Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม

เชื่อเลยครับว่าหลายๆคน ไม่ว่าจะใช้ Windows เป็นหรือไม่เป็นก็ตาม ต้องได้เจอกับ virus มีหลายรูปแบบด้วยกัน วันนี้ผมจะยกเฉพาะ virus ที่ติดต่อๆกันมาบน FlashDrive ว่ามันฝักตัวอ่อนยังไง และเมื่อวิ่งเข้าไปอยู่ในเครื่องแล้วจะเป็นยังไง...

อย่างแรกเลยนะครับ คำศัพท์แบบไม่เป็นทางการของนักคอมพิวเตอร์ เขาเรียกเครื่องที่ติด virus ระยะรุนแรงกันว่า "Zombie!!!" โดยเครื่องจะกระจายเชื้อทาง USB ไม่ว่าจะ FlashDrive, External Hard Disk, Card Reader และที่โปราณที่สุดคือ Floppy Disk (A:,B:)

มองด้วยตาเปล่าอาจไม่เห็นครับ ดังนั้นจะรู้ได้ไงว่า เครื่องที่คุณกำลังนั่งอยู่ข้างหน้านั้น เป็น Zombie หรือยัง... วิธีง่ายๆครับ เข้า My Computer ไปก่อนแล้วลองมองด้านบนตรง Tools แค่ชี้ ึคุณจะเห็นว่ามี Folder Options... อยู่หรือไม่

ถามว่าดูแค่นั้นจะรู้เหรอครับ ตามรูปที่เห็นนั้นครับ ถ้า Folder Option หายไป หมายถึงว่า Registry โดนแก้เรียบร้อยแล้ว แต่ว่ามี 2 กรณีได้อีก คือ เป็นฝีมือของ Virus เอง หรือว่า Admin (Super User) เป็นคนแก้ แต่โดยส่วนมากแล้วเป็นผลงานจาก Virus ดังนั้น ถ้า Folder Options... หายไป ผมไม่แนะนำให้เสียบ โอกาสติดมีสูงมาก แต่โอกาสรอดตายก็มีนะครับ (เหมือนในหนัง Zombie เลย) โดยเงื่อนไขที่ทำให้ติดเชื้อหลักๆ คือ การมีการ Read/Write บน FlashDriver ที่เป็นเช่นนั้นก็เพราะ Virus ไม่ได้เปลี่ยน Registry แค่ตรง Folder Options... ที่เดียว แต่ยังปรับให้สร้างไฟล์อันตรายอย่างน้อย 2 ไฟล์ด้วยกัน คือ autorun.inf และ Virus (หรือ Trojan ด้วย แล้วแต่ประเภท)

แล้ว autorun.inf และ virus ทำงานร่วมกันอย่างไร มาดูกันครับ (แบบพื้นๆนะครับ)

[autorun]
open=Main_Folder\Virus.exe

shell\1=Open
shell\1\Command=Main_Folder\Being_a_jerk\blank(mouse).exe

shellexecute=Main_Folder\Virus.exe

open นั้นยังไม่ค่อยเท่าไหร่ครับ จะมีผลมากก็ต่อเมื่อ ใช้กับแผ่น CD/DVD ที่มีผลมากคือ
shell\1=Open
- หมายถึงว่า เวลากด Rick-Click บน FlashDrive ใน My Computer
shell\1\Command=Main_Folder\Virus.exe
- ต่อจากอันบนครับ ว่า กด Rick-Click แล้วเลือก Open จะไปเรียกโปรแกรมอะไรทำงาน
shellexecute=Main_Folder\Virus.exe
- นี่ก็เช่นกันครับ อธิบายง่ายๆ ก็เมื่อว่ามันคือ Default ของการกด Double-Click บน FlashDrive

นี่หละครับเป็นคำตอบได้ว่าทำไมกด Double-Click แล้วติด Virus

ยั่งงี้เราจะทำไงให้ปลอดภัยที่สุด
แนะนำอย่างแรกเลยครับให้คุณสร้าง Autorun.inf เอง เพื่ออะไร? มีประโยชน์มากเลยครับ ด้วยการสร้าง Icon ของ FlashDrive ไว้เลย ช่วยได้ครับเพราะว่า Virus มีความจำเป็นต้องสร้าง autorun.inf ขึ้นมาบน FlashDrive ทุกครั้งเวลาจะแพร่้เชื้อ ดังนั้นเมื่อคุณมี Icon บน FlashDrive แล้ว ถ้าอยู่ๆ Icon เปลี่ยนไป นั้นล่ะครับ มี 2 กรณี คือ Virus สร้าง autorun.inf ทับ autorun.inf ของคุณแล้ว (โอ้วไม่นะ...) หรืออีกอย่างคือเป็นการรักษาความปลอดภัยของโปแกรม Anti-Autorun ที่โ่ด่งดังก็ CPE17 Autorun Killer สรุปก็คือถ้า Icon ที่คุณสร้างหายไป นั้นดูท่าไม่ดีแล้ว

อยากรู้วิธีทำ Icon แล้วละสิครับ เอาแบบง่ายๆก็พอ เริ่มต้นด้วยหารูปภาพมาสักรูป นามสกุลอะไรก็ได้ เช่น

จากนั้นเราก็ตัดให้ได้สี่เหลียมจัตตุรัสพอดี (48x48 ถึง 64x64) แล้ว save เป็น *.BMP

แล้วมาเปลี่ยน นามสกุลอีกที จาก *.bmp เป็น *.ico ได้แล้วครับ icon ของเรา
จากนั้นเอา *.ico มาใส่ใน Flashdrive แล้วสร้าง text document นามสกุล *.txt 1 อันไว้ที่เดียวกับ icon ตั้งชื่อว่า autorun.inf ภายในนั้นใส่คำสั่งว่า

[autorun]
icon=*.ico ใส่ชื่อ icon ของเราลงไป

ให้ลองเปลี่ยนชื่อ Flashdrive ดูนะครับ icon ของ Flashdrive จะเปลี่ยนเป็นรูปที่เราสร้างไว้

ฉนั้นถ้า icon ของเราเปลี่ยนไปเอง นั้นดูท่าไม่ดีแน่ แบบนี้ครับ

ต่อมาครับ เราจะไปลบ virus ใน Flashdrive ได้อย่างไร (เอาแบบอย่าให้ virus รู้ตัว) ไม่ต้องใช้ Anti-Virus ด้วยครับ
โดยใช้ Command Prompt (บางคนเรียก DOS ทั้งๆที่ไม่ใช่) เพราะถ้าเราเข้าไปหามันโดยตรงมันจะ Active ตัวมันเอง คราวนี้ละครับมีเรื่องแล้ว
แต่คุณต้องรู้คำสั่งง่ายๆของ DOS ก่อน

อย่างแรกคือพิมพ์ Directory ของ Flashdrive ก่อน ในตัวอย่างคือ N: แล้วตามด้วยคำสั่ง attrib ย่อมาจาก Attributes ครับหมาถึงให้แสดงคุณสมบัติของไฟล์ คราวนี้เราจะมานั่งมองกันว่า ไฟล์ไหนคือ virus ดูที่ Attributes ว่าตรงตามลักษณะของ virus หรือไม่ คือ

A SHR *:\Virus.exe
สำคัญที่ A SHR ครับ ย่อมากจาก ACTIVE SYSTEM HIDE READ-ONLY
ACTIVE = พร้อมทำงาน
SYSTEM + HIDE = ซ่อนอย่างมิดชิด แบบเดียวกับไฟล์ของ Windows
READ-ONLY = อ่านอย่างเดียว ห้ามแก้
ไม่ใช่แค่ *.exe มีหลายนามสกุลโดยแต่ละตัวจะแตกต่างกันไป จะบอกคราวๆ
*.exe = Execution พร้อมทำงาน แค่เพียง Active วิธีต่างๆอย่างไงก็ได้
*.bat = Batch-File เป็นชุดคำสั่ง dos ที่จะไปเรียกไฟล์ที่เป็น virus อีกที
*.* = นอกจากนี้ จะ Active เองไม่ได้ต้องอาศัยโปรแกรมเสริมหรือ plug-in ต่างๆ เช่น ไฟล์ *.vbs, *.dll, *.x ....... อาจอาศัยการ Active จาก Batch-File ได้

ผมขออนุญาติใช้ศัพท์ส่วนตัวนะครับ เครื่องคุณโดน RASH แล้วล่ะครับ
*RASH (adj.) ซึ่งแปลว่า "การระบาด" มาจาก การใช้คำสั่งโดย ไวรัส คือ "attrib *.* +r +a +s +h" คือ +r = เพิ่ม Read-only, +a = เพิ่ม Active, +h = Hide และ +s +h = System-Hide

เมื่อเราพบไฟล์ต้องสงสัยตามลักษณะัที่บอกมา วิธีลบโดยทั่วไปคงเอาไม่อยู่ครับ นี่คือทั่วไป
del Virus.exe แค่นี้ไม่พอครับเพราะว่า Windows ไม่เห็นไฟล์ที่มีลักษณะ SH ต้องใช้คำสั่งพิเศษเพิ่ม Parameter คือ /a /f จะได้คำสั่งใหม่ คือ
del Virus.exe /a /f /a = ทุกๆ Attributes และ /f = Force คือให้ลบแบบไม่มีเงื่อนไขใดๆเพราะว่า virus มักจะ Active อยู่ตอนเรากำลังจะลบ เราจึงต้อง Force

ต่อมาถ้า virus หลุดเข้าเครื่องแล้วมันจะไปไหน มันจะทิ้งร่องรอยไว้เป็นลูกโซ่ครับ แต่ต้องเป็นระยะเริ่มต้นนะครับ ถ้าเครื่องโดนหนักแล้วคงใช้ไม่ได้
1. Run > msconfig เข้ามาถึงดูที่ Startup นะครับ นี่คือเวลา Windows เริ่มทำงานอะไรจะเปิดบ้างส่วนมากคือ Background Service แต่ virus มักจะมาในรูปแบบนี้ด้วยครับ... สังเกตชื่อแปลก เช่น IEXPROLERi.exe, m9ma.bat อยู่ล่างๆครับ virus มักจะมาทีหลังเลยอยู่ข้างล่าง ถ้าเจอแล้ว กดให้ช่องว่างไว้

สังเกตนะครับข้างหลัง ตรง Location จะบอกว่า อยู่ตรงไหนของ Registry แล้วเราจะไปตามต่อใน Regedit
2. Run > Regedit ส่วนนี้เรียกได้ว่าเป็นเกนหลักของ Windows เลยก็ได้ ไปตาม Location ที่บอกไว้ใน msconfig นะครับ

แล้วเราก็ลบมันออกไปซะ สังเกตต่ออีกครั้งครับ ข้างหลังเขียนบอกที่อยู่ของมันไว้แล้ว แล้วตามไปลบมันใน Directory นั้นเลยครับ
3. My Computer ที่อยู่จริงของ virus ระบุไว้แล้วข้างหลังใน regedit ส่วนมากแล้วจะอยู่กับ Directory ที่มี Windows (C: เป็นปกติ)

บทความนี้เป็นข้อมูลของผมเองทั้งหมด ดังนั้นจึงไม่มี Credit าบทความนี้เกิดประโยชน์ไม่มากก็น้อย ผมจะมีความสุขมากครับ ต่อภาค 2 Virus บน Flashdrive ทำงานอย่างไร ป้องกันได้ไหม (ภาค 2)

สงสัยอย่างไร ไม่ค่อยเข้าใจ ลองมาคุยกันเล่นๆได้ครับที่ hitzujaa@hotmail.com