ไวรัสบน USB - ตอนที่ 1 กล่าวนำ

ปัญหาไวรัสที่แพร่กระจายผ่าน USB นั้นมีมากมาย ซึ่งที่สร้างปัญหาในช่วงแรก หรือเป็นเหมือนตัวเริ่มต้นของสายพันธุ์นี้คือ Brontok ที่จะก็อปปี้ตัวมันเองด้วยชื่อโฟลเดอร์ที่พบไว้ข้างในโฟลเดอร์ดังกล่าวด้วย จากนั้นซีรี่ย์ถัดก็พวก Hacked แบบต่างๆ เช่น Hacked by Godzilla, Mozilla, one byte, 8 bits เป็นต้น นอกจากนี้ก็ยังมีทีเด็ดของไวรัสประเภทนี้อีกมากมาย ที่ประทับใจที่สุดก็เห็นจะเป็นวิธีที่ซ่อนโฟลเดอร์ของเราไว้ และสร้างไฟล์ของไวรัสด้วยชื่อโฟลเดอร์ของเรา แล้วยังเปลี่ยนไอคอนของไฟล์ไวรัสให้เป็นรูปแฟ้มสีเหลือง (สัญลักษณ์ของโฟลเดอร์) ถ้าหากว่าเครื่องของเราปรับแต่งค่าไม่ให้แสดงไฟล์ซ่อนและนามสกุล จะเห็นไฟล์ไวรัสเองในลักษณะของโฟลเดอร์ ทำให้ผู้ใช้งานหลงเชื่อแล้วดับเบิลคลิ๊กแต่ไฟล์ไวรัสโดยมีจุดประสงค์เพื่อเปิดเข้าไปในโฟลเดอร์ที่มีชื่อเดียวกับไวรัส นอกจากนี้ไวรัสอีกชนิดที่มีไฟล์ชื่อ "แอบถ่ายนักศึกษา.exe" ยังพัฒนารูปแบบการหลอกลวงไปอีกขั้น แทนที่เมื่อเราดับเบิลคลิกไฟล์นี้ (ด้วยจุดประสงค์ที่ต้องการเปิดโฟลเดอร์) ไวรัสก็จะทำงาน และจะมีไฟล์หลอกเปิดขึ้นมาให้ดูคล้ายกับมีไฟล์ภายในโฟลเดอร์ด้วย

จากประสบการณ์ของผู้เขียนที่เคยเห็นไวรัสประเภทนี้อาการมักจะเกิดขึ้น

1. ซ่อนไฟล์และโฟลเดอร์ต่างๆ
2. ซ่อนเมนู Folder Options ที่ Windows Explorer
3. ไม่สามารถเปิดโปรแกรม Task Manager ได้
4. ไม่สามารถเปิดโปรแกรม Regedit ได้
5. ซ่อนเมนู Search ไฟล์ในเครื่อง

ดังนั้นถ้าหากว่าเครื่องคอมพิวเตอร์มีอาการดังที่ได้กล่าวมาในข้างต้นนี้ สามารถที่สันนิษฐานได้ว่าเครื่องคอมพิวเตอร์อาจถูกไวรัสที่สามารถแพร่กระจายผ่านทาง USB คุกคามแล้วก็เป็นได้ ในบทความต่อๆ ไปจะกล่าวถึงวิธีการแก้ไขในแต่ละจุด รวมทั้งวิธีการป้องกันที่ถูกวิธี และเป็นวิธีเดียวอยู่ในขณะนี้ที่ผู้เขียนได้ทดสอบแล้วพบว่าปลอดภัยที่สุด

หมายเหตุ เนื่องจากในขณะนี้ผู้เขียนยังไม่มีรูปของอาการต่างๆ แล้วจะนำมาอัพเดตให้เร็วที่สุด

การวิเคราะห์ไวรัสจากระยะไกล-ตอนที่ 2 - Anubis

หลังจากบทความก่อน ผลจากการวิเคราะห์นั้นเป็นเพียงชื่อของไวรัสเท่านั้น ถ้าหากว่าต้องการทราบถึงสิ่งที่ไวรัสหรือไฟล์ที่ต้องสงสัยนั้นทำอันตรายหรือมีพฤติกรรมอย่างไรต่อเครื่องคอมพิวเตอร์แล้วจำเป็นต้องใช้เครื่องมืออื่นเข้ามาช่วย ซึ่งในบทความนี้จะแนะนำเว็บที่จะได้ผลออกมาเป็นข้อมูลทางเทคนิคของโปรแกรมต้องสงสัยว่ามีการทำงานอย่างไร

Anubis - Analyzing Unknown Binaries (http://analysis.seclab.tuwien.ac.at/)

เป็นเครื่องมือที่ถูกวิจัยและพัฒนาโดย Secure Systems Lab แห่ง Vienna University of Technology ประเทศออสเตรีย ซึ่งมีความสามารถในการวิเคราะห์พฤติกรรมของโปรแกรมต่างๆได้โดยอัพโหลดไฟล์ที่สามารถเอ็กซิคิวต์ได้ไปยังเว็บไซต์นี้ จากนั้นจะมีการทดสอบแล้วจึงรายงานผลการทดสอบออกมา ผู้พัฒนาเองยังได้กล่าวไว้ในเว็บไซต์ว่าเครื่องมือนี้จะเน้นในการวิเคราะห์พฤติกรรมของไวรัส และเปิดให้ใช้บริการฟรี

จากข้อมูลในเว็บไซต์ได้มีการเปรียบเทียบให้เห็นความแตกต่างของความสมารถของเครื่องมือสามชนิดได้แก่ Norman Sandbox CWSandbox และ Anubis ซึ่งก็เป็นปกติของเจ้าของเครื่องมือที่จะโฆษณาว่าเครื่องมือของตนเองนั้นดีที่สุด แต่เมื่อได้ทดลองใช้งานพบว่า Anubis เป็นเครื่องมือที่ใช้ในการทดสอบไวรัสจากระยะไกลที่ดีมาก วิธีการใช้งานง่าย มีรายงานที่อ่านเข้าใจง่าย โดยวิธีการใช้งานคร่าวๆ คือเข้าสู่เว็บไซต์ http://analysis.seclab.tuwien.ac.at/ ทำการอัพโหลดไฟล์เข้าไป แล้วต้องใส่รหัสที่เป็นรูปภาพเข้าไปด้วย จากนั้นกดปุ่ม Submit for Analysis แล้วรอผลการทดสอบ เท่านั้นก็เป็นอันเสร็จสิ้นวิธีการวิเคราะห์ไวรัสจากระยะไกลด้วยเครื่องมือ Anubis




สรุป เครื่องมือ Anubis เป็นเครื่องมือฟรีที่จัดได้ว่ามีความสามารถดีมากเครื่องมือหนึ่ง ในบทความต่อไปจะแนะนำเครื่องมืออื่นๆ อีก เพื่อเป็นทางเลือกสำหรับการวิเคราะห์พฤติกรรมของไวรัสจากระยะไกลได้

การวิเคราะห์ไวรัสจากระยะไกล-ตอนที่ 1

การวิเคราะห์ไวรัสจากระยะไกล คือการส่งไวรัสไปให้หน่วยงานหรือผู้ให้บริการวิเคราะห์ไวรัสทำการทดสอบ แล้วรายงานผลกลับมาให้ผู้ส่งไวรัสไปทดสอบ ซึ่งวิธีนี้มีข้อดีคือผู้ทดสอบไม่จำเป็นต้องติดตั้งระบบ ไม่ต้องลงทุนระบบมากมาย เพียงแต่จำเป็นต้องมีการเชื่อมต่ออินเทอร์เน็ตไว้ และอันตรายที่อาจเกิดขึ้นกับเครื่องใช้งานหลักที่จะต้องเป็นที่เก็บไวรัสไว้ ถ้าหากว่าูผู้ทดสอบไม่มีความชำนาญมากพอ ก็อาจทำให้เครื่องใช้งานหลักถูกไวรัสคุกคามได้ ซึ่งนี้เป็นข้อด้อยที่สำคัญอย่างยิ่งสำหรับการวิเคราะห์ไวรัสจากระยะไกล

การวิเคราะห์ไวรัสจากระยะไกลนี้ อยากจะขอแนะนำเว็บไซต์ที่ให้บริการทดสอบไวรัสให้อย่างอัตโนมัติ ซึ่งในบทความตอนนี้จะแนะนำเว็บ http://www.virustotal.com เว็บนี้มีจุดเด่นคือเป็นเว็บที่จะทดสอบว่าไฟล์ไวรัสที่ส่งเข้าไปทดสอบนั้น มีชื่อว่าอะไร โดยทดสอบกับโปรแกรมป้องกันไวรัสที่ปรับปรุงฐานข้อมูลล่าสุด จำนวน 32 โปรแกรม ซึ่งวิธีการใช้งานเว็บไซต์ดังกล่าวมีดังนี้

รูปที่ 1 หน้าแรกของเว็บไซต์ ซึ่งมีช่องให้ทำการอัพโหลดไฟล์สำหรับทดสอบ

รูปที่ 2 กำลังส่งไฟล์เพื่อทดสอบ

รูปที่ 3 บอกว่าอัพโหลดไฟล์สมบูรณ์และทำการวิเคราะห์เรียบร้อยแล้ว

รูปที่ 4 แสดงผลการทดสอบ

สรุป เว็บไซต์ http://www.virustotal.com เป็นเว็บไซต์สำหรับทดสอบไฟล์ที่ต้องสงสัยว่าเป็นไวรัสหรือไม่ ถ้าเป็น มีชื่อไวรัสว่าอะไร โดยเปรียบเทียบกับโปรแกรมป้องกันไวรัสที่ถูกปรับปรุงฐานข้อมูลไวรัสล่าสุด ในบทความต่อไปจะแนะนำเว็บสำหรับทำการวิเคราะห์ไวรัสให้ได้มาซึ่งพฤติกรรมของไวรัส ไม่ใช่แค่ชื่อของไวรัสเฉกเช่นเดียวกับเว็บไซต์ที่แนะนำไว้ในบทความนี้

การวิเคราะห์ไวรัส - บทนำ

ในปัจจุบันจำนวนไวรัสคอมพิวเตอร์เพิ่มจำนวนขึ้นอย่างมาก และมีเทคนิคในการแพร่กระจายอย่างรวดเร็วมาก ทำให้โปรแกรมป้องกันไวรัสไม่สามารถปรับปรุงฐานข้อมูลได้ทันเวลา และอาจก่อให้เกิดความเสียหายต่อระบบเครือข่ายได้ ดังนั้นการวิเคราะห์ไวรัส (Malware Analysis) จึงเข้ามามีความจำเป็นอย่างมากในปัจจุบัน ซึ่งเป็นกระบวนการหนึ่งที่ใช้ในการศึกษาว่าไวรัสนั้นทำงานได้อย่างไร เพื่อจุดประสงค์ในการสร้างลายเซ็นต์หรือฐานข้อมูลของไวรัสสำหรับโปรแกรมป้องกันไวรัสต่างๆ พร้อมทั้งหาวิธีการแก้ไขเบื้องต้นและวิธีการป้องกันไวรัสได้ ซึ่งวิธีการวิเคราะห์นั้นก็มีหลากหลายวิธีและแต่ละวิธีก็มีความยากง่ายแตกต่างกันได้แก่

1. Static Analysis เป็นวิธีการวิเคราะห์ในระดับเบื้องลึกของโค้ด โดยการศึกษาด้วยวิธีวิศวกรรมย้อนกลับ (Reverse Engineering) ซึ่งผู้ที่จะใช้วิธีนี้จำเป็นต้องอาศัยทักษะด้านการเขียนโปรแกรมแอสเซมบลีอย่างมาก จึงจะสามารถวิเคราะห์ได้
2. Dynamic Analysis เป็นวิธีการวิเคราะห์ด้วยพฤติกรรมของไวรัส ศึกษาว่าไวรัสมีความสามารถในการทำอันตรายต่อระบบอย่างไรบ้าง มีการสร้างไฟล์หรือลบไฟล์อะไร รวมทั้งมีการส่งข้อมูลผ่านทางระบบเครือข่ายหรือไม่ ฯลฯ วิธีนี้จำเป็นต้องอาศัยทักษะด้านการใช้งานคอมพิวเตอร์และระบบปฏิบัติการค่อนข้างสูง แต่วิธีการนี้ยังง่ายกว่าวิธี Static ในบทความต่อๆไป จะสอนวิธีการวิเคราะห์ด้วยวิธีนี้ ซึ่งเป็นวิธีที่ผมศึกษามานานแล้ว
3. Hybrid เป็นวิธีที่รวมเอาทั้งสองวิธีมารวมกัน

นอกจากนี้วิธีการวิเคราะห์ไวรัสเองอาจสามารถทำได้จากทั้งระยะไกล (คืออัพโหลดไฟล์ไวรัสไปยังเว็บไซต์ที่ให้บริการ ผลที่ได้คือรายงานว่าไวรัสดังกล่าวมีการทำงานอย่างไร) และระยะใกล้ (คือการวิเคราะห์พฤติกรรมของไวรัสที่เครื่องสำหรับทดสอบเอง ซึ่งจำเป็นต้องมีการติดตั้งระบบสำหรับทดสอบด้วย)

สรุปการวิเคราะห์ไวรัสมีความสำคัญมากในปัจจุบัน ในบทความต่อไปจะกล่าวถึงวิธีการวิเคราะห์ไวรัสจากระยะไกล

The Face of Malware.

Have you ever seen face of malware? Last week I read the news about Drawing a (Scary) Face on Malicious Software. The Romanian artist,Alex Dragulescucreated his so-called "threat art" in conjunction with live malware intercepted by e-mail security firm MessageLabs. He creates a variety of threat such as Malwarez, spam, and botnet ,etc.

Malwarez is a series of visualization of worms, viruses, trojans and spyware code. For each piece of disassembled code, API calls, memory addresses and subroutines are tracked and analyzed. Their frequency, density and grouping are mapped to the inputs of an algorithm that grows a virtual 3D entity. Therefore the patterns and rhythms found in the data drive the configuration of the artificial organism.

from top to bottom:
Stormy (Worm), PWSLineage (Trojan) , MyDoom, Russian3 (Spam),IRCbot (BotNet), Virutmytob (Virus).

Read more:
Alex Dragulescu's website
MessageLabs threat art page

เปลี่ยนที่เขียน Blog

เขียนกันจังเนี่ย Blog อ่ะ อิอิ ลองเปลี่ยนที่เขียนบ้าง เผื่อจะหนุกหนาน