Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม


ชื่อกระทู้: Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม

  1. #1
    สมัครไว้แต่โพสไม่มีสาระ Hitzuja's Avatar
    สมัคร
    May 2006
    สถานที่
    กำลังเล่นเกมตู้อยู่ครับ
    โพส
    3,250
    Blog Entries
    27
    Rep Power
    0

    Talking Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม



    เชื่อเลยครับว่าหลายๆคน ไม่ว่าจะใช้ Windows เป็นหรือไม่เป็นก็ตาม ต้องได้เจอกับ virus มีหลายรูปแบบด้วยกัน วันนี้ผมจะยกเฉพาะ virus ที่ติดต่อๆกันมาบน FlashDrive ว่ามันฝักตัวอ่อนยังไง (พูดเป็นหนัง Alien เลย) และเมื่อวิ่งเข้าไปอยู่ในเครื่องแล้วจะเป็นยังไง...

    อย่างแรกเลยนะครับ คำศัพท์แบบไม่เป็นทางการของนักคอมพิวเตอร์ เขาเรียกเครื่องที่ติด virus ระยะรุนแรงกันว่า "Zombie!!!" โดยเครื่องจะกระจายเชื้อทาง USB ไม่ว่าจะ FlashDrive, External Hard Disk, Card Reader และที่โปราณที่สุดคือ Floppy Disk (A:,B:)

    มองด้วยตาเปล่าอาจไม่เห็นครับ ดังนั้นจะรู้ได้ไงว่า เครื่องที่คุณกำลังนั่งอยู่ข้างหน้านั้น เป็น Zombie หรือยัง... วิธีง่ายๆครับ เข้า My Computer ไปก่อนแล้วลองมองด้านบนตรง Tools แค่ชี้ ึคุณจะเห็นว่ามี Folder Options... อยู่หรือไม่



    ถามว่าดูแค่นั้นจะรู้เหรอครับ ตามรูปที่เห็นนั้นครับ ถ้า Folder Option หายไป หมายถึงว่า Registry โดนแก้เรียบร้อยแล้ว แต่ว่ามี 2 กรณีได้อีก คือ เป็นฝีมือของ Virus เอง หรือว่า Admin (Super User) เป็นคนแก้ แต่โดยส่วนมากแล้วเป็นผลงานจาก Virus ดังนั้น ถ้า Folder Options... หายไป ผมไม่แนะนำให้เสียบ โอกาสติดมีสูงมาก แต่โอกาสรอดตายก็มีนะครับ (เหมือนในหนัง Zombie เลย) โดยเงื่อนไขที่ทำให้ติดเชื้อหลักๆ คือ การมีการ Read/Write บน FlashDriver ที่เป็นเช่นนั้นก็เพราะ Virus ไม่ได้เปลี่ยน Registry แค่ตรง Folder Options... ที่เดียว แต่ยังปรับให้สร้างไฟล์อันตรายอย่างน้อย 2 ไฟล์ด้วยกัน คือ autorun.inf และ Virus (หรือ Trojan ด้วย แล้วแต่ประเภท)

    แล้ว autorun.inf และ virus ทำงานร่วมกันอย่างไร มาดูกันครับ (แบบพื้นๆนะครับ)
    code:
    [autorun]
    open=Main_Folder\Virus.exe 
    
    shell\1=Open
    shell\1\Command=Main_Folder\Being_a_jerk\blank(mouse).exe
    
    shellexecute=Main_Folder\Virus.exe
    open นั้นยังไม่ค่อยเท่าไหร่ครับ จะมีผลมากก็ต่อเมื่อ ใช้กับแผ่น CD/DVD ที่มีผลมากคือ
    shell\1=Open
    - หมายถึงว่า เวลากด Rick-Click บน FlashDrive ใน My Computer
    shell\1\Command=Main_Folder\Virus.exe
    - ต่อจากอันบนครับ ว่า กด Rick-Click แล้วเลือก Open จะไปเรียกโปรแกรมอะไรทำงาน
    shellexecute=Main_Folder\Virus.exe
    - นี่ก็เช่นกันครับ อธิบายง่ายๆ ก็เมื่อว่ามันคือ Default ของการกด Double-Click บน FlashDrive

    นี่หละครับเป็นคำตอบได้ว่าทำไมกด Double-Click แล้วติด Virus

    ยั่งงี้เราจะทำไงให้ปลอดภัยที่สุด

    แนะนำอย่างแรกเลยครับให้คุณสร้าง Autorun.inf เอง เพื่ออะไร? มีประโยชน์มากเลยครับ ด้วยการสร้าง Icon ของ FlashDrive ไว้เลย ช่วยได้ครับเพราะว่า Virus มีความจำเป็นต้องสร้าง autorun.inf ขึ้นมาบน FlashDrive ทุกครั้งเวลาจะแพร่้เชื้อ ดังนั้นเมื่อคุณมี Icon บน FlashDrive แล้ว ถ้าอยู่ๆ Icon เปลี่ยนไป นั้นล่ะครับ มี 2 กรณี คือ Virus สร้าง autorun.inf ทับ autorun.inf ของคุณแล้ว (โอ้วไม่นะ...) หรืออีกอย่างคือเป็นการรักษาความปลอดภัยของโปแกรม Anti-Autorun ที่โ่ด่งดังก็ CPE17 Autorun Killer สรุปก็คือถ้า Icon ที่คุณสร้างหายไป นั้นดูท่าไม่ดีแล้ว

    อยากรู้วิธีทำ Icon แล้วละสิครับ เอาแบบง่ายๆก็พอ เริ่มต้นด้วยหารูปภาพมาสักรูป นามสกุลอะไรก็ได้ เช่น

    จากนั้นเราก็ตัดให้ได้สี่เหลียมจัตตุรัสพอดี (48x48 ถึง 64x64) แล้ว save เป็น *.BMP

    แล้วมาเปลี่ยน นามสกุลอีกที จาก *.bmp เป็น *.ico ได้แล้วครับ icon ของเรา
    จากนั้นเอา *.ico มาใส่ใน Flashdrive แล้วสร้าง text document นามสกุล *.txt 1 อันไว้ที่เดียวกับ icon ตั้งชื่อว่า autorun.inf ภายในนั้นใส่คำสั่งว่า
    code:
    [autorun]
    icon=*.ico ใส่ชื่อ icon ของเราลงไป
    ให้ลองเปลี่ยนชื่อ Flashdrive ดูนะครับ icon ของ Flashdrive จะเปลี่ยนเป็นรูปที่เราสร้างไว้

    ฉนั้นถ้า icon ของเราเปลี่ยนไปเอง นั้นดูท่าไม่ดีแน่ แบบนี้ครับ


    ต่อมาครับ เราจะไปลบ virus ใน Flashdrive ได้อย่างไร (เอาแบบอย่าให้ virus รู้ตัว) ไม่ต้องใช้ Anti-Virus ด้วยครับ
    โดยใช้ Command Prompt (บางคนเรียก DOS ทั้งๆที่ไม่ใช่) เพราะถ้าเราเข้าไปหามันโดยตรงมันจะ Active ตัวมันเอง คราวนี้ละครับมีเรื่องแล้ว
    แต่คุณต้องรู้คำสั่งง่ายๆของ DOS ก่อน


    อย่างแรกคือพิมพ์ Directory ของ Flashdrive ก่อน ในตัวอย่างคือ N: แล้วตามด้วยคำสั่ง attrib ย่อมาจาก Attributes ครับหมาถึงให้แสดงคุณสมบัติของไฟล์ คราวนี้เราจะมานั่งมองกันว่า ไฟล์ไหนคือ virus ดูที่ Attributes ว่าตรงตามลักษณะของ virus หรือไม่ คือ

    A SHR *:\Virus.exe
    สำคัญที่ A SHR ครับ ย่อมากจาก ACTIVE SYSTEM HIDE READ-ONLY
    ACTIVE = พร้อมทำงาน
    SYSTEM + HIDE = ซ่อนอย่างมิดชิด แบบเดียวกับไฟล์ของ Windows
    R
    EAD-ONLY = อ่านอย่างเดียว ห้ามแก้
    ไม่ใช่แค่ *.exe มีหลายนามสกุลโดยแต่ละตัวจะแตกต่างกันไป จะบอกคราวๆ
    *.exe = Execution พร้อมทำงาน แค่เพียง Active วิธีต่างๆอย่างไงก็ได้
    *.bat = Batch-File เป็นชุดคำสั่ง dos ที่จะไปเรียกไฟล์ที่เป็น virus อีกที
    *.* = นอกจากนี้ จะ Active เองไม่ได้ต้องอาศัยโปรแกรมเสริมหรือ plug-in ต่างๆ เช่น ไฟล์ *.vbs, *.dll, *.x ....... อาจอาศัยการ Active จาก Batch-File ได้

    ผมขออนุญาติใช้ศัพท์ส่วนตัวนะครับ เครื่องคุณโดน RASH แล้วล่ะครับ
    *RASH (adj.) ซึ่งแปลว่า "การระบาด" มาจาก การใช้คำสั่งโดย ไวรัส คือ "attrib *.* +r +a +s +h" คือ +r = เพิ่ม Read-only, +a = เพิ่ม Active, +h = Hide และ +s +h = System-Hide

    เมื่อเราพบไฟล์ต้องสงสัยตามลักษณะัที่บอกมา วิธีลบโดยทั่วไปคงเอาไม่อยู่ครับ นี่คือทั่วไป
    del Virus.exe แค่นี้ไม่พอครับเพราะว่า Windows ไม่เห็นไฟล์ที่มีลักษณะ SH ต้องใช้คำสั่งพิเศษเพิ่ม Parameter คือ /a /f จะได้คำสั่งใหม่ คือ
    del Virus.exe /a /f /a = ทุกๆ Attributes และ /f = Force คือให้ลบแบบไม่มีเงื่อนไขใดๆเพราะว่า virus มักจะ Active อยู่ตอนเรากำลังจะลบ เราจึงต้อง Force

    ต่อมาถ้า virus หลุดเข้าเครื่องแล้วมันจะไปไหน มันจะทิ้งร่องรอยไว้เป็นลูกโซ่ครับ แต่ต้องเป็นระยะเริ่มต้นนะครับ ถ้าเครื่องโดนหนักแล้วคงใช้ไม่ได้
    1. Run > msconfig เข้ามาถึงดูที่ Startup นะครับ นี่คือเวลา Windows เริ่มทำงานอะไรจะเปิดบ้างส่วนมากคือ Background Service แต่ virus มักจะมาในรูปแบบนี้ด้วยครับ... สังเกตชื่อแปลก เช่น IEXPROLERi.exe, m9ma.bat อยู่ล่างๆครับ virus มักจะมาทีหลังเลยอยู่ข้างล่าง ถ้าเจอแล้ว กดให้ช่องว่างไว้

    สังเกตนะครับข้างหลัง ตรง Location จะบอกว่า อยู่ตรงไหนของ Registry แล้วเราจะไปตามต่อใน Regedit
    2. Run > Regedit ส่วนนี้เรียกได้ว่าเป็นเกนหลักของ Windows เลยก็ได้ ไปตาม Location ที่บอกไว้ใน msconfig นะครับ

    แล้วเราก็ลบมันออกไปซะ สังเกตต่ออีกครั้งครับ ข้างหลังเขียนบอกที่อยู่ของมันไว้แล้ว แล้วตามไปลบมันใน Directory นั้นเลยครับ
    3. My Computer ที่อยู่จริงของ virus ระบุไว้แล้วข้างหลังใน regedit ส่วนมากแล้วจะอยู่กับ Directory ที่มี Windows (C: เป็นปกติ)

    ....ผิดอย่างไร ขออภัยด้วยนะครับ เพราะข้อมูลทั้งหมดนี้ผมทำเองหมด

    บทความนี้เป็นข้อมูลของผมเองทั้งหมด ดังนั้นจึงไม่มี Credit าบทความนี้เกิดประโยชน์ไม่มากก็น้อย ผมจะมีความสุขมากครับ ต่อภาค 2 Click-Here (Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม (ภาค 2))

    งงอย่างไร ไม่ค่อยเข้าใจ ลองมาคุยกันเล่นๆได้ครับที่ hitzujaa@hotmail.com

    แก้ไขโดย Hitzuja : 21 Jan 2011 เวลา 16:29 เหตุผล: update
    Hitzuja 's Home



  2. #2
    Z Z Z z z z . . . SuperFat's Avatar
    สมัคร
    Aug 2008
    สถานที่
    สมุทรสาคร
    โพส
    1,761
    Blog Entries
    3
    Rep Power
    0
    ดีครับบอกได้ละเอียดดี

    Thank รูป:UChiha Nagari

    กลับมาเล่นอีกครั้ง >ทราเวียน< หาเพื่อนเล่นกันคับ

    น่รืว่นั่คื ดิ ที่ ท้ ริ ? ?


  3. #3
    สมาชิก TG แรกเริ่ม spectrehot's Avatar
    สมัคร
    Jun 2008
    สถานที่
    ศาสนจักรแห่งความมืด
    โพส
    131
    Rep Power
    0
    ขอบคุณที่บอกครับ


  4. #4
    สมาชิก TG เต็มตัว striderblue's Avatar
    สมัคร
    Jun 2006
    โพส
    341
    Rep Power
    0
    ขอบคุณมากครับ.....สำหรับบทความดีๆ
    และช่วยเตือนความจำ

  5. #5
    น้องใหม่ TG kotake's Avatar
    สมัคร
    Jan 2008
    โพส
    40
    Rep Power
    0
    Werry GooD!
    Love You Too

  6. #6
    สมาชิก TG เต็มตัว Pongpat86's Avatar
    สมัคร
    Sep 2008
    สถานที่
    ทำไมต้องบอก
    โพส
    297
    Rep Power
    0
    มีประโยชน์สำหรับผู้ที่ไม่รู้มากมายเลยคับ

  7. #7
    น้องใหม่ TG Flame_of_Recca's Avatar
    สมัคร
    Jun 2006
    โพส
    70
    Rep Power
    0
    ขอบคุณสำหรับบทความดีๆที่นำมาแบ่งปันกันครับ
    หากไม่กุมดาบแล้วก็ไม่สามารถปกป้องเธอได้ แต่!หากกุมดาบแล้วก็ไม่สามารถ"กอด"เธอได้

  8. #8
    Modน้อย ขนปุกปุย~<3 miststar's Avatar
    สมัคร
    Apr 2007
    สถานที่
    ป่า KemoShota @CM Thailand
    โพส
    4,986
    Rep Power
    0
    เจ้าตัว boot.exe ทำวิธีนี้ก็ได้ใช่มั้ยครับ = = ว่าแล้วก็ลองทำเลยดีกว่า =w=
    สถานะ : สถานะ : ไม่มีไรทำ



    ลิงค์สำคัญ : สถานีตำรวจ TG, กฏระเบียบบอร์ด TG
    Promote Link :
    , DeviantArt, Fur Affinity, InkBunny, Pixiv

  9. #9
    สมาชิก TG รุ่นพี่ dantemaster's Avatar
    สมัคร
    Jan 2009
    โพส
    450
    Rep Power
    0
    ขอบคุณสำหรับคำแนะนำที่มีประโยชน์ครับ
    ~FcK!nG Emo~

    —๏"We Surrend in DeatH!!!!"๏—


  10. #10
    น้องใหม่ TG NarutozII's Avatar
    สมัคร
    Dec 2008
    โพส
    67
    Rep Power
    0
    ขอบคุณมากๆ เลยคับ ได้ความรู้เพียบเลย

  11. #11
    แฟนพันธุ์แท้ TG ในตำนาน samsoft's Avatar
    สมัคร
    May 2006
    สถานที่
    ในใจเธอ -3-)
    โพส
    4,295
    Blog Entries
    9
    Rep Power
    0
    สวยงามมาก...

  12. #12
    น้องใหม่ TG mrtk's Avatar
    สมัคร
    Sep 2007
    โพส
    82
    Rep Power
    0
    Thank You Very Much

  13. #13
    น้องใหม่ TG Boonmagic's Avatar
    สมัคร
    Jan 2009
    โพส
    44
    Rep Power
    0
    - - ถ้าโดนไป แล้วเป็นไงอ่ะ
    Boonmagic

  14. #14
    สมัครไว้แต่โพสไม่มีสาระ Hitzuja's Avatar
    สมัคร
    May 2006
    สถานที่
    กำลังเล่นเกมตู้อยู่ครับ
    โพส
    3,250
    Blog Entries
    27
    Rep Power
    0
    อ้างอิง ข้อความของ Boonmagic อ่านข้อความ
    - - ถ้าโดนไป แล้วเป็นไงอ่ะ
    บอกไม่ได้ครับ แล้วแต่บุญแต่กรรม
    Hitzuja 's Home



  15. #15
    TG Volunteer Dusk's Avatar
    สมัคร
    Oct 2008
    สถานที่
    ฟากฟ้า
    โพส
    1,760
    Blog Entries
    5
    Rep Power
    80
    ไม่เข้าใจครับ

กฎการส่งข้อความ

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
Thaigaming.com
Thailand Biggest Gaming Communities
ขณะนี้ กำลัง ปรับปรุง อัพเกรดระบบ อาจพบ ปัญหาระบบยังไม่สมบูรณ์
Join us