VIRUS>>>
ไวรัสคอมพิวเตอร์ คือโปรแกรมคอมพิวเตอร์โปรแกรมหนึ่งนั่นเอง
ก็เหมือนอย่างที่เวิร์ด หรือเอ็กเชล ก็เป็นโปรแกรมเช่นเดียวกันสิ่งที่ไวรัสต่างจากโปรแกรม
ประเภทอื่นๆ ก็คือมันมีลักษณะคล้ายเชื้อโรคขนาดเล็ก มันทำงานด้วยตนเองโดยมีเป้าหมาย
ที่ชัดเจนสร้างความเสียหายให้กับคอมพิวเตอร์ที่ติดไวรัส มันไม่ต้องการ รับอินพุตจากผู้ใช้
มันจะพยายามแพร่พันธุ์ตัวมันเองออกไปให้ได้มากที่สุดโดยใช้สารพัดวิธี
ซึ่งทำให้มันมีลักษณะ คล้ายกับไวรัสที่เป็นเชื้อโรคที่จะพยายามขยายพันธ์และสร้างความ
เสียหาย....
VIRUS>>>
ไวรัสคอมพิวเตอร์ส่วนใหญ่ เมื่อปล่อยให้แพร่กระจายออกไปแล้ว มันก็จะไม่อยู่ในความควบคุมของผู้เขียนมัน อีกต่อไป ความเสียหายที่มันก่อขึ้นก็มีหลาย
ระดับ อย่างเบาะๆ แบบที่ไม่สร้างความเสียหาย ก็ทำให้เครื่องทำงานช้าลงบ้าง หรือไม่ก็แสดงข้อความแปลกๆ ออกมาที่จอภาพ แต่พวกนี้มักจะเป็นไวรัสรุ่นเก่า ที่ไม่ค่อยมีพิษสงเท่าใดนักตัวอย่างของไวรัสในกลุ่มนี้ได้แก่ไวรัสลาวดวงเดือนซึ่งเป็นไวรัส
เมดอินไทยแลนด์เพราะมันจะทำให้พีซีที่ติดไวรัสเล่นเพลงลาวดวงเดือน ออกมาเป็นบางครั้ง
ไวรัสรุ่นใหม่ๆ ในปัจจุบันมีขีดความสามารถในการทำลายล้างสูงมาก
คือมันสามารถทำให้ฮาร์ดดิสก์พังแบบ ชนิดที่ต้องเปลี่ยนตัวใหม่
ทั้งยังสามารถทำงานได้อีกต่อไป
ซึ่งถ้าใครโดนขนาดนี้ก็นับว่าโชคร้ายมากเพราะต้องส่งเครื่องไป
ซ่อมเพื่อเปลี่ยนไบออสในเครื่อง ซึ่งเป็นเรื่องที่ทำไม่ได้ง่ายนัก
เครื่องบางรุ่นอาจถึงขั้นต้องเปลี่ยนเมนบอร์ดใหม่ และเสีย
ค่าใช้จ่ายเป็นเงินหลายพันบาทเลยทีเดียว
ปัจจุบันมีเครื่องมือการปราบไวรัส ที่ใช้งานกันอยู่มีทั้งแบบที่เป็นโปรแกรมติดตั้งบนวินโดวส์ และที่เป็นแบบฮาร์ดแวร์คือเป็นการ์ดเสียบเข้าไปในพีซี ตลาดเครืองมือป้องกันไวรัสเหล่านี้ มีมูลค่ามหาศาลนับหมื่นล้านบาทหรืออาจถึง แสนล้านบาทในแต่ละปี ซึ่งทำให้มีผู้ผลิตเครื่องมือป้องกันไวรัสจำนวนมากกระจายอยู่ตามประเทศต่าง ๆ ทั่วโลกแม้กระทั่ง ประเทศไทยเอง ก็ยังมีฮาร์ดแวร์ป้องกันไวรัสแบบที่เป็นการ์ดเสียบลงในพีซี
ซึ่งผลิตและออกแบบเองโดยคนไทยทั้งหมด การเลือกเครื่องมือป้องกันไวรัสให้เหมาะสม
และวิธีเตรียมตัวรับมือกับไวรัสเป็นเรื่องที่ผู้ใช้คอมพิวเตอร์ทุกคน ควรศึกษา ให้เข้าใจ เพราะจะมีประโยชน์อย่างมากในการใช้งานคอมพิวเตอร์
-การติดเชื้อครั้งนี้ รอดยาก-
- การทำงานไวรัส
ไวรัส คือ สิ่งประดิษฐ์อันแปลกประหลาด ที่ถูกเขียนขึ้นมาเพื่อจุดมุ่งหมายในการแพร่กระจายและ
ทำลายรพบบโดยเฉพาะ ไวรัสจะสร้างความแปลกใจให้กับผู้ไม่รู้ด้วยการเท่าทวีจำนวนไบท์จาก 100 กลายเป็น 1000 ในพริบตา
มันไม่ใช่สิ่งที่น่าชื่นชมเลยแม้แต่น้อย ผู้คนที่ใช้คอมพิวเตอร์นับล้านต่างเห็นพ้องต้องกันว่ามันไม่น่าเกิดขึ้นมาเลย แต่มันก็ได้เกิดขึ้นมาแล้ว ไม่ใช่แค่ 1 หรือ 2 ตัว ที่สำรวจพบอาจมีแค่ไม่กี่พันชนิด แต่ที่ยังสำรวจไม่พบล่ะใครจะรู้
.นักเขียนไวรัสทั่วไป มักจะเขียนโดยสร้างตัวของไวรัสขึ้นมาเองโดยตรง หรือไม่ก็พิจารณาจากรหัสที่แยกออกมาจากไวรัสตัวอื่นๆ
ประกอบด้วย การเขียนไวรัสไม่ได้ยากเย็นอย่างที่ใครๆหลายคนคิด รหัสขนาดเล็กกะทัดรัดสัญญลักษณ์แห่งภาษา Assembly
กลายเป็นรูปจำเพาะของไวรัสไปโดยปริยาย อย่างไรก็ตามไวรัสไม่จำเป็นต้องเขียนขึ้นมาด้วยภาษา Assembly เพียงอย่างเดียว
ล้วนๆถึงแม้ว่าการเขียนขึ้นด้วย Assembly ล้วนๆจะเป็นวิธีที่ดีที่สุดก็ตาม
ภาษา C ก็เป็นอีกทางเลือกหนึ่ง เนื่องจากภาษานี้เป็นภาษาที่ยอมให้มีการควบคุมระบบทั้งมวลในขณะที่มีการสร้าง Compac Code ที่เกี่ยวข้อง( หากไม่มีการข้องเกี่ยวกับ Libraly Function )แต่ถึงอย่างไรการทำงานของไวรัสก็ไม่สามารถหนี Assembly พ้นเนื่องจากการ Interrupt เข้ามาเกี่ยวข้อง
Compiler ที่นิยมกันมาก ได้แก่ Borland Turbo Assembler และ Borland C++ อีกทั้ง Zortech C ก็ยังเป็นตัวเลือกที่ดี แต่ Compiler ของMicrosoft มีความยืดหยุ่นในการทำงานยังไม่ดีเท่าตัวอื่นๆ ลองมารู้จักกับชนิดต่างๆของไวรัสกันเสียก่อน
1. ไวรัสขนาดจิ๋ว (Trny virus) มีขนาดเล็กกว่า 500 ไบท์ไวรัสขนาดนี้จะตรวจจับยากเพราะขนาดที่เล็กและกระทัดรัด นอกจากนี้
โครงสร้างของชุดรหัสยังเป็นรูปแบบง่ายๆเนื่องจากถูกจำกัดในเรื่องของความยาว เช่น ไวรัส TINY
2. ไวรัสขนาดใหญ่ (Large virii) มีขนาดเกินกว่า 1500 ไบท์ขึ้นไปซึ่งลักษณะที่ใหญ่โตนี้ถูกออกแบบขึ้นมาเพื่อให้การตรวจจับ
เป็นไปได้ยากเพราะไวรัสจะปกคลุมแทรคทั้งหมดเอาไว้อย่างดีมาก ตัวอย่างที่ดีที่สุดของไวรัสชนิดนี้ ได้แก่ ไวรัส Whale (Stealth virii)
3. ไวรัสทั่วไป หรือไวรัสตัวอื่นๆซึ่งไม่ได้ออกแบบมาให้มีขนาดเล็กหรือใหญ่เพื่อจุดประสงค์ในการซ่อนตัว ไวรัสแบบที่ออก
ฤทธิ์โดยการเขียนทับก็จัดอยู่ในกลุ่มนี้ด้วย เราสามารถแบ่งไวรัสออกเป็น 3 ส่วนง่ายๆได้แก่
1.รีพลิเคเตอร์ (the replicator)
2.คอนซีเลอร์ (the concealer)
3.ส่วนระเบิด (the bomb)
ส่วนที่เป็นรีพลิเคเตอร์จะทำหน้าที่ควบคุมการแพร่กระจายของไวรัสไปยังไฟล์อื่นๆ คอนซีเลอร์จะช่วยไวรัสหลบหลีกให้พ้นจากการ
ตรวจจับ ส่วนบอมบ์จะทำงานเมื่อสภาวะ Active ของไวรัสมาถึง
- - รีพลิเคเตอร์ (The Replicator)
รีพลิเคเตอร์ ทำหน้าที่แพร่กระจายไวรัสให้ไปทั่วถึงทั้งระบบ มีคำถามอยู่ว่า ไวรัสแพร่กระจายไปได้อย่างไรโดยที่ไม่ต้องทำลาย
ไฟล์อื่นๆที่ติดเชื้อ? รีพลิเคเตอร์ชนิดที่เขียนขึ้นมาง่ายๆจะติดเชื้อกับไฟล์ที่มีนามสกุล .Com แล้วจะบันทึกตัวเองลงบนไฟล์ด้วยขนาดเพียง
2-3ไบท์ก่อน จากนั้นมันจึงค่อยๆก๊อปปี้รหัสทีละส่วนให้เพิ่มมากขึ้นตั้งแต่จุดเริ่มจนถึงจุดสิ้นสุดของเป้าหมาย นั่นคือเหตุผลที่ว่าทำไมไฟล์ที่
ติดเชื้อจึงไม่โดนทำลายไปทันทีตั้งแต่แรก
+-------------------------+ +------------------------+
| P1 | P2 | | V1 | V2 |
+-------------------------+ +------------------------+
- ไฟล์ที่ไม่ได้ติดเชื้อ - - ชุดรหัสของไวรัส -
จากไดอะแกรม P1 เป็นส่วนที่ 1 ของไฟล์, P2 เป็นส่วนที่ 2 ของไฟล์, และ V1 กับ V2 เป็นส่วนที่ 1 และ 2ของไวรัส โดยที่ขนาดของ P1 เท่า
กับ V1 แต่ขนาดของ P2 ไม่จำเป็นต้องเท่ากับ V2 เมื่อมีการติดเชื้อไวรัสจะทำการบันทึกบลงบนบริเวณ P1 ของไฟล์ก่อน จากนั้นจึง copy ไปยัง
-1 ส่วนท้ายสุดของไฟล์ หรือ
-2 ภายในชุดรหัสของไวรัส
หากเราสมมติใหห้ว่ามันได้ copy ไปยังข้อ 1 (ส่วนท้ายสุดของไฟล์) เราจะพบต่อไปว่าไฟล์ที่ติดเชื้อจะมีรูปร่างหน้าตาคล้ายแบบนี้
+-------------------------------+
| P1 | P2 | P1 |
+-------------------------------+
จากนั้นไวรัสจะทำการ copy รหัสส่วนแรกของตัวมันไปยังจุดเริ่มต้นของไฟล์ที่ติดเชื้อ
+---------------------------------+
| V1 | P2 | P1 |
+---------------------------------+
ขั้นสุดท้ายไวรัสจะ copy รหัสส่วนที่ 2 ไปยังจุดสุดท้ายของไฟล์ที่ติดเชื้อทำให้ไฟล์ที่ติดเชื้อมีรูปร่างหน้าตาคล้ายแบบนี้
+------------------------------------------+
| V1 | P2 | P1 | V2 |
+------------------------------------------+
ขั้นตอนที่กล่าวมาทั้งหมดนนี้ คือวิธีการที่จะทำให้ไฟล์ .COM ติดเชื้อโดยที่ไม่ถูกทำลายคราวนี้กลับมาพิจารณาการทำงานของส่วนที่เป็น
รีพลิเคเตอร์ของไวรัส ทีละขั้นดังต่อไปนี้
- ขั้นที่ 1 หาไฟล์ที่จะทำให้ติดเชื้อ
- ขั้นที่ 2 ตรวจสอบว่ามันติดเชื้อแล้วหรือยัง
- ขั้นที่ 3 หากติดเชื้อแล้วก็เลิกภารกิจ ค้นหาไฟล์อื่นต่อไป (กลับไปยัง ข้อ 1)
- ขั้นที่ 4 หากยังไม่ติดเชื้อก็ทำให้มันติดเชื้อ
- ขั้นที่ 5 ครอบคลุมแทรคต่างๆ
การค้นหาไฟล์เพื่อที่จะติดเชื้อนั้นก็คือ การเขียนกระบวนการเดินทางข้ามไดเรคทอรีแล้วเรียกคำสั่ง FINDFIRST กับ FINDNEXT ขึ้นมาเพื่อหาไฟล์ต่างๆที่เป็นไปได้ในการติดเชื้อ เมื่อหาไฟล์เจอ ไวรัสจะเปิดมันขึ้นอ่านเพียง 2-3 ไบท์แรก หากข้อมูลที่อ่านได้นั้นไม่เหมือนกับ V1 ไวรัสจะตีความว่าไฟล์นี้ยังไม่ได้ติดเชื้อ แล้วทำให้มันติดเชื้อ ไวรัสทั่วไปมักจะไม่ทำการติดเชื้อซ้ำซ้อนอีกครั้งในไฟล์เดียวกันการติดเชื้อซ้ำซ้อนนี้เอง
เคยเป็นจุดอ่อนที่ทำให้ไวรัส Jerusalem โดนตรวจจับมาแล้ว ไวรัสส่วนใหญ่จะทำการติดเชื้อไฟล์ที่ยังไม่ติดเชื้อทันที ตามขั้นตอนต่อไปนี้
1 เปลี่ยนคุณสมบัติของไฟล์ (file attributes) ให้ไม่เป็นอะไรเลย
2 บันทึกวัน/เวลาของไฟล์เอาไว้
3 ปิดไฟล์
4 เปิดไฟล์ขึ้นมาอีกครั้งในโหมด อ่าน/เขียน (read/write mode)
5 บันทึก P1 แล้วใส่มันลงไปที่ส่วนท้ายสุดของไฟล์
6 copy V1 ไปยังจุดเริ่มต้นของไฟล์ เปลี่ยนออฟเซ็ท ณ ที่มัน JMPs ไปถึงด้วยเพื่อที่มันจะได้โอนย้ายการควบคุมไปได้อย่างถูกต้อง
7 เขียน V2 ลงไปยังส่วนท้ายสุดของไฟล์
8 ทำให้คุณสมบัติ/วัน/เวลา กลับมาเป็นเหมือนเดิม
ไวรัสมักจะเก็บตัวนับจำนวนไฟล์ที่ถูกทำให้ติดเชื้อระหว่างการรันเอาไว้ด้วย หากจำนวนเกินเช่นเกิน 3แล้วจึงหยุด ไวรัสที่ดีติดเชื้อทีละน้อยก่อนในตอนแรก ก่อนที่จะทวีความน่ากลัวโดยติดเชื้อไดร์ฟทั้งไดร์ฟภายในครั้งเดียว ตามความหมายทางชีววิมยาแล้ว
ไวรัสเป็นสิ่งมีชีวิตแบบปรสิต กล่าวคือ จะมีชีวิตอยู่ได้โดยต้องอาศัยสิ่งมีชีวิตอื่น (โฮสต์) เป็นที่พึ่ง ไวรัสจะต้องรักษาชีวิตโฮสต์เอาไว้ด้วย หากมันต้องการจะมีชีวิตอยู่ต่อไป
ถ้าโฮสต์ได้รับความเจ็บปวดจนกระทั่งตาย มันก็จะตายไปด้วย ไวรัสคอมพิวเตอร์ก็มีลักษณะที่คล้ายคลึงกัน มันจะแปะติดตัวเองไปตามระบบของโฮสต์และสืบพันธุ์ไปจนกระทั่งระบบทั้งหมดถูกทำลาย การจำลองตัวเองคือสมบัติพิเศษที่แยกไวรัสออกจากโทรจัน ใครๆก็สามารถเขียน
โทรจันได้ แต่สำหรับไวรัสแล้วมันมีอะไรที่พิเศษกว่านั้นเยอะ ไวรัสทำงานโดยที่ไม่มีใครเห็น มันสามารถจับเหยื่อขึ้นมาง่ายๆเพียงแค่เข้าถึงพื้นผิวของข้อมูลเท่านั้น ไวรัสสามารถแรพร่กระจายไปได้ทั้งกับไฟล์ COM และ EXE การทำงานของไวรัสมี 2 ลักษณะใหญ่ๆด้วยกันคือแบบรันไทม์ กับ แบบ TSR ไวรัสแบบ รันไทม์จะทำงานเมื่อโปรแกรมที่ติดเชื้อทำงาน ในขณะที่ TSR ไวรัสจะไปรบกวนการทำงานของอินเทอรัพท์
และทำการติดเชื้อเมื่อไฟล์นั้นเกิดการรัน เปิด, ปิด หรือถูกทำให้หยุดการทำงาน (เช่น INT 20h, INT 21h/41h) ซึ่งทั้ง 2 แบบนี้ต่างมีข้อดีและข้อเสีย ไวรัสรันไทม์จะถูกตรวจจับได้ยากกว่า เนื่องจากมันไม่แสดงให้เห็นในแผนที่หน่วยความจำ แต่มันจะทำงานช้าเพราะต้องอาศัยเวลาในการค้นหาไฟล์และทำให้ไฟล์ติดเชื้อ TSR ไวรัส ถูกตรวจจับได้ง่ายเนื่องจากจะแสดงให้เห็นในแผนที่หน่วยความจำ โดยเครื่องมือ เช่น MAPMEM
หรือ PMAP แต่ TSR จะมีขนาดเล็กกว่าเนื่องจากไม่จำเป็นต้องใส่ฟังก์ชั่นในการค้นหาไฟล์ลงไป นอกจากนี้มันยังทำงานเร็วกว่ารันไทม์ เพราะว่า
มันไม่ต้องเสียเวลาค้นหาไฟล์
- คอนซีเลอร์ (CONCEALER)-
คอนซีเลอร์เป็นส่วนที่จะใช้ซ่อนไวรัสให้พ้นจากการสังเกตของผู้ใช้และไวรัสแสกนเนอร์ รูปแบบอย่างง่ายที่สุดของการซ่อนตัวก็คือเอนครีพเตอร์
การเข้ารหัสเป็นปัจจัยสำคัญที่จะทำให้แสกนเนอร์ไม่สามารถหาตำแหน่งของไวรัสได้ เนื่องจากมันจะซ่อนสริงก์ตัวอักษรต่างๆที่มีอยู่ในโปรแกรมเอาไว้ด้วย การเข้ารหัสนี้ถือได้ว่าเป็นวิธีที่ง่ายที่และรวดเร็วที่สุดในการซ่อนไวรัส ไวรัสจะเข้าไปเกาะแกะกับดอสอินเทอรัพท์แล้วแก้ไข
เอาท์พุทของ DIR เพื่อให้ขนาดของไฟล์ดูเป็นปกติ รูปแบบอื่นๆของการเร้น (สำหรับ ไวรัส TSR ) จะเข้าไปแก้ไข DOS เพื่อจะทำให้ memory utilities ไม่สามารถตรวจจับไวรัสได้ การโหลดไวรัสขึ้นมาบนหน่วยความจำบางส่วนที่แน่นอนจะทำให้ไวรัสยังอยู่ได้ในการรีบูท นอกจากนี้ยัง
มีเทคนิคการหลบหลีกอีกมากมายที่ถูกนำมาใช้กัน
-ส่วนระเบิด (THE BOM-
หลังจากผ่านเรื่องเครียดมามากพอ หัวข้อนี้อาจจะทำให้คุณรู้สึกสนุกขึ้นบ้าง ส่วนระเบิดของไวรัสทำหน้าที่หลักๆ เช่น การลบทิ้ง การทำให้ช้าลงพูดง่ายๆก็คือส่วนนี้นี่เองที่ทำให้ไวรัสนั่นเป็นตัวน่ารำคาญซึ่งในส่วนนี้สภาวะการทำงานของไวรัสจะถูกกำหนดมาแล้ว โดยจะเป็นอะไรก็ได้เช่น เมื่อถึงวันเกิด, เมื่อทำการติดเชื้อครบ 100 ไฟล์และเมื่อใดก็ตามที่สภาวะเหล่านี้มาถึงไวรัสก็จะเริ่มทำสิ่งดีๆ ไม่น่าเชื่อให้ใครๆ ได้เห็น
ส่วนระเบิดอาจทำสิ่งต่างๆได้ดังต่อไปนี้
1. ทำให้ระบบช้าลง- ไวรัสจะจัดการกับอินเทอรัพท์และทำให้มันเชื่องช้าเมื่อถึงเวลาทำงาน
2. ลบไฟล์ทิ้ง- ลบไฟล์นามสกุล ZIP ทั้งหมดบนไดร์ฟ
3. แสดงข้อความ- โชว์ข้อความน่ารักๆ ให้เห็นเพื่อแสดงให้รู้ว่าระบบกำลังจะแย่แล้ว
4. กำจัดหรือลบ การแบ่งพาร์ทิชัน หรือ บูทเซกเตอร์ หรือ FAT ของฮาร์ดไดร์ฟ- วิธีนี้เป็นวิธีที่จะสร้างความเสียหายให้อย่างดีที่สุด เนื่องจากเมื่อ
เกิดขึ้นแล้วจะไม่สามารถแก้ไขได
้
- การทดสอบไวรัส
ไม่ต้องมีใครบอกคุณก็น่าจะทราบว่า การทดสอบไวรัสนั้นเป็นเรื่องอันตราย การทดสอบนี้ทำเพื่อแน่ใจว่า ไวรัสของนั้นใช้งานได้จริงโดยการทดสอบจะเกิดขึ้นภายใต้สภาวะที่กำหนดไว้ หากคุณมีคอมพิวเตอร์ 2 เครื่องสามารถใช้อีกเครื่อง(เก่าๆ ไม่มีประโยชน์ใกล้พังแล้ว) เป็นตัวทดสอบจะดีมากแต่ถ้าไม่มีเครื่อง 2 เครื่องถือเป็นเรื่องคอขาดบาดตายเลยที่คุณจะต้องแบคอัพ ไฟล์, พาร์ทิชัน, บูทรีคอร์ด และ FAT ทั้งหมดของคุณเอาไว้โดยแนะนำให้
ใช้ Norton ในการจัดการ ขอย้ำอีกครั้งว่า อย่าประมาทโดยเด็ดขาด คุณจะต้องเศร้าเมื่อพบว่าถูกเล่นงานโดยไวรัสที่ตนเองสร้างขึ้นมาจำเอาไว้ว่า ที่เราทำงาน
ในส่วนนี้เพื่อให้เข้าใจการทำงานของไวรัสอย่างถ่องแท้เท่านั้น แรมไดร์ฟเป็นตัวทดสอบไวรัสและม้าโทรจันที่ใช้การได้ดีในบางครั้งเนื่องจากความ
เสียหายที่เกิดขึ้นจะเป็นเพียงชั่วคราวเท่านั้น
-การแพร่กระจายเชื้อ
เป็นเรื่องหลังจากที่ผู้เขียน (ที่ต้องไม่ใช่คุณอย่างแน่นอน) ทำสิ่งต่างๆ เสร็จเรียบร้อยแล้ว ไวรัสสามารถแพร่กระจายได้ โดยทำให้ไฟล์ที่ผู้คนต้องการ
ดาวน์โหลดติดเชื้อก่อนจากนั้นจึงนำไปวางไว้ตามสถานทีต่างๆ ที่ผู้คนสามารถหยิบฉวยไปใช้ได้ง่าย ยิ่งผู้คนดาวน์โหลดไปใช้มากเท่าไหร่ พวกเขาก็จะได้
พบกับประสบการณ์อันสุดแสนจะเศร้าใจมากขึ้นเท่านั้น หากทราบอย่างนี้แล้วคุณก็คงจะขยันใช้โปรแกรมแอนติไวรัสกับไฟล์ที่ดาวน์โหลดมาให้บ่อยขึ้น
จะได้ไม่ตกเป็นเหยื่อของผู้ที่ชอบแพร่กระจายไวรัส
-ไวรัสแบบเขียนทับ (Overwriting virii)
ไวรัสเหล่านี้จะแพร่กระจายไปทั่วระบบ และจะทำให้ไฟล์ที่ติดเชื้อทำงานไม่ได้ เนื่องจากคุณสมบัตินี้เองจึงทำให้พวกมันถูกตรวจจับได้ง่ายไวรัสแบบเขียน
ทับสามารถเขียนขึ้นมาได้ง่ายๆ ดังนี้
+-------------+ +----------+ +--------------+
| Program | | Virus | | Viruslam |
+-------------+ +----------+ +-------------+
-เทคนิคการแอนติดีบัก
ในปัจจุบันเทคนิคการดีบักถูกใช้กันอย่างแพร่หลายกับตัวของไวรัสทั้งนี้เพื่อที่จะหลบเลี่ยงการถอดรหัสของไวรัส ส่วนเทคนิคของการแอนติดีบักนั้นจะพบในโปรแกรมต่างๆ ที่ทำหน้าที่ปกป้องซอฟต์แวร์ซึ่งโปรแกรมเหล่านี้จะใช้เทคนิคแอนติดีบักเพือลดความเป็นไปได้ในการถอดรหัสของโปรแกรม
เทคนิคของการแอนติดีบัก แบ่งออกเป็น 2 พวกคือ
1. Preventive actions
Preventive actions โดยทั่วไปแล้วหมายถึงการกระทำใดๆที่เกิดขึ้นจากโปรแกรม โดยมีจุดมุ่งหมายเพื่อป้องกันไม่ให้ผู้ใช้โปรแกรมสามารถถอด
รหัสหรือ trace ในขณะที่โปรแกรมกำลังรันได้
1.1 Interrupt disable เป็นเทคนิคธรรมดาๆ ของแอนติดีบัก สามารถทำได้หลายวิธี
1.1.1 Hardware masking of interrupt : โดยปกติแล้ว ในการหลบเลี่ยงการ trace หารหัสของโปรแกรม เรามักจะทำให้อินเทอรัพท์หยุดทำงาน
ผ่านทางตัวควบคุมอินเทอรัพท์ 8259 ซึ่งกำหนดตำแหน่งโดยการอ่าน/เขียน ไปยังพอร์ท 21h ปกติตัวควบคุมอินเทอรัพท์ 8259 จะควบคุมไลน์ IRQ ต่างๆ
ดังนั้น IRQ ทุกตัวที่อยู่ระหว่าง 0 และ 7 จึงมีโอกาสหยุดทำงานได้ เมื่อเกิดการกระทำนี้ขึ้น เราทราบว่า บิท 0 คือ IRQ ดังนั้นเมื่อ IRQ1 คือ คีย์บอร์ดอินเทอรัพท์
เราสามารถหยุดการทำงานของคีย์บอร์ดได้โดยไม่ต้องไปเกี่ยวข้องกับดีบักเกอร์
ตัวอย่าง :
CS:0100 E421 IN AL,21
CS:0102 0C02 OR AL,02
CS:0104 E621 OUT 21,AL
โปรดสังเกตว่า เราสามารถหยุดการทำงานของคีย์บอร์ดได้โดยการใช้คำสั่งผ่านไปยังพอร์ท 61h ของ Programmable Perepheral Interface (PPI)
ตัวอย่าง :
CS:0100 E461 IN AL,61
CS:0102 0C80 OR AL,80
CS:0104 E661 OUT 61,AL
1.1.2 Software masking of interrut :
เป็นอีกหนึ่งรูปแบบง่ายๆ ของเทคนิคแอนติดีบัก สามารถทำได้โดยการแทนที่เวคเตอร์ต่างๆ ของอินเทอร์รัพท์โดยใช้เวคเตอร์อื่นๆ ที่ไม่ได้ใช้งานหรือเวคเตอร์ที่ไม่ได้ต้องการให้เกิดขึ้นก็ได้ ทั้งนี้ต้องไม่ลืมนำเวคเตอร์เดิมกลับคืนมามาด้วยหลังจากเสร็จแล้ว ตามด้วยตัวอย่างต่อไปนี้ขอแนะนำให้ใช้วิธีเปลี่ยน
เวคเตอร์แบบ manual แทนการเปลี่ยนโดยใช้ อินเทอรัพท์ 21h เซอร์วิส 25h เนื่องจาก ดีบักเกอร์ตัวใดก็ตามที่สามารถควบคุมอินเทอรัพท์ 21h อาจจะมาแทนที่เวคเตอร์ของคุณด้วยก็ได้ ตัวอย่างแสดงถึงอินเทอเซ็พชันของอินเทอรัพท์ 03h (ซึ่งเป็นเบรคพอยท์อินเทอรัพท์)
ตัวอย่าง :
CS:0100 EB04 JMP 0106
CS:0102 0000 ADD [BX+SI],AL
CS:0104 0000 ADD [BX+SI],AL
CS:0106 31C0 XOR AX,AX
CS:0108 8EC0 MOV ES,AX
CS:010A 268B1E0C00 MOV BX,ES:[000C]
CS:010F 891E0201 MOV [0102],BX
CS:0113 268B1E0E00 MOV BX,ES:[000E]
CS:0118 891E0401 MOV [0104],BX
CS:011C 26C7064C000000 MOV Word Ptr ES:[000C],0000
CS:0123 26C7064E000000 MOV Word Ptr ES:[000E],0000
1.1.3 การรวมเวคเตอร์
เทคนิคนี้จะเกี่ยวข้องการผสมเวคเตอร์ต่างๆ ของอินเทอรัพท์เข้าด้วยกัน โดยมีจุดประสงค์หลักเพื่อการกระตุ้นที่เหมาะสมของอัลกอริทึม
จากตัวอย่างในหัวข้อนี้สามารถใช้ในการเข้ารหัสได้ด้วย โดยใช้ข้อมูลที่บันทึกเอาไว้บนเวคเตอร์ ระหว่างที่โปรแกรมทำงาน จะไม่มีการใช้งานเวคเตอร์01h และ 03h เลยเวคเตอร์ 2 ตัวนี้จะทำงานเมื่อมีการดีบักโปรแกรมเกิดขึ้น
ตัวอย่าง :
CS:0100 31C0 XOR AX,AX
CS:0102 8ED0 MOV SS,AX
CS:0104 BC0600 MOV SP,0006
CS:0107 8B0E0211 MOV CX,[1102]
CS:010B 50 PUSH AX
CS:010C 20C8 AND AX,CX
CS:010E 01C5 ADD BP,AX
CS:0110 58 POP AX
CS:0111 E2F8 LOOP 010B
1.1.4 การแทนที่อินเทอรัพท์
เทคนิคนี้ถือได้ว่าแพรวพราวพอสมควร คุณจะใช้มันได้ก็ต่อเมื่อแน่ใจสุดๆ แล้วว่าโปรแกรมที่มีอยู่นั้นไม่ต้องการดีบักเพิ่มเติม
อีกแล้ว วิธีทำก็คือให้ก๊อปปี้เวคเตอร์บางตัวของอินเทอรัพท์ที่คุณกำลังจะใช้งาน เช่น 16h และ 21h ทับลงไปบนเวคเตอร์บางตัวของอินเทอรัพท์01h และ 03h (ซึ่งสองตัวหลังนี้จะไม่เกิดขึ้นระหว่างการทำงานปกติของโปรแกรม)
VIRUS>>> LOVE BUG
คอมพิวเตอร์กำลังเจอปัญหาจากการแพร่ระบาดของไวรัสตัวใหม่ ที่ชื่อว่า LOVE BUG โดยที่จะเป็นไวรัสประเภท WORM นั่นคือ ซอร์ฟแวร์ที่เขียนขึ้นมาเพื่อให้แพร่ระบาดตัวเองผ่านทางระบบเครือข่ายอินเทอร์เนต ในลักษณะที่เป็น E- Mail หรือ Chatroom โดยเริ่มแพร่ระบาดอย่างรวดเร็วทำความเสียหายให้เครื่องคอมพิวเตอร์ทั่วโลก ไม่เว้นแม้กระทั่งประเทศจีน นิวซีแลนด์ ออสเตรเลียและประเทศยักษ์ใหญ่ อย่างสหรัฐอเมริกา
ไวรัส LOVE BUG ถูกปล่อยมาจากผู้ก่อกวนในฟิลิปปินส์ ซึ่งใช้นามแฟงว่า " Spider " ซึ่งที่จะมีลักษณะการทำงานโดยจะเขียนทับไฟล์รูป ไฟล์เพลงรวมทั้งไฟล์ประเภทอื่น ๆ ที่อยู่ในเครื่อง และเมื่อไวรัสขยายตัวมากขึ้นก็จะทำให้เครือข่ายคอมพิวเตอร์ติดขัด และทำให้ระบบทำงานช้าหรือต้องปิดตัวลงนอกจากนี้ยังแพร่ระบาดไปใน E- Mail โดยที่จะมีข้อความว่า I LOVE YOU อยู่บน Subject ของจดหมาย และมีข้อความว่า LOVE LETTER เพื่อให้เป็นการเชิญชวนให้เปิดอ่านจดหมาย
โดยที่จะส่งมาเป็น Attachment File
ชื่อ LOVE - LETTER - FOR - YOU - TXT.vbs นอกจากนี้ยังมีคำว่า JOKE , FUNNY ,
VERY FUNNY , Susitikim ซึ่งเป็นภาษาลิธัวเนีย โดยที่จะมีข้อความตรงกับ
บนหัวจดหมายว่า
Susitikim Shi Vakara Kavos Puodukui ...
ถ้าหากว่าคุณใช้โปรแกรม Microsoft Outlook
ไวรัสก็จะส่งข้อความดังกล่าวไปยังชื่อผู้รับทุก ๆ คนที่อยู่ใน List ที่อยู่ของโปรแกรม
ส่วนผู้ที่ใช้โปรแกรมเมลแบบอื่น ๆ และผู้ที่ไม่ได้ใช้ระบบปฎิบัติการ Windows
ก็อาจจะมีส่วนแพร่ระบาดไวรัสไปอย่างไม่รู้ตัวโดยอาจจะส่งจดหมายไปให้เพื่อนในลักษณะของ E- Mail และยังสามารถบังคับให้เครื่องคอมพิวเตอร์ของเหยื่อส่งข้อความทางแฟกซ์ได้อีกด้วย
ผู้ใช้เครื่องคอมพิวเตอร์ความจะทำตัวอย่างไร ?
- ก่อนอื่นควรติดตั้งโปรแกรมตรวจสอบไวรัส
รวมทั้งอัพเดตข้อมูลไวรัสจากเว็บไซต์ของบริษัทผู้ผลิตอยู่เสมอ
- ห้ามเปิดไฟล์ Attachment ที่มีชื่อว่า LOVE - LETTER - FOR - YOU - TXT.vbs
อย่างเด็ดขาด เมื่อได้รับต้องลบทิ้งทันที
- สำหรับผู้ที่ใช้โปรแกรม Microsoft Outlook และโปรแกรม Windows Scripting
Host ควรยุติการใช้งานคุณสมบัติ Active Scripting
ในซอร์ฟแวร์ Internet Explorer และโปรแกรมเมลอื่น ๆ
รวมถึงการยุติการใช้งานคุณสมบัติการรับไฟล์อัตโนมัติผ่านห้อง Chatroom
รายละเอียดเวิร์ม Code Blue
บริษัทซอฟท์แวร์แอนตี้ไวรัสหลายบริษัทเผยแพร่ข้อมูลเกี่ยวกับเวิร์ม Code Blue ที่ใช้ช่องโหว่ เรียกว่า Folder Traversal ที่มีในซอฟท์แวร์ Internet Information Service (IIS) ของไมโครซอฟท์ ที่มีการค้นพบครั้งแรกในเดือนตุลาคม คศ.2000 หลังจากที่เวิร์มเข้าไปในระบบได้แล้วมันจะดาวน์โหลดไฟล์พิเศษจากเครื่องที่ติดไวรัสนี้มาก่อนแล้ว แล้วจึงสร้างตัวมันเองที่ C:\ มันจะเปลี่ยนแปลงไฟล์ที่อยู่ในวินโดวส์ NT/2000 มีไฟล์ SVCHOST.EXE, HTTPEXT.DLL และ D.VBS อยู่ด้วย จากข้อมูลของ Kaspersky ไฟล์ SVCHOST.EXE จะทำให้เวิร์มทำงานทุกครั้งที่คอมพิวเตอร์บูต D.vbs จะตรวจและลบเวิร์ม Code Red ออกจากระบบ นอกจากนี้มันยังลบไฟล์ INETINFO.exe ที่เวิร์ม Code Red สร้างขึ้นมาด้วย จากนั้นมันจะสร้าง thread 100 thread ซึ่งจะสแกน ip address เพื่อหาเครื่องที่มีช่องโหว่เพื่อโจมตี ซึ่งการทำเช่นนี้จะต้องใช้ทรัพยากรมากจนอาจทำให้เครื่องช้าลงหรือหยุดทำงานลงได้
นอกจากนี้ Code Blue ยังถูกเซ็ตให้ทำการโจมตีแบบ Denial of Service(DOS) ไปยัง ip address ที่ เป็นของบริษัทรักษาความปลอดภัยคอมพิวเตอร์แห่งหนึ่งของจีน
patch ของไมโครซอฟท์ที่สามารถป้องกันช่องโหว่ Folder Traversal สามารถดาวน์โหลดได้ที่นี่
แหล่งข่าว Vnunet - Code Blue virus exploits IIS hole
ตามล่าตัวการสร้างเวิร์ม
นักท่องอินเทอร์เน็ตหลาย ๆ คนเริ่มคุ้นเคยกับชื่อเวิร์ม SirCam และ Code Red แต่ผู้สร้างเวิร์มทั้งสองตัวที่แพร่กระจายไปทางทั่วเน็ตนั้น กลับยังปริศนาอยู่
หน่วยงาน National Infrastructure Protection Center (NIPC) ของ FBI กำลังตามหารตัวผู้สร้างและปล่อยเวิร์มนี้
และคาดว่าจะรู้ตัวในไม่ช้า "เราจริงจังกับการตามหาตัวผู้สร้าง Code Red และ SirCam มาก" Debra Weierman แห่ง NIPC กล่าว ",
"การส่งผ่านเวิร์มหรือไวรัสผ่านอินเทอร์เน็ตอย่างจงใจ เป็นอาชญากรรม เป็นการทำผิดร้ายแรง ไม่ใช่การเล่นสนุกเพื่ออวดเก่ง"
Weierman ยอมรับว่าการหาตัวคนสร้างเวิร์มนั้นมักจะเหมือนกับการต่อจิ๊กซอว์ที่ชิ้นส่วน กระจัดกระจายไปทั่วโลกแต่เธอกล่าวว่า หน่วย NIPC มั่นใจว่าจะสามารถย้อนรอยหาผู้สร้างเวิร์มได้ทั้งคู่ "เราติดต่ออยู่กับผู้ทำงานด้านการรักษาความปลอดภัย 4,000 คนทั่วโลกที่สามารถให้ข้อมูลข่าวสารเราได้" "จะมีเพียงแต่เงื่อนไขด้านเวลาเท่านั้น" Weierman กล่าว
การค้นหาตัวผู้สร้างนั้นจำเป็นต้องรู้ว่าใครเป็นผู้สร้างเวิร์ม ถ้าไม่รู้ว่าใครเป็นใครในโลกของไวรัส และ เหตุผลว่าทำไมเขาจึงทำสิ่งนั้น
สามารถทำให้หลงประเด็นสำคัญได้ง่าย และทำพลาดเป้าที่ถูกต้อง วันพุธที่ผ่านมา Frank Felzmann หัวหน้าของหน่วยงาน
Federal Office for Information Technology Security ของเยอรมันกล่าวว่าเขาย้อนรอยหาตัวผู้เขียน Code Red ได้แล้ว
Felzmann กล่าวว่ากลุ่มนักเจาะจากเนเธอร์แลนด์ 29a สร้างเวิร์มนี้ขึ้นมา แต่สมาชิกของกลุ่ม 29a
กล่าวปฏิเสธว่าเขาไม่ได้อยู่ที่เนเธอร์แลนด์และไม่เกี่ยวข้องกับ Code Red ตามข่าวที่รายงาน Felzmann กล่าวว่า 29a อ้างว่าเขาเป็นผู้สร้างเวิร์ม Code Red ในกลุ่มนิวส์กรุ๊ป
แต่จากการค้นหา Usenet ผลที่ได้มีเพียงแต่การอภิปรายของโปรแกรมเมอร์ชาวรัสเซียหลายคนที่สับสน
กับชื่อไวรัส RedCode ที่มีโค้ดประกอบไปด้วยข้อความที่อ้างว่าผู้เขียนชื่อ Wintermute/29a กับชื่อ Code Red "ใช่แล้ว Wintermute เป็นอดีตสมาชิกของ 29a ที่เขียนไวรัส RedCode" Mental Driller สมาชิก คนหนึ่งของ 29a กล่าว
"แต่มันเป็นไวรัสรุ่นเก่าที่ทำงานบนดอสเท่านั้น มันไม่เกี่ยวข้องกับไวรัส Code Red ที่สื่อกำลังกล่าวถึงอยู่ Felzmann ไม่ได้ตอบต่อประเด็นนี้แต่อย่างใด ผู้เขียนไวรัสบางคนชอบอ้างชื่อถึงพวกเขาในโค้ดด้วย แต่จนถึงเดี๋ยวนี้ไม่มีใครสามารถค้นพบร่องรอยใด ๆ เพื่อที่จะหาชื่อผู้เขียนใน Code Red ทุกเวอร์ชันที่แพร่กระจายทางอินเทอร์เน็ตตั้งแต่ที่ค้นพบเมื่อเดือนมิถุนายม
SirCam มีจุดที่บอกถึงผู้เขียนไว้ด้วย มีสายอักขระในไฟล์
ในฮาร์ดไดรฟ์ของคอมพิวเตอร์บางเครื่องที่ติดเวิร์ม เขียนไว้ว่า '[SirCam Version 1.0 Copyright 2001 2rP Made
in / Hecho en - Cuitzeo, Michoacan Mexico]' เมือง Cuizeo จัดงานเทศกาลใหญ่ในวันที่ 16 ตุลาคมของทุกปี
เป็นวันเดียวกับที่เวิร์ม SirCam ถูกโปรแกรมให้ทำงาน ในคอมพิวเตอร์ที่ติดเวิร์มนี้ ในวันนี้ SirCam
จะสร้างตัวเลขสุ่มที่มีโอกาส 1 ใน 20 ที่จะบังคับให้คอมพิวเตอร์นั้นลบไฟล์ทั้งหมดในฮาร์ดไดรฟ์
Weierman ไม่สามารถให้คำวิจารณ์ต่อการสืบสวนได้ แต่กล่าวว่า NIPC กำลังศึกษารายงานทุกอย่างที่เกี่ยวกับ
เวิร์มทั้งสองตัวอย่างละเอียด "ถ้าผู้สร้างเวิร์มไม่ได้อาศัยอยู่ในสหรัฐ ฯ NIPC จะแจ้งไปยังหน่วยงานบังคับใช้กฏหมายท้องถิ่นนั้นและทำงานร่วมกับเขาเพื่อให้ แน่ใจว่าเขาจะได้รับการดำเนินการโดยใช้กฏหมายท้องถิ่นอย่างน่าเชื่อถือ"
"ในสหรัฐ ผู้สร้าง Code Red และ SirCam จะถูก ลงโทษจำคุกห้าปี ปรับไม่เกิน 250,000 เหรียญสหรัฐ ฯ
สำหรับแต่ละเหตุการณ์ที่เกิดความเสียหาย และอาจถูกฟ้องร้องจาก บริษัทและประชาชนที่เน็ตเวิร์คหรือคอมพิวเตอร์ของเขาพวกเขาเสียหายด้วย"
บริษัททางด้านการรักษาความปลอดภัยส่วนใหญ่ที่ทำงานกับ NIPC
ไม่ได้พยายามที่จะหาผู้สร้างเวิร์ม มีเพียงผู้เชี่ยวชาญด้าน
ความปลอดภัยน้อยคนเท่านั้นที่ค้นหา เช่น Richard Smith แห่ง Privacy Foundation Smith กล่าวว่า
"การต่อชิ้นส่วนปริศนาทั้งหมดเข้าด้วยกันเป็นสิ่งที่น่าหลงไหล" แต่เขาก็ยังไม่มีเวลาไปสนใจ กับกรณีของ Code Red และ SirCam
Smith ออกความเห็นว่า NIPC ควรขอความร่วมมือจากที่ต่าง ๆ เพื่อหาผู้สร้าง Code Red "เซิร์ฟเวอร์หรือไฟร์วอลจะมี log
ที่บอกว่ามีเครื่องใดบ้างที่ติดเวิร์ม ถ้า NIPC ขอ log เหล่านี้ของทุก ๆ คนและ ตรวจสอบ log
เพื่อหาการจู่โจมครั้งแรก พวกเขาอาจจะหาพบได้ว่าใครใดเป็นเครื่องแรกที่เริ่มการแพร่เวิร์ม"
"มันเป็นงานที่ใหญ่มาก แต่ผมพนันว่า NIPC สามารถทำได้"
Smith บอกว่านักล่าเวิร์มต้องมีความอดทนมากและต้องแบ่งปันร่องรอยเวิร์มกับคนนักล่าคนอื่นด้วย
Smith ค้นพบผู้สร้างเวิร์ม Melissa โดยการหา digital fingerprint
ซึ่งเป็นส่วนของโค้ดที่มีลักษณะเฉพาะที่อยู่ภายในสายอักขระของคำสั่งต่าง ๆต่อมา Smith โพสต์ข้อมูลเกี่ยวกับ fingerprint
ในนิวส์กรุ๊ป จึงมีผู้โพสต์คนอื่นที่บอกให้เห็นถึงความคล้ายคลึงระหว่างโค้ด
Melissa และโปรแกรมสร้างไวรัสที่ VicodinES โพสต์ไว้ที่เว็ป
Smith พบว่า digital fingerprint ในโปรแกรมสร้างไวรัสของ VicodinES เหมือนกับที่เขาพบใน Melissa
ทำให้เกิดหลักฐานเสมือนจริงที่ช่วยนำเอฟบีไอไปยัง David L. Smith ผู้สร้าง Melisa "ไม่ยากเกินไปที่จะหาชิ้นส่วนปริศนาหนึ่งหรือสองชิ้น
แต่มันยากที่จะวางชิ้นส่วนทั้งหมดให้เป็นภาพใหญ่" Smith กล่าว Wired - The Hunt for the Worm Writers
เวิร์ม Code Red II
มีเวิร์มชนิดใหม่ที่มีความร้ายแรงกว่าเวิร์มที่พยายามเจาะคอมพิวเตอร์ที่มีช่องโหว่ทางด้าน
ความปลอดภัยอย่าง Code Red เริ่มแพร่กระจายทางอินเทอร์เน็ตแล้ว ตามที่มีการเตือนของหน่วยงานวิจัยด้านความปลอดภัย
และบริษัทขายซอฟท์แวร์แอนตี้ไวรัสหลายแห่ง Code Red II มีอันตรายมากกว่าเวอร์ชันก่อน เนื่องจากมันพยายามลงโปรแกรม backdoor ลง ไปในระบบนั้นด้วย ซึ่งจะทำให้ผู้ประสงค์ร้ายสามารถบุกรุกเข้าไปในคอมพิวเตอร์ที่ถูกเวิร์มนี้บุกรุกได้ หลังจากที่ผู้บุกรุกเข้าไปในระบบผ่าน backdoor แล้วผู้บุกรุกสามารถควบคุมเครื่องโดยการเปลี่ยน
รหัสผ่านและสามารถทำสำเนา อ่านหรือลบไฟล์ได้ เวิร์มนี้เหมือนกับ Code Red ที่จะโจมตีคอมพิวเตอร์ที่ใช้วินโดวส์ 2000 หรือ NT 4.0 ที่ใช้ซอฟท์แวร์ Internet Information Service (IIS) ของไมโครซอฟท์ แต่เครื่องพีซีส่วนใหญ่จะไม่ได้รับผลกระทบ และเวิร์มนี้ไม่มีผลกระทบต่อเซิร์ฟเวอร์ที่ไม่ใช้ซอฟท์แวร์ IIS ถึงแม้เวิร์มนี้จะได้ชื่อว่า Code Red II แต่มันไม่ใด้ดัดแปลงมาจากเวิร์ม Code Red จาก advisory ที่กล่าวไว้ของ SecurityFocus.com เวิร์มนี้เป็นเวิร์มใหม่ที่ใช้ signature attribute เดียวกับ Code Red และเลียนแบบวิธีการโจมตีที่ใช้โดย Code Red เซิร์ฟเวอร์ที่เคยติดเวิร์ม Code Red สามารถติดเวิร์มชนิดใหม่นี้ได้อีก และ Code Red II นี้อาจค้นหาได้ยากกว่าเนื่องจากมันจะหยุดทำงานหลังจากสองวันผ่านไปโดยอัตโนมัติ จากข้อมูลของ SecurityFocus.com บริษัท Computer Associates International Inc. จัด Code Red II ให้มีอันตรายระดับปานกลางถึงสูง แต่ดูเหมือนว่า Code Red II สามารถป้องกันได้โดยใช้ซอฟท์แวร์แก้ไขช่องโหว่จากไมโครซอฟท์ที่ใช้ป้องกัน
Code Red โดยมีทั้ง patch สำหรับ Windows 2000 และ NT 4.0 SecurityFocusแนะนำให้ผู้บริหารระบบที่ยังไม่ได้ลงซอฟท์แวร์แก้ไขที่ป้องกันเวิร์ม Code Red ให้ทำดังนี้ คือ ดาวน์โหลด patch จากเว็ปไซต์ของไมโครซอฟท์ แล้วจึงหยุดการเชื่อมโยงอินเทอร์เน็ต แล้วรีบูต
เครื่องเพื่อเคลียร์เวิร์มจากหน่วยความจำ แล้วจึงรัน patch เพื่อป้องกันการติดเวิร์มซ้ำ แล้วรีบูตเครื่องใหม่อีกครั้ง แล้วจึงเชื่อมต่อกับอินเทอร์เน็ตอีกครั้ง
Dimitry Sklyarov ได้รับการปล่อยตัวแล้ว
โปรแกรมเมอร์ชาวรัสเซีย Dimitry Sklyarov วัย 26 ปี ที่เคยถูกจับเมื่อวันที่ 16 กรกฎาคมที่ผ่านมาในข้อหาละเมิดกฏหมาย ลิ
Reply With Quote
