อธิบายความหมาย ที่มา ความแตกต่างระหว่าง Virus, Worm, Spyware, Trojan, Malware

[เว็บมอนสเตอร์]

อธิบายชื่อ ความหมาย ที่มา ความแตกต่างระหว่าง Virus, Worm, Spyware, Trojan, Malware และสาเหตุหลักๆที่ทำให้คอมพิวเตอร์ติดเชื้อ

Virus = แพร่เชื้อไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวมั นเองเข้าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆไ ด้ต้องอาศัยไฟล์พาหะ สิ่งที่มันทำคือสร้างความเสียหายให้กับไฟล์


Worm = คัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื ่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมลล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื่อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครื อข่าย


Trojan = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองห รือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาคว บคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้ และโทรจันยังมีอีกหลายชนิด


Spyware = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองห รืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเหยื่อ สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ ใช้


Hybrid malware/Blended Threats = คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน


Phishing = เป็นเทคนิคการทำ social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทำธ ุรกรรมทางการเงินบนอินเตอร์เน็ตเช่น บัตรเครดิตหรือพวก online bank account


Zombie Network = เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย


Malware ย่อมาจาก Malicious Software หมายถึงโปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้า ยต่อคอมพิวเตอร์และเครือข่าย หรือเป็นคำที่ใช้เรียกโปรแกรมที่มี จุดประสงค์ร้ายต่อ ระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ โปรแกรมพวกนี้ก็เช่น virus, worm, trojan, spyware, keylogger, hack tool, dialer, phishing, toolbar, BHO, etc

แต่เนื่องจาก virus คือ malware ชนิดแรกที่เกิดขึ้นบนโลกนี้และอยู่มานาน ดังนั้นโดยทั่วไปตามข่าวหรือบ ทความต่างๆที่ไม่เน้นไป ในทางวิชาการมากเกินไป หรือเพื่อความง่าย ก็จะใช้คำว่า virus แทนคำว่า malware แต่ถ้าจะคิดถึงความจริงแล้วมันไม่ถูกต้อง malware แต่ละชนิดไม่เหมือนกัน

คำว่าไวรัส (virus) ในปัจจุบันนี้ถูกใช้แบบไม่ค่อยจะถูกต้องตรงกับความเป ็นจริงเท่าไหร่ อาจจะเป็นเพราะความเคยชินหรืออะไรก็ตามแต่ (ผมเองก็เป็น) มันกลายเป็นว่าคนส่วนใหญ่ใช้คำ ว่า virus แทน worm, trojan, adware, spyware, malicious code, etc. ใช้เรียกแทนยังไม่เท่าไหร่ แต่ถ้าเข้าใจว่า virus คือ malicious software ทั้งหมดที่บอกไปนั่น อันนี้เป็นความเข้าใจที่ผิด แม้กระทั่งในร่างกฎหมายอาชญากรรมทางคอมพิวเตอร์ ก็ยัง มีการเสนอขอให้แก้ไขคำว่า virus โดยเปลี่ยนไปใช้คำว่า malware แทน เพราะถ้าไม่งั้นแล้วคนที่ใช้ worm, trojan โจมตีคนอื่นอาจจะไม่มีความผิด เพราะ worm, trojan ไม่ใช่ virus

ที่ถูกต้องใช้คำว่ามาลแวร์ ซึ่งมาจากคำในภาษาอังกฤษว่า malware (malicious software) อันหมายถึง โปรแกรมคอมพิวเตอร์ทั้งหมดที่ถูกออกแบบมาให้มีจุดประ สงค์ร้ายต่อระบบคอมพิวเตอร์และ เครือข่าย โปรแกรมเหล่านี้ก็เช่น classic virus, worm, trojan, adware, spyware, toolbar, BHO, hijacker, downloader, phishing, exploit malware รวมไปถึง zero-day attack, zombie network และอื่นๆ

ITW malware ใน the wildlist (แม้กระทั่งใน supplemental list) มากกว่า 90% เป็น worm (hybrid worm) ครับ ไม่ใช่ virus (classic virus) ก็ตามที่ความคิดเห็นที่ 2 บอกนั่นล่ะครับ classic virus โดยเฉพาะแบบ file infector ที่แนบตัวมันเองเข้าไปยังส่วนต่างๆของไฟล์อื่น (host file) และ boot sector virus มันแทบจะหมดยุคไปแล้ว (อาจจะมีพวก proof-of-concept virus บ้าง) ที่ยังพบเห็นอยู่ใน the wildlist ส่วนใหญ่จะเป็น macro virus (ซึ่งเป็น virus บน PC ในยุคท้ายๆ) ซึ่งยังพบเห็นการแพร่ระบาดอยู่บ้าง และ virus ที่ชื่อ VBS/Redlof คือตัวอย่างของ classic virus ที่ยังพอพบเห็นได้ทั่วไป

Malware ที่พบเห็นการแพร่ระบาดทั่วไปและเหมือนจะสร้างความเสี ยหายให้กับระบบเศรษฐกิจมากที่สุดก็คือ worm และ worm ก็ยังแบ่งออกเป็นชนิดแยกย่อยได้ดังต่อไปนี้

- Email Worm เช่น mass-mailing worm ที่ค้นหารายชื่ออีเมลล์ในเครื่องที่ตกเป็นเหยื่อแล้ว ก็ส่งตัวเองไปหาอีเมลล์เหล่านั้น
- File-sharing Networks Worm คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นค้นหรือประกอบด้ว ยคำว่าด้วย sha และแชร์โฟลเดอร์ของโปรแกรม P2P เช่น KaZaa
- Internet Worm, Network Worm โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการเช่นเวิร์ม Blaster, Sasser ที่เรารู้จักกันดี
- IRC Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห ้องสนทนาเดียวกัน
- Instant Messaging Worm ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน contact list ผ่านทางโปรแกรม IM เช่น MSN, ICQ

Trojan เป็น malware อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป trojan ยังแบ่งออกได้เป็นหลายชนิดดังนี้

- Remote Access Trojan (RAT) หรือ Backdoor ที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุม หรือทำอะไรก็ได้บนเครื่องที่ตกเป็นเหยื่อในแบบระยะไก ล
- Data Sending/Password Sending Trojan โขมยรหัสผ่านแล้วส่งไปให้ผู้ไม่ประสงค์ดี
- Keylogger Trojan ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์
- Destructive Trojan ลบไฟล์บนเครื่องที่ตกเป็นเหยื่อ
- Denial of Service (DoS) Attack Trojan ใช้ทำ DDoS เพื่อโจมตีระบบอื่น
- Proxy Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น proxy server หรือ web server, mail server เพื่อสร้าง zombie network
- FTP Trojan เปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็น FTP server
- Security software Killer Trojan ฆ่า process หรือลบโปรแกรมป้องกันไวรัส/โทรจัน/ไฟล์วอลบนเครื่องที่ตกเป็นเหยื่อ
- Trojan Downloader ดาวน์โหลด adware, spyware, worm เอามาติดตั้งบนเครื่องเหยื่อ

และ malware ที่พบเห็นได้ง่ายทั่วไปในปัจจุบันและสร้างความรำ คาญใ ห้มากที่สุดก็คือ spyware (บางตำราอาจใช้คำว่า grayware) ซึ่งแบ่งออกได้เป็นหลายชนิด (ซึ่งบางส่วนก็มีพฤติกรรมคล้ายๆ trojan ด้วย) เช่น

- Adware ดาวน์โหลดและแสดงแบนเนอร์โฆษณา
- Dialer อยู่ตามเว็บโป๊เพื่อใช้ต่อโทรศัพท์ทางไกลไปต่างประเท ศ
- Spyware เก็บรวมรวมพฤติกรรมการใช้อินเตอร์เน็ตบนเครื่องเหยื่ อ
- Hijacker เปลี่ยนแปลง start page, bookmark บนบราวเซอร์เช่นใน IE
- Trojan like เช่น trojan downlaoder ดาวน์โหลด spyware หรือแบนเนอร์โฆษณา
- BHO (Browser Helper Objects) ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE
- Toolbar ยัดเยียด toolbar ที่ไม่พึงประสงค์บนบราวเซอร์เช่นใน IE

และต่อไปนี้คือ trend ใหม่ของ malware บน PC ที่เกิดขึ้นแล้วในปัจจุบันและกำลังจะเกิดขึ้นในอนาคต อันใกล้ ซึ่งแต่เดิมนักเขียนไวรัสยุคโบราณ เขียนไวรัสขึ้นเพรา ะความสนุก แต่ attacker ในปัจจุบันเขียน malware เพื่อเงินกันแล้ว มีการซื้อขายแลกเปลี่ยน zombie กันด้วยเช่น zombie จำนวน 5,000 เครื่องขาย 500 เหรีญอะไรแบบนี้

Hybrid malware/Blended Threat คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน

Zero-day attack ในที่นี้หมายถึง การโจมตีของมาลแวร์/แฮคเกอร์ โดยการใช้ประโยชน์จากช่องโหว่ (vulnerability) ที่มีอยู่ในซอฟแวร์หรือระบบปฎิบัติการซึ่งไม่มีใครรู ้มาก่อนว่ามีช่องโหว่นั้นอยู่ หรือรู้แล้วแต่ยังไม่มี patch สำหรับอุดช่องโหว่ หรือยังไม่มี signature ของโปรแกรมด้าน security สำหรับตรวจหาการโจมตีที่ว่าในเวลานั้น

Zombie Network คือ เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย

จะเห็นได้ว่า worm, trojan, spyware (grayware) ซึ่งพบเห็นการแพร่ระบาดทั่วไปในปัจจุบันนี้มันไม่ใช่ virus และโปรแกรมป้องกันไวรัสทั่วไปส่วนใหญ่ก็ไม่สามารถป้อ งกัน malware พวกนี้ได้ทั้งหมดด้วย โปรแกรมป้องกันไวรัสทั่วไปให้ผลดีแทบจะ 100% กับ ITW malware แต่กับมาลแวร์อื่นๆแล้วมันยังไม่มีมาตรฐานอะไรมาทดสอ บโปรแกรมป้องกันไวรัส ดังนั้นแค่โปรแกรมป้องกันไวรัส (จริงๆแล้วน่าจะเรียกว่าโปรแกรมป้องกันมาลแวร์มากกว่ า) แค่อย่างเดียวไม่สามารถป้องกันมาลแวร์ที่กล่าวมาได้ท ั้งหมด

แต่มีโปรแกรมป้องกันไวรัสอยู่ยี่ห้อหนึ่งซึ่งเน้นการ ตรวจหามาลแวร์ทุกๆอย่างที่กล่าวมาแบบเอาจริงเอาจัง แบบเอาเป็นเอาตาย (ไม่มาลแวร์ก็เครื่องของเราได้ตาย กันไปข้างหนึ่ง) โปรแกรมนั้นคือ Kaspersky Anti-Virus (KAV) อันนี้ผมไม่ได้ค่าโฆษณา ผมไม่ได้ขาย KAV และไม่ได้ชี้นำใครนะครับ แต่บอกจากความรู้และประสบการณ์ที่ผมมี แต่ก็ไม่ได้หมายความว่าโปรแกรมอื่นๆ ไม่ดีนะครับ ก็อย่างที่บอกคือ โปรแกรมป้องกันไวรัสแทบจะทุกยี่ห้อ สามารถป้องกันกลุ่ มมาลแวร์ที่สำคัญที่สุด ที่พวกเรามีโอกาสพบเจอมากที่สุด อันตรายที่สุด ที่เรียกว่า ITW malware ได้แบบ 100% หากเราอัพเดทมันทันเวลาและใช้มันอย่างถูกต้อง ส่วนมาลแวร์อื่นๆที่เหลือเราก็ใช้โปรแกรมเฉพาะทางอื่ นๆ ช่วย เช่น โปรแกรมป้องกันโทรจัน โปรแกรมป้องกันสปายแวร์ ไฟล์วอล และอื่นๆ

สาเหตุหลักๆ ที่ทำให้คอมพิวเตอร์ติด malware (virus, worm, trojan, spyware, etc)

1. ทางอีเมลล์ โดยเฉพาะการดูดอีเมลล์จาก pop3 server ด้วยโปรแกรมอย่าง Outlook Express ส่วนใหญ่จะเป็นพวกหนอนอินเตอร์เน็ตประเภท

mass-mailing worm เช่น Netsky, Beagle, Mydoom

2. จากช่องโหว่ (vulnerability) ของระบบปฏิบัติการหรือของ โปรแกรม โดย network worm, mass-mailing worm ที่โจมตีช่องโหว่ของ Windows เช่น Blaster, Sasser, Bobax ซึ่งต่อไปอาจจะเป็นกรณีของ zero-day attack

3. จากการเข้าไปในเว็บที่มี malicious script/malware ซ่อนอยู่ก็อย่างเว็บโป๊ เว็บ crack ทั้งหลาย เช่นพวก dialer, trojan downloader,

spyware, browser hijacker

4. จากการเข้าไปในเว็บธรรมดาที่ติดไวรัสเช่น VBS/Redlof

5. จากการเคลื่อนย้ายไฟล์จากเครื่องหนึ่งไปยังอีกเครื่อ งหนึ่งผ่านทางแผ่นดิสก์เช่น macro virus ที่อยู่ในไฟล์ของ MS Office

6. การดาวโหลดไฟล์จากเครือข่าย P2P อย่างเช่น KaZaA เช่น P2P worm และโทรจันทั้งหลาย

7. จากการดาวโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถืออย่างเช่ นเว็บ crack, warez ส่วนใหญ่จะเป็นพวก private/modified trojan

8. จากการเล่นหรือรับไฟล์จากโปรแกรมประเภท Instant Message เช่น MSN, ICQ

9. จากการเล่นโปรแกรมประเภท IRC เช่น Pirch98 เช่น IRC Worm และอื่นๆ ที่ยังนึกไม่ออกตอนนี้

เรามาดูความหมายของชื่อไวรัสกันครับ

เพื่อนๆคงจะเห็นรายชื่ออัพเดทไวรัสตรงหน้าเว็บต่างๆเ ป็นประจำ และเคยสงสัยกันบ้างไหมครับ ว่าชื่อของไวรัสที่เห็นทั่วไปนั้นมีความหมายว่าอย่าง ไร

ส่วนประกอบของชื่อไวรัสนั้นแบ่งได้เป็นส่วนๆ ดังนี้ครับ
Family_Names Group_Name Variant Tail
W32 Mydoom bb @mm

1. ส่วนแรกแสดงชื่อตระกูลของไวรัส (Family_Names)
ส่วนมากแล้วจะตั้งตามที่ไวรัสตัวนั้น ก่อปัญหาขึ้นกับระบบปฏิบัติการอะไร หรือภาษาที่ใช้ในการเขียนของไวรัส ดังตารางนี้

Family_Names ความหมาย

WM ไวรัสที่เป็นมาโครของโปรแกรม Word
W97M ไวรัสที่เป็นมาโครของโปรแกรม Word 97
XM ไวรัสที่เป็นมาโครของโปรแกรม Excel
X97M ไวรัสที่เป็นมาโครของโปรแกรม Excel 97
W95 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 95
W32/Win32 ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 32 บิต
WNT ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ NT 32 บิต
I-Worm/Worm หนอนอินเทอร์เน็ต
Trojan/Troj โทรจัน
VBS ไวรัสที่ถูกพัฒนาด้วย Visual Basic Script
AOL โทรจัน America Online
PWSTEAL โทรจันที่มีความสามารถในการขโมยรหัสผ่าน
Java ไวรัสที่ถูกพัฒนาด้วยภาษาจาวา
Linux ไวรัสที่มีผลกระทบกับระบบปฏิบัติการลินุกซ์
Palm ไวรัสที่มีผลกระทบกับระบบปฏิบัติการ Palm OS
Backdoor เปิดช่องให้ผู้บุกรุกเข้าถึงเครื่องได้
HILLW บ่งบอกว่าไวรัสถูกคอมไพล์ด้วยภาษาระดับสูง


2. ส่วนชื่อของไวรัส (Group_Name)
ตัวนี้จะถูกตั้งขึ้นจากชื่อของผู้ที่เขียนไวรัส หรือนามแฝง ที่ใช้แทรกในโค้ดของตัวโปรแกรมไวรัส


3. ส่วนของ Variant
รายละเอียดส่วนนี้จะบอกว่าสายพันธุ์ของไวรัสชนิดนั้น ๆ มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธ ุ์เดิมที่มีอยู่

Vvariant มี 2 ลักษณะคือ

Major_Variants จะตามหลังส่วนชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกันอย่างชัดเจน เช่น W32.Mydoom.bb@MM (bb เป็น Major_Variant) แตกต่างจาก W32.Mydoom.Q@MM อย่างชัดเจน
Minor_Variants ใช้บ่งบอกในกรณีที่แตกต่างกันนิดหน่อย ในบางครั้ง Minor_Variant เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB.


4. ส่วนท้าย (Tail)
เป็นส่วนที่จะบอกว่าวิธีการแพร่กระจาย ประกอบด้วย

@M หรือ @m บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mailer" ที่จะส่งตัวเองผ่านทางอี-เมล์เมื่อผู้ใช้ส่งอี-เมล์เท่านั้น
@MM หรือ @mm บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mass-mailer" ที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์


ตัวอย่าง
W32/Mydoom.bb@mm หมายความว่า
ไวรัสชนิดนี้โจมตีในเพลตฟอร์มของวินโดว 32 บิต
ชื่อของไวรัสคือ Mydoom
Variant สายพันธุ์ของตัวนี้คือ bb
และมีความสามารถที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์

หวังว่าคงเข้าใจได้มากขึ้น

ที่มา: gGroup