ดลับนี้ดู คือ คลิ๊กขวาที่ folder ที่ชื่อ autorun.inf จากนั้นไปที่ properties จะเห็นช่องให้ติ๊ก ๆ จากนั้นก็ให้ติ๊ก hidden เลยครับ เป็นเครื่องหมายติ๊กนะ ไม่ใช่ว่าง ๆ ^^” เหตุผลที่เราทำอย่างนั้นก็คือ เราจะซ่อน folder นั้นเอาใว้ แต่เครื่องที่จะไม่เห็น folder นี้จะต้องไม่เปิดโชว์ไฟล์ที่ถูกซ่อนนะครับ ผมใช้บ่อย เอาใว้ซ่อนของ 18+ อิอิ ถ้าระบบเปิดให้เห็นไฟล์พวกนี้ได้ เราจะเห็นเป็นไฟล์จาง
ในเมื่อมันใช้ไฟล์ autorun.inf ในการเรียกไวรัส เราก็ลบไฟล์นี้ทิ้งซะ จะได้ไม่ต้องมีตัวบงการมันให้มันมาวิ่งเล่นในเครื่องของเรา แต่อาจจะเป็นวิธีที่ไม่ได้ผลซะแล้ว ในเมื่อเรานำ flash drive ไปเสียบเครื่องที่ติดไวรัส เราก็จะได้ไฟล์ autorun.inf แถมมาอีก สรุปคือ ไวรัสมันสามารถสร้างไฟล์ autorun.inf ได้ทุกเมื่อ เมื่อเราเสียบ flash drive
ลบไม่ได้ ก็ชิงสร้างไฟล์ autorun.inf เปล่า ๆ มา จะได้ไม่ต้องมีโค้ดเรียกไวรัส แต่วิธีนี้ก็น่าจะเป็นวิธีที่น่าจะได้ แต่แล้ว ไวรัสมันก็สามารถเขียนไฟล์ autorun.inf ที่มีโค้ดแพรวพราว ทับไฟล์เดิมของเราก็ได้
ทำวิธีชิงสร้างไฟล์ autorun.inf เปล่า ๆ มาแล้วเปลี่ยนค่าไฟล์ ๆ นั้นเป็นไฟล์แบบอ่านอย่างเดียว(read only) คือ virus ไม่สามรถเปลี่ยนแปลงไฟล์ ๆ นั้นได้ ดูเหมือนจะได้ผล แต่แล้ว มันก็ไม่ได้ผล virus ก็สามารถเปลี่ยนให้เป็นไฟล์ที่สามารถอ่านเขียนได้ แล้วก็เติมโค้ดเรียกตัวมันเองลงไป
เวลาเสียบ flash drive เข้าไป ไม่ดับเิบิ้ลคลิ๊ก แต่ใช้การคลิ๊กขวา แล้ว open เอา เพราะถ้า double click มันจะทำให้ window ทำการ run file autorun.inf
กด shift ก่อนเสียบ flash drive ทำให้ window ไม่ไปเรียกไฟล์ autorun.inf ไวรัสจึงไม่ออกมาเดินเล่นที่คอมเรา แต่มันไม่สามารถกัน flash drive เรา ไม่ให้ติดไวรัสได้ เพราะ ถ้าเราไปเสียบที่เครื่องคนอื่น โดยการกด shift นั้นคือ flash drive เราไม่แพร่ไวรัสไปที่เครื่อง แต่เครื่องเองจะเอาไวรัสมาแถมให้ flash drive ของเรา และวิธีนี้ ไฟล์ autorun.inf ก็ยังไม่อยู่
วิธีล่าสุด ไวรัสยังไม่สามารถแก้ทางเราได้ ก็คือ ในเมื่อไฟล์ autorun.inf มันอยู่ในระดับ system ซึ่งอยู่ในระดับเดียวกับระดับที่ไวรัสทำงานอยู่ เราต้องทำให้ไฟล์ autorun.inf เป็นระดับที่เหนือกว่า system นั้นก็คือ ระดับ File Structure ซะเลย ซึ่งถ้าเราตั้งชื่อเป็น autorun.inf ก็แสดงว่า ระบบจะไม่ยอมให้มีไฟล์ที่ชื่อ autorun.inf อีกเป็นอันที่สอง ฉนั้น ไฟล์ในระดับที่สูงกว่าก็ย่อมอยู่รอด
เรามาลุยวิธีสุดท้ายกันเลยก่อนอื่น ให้เราสร้าง folder มาใหม่ โดยการคลิ๊กขวาที่พื้นที่ว่าง ๆ แล้วไปที่ new -> folder จากนั้นก็ตั้งชื่อ folder ว่า autorun.inf ซึ่งถ้าเราคิดแบบน่าจะเป็นไปได้คือ ไฟล์ autorun.inf กับ folder ที่ชื่อว่า autorun.inf นั้น มันคนละอย่างกันเลย แต่ผมลองดูแล้ว ปรากฏว่า ถ้าเราตั้งชื่อ folder ว่า autorun.inf แล้ว จะไม่มีทางตั้งชื่อไฟล์ซ้ำกับชื่อ folder ได้เลย
ปล.วิธีสุดท้ายที่กล่าวไป ไม่ใช่เทคนิกการฆ่าไวรัส แต่เป็นการตัดไฟแต่ต้นลม คือไม่ให้ไวรัสแพร่กระจายจาก เครื่องไป flash drive และ จาก flash drive ไปเครื่อง แต่ไวรัสก็อาจจะยังคงมีอยู่ ที่เครื่อง และ flash drive แต่ตราบใดที่เราไม่ไปคลิกมัน มันก็จะไม่ทำออกมาเดินเล่นแน่นอนเหมือนกับการทำหมัน ไม่สามารถมีลูกได้ แต่ก็ยัง..เซ็นเซอร์ 18+..ได้อยู่เกร็ดเล็กเกร็ดน้อย
ในเมื่อเรามี folder ที่ชื่อ autorun.inf แล้ว เปิด flash drive ทีไรก็เจอทุกที แล้วกลัวว่าจะไปเผลอลบเข้าให้ ให้ลองใช้กลเม็ดเคล็ดลับนี้ดู คือ คลิ๊กขวาที่ folder ที่ชื่อ autorun.inf จากนั้นไปที่ properties จะเห็นช่องให้ติ๊ก ๆ จากนั้นก็ให้ติ๊ก hidden เลยครับ เป็นเครื่องหมายติ๊กนะ ไม่ใช่ว่าง ๆ ^^” เหตุผลที่เราทำอย่างนั้นก็คือ เราจะซ่อน folder นั้นเอาใว้ แต่เครื่องที่จะไม่เห็น folder นี้จะต้องไม่เปิดโชว์ไฟล์ที่ถูกซ่อนนะครับ ผมใช้บ่อย เอาใว้ซ่อนของ 18+ อิอิ ถ้าระบบเปิดให้เห็นไฟล์พวกนี้ได้ เราจะเห็นเป็นไฟล์จาง
ข้อมูลจาก
