<span style="color:#009900">[b]
ตัวอย่างเวิร์มจดหมายรัก I LOVE YOU

เวิร์มจดหมายรักนี้ เริ่มแพร่กระจายราววันที่ 7 พ.ค. 2543 ภายในระยะเวลาไม่กี่ชั่วโมง การแพร่กระจายเป็นไป อย่างรวดเร็ว และเชื่อกันว่า มีเครื่องคอมพิวเตอร์ที่ใช้ไมโครซอฟท์วินโดวส์กว่าล้านเครื่องได้รับไวรัส นี้

การแพร่กระจายทางใดบ้าง

แน่ นอน....จดหมายรักมีจุดมุ่งหมายการแพร่กระจายด้วยอีเมล์ไปบนอินเทอร์เน็ต แต่เมื่อแพร่ไปแล้ว จะมีการคัดลอกไฟล์ไว้บนเครื่อง ดังนั้น ถ้าเครื่องนั้นแชร์ข้อมูล หรืออยู่ในเครื่องข่ายเวิร์กกรุ๊ป ที่ใช้ไฟล์ร่วมกัน การแพร่กระจายเข้าสู่เครื่องต่างๆ ก็เกิดด้วย นอกจากการกระจายผ่านไฟล์แบบไวรัสแล้ว ยังกระจายผ่านทาง IRC และกระดานข่าว USENET เพราะมีการส่งไฟล์ระหว่างกันทางนี้ด้วย การที่แหล่งแพร่กระจายมีหลายทาง จึงทำให้เวิร์มตัวนี้ แพร่กระจายเร็วกว่าที่คิด และสร้างความโกลาหลได้อย่างรวดเร็ว การแพร่กระจายผ่านทางอีเมล์กระทำโดยการคัดลอกตัวเอง แล้วสร้างจดหมายฉบับใหม่ ภายใต้โปรแกรมไมโครซอฟท์ เอาท์ลุค (outlook) โดยดูการจ่าหน้าจากแอดเดรสบุ๊ค ลักษณะของจดหมายที่มีเวิร์มตัวนี้ประกอบด้วย

subject :"I LOVE YOU"
Attachment: "LOVE-LETTER-FOR-YOU.TXT.VBS"
Body of Message: "kindly check the altachel LOVELETTER coming from me."

การ รับจดหมายนี้จะรับได้ผ่านอินเทอร์เน็ต โดยผู้รับจะรู้จักกับผู้ส่งและคุ้นเคยดี ทำให้ไม่กังวลที่จะเปิดไฟล์ดู สิ่งที่เห็นเด่นชัดคือ การส่งไฟล์ที่แนบมาเป็น VBScript หรือสคริปต์ที่รันได้เหมือนโปรแกรม exe ทำให้สามารถเขียนตัวเวิร์ม มาใน VBScriptนี้ได้

การส่งผ่าน IRC

เมื่อ มีการเอ็กซีคิวต์ตัวเวิร์มบนเครื่องพีซีแล้ว เวิร์มจะทำการสร้างไฟล์ขึ้นมาไฟล์หนึ่ง ชื่อ script.ini ซึ่งเป็นไฟล์ ที่อยู่ในไดเรคทอรี่ที่ผู้ใช้ IRC ใช้งานเป็นไคลเอนท์

โดย ทั่วไปแล้ว ผู้ใช้ IRC ที่เป็นไคลเอนท์จะมี mIRC อยู่ สคริปต์ไฟล์นี้จะพยายามส่งไฟล์เวิร์มผ่านทาง DCC ไปยังผู้ใช้ IRC อื่น ผ่านทางช่องสื่อสารที่มีการเชื่อมโยงใช้งานถึงกัน ดังนั้น ถ้าผู้ใช้ IRC เปิดช่องสื่อสารร่วมด้วย และไม่ดิสเอเบิ้ล การรับไฟล์ก็จะได้ไฟล์เวิร์มผ่านทาง DCC นี้

การแพร่ผ่านทางเวิร์มกรุ๊ปที่ใช้ไฟล์ร่วมกัน

เมื่อ มีการเอ็กซีคิวต์ไฟล์เวิร์มแล้ว เวิร์มจะทำการค้นหาไฟล์ แล้วทำการเปลี่ยนแปลงไฟล์เหล่านั้น โดยการเปลี่ยนแปลง ข้อมูลในไฟล์ โดยขึ้นอยู่กับชนิดของไฟล์ การปรับเปลี่ยนข้อมูลในไฟล์จะกระทำทั้งที่อยู่ในฮาร์ดดิสก์ของพีซี หรือของไดรฟ์ ที่ต่ออยู่ในเครือข่ายที่มีการแชร์การใช้งาน

การแปลงข้อมูลมีขั้นตอนดังนี้

- ไฟล์ที่มีส่วนขยายเป็น vbs, vbe จะมีการคัดลอกตัวไฟล์มาแทนข้อมูลเดิม โดยใช้ส่วนขยาย และชื่อเดิม
- ไฟล์ที่มีส่วนขยายเป็น js, jse,css,wsh,sct หรือ hta ไฟล์เหล่านี้จะได้รับการคัดลอกนำข้อมูลตัวเวิร์มมาแทน และเปลี่ยนส่วนขยายเป็น vbs เช่น ไฟล์ที่ชื่อ x.css จะได้รับการเปลี่ยนเป็น x.vbs และภายในไฟล์จะเป็นตัวเวิร์ม
- ไฟล์ที่มีส่วนขยายเป็น jpg หรือ jpeg จะไดัรับการเปลี่ยนให้เป็น .vbs เช่น x.jpg จะเปลี่ยนเป็น x.vbs และมีเวิร์ม อยู่ภายใน
- ไฟล์ที่มีส่วนขยายเป็น mp3 หรือ mp3 ก็จะได้รับการเปลี่ยนให้เป็น .vbs เช่นเดียวกัน และยังเปลี่ยนแอตทริบิวต์ ให้เป็นแบบซ่อมไฟล์

สิ่งที่น่าสังเกตคือ การกระทำของเวิร์มจดหมาย I LOVE YOU นี้ เน้นการดัดแปลงโดยการคัดลอกไฟล์เวิร์มมาแทนที่ในไฟล์ ดังนั้น การแก้ปัญหา หรือการกู้ข้อมูลเดิมจึงทำได้ยากกว่าการลบ

ส่วนอีกประการหนึ่งคือ การสร้างไฟล์ที่ใช้ใน IRC โดยไฟล์ที่เวิร์มสร้างขึ้นจะเป็น mIRC สคริปต์ไฟล์ โดยตัวเวิร์มจะตรวจสอบดูว่าในระบบมีไฟล์ mirc32.exe, mlink32.exe, mirc.ini, script ,ini หรือ mirc, hlp

ซึ่งหมายถึง มีการใช้ IRC เวิร์มจะสร้าง script.int ในโฟลเดอร์เดียวกันนี้ โดย script.ini มีข้อสรุปดังนี้

[script]
no=on 1:JOIN:#:{
n1 = /if (nick ==me) {halt}
n2 = /3.dcc send nick DIRSYSTEM\LOVE-LETTER-FOR-YOU. HTM
n3=}

** ลักษณะสคริปต์นี้เป็นการเปิดช่องเพื่อส่งไฟล์ผ่านกัน** การสร้างไวรัสหรือเวิร์ม เป็นเทคโนโลยีที่ไม่ยาก และมีโอกาสที่จะพัฒนาไปได้อีกมาก ลองนึกดูว่า ถ้าเวิร์ม ILOVEYOU แสดงความรุนแรง ด้วยการเปลี่ยนข้อมูลในแฟลชเมมโมรีที่เก็บระบบเหมือนไวรัสเชอโนบิล ความร้ายแรงระบบจะสร้าง ความเสียหายอีกมากมายมหาศาล

หนทางป้องกัน

ทั้งนี้ หนทางที่จะป้องกันได้อย่างหนึ่งคือ ระมัด ระวัง และไม่คลิกเปิดไฟล์ที่แนบมากับจดหมาย หากจะคลิกเปิดไฟล์ จะต้องมั่นใจว่ามาจากผู้ที่ติดต่อด้วย และมั่นใจในข้อมูลที่ส่งมา นอกจากนี้ ควรจะดิสเอเบิ้ล การรันสคริปต์ไฟล์ออกเสีย เพื่อไม่ให้มีการรันสคริปต์ไฟล์

ที่มา:school.net
[/hide]