ไวรัสคืออะไร
| ||||||||||||||||||||||||||||
ไวรัส คือ โปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้ และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่นๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูล ไวรัสก็อาจแพร่ระบาดได้เช่นกัน การที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปฝังตัวอยู่ในหน่วยความจำคอมพิวเตอร์เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรมๆ หนึ่ง การที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้น ยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัว ปกติผู้ใช้มักจะไม่รู้ัตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัสขึ้นมาทำงานแ้้ล้ว จุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือแสดงข้อความวิ่งไปมาบนหน้าจอ เป็นต้น | ||||||||||||||||||||||||||||
ประเภทของไวรัส
| ||||||||||||||||||||||||||||
บูตเซกเตอร์ไวรัส | ||||||||||||||||||||||||||||
Boot Sector Viruses หรือ Boot Infector Viruses คือ ไวรัสที่เก็บตัวเองอยู่ในบูตเซกเตอร์ของดิสก์ การใช้งานของบูตเซกเตอร์คือเมื่อเครื่องคอมพิวเตอร์เริ่มทำงานขึ้นมาตอนแรก เครื่องจะเข้าไปอ่านบูตเซกเตอร์โดยในบูตเซกเตอร์จะมีโปรแกรมเล็กๆไว้ใช้ในการเรียกระบบปฏิบัติการขึ้นมาทำงานอีกทีหนึ่ง บูตเซกเตอร์ไวรัสจะเข้าไปแทนที่โปรแกรมดังกล่าว และไวรัสประเภทนี้ ถ้าไปติดอยู่ในฮาร์ดดิสก์ โดยทั่วไปจะเข้าไปอยู่บริเวณที่เรียกว่า Master Boot Sector หรือ Parition Table ของฮาร์ดดิสก์นั้น ถ้าบูตเซกเตอร์ของฮาร์ดดิสก์ใดมีไวรัสประเภทนี้ติดอยู่ ทุกๆ ครั้งที่บูตเครื่องขึ้นมาโดย พยายามเรียกดอสจากดิสก์นี้ ตัวโปรแกรมไวรัสจะทำงานก่อนและจะเข้าไปฝังตัวอยู่ในหน่วยความจำเพื่อเตรียมพร้อมที่จะทำงานตามที่ได้ถูกโปรแกรมมา แล้วตัวไวรัสจึงค่อยไปเรียกดอสให้ขึ้นมาทำงานต่อไป ทำให้เหมือนไม่มีอะไรเกิดขึ้น | ||||||||||||||||||||||||||||
โปรแกรมไวรัส | ||||||||||||||||||||||||||||
Program Viruses หรือ File Intector Viruses เป็นไวรัสอีกประเภทหนึ่งที่จะติดอยู่กับโปรแกรม ซึ่งปกติก็คือ ไฟล์ที่มีนามสกุลเป็น COM หรือ EXE และบางไวรัสสามารถเข้าไปติดอยู่ในโปรแกรมที่มีนามสกุลเป็น sys และโปรแกรมประเภท Overlay Programs ได้ด้วย โปรแกรมโอเวอร์เลย์ปกติจะเป็นไฟล์ีที่มีนามสกุลที่ขึ้นต้นด้วย OV วิธีการที่ไวรัสใช้เพื่อที่จะเข้าไปติดโปรแกรมมีอยู่ 2 วิธี คือ การแทรกตัวเข้าไปอยู่ในโปรแกรม ผลก็คือ หลังจากที่โปรแกรมนั้นติดไวรัสไปแล้ว ขนาดของโปรแกรมจะใหญ่ขึ้น หรืออาจมีการสำเนาตัวเองเข้าไปทับส่วนของโปรแกรมที่มีอยู่เดิม ดังนั้นขนาดของโปรแกรมจะไม่เปลี่ยนและยากที่จะซ่อมให้กลับเป็นดังเดิม การทำงานของไวรัสโดยทั่วไป คือ เมื่อมีการเรียกโปรแกรมที่ติดไวรัสอยู่ ตัวไวรัสจะเ้ข้าไปหาโปรแกรมตัวอื่นๆ ที่อยู่ในดิสก์เพื่อทำสำเนาตัวเองลงไปทันทีแล้วจึงค่อยให้โปรแกรมที่ถูกเรียกนั้น ทำงานตามปกติต่อไป | ||||||||||||||||||||||||||||
ม้าโทรจัน | ||||||||||||||||||||||||||||
ม้าโทรจัน (Trojan Horse) เป็นโปรแกรมที่ถูกเขียนขึ้นมาใ้ห้ทำตัวเหมือนว่าเป็นโปรแกรมธรรมดาทั่วๆ ไป เพื่อหลอกล่อผู้ใช้ให้ทำการเรียกขึ้นมาทำงาน แต่เมื่อถูกเรียกขึ้นมาแล้ว ก็จะเริ่มทำลายตามที่โปรแกรมมาทันที ม้าโทรจันบางตัวถูกเขียนขึ้นมาใหม่ทั้งชุด โดยคนเขียนจะทำการตั้งชื่อโปรแกรมพร้อมชื่อรุ่นและคำอธิบายการใช้งานที่ดูสมจริง เพื่อหลอกให้คนที่จะเรียกใช้ตายใจ จุดประสงค์ของคนเขียนม้าโทรจันอาจจะเช่นเดียวกับคนเขียนไวรัส คือ เข้าไปทำอันตรายต่อข้อมูลที่มีอยู่ในเครื่อง หรืออาจมีจุดประสงค์เพื่อที่จะล้วงเอาความลับของระบบคอมพิวเตอร์ ม้าโทรจันนี้อาจจะถือว่าไม่ใช่ไวรัส เพราะเป็นโปรแกรมที่ถูกเขียนขึ้นมาโดดๆ และจะไม่มีการเข้าไปติดตั้งในโปรแกรมอื่นเพื่อสำเนาตัวเอง แต่จะใช้ความรู้เท่าไม่ถึงการของผู้ใช้เป็นตัวแพร่ระบาดซอฟต์แวร์ที่มีม้าโทรจันอยู่ในนั้นและนับว่าเป็นหนึ่งในประเภทของโปรแกรมที่มีความอันตรายสูง เพราะยากที่จะตรวจสอบและสร้างขึ้นมาได้ง่าย ซึ่งอาจใช้แค่แบตซ์ไฟล์ก็สามารถโปรแกรมประเภทม้าโทรจันได้ | ||||||||||||||||||||||||||||
โพลีมอร์ฟิกไวรัส | ||||||||||||||||||||||||||||
Polymorphic Viruses เป็นชื่อที่ใช้ในการเรียกไวรัสที่มีความสามารถในการแปรเปลี่ยนตัวเองได้ เมื่อมีการสร้างสำเนาตัวเองเกิดขึ้นซึ่งอาจได้ถึงหลายร้อยรูปแบบ ผลก็คือ ทำให้ไวรัสเหล่านี้ยากต่อการถูกตรวจจับ โดยโปรแกรมตรวจหาไวรัสที่ใช้วิธีการสแกนอย่างเดียว ไวรัสใหม่ๆในปัจจุบันที่มีความสามารถนี้เริ่มมีจำนวนเพิ่มมากขึ้นเรื่อยๆ | ||||||||||||||||||||||||||||
สทีลต์ไวรัส | ||||||||||||||||||||||||||||
Stealth Viruses เป็นชื่อเรียกไวรัสที่มีความสามารถในการพรางตัวต่อการตรวจจับได้ เช่น ไฟล์อินเฟกเตอร์ ไวรัสประเภทที่ไปติดโปรแกรมใดแล้วจะทำให้ขนาดของโปรแกรมนั้นใหญ่ขึ้น ถ้าโปรแกรมไวรัสนั้นเป็นแบบสทีลต์ไวรัส จะไม่สามารถตรวจดูขนาดที่แท้จริงของโปรแกรมที่เพิ่มขึ้นได้ เนื่องจากตัวไวรัสจะเข้าไปควบคุมดอส เมื่อมีการใช้คำสั่ง DIR หรือโปรแกรมใดก็ตามเพื่อตรวจดูขนาดของโปรแกรม ดอสก็จะแสดงขนาดเหมือนเดิมทุกอย่างราวกับว่าไม่มีอะไรเกิดขึ้น | ||||||||||||||||||||||||||||
อาการของเครื่องที่ติดไวรัส
| ||||||||||||||||||||||||||||
สามารถสังเกตุการทำงานของเครื่องคอมพิวเตอร์ถ้ามีอาการดังต่อไปนี้อาจเป็นไปได้ว่าได้มีไวรัสเ้ข้าไปติดอยู่ในเครื่องแล้ว อาการที่ว่านั้น ได้แก่ | ||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||
การตรวจหาไวรัส
| ||||||||||||||||||||||||||||
การสแกน | ||||||||||||||||||||||||||||
โปรแกรมตรวจหาไวรัสที่ใช้ิวิธีการสแกน (Scanning) เรียกว่า สแกนเนอร์ (Scanner) โดยจะมีการดึงเอาโปรแกรมบางส่วนของตัวไวรัสมาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเราเรียกว่า ไวรัสซิกเนเจอร์ (VirusSignature) และเมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงานก็จะเข้าตรวจหาไวรัสในหน่วยความทรงจำ บูตเซกเตอร์และไฟล์โดยใช้ไวรัสซิกเนเจอร์ที่มีอยู่ | ||||||||||||||||||||||||||||
ข้อดีของวิธีการนี้ก็คือ เราสามารถตรวจสอบซอฟต์แวร์ที่มาใหม่ได้ทันทีเลยว่าติดไวรัสหรือไม่ เพื่อป้องกันไม่ให้ไวรัสถูกเรียกขึ้นมาทำงานตั้งแต่เริ่มแรก | ||||||||||||||||||||||||||||
แต่วิธีนี้มีจุดอ่อนหลายข้อ คือ | ||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||
การตรวจการเปลี่ยนแปลง | ||||||||||||||||||||||||||||
การตรวจการเปลี่ยนแปลง คือ การหาค่าพิเศษอย่างหนึ่งที่เรียกว่า เช็คซัม (Checksum) ซึ่งเกิดจากการนำเอาชุดคำสั่งและข้อมูลที่อยู่ในโปรแกรมมาคำนวณ หรืออาจใช้ข้อมูลอื่นๆ ของไฟล์ ได้แก่ แอตริบิวต์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่งหรือข้อมูลที่อยู่ในโปรแกรม จะถูกแทนด้วยรหัสเลขฐานสอง เราจึงสามารถนำเอาตัวเลขเหล่านี้มาผ่านขั้นตอนการคำนวณทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรมภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหมจะเปลี่ยนไปจากที่คำนวณได้ก่อนหน้านี้ ข้อดีของการตรวจการเปลี่ยนแปลงก็คือ สามารถตรวจจับไวรัสใหม่ๆ ได้ และยังมีความสามารถในการตรวจจับไวรัสประเภทโพลีมอร์ฟิกไวรัสได้อีกด้วย แต่ก็ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาดของโปรแกรมตรวจหาไวรัสเองด้วยว่า จะสามารถถูกหลอกโดยไวรัสประเภทนี้ได้หรือไม่ และมีวิธีการตรวจการเปลี่ยนแปลงนี้จะตรวจจับไวรัสได้ก็ต่อเมื่อไวรัสได้เข้าไปติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือต้องไม่มีโปรแกรมใดๆ ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป | ||||||||||||||||||||||||||||
การเฝ้าดู | ||||||||||||||||||||||||||||
เพื่อที่จะให้โปรแกรมตรวจจับไวรัสสามารถเฝ้าดูการทำงานของเครื่องได้ตลอดเวลานั้น จึงได้มีโปรแกรมตรวจจับไวรัสที่ถูกสร้างขึ้นมาเป็นโปรแกรมแบบเรซิเดนท์หรือ ดีไวซ์ไดรเวอร์ โดยเทคนิคของการเฝ้าดูนั้นอาจใช้วิธีการสแกนหรือตรวจการเปลี่ยนแปลง หรือสองแบบรวมกันก็ได้ การทำงานโดยทั่วไป ก็คือ เมื่อซอฟแวร์ตรวจจับไวรัสที่ใช้วิธีนี้ถูกเรียกขึ้นมาทำงานก็จะเข้าไปตรวจในหน่วยความจำของเครื่องก่อนว่ามีไวรัสติดอยู่หรือไม่โดยใช้ไวรัสซิกเนเจอร์ที่มีอยู่ในฐานข้อมูล จากนั้นจึงค่อยนำตัวเองเข้าไปฝังอยู่ในหน่วยความจำ และต่อไปถ้ามีการเรียกโปรแกรมใดขึ้นมาใช้งาน โปรแกรมเฝ้าดูนี้ก็จะเข้าไปตรวจโปรแกรมนั้นก่อนโดยใช้เทคนิคการสแกนหรือตรวจการเปลี่ยนแปลงเพื่อหาไวรัส ถ้าไม่มีปัญหาก็จะอนุญาตให้โปรแกรมนั้นขึ้นมาทำงานได้ นอกจากนี้โปรแกรมตรวจจับไวรัสบางตัวยังสามารถตรวจสอบขณะที่มีการคัดลอกไฟล์ได้อีกด้วย ข้อดีของวิธีนี้ คือ เมื่อมีการเรียกโปรแกรมใดขึ้นมา โปรแกรมนั้นจะถูกตรวจสอบก่อนทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น ข้อเสียของโปรแกรมตรวจจับไวรัสแบบเฝ้าดูก็คือ จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเดนท์หรือดีไวซ์ไดรเวอร์ จึงจำเป็นจะต้องใช้หน่วยความจำส่วนหนึ่งของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ ก็คือ จำเป็นจะต้องมีการปรับปรุงฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ | ||||||||||||||||||||||||||||
คำแนะนำและการป้องกันไวรัส
| ||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||
การกำจัดไวรัส
| ||||||||||||||||||||||||||||
เมื่อแน่ใจว่าเครื่องติดไวรัสแล้ว ให้ทำการแก้ไขด้วยความใคร่ครวญและระมัดระวังอย่างมาก เพราะบางครั้งตัวคนแก้เองจะเป็นตัวทำลายมากกว่าตัวไวรัสจริงๆ เสียอีก การฟอร์แมตฮาร์ดดิสก์ใหม่อีกครั้งก็ไม่ใช่วิธีที่ดีที่สุดเสมอไป ยิ่งแย่ไปกว่านั้นถ้าทำไปโดยยังไม่ได้มีการสำรองข้อมูลขึ้นมาก่อน การแก้ไขนั้นถ้าผู้ใช้มีความรู้เกี่ยวกับไวรัสที่กำลังติดอยู่ว่าเป็นประเภทใดก็จะช่วยได้อย่างมาก และข้อเสนอแนะต่อไปนี้อาจจะมีประโยชน์ต่อท่าน | ||||||||||||||||||||||||||||
บูตเครื่องใหม่ทันทีที่ทราบว่าเครื่องติดไวรัส | ||||||||||||||||||||||||||||
เมื่อทราบว่าเครื่องติดไวรัสให้ทำการบูตเครื่องใหม่ทันที โดยเรียกดอสขึ้นมาทำงานจากฟลอปปีดิสก์ที่ได้เตรียมไว้ เพราะถ้าไปเรียกดอสจากฮาร์ดดิสก์ เป็นไปได้ว่าตัวไวรัสอาจกลับเข้าไปในหน่วยความจำได้อีก เมื่อเสร็จขั้นตอนการเรียกดอสแล้ว ห้ามเรียกโปรแกรมใดๆ ก็ตามในดิสก์ที่ติดไวรัส เพราะไม่ทราบว่าโปรแกรมใดบ้างที่มีไวรัสติดอยู่ | ||||||||||||||||||||||||||||
เรียกโปรแกรมไวรัสขึ้นมาตรวจหาและทำลาย | ||||||||||||||||||||||||||||
ให้เรียกโปรแกรมตรวจจับไวรัส เพื่อตรวจสอบดูว่ามีโปรแกรมใดบ้างติดไวรัส ถ้าโปรแกรมตรวจหาไวรัสที่ใช้อยู่สามารถกำจัดไวรัสตัวที่พบได้ก็ให้ลองทำดู แต่ก่อนหน้านี้ให้ทำการคัดลอกเพื่อสำรองโปรแกรมาที่ติดไวรัสไปเสียก่อน โดยโปรแกรมจัดการไวรัสบางโปรแกรมสามารถสั่งให้ทำสำรองโปรแกรมที่ติดไวรัสไปเป็นอีกชื่อหนึ่งก่อนที่จะกำจัดไวรัส เช่น MSAV ของดอสเอง เป็นต้น | ||||||||||||||||||||||||||||
การทำสำรองก็เพราะว่า เมื่อไวรัสถูกกำจัดออกจากโปรแกรมไป โปรแกรมนั้นอาจไม่สามารถทำงานได้ตามปกติหรือทำงานไม่ได้เลยก็เป็นไปได้ วิธีการตรวจขั้นต้น คือ ให้ลองเปรียบเทียบขนาดของโปรแกรมหลังจากที่ถูกกำจัดไวรัสไปแล้วกับขนาดเดิม ถ้ามีขนาดน้อยกว่าแสดงว่าไม่สำเร็จ หากเป็นเช่นนั้นให้เอาโปรแกรมที่ติดไวรัสที่สำรองไว้ แล้วหาโปรแกรมจัดการไวรัสตัวอื่นมาใช้แทน แต่ถ้ามีขนาดมากกว่าหรือเท่ากับของเดิม เป็นไปได้ว่าการกำจัดไวรัสอาจสำเร็จ โดยอาจลองเรียกโปรแกรมตรวจหาไวรัสเพื่อทดสอบโปรแกรมอีกครั้ง | ||||||||||||||||||||||||||||
หากผลการตรวจสอบออกมาว่าปลอดเชื้อ ก็ให้ลองเรียกโปรแกรมที่ถูกกำจัดไวรัสไปนั้นขึ้นมาทดสอบการทำงานดูอย่างละเอียดว่าเป็นปกติดีอยู่หรือไม่อีกครั้ง ในช่วงดังกล่าวควรเก็บโปรแกรมนี้ที่สำรองไปขณะที่ติดไวรัสอยู่ไว้ เผื่อว่าภายหลังพบว่าโปรแกรมทำงานไม่เป็นไปตามปกติ ก็สามารถลองเรียกโปรแกรมจัดการไวรัสตัวอื่นขึ้นมากำจัดต่อไปในภายหลัง แต่ถ้าแน่ใจว่าโปรแกรมทำงานเป็นปกติดี ก็ทำการลบโปรแกรมสำรองที่ยังติดไวรัสอยู่ทิ้งไปทันที เป็นการป้องกันไม่ให้มีการเรียกขึ้นมาใช้งานภายหลังเพราะความบังเอิญได้เวิร์ม (Worm)
เวิร์ม (Worm) มีลักษณะและพฤติกรรมคัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื้อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย และเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุด เวิร์มยังแบ่งออกเป็นชนิดต่างๆได้ดังต่อไปนี้
Email worm เป็นเวิร์มที่อาศัยอีเมล์เป็นพาหะเช่น Mass-mailing worm เป็นเวิร์มที่สามารถค้นหารายชื่ออีเมล์ในเครื่องที่ตกเป็นเหยื่อแล้วก็ส่งตัวเองไปยังที่อยู่อีเมล์เหล่านั้น
File-Sharing Networks Worm เป็นเวิร์มที่คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นต้นหรือประกอบด้วยคำว่า sha และแชร์โฟลเดอร์ของโปรแกรมประเภท Peer to Peer (P2P) เช่นเวิร์มที่มีชื่อว่า KaZaa Worm เป็นต้น
Internet Worm หรือ Network Worm เป็นเวิร์มที่โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการต่างๆเช่น Blaster worm และ Sasser worm ที่ได้เป็นที่รู้จักกันดี
IRC Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนา (Chat room) เดียวกัน
Instant Messaging Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน Contact list ผ่านทางโปรแกรม Instant Messaging หรือ IM เช่นโปรแกรม MSN และ ICQ เป็นต้น
โทรจัน (Trojan)
โทรจัน (Trojan) เป็นมัลแวร์อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป มีลักษณะและพฤติกรรมไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกผู้ใช้ให้ดาวน์โหลดเอาไปไว้ในเครื่องหรือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้ หรือมีจุดประสงค์เพื่อล้วงเอาความลับต่างๆ โทรจันยังแบ่งออกได้เป็นหลายชนิดดังนี้
Remote Access Trojan (RAT) หรือ Backdoor เป็นโทรจันที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุมเครื่องได้จากระยะไกล หรือทำอะไรก็ได้บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ
Data Sending and Password Sending Trojan เป็นโทรจันที่โขมยรหัสผ่านต่างๆ แล้วส่งไปให้ผู้ไม่ประสงค์ดี
Keylogger Trojan เป็นโทรจันที่ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์ของคีย์บอร์ด
Destructive Trojan เป็นโทรจันที่สามารถลบไฟล์บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อได้
DoS (Denial of Service ) Attack Trojan เป็นโทรจันที่เข้าโจมตีระบบคอมพิวเตอร์ที่เป็นเป้าหมายบนอินเทอร์เน็ตในรูปแบบ DoS หรือ DDoS (Distributed denial-of-service) เพื่อทำให้ระบบเป้าหมายปฏิเสธหรือหยุดการให้บริการ (Denial-of-Service) การโจมตีจะเกิดขึ้นพร้อมๆกันและมีเป้าหมายเดียวกัน โดยเครื่องที่ตกเป็นเหยื่อทั้งหมดจะสร้างข้อมูลขยะขึ้นมาแล้วส่งไปที่ระบบเป้าหมาย เพื่อสร้างกระแสข้อมูลให้ไหลเข้าไปในปริมาณมหาศาลทำให้ระบบเป้าหมายต้องทำงานหนักขึ้นและช้าลงเรื่อยๆ เมื่อเกินกว่าระดับที่จะรับได้ ก็จะหยุดการทำงานลงในที่สุด อันเป็นเหตุให้ผู้ใช้ไม่สามารถใช้บริการระบบเป้าหมายได้ตามปกติ2 ส่วนรูปแบบของการโจมตีที่นิยมใช้กันก็มีเช่น SYN flood, UDP flood, ICMP flood, surf, Fraggle เป็นต้น
Proxy Trojan เป็นโทรจันที่ทำให้เครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกลายเป็นเครื่อง Proxy Server, Web Server หรือ Mail Server เพื่อสร้าง Zombie Network ซึ่งจะถูกใช้ให้เป็นฐานปฏิบัติการเพื่อจุดประสงค์อย่างอื่น
FTP Trojan เป็นโทรจันที่ทำให้ครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกลายเป็นเครื่อง FTP Server
Security software Killer Trojan เป็นโทรจันที่ Kill Process หรือลบโปรแกรมป้องกันไวรัสหรือลบไฟร์วอลบนเครื่องที่ตกเป็นเหยื่อ เพื่อง่ายต่อการปฏิบัติการอย่างอื่นต่อไป
Trojan Downloader เป็นโทรจันที่ดาวน์โหลด Adware, Spyware และ Worm ให้มาติดตั้งบนเครื่องเหยื่อ
สปายแวร์ (Spyware)
สปายแวร์ (Spyware) มีลักษณะและพฤติกรรมคล้ายโทรจันคือ ไม่แพร่เชื้อไปติดไฟล์อื่นๆ อาศัยการหลอกผู้ใช้ให้ติดตั้งโปรแกรมที่ไม่ประสงค์ดีลงบนเครื่องของตนเอง หรืออาศัยช่องโหว่ของ Web Browser ในการติดตั้งตัวเองลงบนเครื่องเหยื่อ สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้คอมพิวเตอร์ สร้างความรำคาญให้กับผู้ใช้มากที่สุด บางตำราอาจใช้คำว่า Grayware ซึ่งแบ่งออกได้เป็นหลายชนิด เช่น
Dialer เป็นสปายแวร์ที่เคยอยู่บนเว็บโป๊ต่างๆ และใช้โมเด็มเครื่องเหยื่อหมุนโทรศัพท์ทางไกลต่อไปยังต่างประเทศ
Hijacker เป็นสปายแวร์ที่สามารถเปลี่ยนแปลง Start Page และ Bookmark บนเว็บบราวเซอร์ต่างๆ
BHO (Browser Helper Objects) เป็นสปายแวร์ที่ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์ให้บนเว็บบราวเซอร์
Toolbar บางอย่างก็จัดเป็นสปายแวร์ที่ยัดเยียดเครื่องมือที่ไม่พึงประสงค์ให้บนเว็บบราวเซอร์ด้วย
ม้าโทรจัน Trojan Horses (อันตราย การป้องกัน การกำจัด)
กลยุทธม้าโทรจัน เรื่องนี้คนที่เป็นแฮกเกอร์จะรู้ดี เพราะเป็นกลยุทธที่ใช้ได้แม้กระทั่งในอินเทอร์เน็ต ม้าโทรจันเป็นนิยายกรีก คือมีสงครามระหว่างเมืองสองเมือง เมืองโทรจันกับเมืองทรอย สู้รบกันยืดเยื้อยาวนาน สุดท้ายเมืองโทรจันจึงวางแผน สร้างม้าไม้ขึ้นมาตัวหนึ่ง ให้ทหารเข้าไปอยู่ในม้า แล้วเอาม้าไปวางหน้าประตูเมืองทรอย ทหารเมืองทรอยก็สงสัยว่าม้าอะไร จึงลากม้าเข้าเมือง แล้วทหารที่อยู่ในม้าก็แอบออกมาเปิดประตูเมือง ทำให้ทหารเมืองโทรจันบุกเข้าไปยึดเมืองทรอยได้Trojan = เกี่ยวกับเมืองทรอย (Troy) หรือชาวเมืองทรอย สงครามระหว่างกรีซกับทรอยอ้างอิงจาก Dict. Eng-Thai ส.เศรษฐบุตร ถ้ากล่าวถึงม้าโทรจัน ในทางคอมพิวเตอร์ จะหมายถึงโปรแกรมที่ถูกโหลดเข้าไปในคอมพิวเตอร์ เพื่อ ปฎิบัติการ "ล้วงความลับ" "ยึดเป็นฐานที่มั่นเพื่อโจมตีคอมพิวเตอร์เครื่องอื่น" สำหรับในคอมพิวเตอร์ ความลับนั้นคืออะไรบ้าง รหัสผ่าน User Name , และข้อมูลส่วนตัวเกี่ยวกับการ Login ระบบ ที่ถูกพิมพ์ผ่านคีย์บอร์ดโดยผู้ใช้งาน โดยส่วนใหญ่แฮคเกอร์จะส่งโปรแกรม "ม้าโทรจัน" เข้าไปในคอมพิวเตอร์เพื่อดักจับข้อมูลดังกล่าว แล้วนำไปใช้ในการเจาะระบบ และเพื่อโจมตีคอมพิวเตอร์ เซิร์ฟเวอร์ ระบบเครือข่ายอีกที ซึ่งเป็นที่รู้จักกันในชื่อการโจมตีเพื่อ "ปฎิเสธการให้บริการ" (Denied of Services) โปรแกรมม้าโทรจัน ถือเป็นโปรแกรมที่สอดคล้องกับการทำงานของคอมพิวเตอร์ ไม่มีคำสั่งหรือการปฏิบัติการที่เป็นอันตรายต่อคอมพิวเตอร์ พูดง่ายๆมันไม่ใช่ "ไวรัส ซึ่งถูกถือเป็นเชื้อโรค" แต่ม้าโทรจันเป็นโปรแกรมธรรมดา ที่โปรแกรมตรวจสอบไวรัสไม่สามารถตรวจจับพฤติกรรมร้ายๆได้ แต่วัตถุประสงค์ของโปรแกรมม้าโทรจันนั้นกลับเป็นการทำงานเพื่อละเมิดความปลอดภัย และก่อให้เกิดการโจมตีระบบและความเสียหายอื่นๆ ตามมา ดังนั้นม้าโทรจันจึงไม่เป็นที่ปรารถนาของใครๆ ม้าโทรจันในคอมพิวเตอร์ทำงานอย่างไร อย่างที่กล่าวแล้วว่า ม้าโทรจันแตกต่างจากไวรัสที่การทำงาน ไวรัสทำงานโดย ทำลายคอมพิวเตอร์ ทั้งฮาร์ดแวร์และซอฟต์แวร์อย่างแท้จริง ไวรัสบางตัวอย่าง Love BUG ทำลายไฟล์โดยการเปลี่ยนแปลงรายละเอียดในไฟล์ ไวรัส CIH ทำให้ไบออสของคอมพิวเตอร์เสีย และเข้าถึงข้อมูลในฮาร์ดดิสก์ไม่ได้ แต่ "ม้าโทรจัน" ไม่ทำอะไรกับคอมพิวเตอร์ ม้าโทรจันไม่มีคำสั่งหรือพฤติกรรมการทำลายคอมพิวเตอร์เหมือนไวรัส ม้าโทรจันเหมือนโปรแกรมทั่วไปในคอมพิวเตอร์ สมัยก่อนเวลาพูดถึงม้าโทรจัน จะว่ากันว่าขนาดของไฟล์ แตกต่างจากไวรัสที่ขนาดของม้าโทรจันนั้นเป็นโปรแกรมขนาดเล็ก และเป็นโปรแกรมที่ไม่ถือว่ามีพฤติกรรมเป็นอันตรายต่อคอมพิวเตอร์ ซึ่งในทางการกำจัดไวรัส จะมีการตรวจสอบโดยการดูลักษณะการทำงาน ไวรัสนั้นมีคำสั่งอันตราย แต่โทรจันไม่มี ดังนั้นโปรแกรมตรวจสอบไวรัสไม่มีทางที่จะตรวจสอบหา "ม้าโทรจัน" พบ ม้าโทรจันนั้นเป็นเครื่องมือของแฮคเกอร์ในการเจาะระบบ ว่ากันว่าบรรดาแฮคเกอร์นั้นมีสังคมเฉพาะที่แจกจ่าย เผยแพร่ม้าโทรจันออกไปใช้งาน โดยส่วนใหญ่ม้าโทรจันซึ่งปัจจุบันมีอยู่นับพันโปรแกรม ถูกพัฒนาโดยพวกนักศึกษา แฮคเกอร์ และมือสมัครเล่นอีกหลายคน เพราะม้าโทรจันนั้นคือโปรแกรมที่เขียนขึ้นเพื่อบันทึกว่าแป้นคีย์บอร์ดแป้นไหนถูกกดบ้าง ด้วยวิธีการนี้ก็จะได้ข้อมูลของ User ID, Password หลังจากนั้นโปรแกรมม้าโทรจันจะบันทึกข้อมูลลงไปใน RAM , CMOS หรือ Hidden Directory ในฮาร์ดดิสก์ แล้วก็หาโอกาสที่จะอัพโหลดตัวเองไปยังแห่งที่ผู้เขียนม้าโทรจันกำหนด หรือบางทีแฮคเกอร์อาจจะใช้วิธีการเก็บไฟล์ดังกล่าวไปด้วยวิธีอื่น การใช้อินเตอร์เน็ต ใช้โมเด็ม หรือใช้ LAN อย่างไรก็ตาม ปัจจุบัน เนื่องจากเป็นยุคของอินเตอร์เน็ต ขนาดของโปรแกรมม้าโทรจันนั้นใหญ่ขึ้น และทำอะไรได้เบี่ยงเบนความสนใจมากขึ้น เช่น แสดงรูปภาพสกรีนเซฟเวอร์น่ารักๆ แต่จุดประสงค์ที่แท้จริงของม้าโทรจันคือ "สืบเสาะหาความลับ" ยังคงไม่เปลี่ยนแปลง แถมตัวใหม่ที่รันบนวินโดวส์ 95/98 นั้น สืบหาความลับมากกว่าเดิมด้วย เอาข้อมูลส่วนบุคคลส่งไปได้เลย ม้าโทรจันบางตัวเข้ามาเพื่อ "เปิดประตู" จริงๆ คือ เปิดช่องว่างด้านระบบรักษาความปลอดภัยรอพวก "หัวขโมย" เข้ามาปฎิบัติการอีกที และอย่างที่เราทราบกันแฮคเกอร์บางคนวางแผนยึดเครื่องพีซีเพื่อดำเนินการโจมตีเซิร์ฟเวอร์ที่ให้บริการทางอินเตอร์ให้หยุดให้บริการ ประเภทต่างๆของม้าโทรจัน ม้าโทรจันนั้นไม่มีเพียงประเภทเดียว แต่มีการแบ่งออกเป็นหลายประเภท ตามลักษณะการคุกคามและการทำงาน - Client / server ม้าโทรจันแบบนี้จะส่งจากเซิร์ฟเวอร์ไปไว้ที่ไคลเอ็นต์ โดยสั่งเปิด พอร์ตที่ไคลเอ็นท์แล้วให้เครื่องไคลเอ็นต์อีกเครื่องไปควบคุม - DDOS Distributed Denial of Service แฮคเกอร์จส่งโทรจันไปไว้ที่เครื่องไคลเอ็นต์หลายๆเครื่อง หลังจากนั้นจะใช้เครื่องไคลเอนต์เหล่านั้นโจมตีเว็บไซต์เป้าหมายพร้อมๆกันเพื่อให้หยุดบริการอย่างที่ได้ยินกันในเดือนมิถุนายน 2543 ที่ผ่านมา - Destructive โทรจันประเภทนี้ทำงานเหมือนไวรัสคือ พยายามทำลายไฟล์ระบบของเครื่อง จนกระทั่งบูตไม่ได้ - FTP โทรจันแบบนี้ทำให้ไดรฟ์ C สามารถใช้คำสั่ง FTP ได้ ข้อมูลในไดรฟ์ C จะถูกดูดออกไปด้วย - IRC Internet Relay Chat ทำให้เปิด Connection กับ Chat Server หลายๆตัว - Keylogger ทำหน้าที่บันทึกแป้นคีย์บอร์ดที่ถูกคีย์ลงไปขณะที่เราใช้คอมพิวเตอร์ การบันทึกนั้นรวมถึงรหัสผ่าน User Name และทุกๆคีย์ที่ถูกกดผ่านคีย์บอร์ด - Password Stealer ตัวขโมยรหัสผ่าน โดยขโมยรหัสผ่านของ ICQ , e-mail , ระบบคอมพิวเตอร์ ,การต่อเชื่อม ISP แล้วเก็บรหัสผ่านนั้นไว้ในไฟล์หนึ่ง แล้วเอาม้าโทรจันอีกตัวมาอัพโหลดไฟล์นั้นไปยังปลายทาง - Remote Flooder ทำงานเหมือนกับ DDOS คือส่งโทรจันไปที่เครื่องปลายทาง (รีโมท) แล้วสั่งจากเครื่องมาสเตอร์ให้เครื่องปลายทาง (รีโมท) โจมตีเป้าหมายอีกทีหนึ่ง - Telnet ม้าโทรจันตัวนี้จะยึดเครื่องรีโมทเป็นอาวุธโจมตีเครื่องปลายทาง โดยผ่าน Telnet ใช้คำร้องขอบริการ Telnet เพื่อจัดการกับเครื่องเหยื่อเป้าหมาย เหมือน DDOS อีกตัว - VBSscript ตัวนี้เป็นโทรจันที่อันตราย เพราะมันอาจจะซ่อนตัวในเว็บไซต์ รอโจมตีเครื่องเป้าหมาย แล้วหลังจากนั้นก็เผยแพร่ผ่าน e-mail Outlook Express เพื่อโจมตีหรือกระจายไวรัสต่อไป นอกจากนี้ VBScript ยังมีอันตรายอย่างมากด้วย เพราะสามารถใช้คำสั่งในการรันคำสั่งอื่นเพื่อทำลายระบบ หรือเปลี่ยนไฟล์ได้ ป้องกัน-กำจัดม้าโทรจันสำหรับสำนักงาน นับวันม้าโทรจันจะยิ่งมีโอกาสในการแพร่ระบาดสูงขึ้น เพราะพัฒนาการของของเทคโนโลยีพีซี จากยุคเก่าที่มีเพียงเครื่องมินิคอมพิวเตอร์หรือเมนเฟรม 1 เครื่อง และ Dumb Terminal ที่ Dumb Terminalนั้นไม่มีดิสก์เก็ต ดังนั้นโอกาสที่ม้าโทรจันจะถูกโหลดผ่านดิสก์เก็ตย่อมไม่มี แต่หลังจากนั้น Dumb Terminal ถูกแทนที่โดย Thin Client ซึ่งอาจจะมีดิสก์เก็ตและมีฮาร์ดดิสก์ ทำให้ง่ายต่อการแพร่ระบาดของม้าโทรจัน นอกจากนี้ การที่อินเตอร์เน็ตถูกนำเข้าเป็นส่วนหนึ่งของระบบคอมพิวเตอร์ ก็ทำให้การแพร่ระบาดของม้าโทรจันง่ายขึ้น ดังนั้นการวางแผนและกำหนดนโยบายเกี่ยวกับระบบรักษาความปลอดภัยที่รัดกุมจะช่วยป้องกันม้าโทรจันได้ สำหรับในสำนักงาน การป้องกันม้าโทรจัน ทำได้หลายวิธี เช่น การห้ามไม่ให้เอาแผ่นดิสก์เก็ตจากแหล่งภายนอกมาใช้งาน การใช้ Firewall เพื่อป้องกันการถูกโจมตีจากแฮคเกอร์ เพราะแฮคเกอร์ใช้ม้าโทรจันเป็นเครื่องมือเช่นกัน การป้องกันโดยการห้ามไม่ให้พนักงานใช้โมเด็มต่อเชื่อมเข้าด้วยอินเตอร์เน็ตโดยใช้คอมพิวเตอร์เครื่องที่ต่อเชื่อมกับระบบเครือข่ายภายในสำนักงานก็เป็นวิธีหนึ่งด้วย ประเด็นนี้สำคัญนะครับ โดยมาก ฝ่าย IS ของหลายๆแห่งกำหนดไว้ชัดเจนเลย แต่ถ้ายังไม่กำหนด ก็รีบเถอะครับ ปัจจุบันมีผลิตภัณฑ์ Firewall ใหม่หลายตัว ที่ถูกพัฒนาขึ้นมาเพื่อป้องกันการโจมตีของม้าโทรจันโดยเฉพาะ โดยผนวกเอาคุณสมบัติการป้องกันม้าโทรจันเข้าไปในผลิตภัณฑ์ Firewall ทั้งฮาร์ดแวร์และซอฟต์แวร์ นอกจากนี้ยังเพิ่มฟังก์ชันในการตรวจสอบว่าระบบถูกการโจมตีแบบ DDOS หรือไม่ด้วย สำหรับสำนักงานแล้ว ดูเหมือนเป็นหน้าที่ของฝ่ายไอทีในการตรวจสอบ (Audit) ระบบ เพื่อดูว่ามีความเสี่ยงต่อการถูกโทรจันหรือไม่ เพราะแต่ละองค์กรมีความเสี่ยงเรื่องการถูกโทรจันไม่เท่ากัน เช่นองค์กรที่เคยใช้คอมพิวเตอร์เฉพาะในองค์กรเท่านั้น และมีการควบคุมที่ดี ย่อมเสี่ยงต่อมาโทรจันน้อย แต่ต่อมา ถ้าหากองค์กรนั้นต่อเชื่อมระบบเครือข่ายของตัวเองเข้ากับอินเตอร์เน็ต ความเสี่ยงย่อมสูงขึ้น ทำให้ฝ่ายไอทีต้องสำรวจว่ามีเครื่องมือที่เหมาะสมในการป้องกันหรือไม่ สำหรับสำนักงาน การป้องกันม้าโทรจัน ควรกำหนดแผนการป้องกันไว้ก่อนที่จะติดตั้งระบบคอมพิวเตอร์ และควรมีการตรวจสอบ (Audit) ระบบอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าปลอดภัยจากม้าโทรจัน บางที่ม้าโทรจันอาจจะถูกนำมาวางไว้ที่ไหนสักแห่งในคอมพิวเตอร์และปฎิบัติการอย่างเงียบๆ กรณีที่ต้องการตรวจสอบระบบ ซอฟต์แวร์ในการป้องกันและตรวจสอบโทรจันที่มีประสิทธิภาพดีพอ อย่าง The Cleaner จาก Moosoft มาใช้ในการตรวจสอบว่ามีโทรจันในคอมพิวเตอร์หรือไม่ ป้องกัน-กำจัดม้าโทรจันสำหรับคอมพิวเตอร์ที่บ้าน ส่วนการใช้งานคอมพิวเตอร์ภายในบ้าน โดยการออนไลน์ปกติโดยการต่อเชื่อมอินเตอร์เน็ตจากคอมพิวเตอร์ภายในบ้านที่ใช้ Dial Up Network โดยการต่อเชื่อมผ่านโมเด็มนั้น เสี่ยงต่อม้าโทรจันเช่นกัน ผมเคยถูกม้าโทรจันหลายๆตัวโจมตีภายในเดือนเดียวกัน 5 ครั้ง วิธีการป้องกันได้แก่การติดตั้งโปรแกรม อย่าง NetBUS Detective จะคอยตรวจจับม้าโทรจันพวก Netbus ,BO Orifice , หรือโปรแกรม NukeNubber ก็ป้องกันระบบ โดยการตรวจสอบพอร์ตต่างๆของ TCP/IP ถึง 50 พอร์ต ระบบการป้องกันสำหรับบ้านที่ดีที่สุดคือ ไฟร์วอลส่วนตัว (personal firewalls) ซึ่งเป็นซอฟต์แวร์ติดตั้งในพีซี เช่น Norton Personal Firewall 2.0 , Norton Internet Security 2.0 , ZoneAlarm 2.1.44 โปรแกรม Firewall เหล่านี้จะเป็นทหารยามป้องกันการลักลอบแฝงเข้ามาในพอร์ตต่างๆของการต่อเชื่อมที่ไม่ได้รับอนุญาต สำหรับกรณีที่ต้องการตรวจสอบว่ามีม้าโทรจัน หรือต้องการกำจัดนั้น ต้องทำความเข้าใจคือ โปรแกรมป้องกันไวรัสทั้งหลายที่มีขายในท้องตลาดนั้น อาจจะป้องกันและตรวจสอบม้าโทรจันได้ไม่ครบ ทางที่ดีแนะนำให้ใช้โปรแกรมการป้องกัน ตรวจสอบม้าโทรจันเฉพาะ อย่าง PC Guard , The Cleaner ซึ่งในการตรวจจับม้าโทรจันโดยเฉพาะ นโยบายการป้องกันม้าโทรจันนั้น แตกต่างกันไปในแต่ละที่ โดยส่วนใหญ่จะต้องใช้วิธีการ กันไว้ดีกว่าแก้ โดยการติดตั้ง Firewall ไว้ก่อนเลยในชั้นแรก แต่ถ้าหากวันหนึ่งเกิดสงสัยว่าในระบบคอมพิวเตอร์นั้นมีม้าโทรจันถูกส่งมาหรือไม่ ก็ต้องใช้ซอฟต์แวร์ในการตรวจจับ ซอฟต์แวร์สำหรับการตรวจจับและทำลายโทรจัน กรณีที่ต้องการตรวจจับและทำลายม้าโทรจัน ซอฟต์แวร์กำจัดไวรัสทั่วไปอย่าง Norton Antivirus ,Mcafee Virus SCAN นั้นสามารถตรวจจับและกำจัดม้าโทรจันได้บ้างบางตัว แต่ไม่ครอบคลุมทั้งหมด ทั้งนี้เพราะซอตฟ์แวร์ป้องกันกำจัดไวรัสนั้น มุ่งจะกำจัดไวรัส (โปรแกรมคอมพิวเตอร์ที่มีอันตรายต่อคอมพิวเตอร์) มากกว่าจะตรวจจับและทำลายโทรจัน วิธีการส่งเข้ามาในคอมพิวเตอร์ และพฤติกรรมการทำงานของโทรจันนั้นแตกต่างจากไวรัส เครื่องมือในการตรวจจับ การป้องกัน จึงแตกต่างจากไวรัสด้วย The Cleaner 3.1 จาก Moosoft เป็นซอฟต์แวร์ที่ทำหน้าที่ทั้ง ป้องกัน ตรวจจับ และกำจัดไวรัสที่ได้รับความนิยมมากตัวหนึ่ง เพราะทาง ZDNet ,Tucows และอีกหลายๆสื่อออนไลน์ที่ได้รีวิวซอฟต์แวร์ตัวนี้ต่างก็โหวดให้ประสิทธิภาพของการทำงาน "ยอดเยี่ยม" ทั้งหมด พูดได้ว่า The Cleaner เป็นซอฟต์แวร์ในการกำจัดโทรจันที่เป็นที่รู้จักกันดีและได้รับความนิยม ประสิทธิภาพของ The Cleaner นั้นมีฐานข้อมูลโทรจันที่ตรวจสอบและกำจัดได้กว่า 3000 ตัว และยังมีการอัพเดททุกๆ เดือน การตรวจจับความเร็วสูง สนับสนุนการตรวจสอบไฟล์ที่บีบอัดไว้ (Compress Files) OS ที่ The Cleaner สนับสนุนคือ Windows 95/98/ME , NT 4.0 Server , 4.0 Workstation , Windows 2000 Pro , Windows 2000 Server นอกจากส่วนที่ทำหน้าที่ในการ Cleaner แล้ว ยังมีส่วนที่ยับยั้งไม่ให้ไวรัสทำงานคือ TCActive นอกจากนี้ยังมี TCMonitor ที่จะมีการตรวจสอบไฟล์ของระบบวินโดวส์ตัวที่อาจจะมีการส่งโทรจันมาด้วย Trojan Remover เป็นซอฟต์แวร์ที่ทำหน้าที่ตรวจสอบและกำจัดโทรจันอีกตัวหนึ่งที่ได้รับการพัฒนาอย่างต่อเนื่อง ปัจจุบันพัฒนาถึงเวอร์ชัน 4.0.4 แล้ว Trojan Remover ได้รับความนิยมเช่นกัน ถึงแม้ว่า OS ที่ Trojan Remover สนับสนุนจะมีเพียง 95/98/ME เท่านั้นเอง Trojan Remover ทำงานไม่แตกต่างจาก The Cleaner คือ ถ้าหากตรวจสอบพบว่าไฟล์ระบบหรือไฟล์ข้อมูลได้มีโทรจันแฝงตัวอยู่ Trojan Remover จะดำเนินการแก้ไขไฟล์นั้นให้เข้าสู่สภาพปกติ รวมไปถึงการแก้ไข Registry ของวินโดวส์ด้วย นอกจากนี้สำหรับโทรจันที่แฝงตัวในหน่วยความจำ Trojan Remover ก็มีวิธีการที่ชาญฉลาดในการจัดการโดยใช้กระบวนการ REMOVE all traces Anti-Trojan 5 ซอฟต์แวร์จากเยอรมัน เป็นซอฟต์แวร์สำหรับจัดการกับ Trojan อีกตัวที่น่าสนใจ Anti-Trojan มีขนาดไฟล์สำหรับติดตั้ง 4.8 เมกะไบต์ มากกว่า Trojan Remover และ The Cleaner การพัฒนาอย่างต่อเนื่องจนถึงเวอร์ชัน 5.0 น่าจะประกันได้ว่าซอฟต์แวร์ป้องกันโทรจันตัวนี้น่าสนใจไม่น้อย การทำงานของ Anti-Trojan ทำงานในการตรวจสอบโทรจันโดยการสแกนพอร์ต (เพราะโทรจันโดยส่วนใหญ่จะเล็ดลอดเข้ามาและเปิดพอร์ตต่างๆ) สแกน Registy และสแกนฮาร์ดดิสก์ การค้นหาและตรวจจับไวรัสใช้ Signature ของโทรจัน การสแกนในไฟล์รวมถึงการสแกนไฟล์บีบอัดด้วย คุณสมบัติเด่นของ Anti-Trojan คือ รู้จัก Trojan มากกว่า 5000 รายการ ความเร็วในการตรวจจับสูง และมีฐานข้อมูลออนไลน์สำหรับไวรัสให้อัพเดทเช่นกัน นอกจากนี้ยังรวมถึง Plugin ของ PortScanner , Processviewer ด้วย ทั้งสามตัวนั้นมีการอัพเดทข้อมูลโทรจันตลอดเวลาเช่นกัน ดังนั้นกรณีที่ต้องการให้การป้องกันมีประสิทธิภาพที่สุด ผู้ใช้ควรอัพเดทข้อมูลโทรจันด้วย
|
วันพุธที่ 26 มิถุนายน พ.ศ. 2556
โปรแกรมที่ไม่พึงประสงค์
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น