โปรแกรม Anti Removable Disk Virus (ARDV)

โปรแกรม Anti Removable Disk Virus (ARDV)
ป้องกันไวรัสซะวันนี้ ก่อนที่จะเรียกหาช่าง ด้วยโปรแกรม Anti Removable Disk Virus (ARDV)
ผู้เขียน: ชินจัง...( http://www.vcharkarn.com) trackerx90[at]hotmail.com
อยู่ในส่วน: วิชาการ.คอม, นาโนเทคโนโลยี, ข่าวบริการวิชาการ, บทเรียนเสริม
ปรับปรุงล่าสุด: 17:32 วันที่ 12 มิถุนายน 2550


*****ในปัจจุบันปัญหาคอมพิวเตอร์ปัญหาหนึ่งที่ผู้ใช้งานคอมพิวเตอร์ส่วน ใหญ่ต้องเผชิญอยู่ทุกๆวัน คงหนีไม่พ้นไวรัสคอมพิวเตอร์ ในอดีตไวรัสที่ประสบความสำเร็จในการสร้างความเสียหาย ส่วนใหญ่จะต้องอาศัยช่องโหว่สำคัญที่อยู่ในระบบปฎิบัติการ แต่ในปัจจุบันทางผู้ผลิตซอฟแวร์ต่างๆ ก็ให้ความสำคัญกับความปลอดภัยในโค้ดซอฟแวร์ของพวกเขามากขึ้น โดยเฉพาะระบบปฏิบัติการที่เรารู้จักกันดีก็คือ Windows ของบริษัท Microsoft ที่ได้หาทางป้องกันปัญหาต่างๆที่ไวรัสอาจนำเอาไปใช้ในการแพร่กระจาย แต่อย่างไรก็ตามไวรัสยังคงสามารถแพร่ระบาดในวิธีอื่นๆ อีกถึงแม้ความรวดเร็วจะไม่มีมากเหมือนแต่ก่อน โดยอาศัยช่องทางที่สำคัญอีกทางที่กำลังจะกล่าวถึงก็คืออุปกรณ์ดิสแบบถอดได้ (Removable Disk) หรือที่เราเรียกว่าแอนดี้ไดร์วนั่นเอง จริงๆแล้วช่องทางนี้ไม่ได้ใหม่อะไร หากย้อนกลับไปในอดีตไวรัสก็เคยแพร่กระจายผ่านทางแผ่นดิสมาแล้ว แต่ในปัจจุบันอุปกรณ์ที่เข้ามาแทนที่แผ่นดิสก็คงเป็นแฮนดี้ไดร์วอย่างไม่ ต้องสงสัย จากคุณสมบัติที่เพิ่มมากขึ้น ทำให้กลายเป็นอุปกรณ์ที่ได้รับความนิยมจากผู้ใช้ ไวรัสก็เริ่มพัฒนาตามลงมาอาศัยอยู่ในอุปกรณ์พวกนี้ด้วย เพราะพาหะตัวนี้ดูเหมือนจะมีมากขึ้นเรื่อยๆ หนทางในการจัดการป้องกันไวรัสที่มากับอุปกรณ์พวกนี้จากซอฟแวร์แอนตี้ไวรัส ปัจจุบัน ยังมีน้อยมาก ส่วนใหญ่ถ้าซอฟแวร์พวกนี้จะลบไฟล์ไวรัสได้จำเป็นจะต้องมีการพิสูจน์และ วิเคราะห์จากทางผู้ผลิตและอัพเดต ฐานข้อมูลไวรัสผ่านทางอินเตอร์เน็ตก่อน ซึ่งเป็นวิธีการที่ดีที่สุดที่จะรับประกันได้ว่าจะไม่มีการลบผิดตัวอย่าง แน่นอน ซึ่งหากเกิดเรื่องแบบนี้ขึ้นก็คงสร้างความไม่ไว้วางใจจากผู้ใช้และคงส่งผล ต่อความนิยมของซอฟแวร์แอนตี้ไวรัสนั้นๆ ด้วย

จากปัญหาที่เคยประสบมา เราทำได้แต่รอให้ไวรัสพวกนี้ติดเข้าเครื่องแล้วก็ร้องขอความช่วยเหลือจาก ซอฟแวร์ป้องกันไวรัส ดูเหมือนเรากำลังเล่นซ่อนหากันอยู่ ทันทีที่ไวรัสถูกค้นพบ ซอฟแวร์แอนตี้ไวรัสส่วนใหญ่ก็จะอัพเดตตัวเองผ่านทางอินเตอร์เน็ตแล้วก็ กำจัดไวรัสได้ แต่อีกมุมหนึ่งของเมืองคนเขียนไวรัสก็นั่งเขียนไวรัสตัวใหม่แล้วก็ลองรันใน เครื่องของเขาที่ได้ติดตั้ง ซอฟแวร์แอนตี้ไวรัสจากทุกๆบริษัทดังๆเพื่อหาวิธีที่จะให้ไวรัสของเขาไม่ถูก ตรวจพบ แน่นอนเขาทำสำเร็จแน่เพราะวิธีที่จะทำให้ไม่ถูกตรวจพบมีมากมายนับไม่ถ้วน ที่เดียว บางครั้งแค่แก้ไขโค้ดเพียงบรรทัดเดียว ซอฟแวร์แอนตี้ไวรัสที่เคยเป็นศัตรูกับกลายเป็นมิตรอย่างหน้าตาเฉย

ผู้ที่เดือนร้อนของหนีไม่พ้นผู้ใช้คอมพิวเตอร์ทุกๆคน ทั้งเครื่องคอมพิวเตอร์ส่วนตัว เครื่องสาธารณะอย่างคอมพิวเตอร์ในมหาวิทยาลัย คอมพิวเตอร์ในร้านอินเตอร์เน็ต ไม่เพียงเท่านั้น คอมพิวเตอร์เหล่านี่กลายเป็นเครื่องผีดิบที่เป็นแหล่งสำรองทัพของพวกไวรัส เพราะคอมพิวเตอร์เหล่านี้ มีคนมากหน้าหลายตามาใช้งานไม่เว้นแต่ละวัน และเชื่อเป็นอย่างยิ่งว่า ผู้ใช้ส่วนใหญ่มีแฮนดี้ไดร์ว ติดตัวกันทุกคน และอดไม่ได้ที่จะมีการเชื่อมต่อมันกับคอมพิวเตอร์เหล่านี้ เมื่อไปใช้คอมพิวเตอร์ที่ทำงาน บ้าน มหาวิทยาลัย หรือที่อื่นๆ มันก็จะแพร่กระจายไปที่นั่นด้วย และก็คงแก้ไขปัญหากันไม่สิ้นสุด ยกตัวอย่างเช่น หมู้บ้าน A ติดไวรัส คนจากหมู่บ้าน B มาใช้งานแค่คนเดียวและครั้งเดียวกลับไปที่หมู่บ้าน B เป็นช่วงที่หมู่บ้าน A ลงทุนกำจัดไวรัสจนหมดไปจากหมู่บ้าน เชื่อเถอะว่าสักวันไม่คนใน หมู่บ้าน A ก็ B ต้องนำไวรัสกลับมาในหมู่บ้าน A อย่างเดิม ผมเคยคิดเล่นๆไว้ว่าถ้าเราจะกำจัดไวรัสจริง คงต้องตัดการเชื่อมต่อทั้งคนและเครือข่ายหรือไม่ก็ปิดเครื่องคอมพิวเตอร์ พร้อมๆกันทั้งโลก ซึ่งมันไม่มีทางทำได้ ฉะนั้นการแก้ไขที่ปลายเหตุของไม่ใช่ประเด็น เราควรป้องกันเสียดีกว่า เมื่อเรารู้อยู่แล้วไม่อาจหยุดยั้งการกระทำของคนเขียนไวรัสได้ เราก็ป้องกัน หากเราจะกำจัดมันให้ได้ทุกตัวคงเป็นเรื่องยากมากๆ สิ่งที่ทำได้ซึ่งมันก็เพียงพอแล้วสำหรับคนใช้คอมพิวเตอร์ ก็คือศึกษามันและป้องกันก็เพียงพอ

ทั้งหมดนี้คือที่มาของโปรเจคเล็กๆ ที่เขียนโปรแกรมขึ้นโดยไม่ได้มีความยุ่งยากและซับซ้อนอะไร จุดประสงค์จริงๆของโปรแกรมนี้เพื่อตัดการเชื่อมต่อไวรัสที่มากับ แฮนดี้ไดร์วก่อนที่จะเข้าสู่คอมพิวเตอร์ หลักการง่ายๆที่ผมยึดก็คือ "เราไม่มีสิทธิลบไฟล์ใดๆของผู้อื่น ตราบใดที่เรายังไม่สามารถระบุได้อย่างแน่ชัดว่าไฟล์นั้นไม่ปลอดภัยต่อ เครื่องของเขา เราทำได้เพียงยกเลิกคำสั่งที่เสี่ยงลงเท่านั้น" หลักการง่ายๆแค่นี้แต่สามารถป้องกันเครื่องจากไวรัสอย่างได้ผล กล่าวคือ ไม่ว่าอุปกรณ์ที่มาเชื่อมต่อนั้นจะมีไวรัสอะไรก็ตามโปรแกรมจะไม่สนใจทั้ง สิ้น เพราะมันจะไม่มีโอกาสได้รันหรือทำคำสั่งอะไรบนเครื่องของเรา อย่างเด็ดขาด หากผู้ใช้ไม่ได้ร้องขอเป็นกรณีพิเศษ ไฟล์ไวรัสที่อยู่ในแฮนดี้ไดร์วจะไม่ถูกลบแต่จะไม่ทำงาน ด้วยวิธีนี้ถึงแม้ไวรัสจะถูกเขียนขึ้นมาใหม่กี่ครั้งกี่หนก็ไม่สามารถติด เชื้อเครื่องของเราได้ เพราะบันไดขั้นแรกของการ ทำงานของมันถูกตัดขาด ถึงแม้ว่าขั้นที่สอง สามของไวรัสจะเต็มไปด้วยความสามารถในการสร้างความเสียหาย ระบบการแพร่กระจายที่รวดเร็วไร้ข้อผิดพลาด เท่ากับว่าทั้งหมดสูญเปล่า
ไฟล์ไวรัสคือไฟล์ที่สามารถรันได้ซึ่งมีอยู่หลายนามสกุล เช่น
*.exe *.com *.scr *.pif *.bat *.vbs *.js *.cmd
ซึ่งเราสามารถตรวจสอบในเบื้องต้น หากพบไฟล์นามสกุลพวกนี้ โดยไม่ทราบแหล่งที่มา ขนาดไฟล์ไม่ใหญ่(เพราะหากเป็นไวรัส ขนาดไฟล์ตัวเองที่ใหญ่นั้นอาจทำให้การเคลื่อนที่ไฟล์ไม่สะดวก) ก็ให้สงสัยไว้ก่อนเลยว่าเป็นไวรัส


การทำงานของ ARDV


ARDV ได้แบ่งการตรวจสอบไฟล์และลักษณะไฟล์ที่เข้าข่ายรูปแบบของไวรัสซึ่งแบ่งออกเป็น 3 กลุ่มดังนี้
1. Auto Run Spreading คือเทคนิคที่กำลังถูกนำมาใช้เป็นอย่างมากเนื่องจากมีโอกาสที่แพร่กระจายได้ มาก ไวรัสจะสร้างไฟล์ autorun.inf ในการรันตัวเองสู่ระบบ ไวรัสประเภทนี้เช่น Hacked By Godzilla
รูปแบบ ไฟล์ autorun.inf + ไฟล์ไวรัส[นามสกุลที่รันได้] -> เชื่อมต่อกับเครื่องคอมพิวเตอร์ทางพอร์ต USB -> ระบบปฎิบัติการรับตำแหน่งไฟล์ไวรัส -> ดับเบิลคลิกไดร์ว -> ไวรัสถูกรันบนเครื่อง
2. Fake Folder Spreading คือ เทคนิคที่ทำให้โฟลเดอร์จริงถูกซ่อนไว้ ไวรัสจะทำตัวเองเหมือนโฟลเดอร์ ไวรัสจะสามารถแพร่กระจายได้ เนื่องจากผู้ใช้จำเป็นจะต้องเข้าไปทำงานในโฟลเดอร์ ไวรัสที่ใช้เทคนิคนี้ เช่น Flashy
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]โดยใช้ชื่อโฟลเดอร์หรือบางส่วนที่พบมา ตั้งชื่อ -> ซ่อนโฟลเดอร์จริงจากผู้ใช้ -> สร้างฟังก์ชั่นเพื่อจัดการโฟลเดอร์นั้นๆ -> คลิกเรียกดูงานในโฟลเดอร์ -> ไวรัสถูกรันบนเครื่อง
3. Sub Folder Spreading คือ เทคนิคที่ไวรัสนำชื่อโฟลเดอร์ไปเป็นส่วนหนึ่งของชื่อไฟล์ไวรัสในโฟลเดอร์ นั้นๆ เทคนิคนี้ถือเป็นเทคนิคในไวรัสรุ่นแรกๆที่ได้อาศัยแฮนดี้ไดร์วในการแพร่ กระจายก็ว่าได้ ไวรัสที่ใช้เทคนิคนี้ เช่น Brontok.A
รูปแบบ ไวรัสตรวจสอบชื่อโฟลเดอร์ -> คัดลอกไฟล์ไวรัส[นามสกุลที่รันได้]ซ้อนลงไปในโฟลเดอร์นั้นๆโดยใช้ชื่อ โฟลเดอร์หรือบางส่วนที่พบมาตั้งชื่อ -> คลิกเรียกดูงานในโฟลเดอร์ -> คลิกไฟล์ไวรัส -> ไวรัสถูกรันบนเครื่อง
ARDV ช่วยป้องกันอะไรได้บ้าง?

1.สามารถป้องกันไวรัสที่ใช้วิธีการสร้างไฟล์ autorun.inf ลงในอุปกรณ์ดิสแบบถอดได้ทุกชนิด และแพร่กระจายตัวเองไปเรื่อยๆ ARDV จะใช้วิธีการตรวจสอบไฟล์ autorun.inf และยกเลิกคำสั่งของไฟล์ ซึ่งทำให้ไวรัสไม่สามารถรันตัวเองเข้าสู่ระบบได้โดยเทคนิค autorun อีกต่อไป(หมายเหตุ:สามารถป้องกันไวรัสรูปแบบนี้ใหม่ๆ ต่อไปในอนาคตด้วย)
2.ลดโอกาสเสี่ยงที่จะติดไวรัสที่สร้างไฟล์เลียนแบบชื่อโฟลเดอร์ โดยใช้วิธีการวิเคราะห์ชือไฟล์กลุ่มเสี่ยง(รันได้)กับชื่อโฟลเดอร์ร่วมกับ วิเคราะห์จำนวนไฟล์ที่พบในโฟลเดอร์นั้นๆ และจะย้ายไฟล์เสี่ยงทั้งหมดไปกักไว้ในโฟลเดอร์ "ardv_suspicious_file(s)" ผู้ใช้สามารถตรวจสอบไฟล์และสามารถลบโฟลเดอร์นี้ทิ้งได้ทันทีเมื่อเห็นว่า เป็นไฟล์ที่ไม่รู้จัก อย่างไรก็ตามควรระวังอย่างรันไฟล์ในโฟลเดอร์ "ardv_suspicious_file(s)" นอกจากว่ามั่นใจว่าเป็นไฟล์ที่คุณเป็นเจ้าของ

เพิ่มเติม:ผู้พัฒนาหวังเป็นอย่างยิ่งว่านี่คือจุดจบของไวรัส Autorun อย่างสมบูรณ์ในเครือข่ายคอมพิวเตอร์!

ผลการทดสอบ ARDV เบื้องต้น

จากการทดสอบการทำงานบนระบบปฎิบัติการ Windows XP รายชื่อไวรัสที่ร่วมทดสอบแล้วมีดังนี้ Hacked by Godzilla, Hacked by Mozilla, Hacked by (ComputerName), Hacked by 8BIT, HELLO WORLD i am VB, killVBS.vbs, CHEAT.VBS ORIGINAL SILLE.B run on GAME ONLINE, Flashy.exe ,Music.exe, AdobeR.exe, BrontokA-B-Al และไวรัสที่เขียนขึ้นเพื่อทดสอบประสิทธิภาพ ARDV อีก 2 ตัวที่สามารถแก้ไขรูปแบบชื่อโฟลเดอร์(ทดสอบฟังก์ชั่น Sub&Fake) ผลออกมาอยู่ ในระดับที่น่าพอใจ แต่อย่างไรก็ตาม หากพบข้อผิดพลาดจะได้ดำเนินการแก้ไขในรุ่นต่อๆไป ทั้งนี้ต้องได้รับความร่วมมือและความกรุณาจากผู้ใคอมพิวเตอร์ให้ช่วยกัน รายงานข้อผิดพลาดที่พบกับมาที่ผู้พัฒนาด้วย

ข้อตกลงการใช้งาน :
1.โปรแกรมนี้ใช้งานได้ฟรีสำหรับผู้ที่สนใจ อนุญาติให้มีการคัดลอก แจกจ่าย โดยไม่ต้องเสียค่าใช้จ่ายใดๆทั้งสิ้น และห้ามทำการซื้อขายโปรแกรมนี้อย่าเด็ดขาด
2.ไม่อนุญาติให้แก้ไขหรือดัดแปลงโค้ด ไม่ว่าจะด้วยวิธีและเหตุผลใดๆก็ตามที่ทำให้การทำงานไม่เหมือนเดิม
3.โปรดทำความเข้าใจ โปรแกรมมีขีดจำกัดในการทำงาน
4.ต้องตรวจสอบระบบที่โปรแกรมรองรับก่อนใช้งาน
5.ผู้พัฒนาไม่ขอรับผิดชอบหากการทำงานของโปรแกรมส่งผลต่อบุคคลหรือขัดขวาง การทำงาน กรณีเป็นเครื่องคอมพิวเตอร์ส่วนรวม ผู้ดูแลระบบควรเป็นผู้ควบคุมการใช้งานเท่านั้น

ระบบปฎิบัติการที่รองรับ:
Microsoft Windows 98 SE
Microsoft Windows Server 2003
Microsoft Windows XP
หมายเหตุ:ระบบปฏิบัติการนอกเหนือจากนี้ที่เป็นตระกูล Windows NT อาจจะรองรับทั้งหมด(ยังไม่เคยทดสอบ)

โหลดตัวโปรแกรมไปติดตั้งที่เครื่องคอมพิวเตอร์ของท่านได้ที่นี่ http://www.cartoonikkyu.com/trackerx90/Compressed/ardv102_setup.zip

ARDV 1.02
ดาวน์โหลด:ardv102_setup.zip
ขนาด: 89KB
วันที่นำเสนอ:21 พฤษภาคม 2550
ข้อผิดพลาดที่ตรวจพบแล้ว:
- พบข้อผิดพลาดเมื่อติดตั้งบน Microsoft Windows ME - 24 พฤษภาคม 2550

ข้อผิดพลาดจะได้รับการแก้ไขในเวอร์ชั่นต่อไป ขอขอบคุณผู้รายงานข้อผิดพลาดทุกท่านไว้ ณ ที่นี้ด้วย

ARDV ออกแบบและพัฒนาโดย trackerx90
หากพบข้อผิดพลาดขอความกรุณาแจ้งที่ trackerx90[at]hotmail.com


ขอขอบคุณ
ชินจัง...
Blog ของ ชินจัง... โดย ชินจัง
(www.vcharkarn.com)
http://www.trackerx90.th.gs/

1 comment:

Camiseta Personalizada said...

Oi, achei teu blog pelo google tá bem interessante gostei desse post. Quando der dá uma passada pelo meu blog, é sobre camisetas personalizadas, mostra passo a passo como criar uma camiseta personalizada bem maneira. Se você quiser linkar meu blog no seu eu ficaria agradecido, até mais e sucesso.(If you speak English can see the version in English of the Camiseta Personalizada.If he will be possible add my blog in your blogroll I thankful, bye friend).

Photos

Hot Job !

ข่าวสาร เหตุการณ์