เรื่องต่อมาที่เคยได้ยินและเคยเข้าใจผิดด้วยตัวเองเหมือนกันคือเรื่องของ Folder ที่ชื่อ Recycler ที่เห็นอยู่ในทุกๆ Drive เลย แถมยังสีจางๆซะอีก ทีแรกคิดว่าโดนไวรัสเข้าแล้วเรา ลบก็ไม่ได้หรือลบได้ก็กลับมาอีก น่ากลัวจริงๆ ด้วยความเข้าใจผิดที่ว่าถ้าเป็นถังขยะจะต้องเป็นชื่อ Recycle Bin เท่านั้นและต้องเป็นรูปถังขยะเขียวๆสิ ถึงจะของแท้ จนลองไปค้นหาข้อมูลดูจาก Google ถึงได้ตาสว่างว่าจริงๆแล้วมันก็อาจจะเป็นไวรัสหรือไม่ใช่ไวรัสแล้วแต่กรณี ครับ เลยขอเอามาเล่าสู่กันฟังเพื่อจะได้แยกแยะออกว่าไหนไวรัส ไหนไม่ใช่ไวรัสเอาแบบฟันธงกันลงไปเลย
ก่อนอื่นต้องขอเกริ่นเรื่องของถังขยะสักเล็กน้อยนะครับเผื่อคนที่เพิ่งเริ่ม ต้นจะได้ไม่งง เรื่องของเรื่องก็คือว่าใน Windows นั้นเมื่อเราทำการลบไฟล์ ตัว Windows จะไม่ได้ทำการลบไฟล์นั้นจริงๆครับ(ยกเว้นกด Shift+Delelete) เพียงแค่ทำการย้ายไปใส่ในถังขยะซึ่งเรียกว่า Recycle Bin ซึ่งทุกๆคนจะเห็นมันอยู่บน Desktop นั่นล่ะครับ เผื่อวันนึงเราเปลี่ยนใจให้อภัยจะเอามันกลับมาก็ยังสามารถไปเอามันออกมาจาก ถังได้ ซึ่งโดยแท้จริงแล้วเจ้า Recycle Bin ที่เราเห็นอยู่บน Desktop เป็นเพียงแค่ Shortcut นะครับไม่ได้เป็นที่เก็บไฟล์ที่ลบไปจริงๆ ที่เก็บของมันจริงๆก็จะเป็น Folder Recycler หรือ Recycled ซึ่งเป็น Folder แอบ(สีจาง)ซึ่งอยู่ในทุกๆ Drive นั่นเอง อ้าว! แล้ว Recycler กับ Recycled ต่างกันยังไงล่ะ ทำไมบางเครื่องมี Recycled ซึ่งเป็นรูปถังขยะเลย แต่บางเครื่องกลับมี Recycler ซึ่งเป็นรูป Folder ธรรมดาๆแล้วข้างในมีถังขยะชื่อยาวๆ นี่ล่ะครับที่มาของเรื่องนี้
ที่มาที่ไปมันเป็นแบบนี้ครับ คือในการแบ่ง Partition เพื่อลง Windows นั้นเราสามารถเลือกประเภทของ Partition ได้ทั้งแบบ FAT32 หรือ NTFS ซึ่งทั้ง 2 รูปแบบต่างกันยังไงนั้นลองไปอ่านดูที่นี่นะครับ NTFS vs FAT ผมขอไม่อธิบายนะครับไม่งั้นจะยาวไป เอาเป็นว่าเราต้องเลือกแบบใดแบบหนึ่งแล้วกันนะครับ ซึ่งในกรณีที่เราเลือกแบบ FAT32 นั้นเจ้าถังขยะที่อยู่ในทุกๆ Drive เพื่อเก็บไฟล์ที่โดนลบนั้นก็จะเป็นรูปถังขยะและชื่อว่า Recycled ซึ่งอันนี้ไม่ค่อยน่าตกใจ แต่ปัญหาก็คือว่าถ้าเราเลือกเป็น NTFS นี่สิครับเจ้า Folder ที่เก็บไฟล์ที่โดนลบนั้น ไม่ได้ใช้ชื่อ Recycle แถมไม่ได้เป็นรูปถังขยะซะอีก เป็นแค่รูป Folder ธรรมดาๆสีจางๆ และใช้ชื่อว่า Recycler ครับ ซึ่งมีไวรัสบางตัวก็ใช้เจ้า Recycler นี่ล่ะครับเป็นที่อาศัย จนผมก็เคยเข้าใจผิดไปว่าเจ้า Folder ที่ว่านี้เป็นไวรัสไปด้วย ดังนั้นในบทความนี้ผมจะกล่าวถึงเพียง Folder Recycler เพียงอย่างเดียวนะครับ เพราะเจ้า Recycled นั้นยังไม่เคยเจอปัญหาครับ
คราวนี้เรามาดูกันนะครับว่าเจ้า Recycle Bin ซึ่งอยู่บน Desktop กับเจ้า Recycler ซึ่งมีอยู่ในทุกๆ Drive มีหน้าที่และความเกี่ยวข้องกันยังไง จะได้เป็นข้อมูลในการแยกแยะระหว่างไวรัสกับไม่ใช่ไวรัสครับ สำหรับ Recycle Bin ที่อยู่บน Desktop นั้นตามที่บอกว่าเป็นเหมือนแค่ Shortcut ชี้ไปยังที่เก็บไฟล์ที่โดนลบไปเท่านั้น ซึ่งในการลบไฟล์นั้นในกรณีที่ HD เราแบ่งเป็นหลายๆ Drive ถึงแม้ว่าเมื่อเราลบไฟล์แล้วเราเห็นว่ามันมาอยู่ใน Recycle Bin บน Desktop แต่โดยแท้จริงแล้ว Folder ที่ใช้เก็บไฟล์ที่โดนลบนั้นอยู่ในแต่ละ Drive ที่เราลบครับ เช่นเราลบไฟล์ใน Drive D ถึงแม้ว่าเราจะมองเห็นว่ามันอยู่ใน Recycle Bin บน Desktop แต่โดยแท้จริงแล้ว ไฟล์ที่โดนลบมันจะเอาไปเก็บไว้ที่ D:\Recycler\ตัวเลขยาวๆ นะครับ แล้วเดี๋ยวจะอธิบายเพิ่มเติมว่าตัวเลขยาวๆคืออะไร โดยถ้าเราเปิดเข้าไปผ่าน My Computer ก็จะเห็นว่ามันอยู่ใน Folder ชื่อ Recycler\ตัวเลขยาวๆ ในทุกๆ Drive นั่นล่ะ แต่จริงๆไม่ใช่นะครับมันเพียงภาพลวง ถ้าอยากดูของจริงก็ลองใช้ ExplorerXP เข้าไปดูครับจะเห็นว่าจริงๆแล้วมันมีอะไรอยู่ข้างในกันแน่ เอาเป็นผมสรุปสั้นๆก่อนแล้วกันครับว่าโดยแท้จริงแล้ว ไฟล์ที่เราลบจาก Drive ไหนก็จะไปเก็บอยู่ใน Folder Recycler\ตัวเลขยาวๆ ของ Drive นั้นๆ ไม่ได้อยู่ในทุกๆ Drive เหมือนที่เห็นใน My computer (ผมคงอธิบายไม่งงนะครับ)
เอาล่ะครับก่อนอื่นเรามาทำความรู้จักโดยคร่าวๆกับตัวเลขยาวๆกันก่อนว่ามัน คืออะไรและมายังไงกัน สำหรับตัวเลขยาวๆที่กล่าวถึงจะเป็นตัวเลข 8 ชุดซึ่งคั่นด้วยเครื่องหมาย - ซึ่งเรียกว่า SID(Security IDentifier) ก็จะเป็นหมายเลขประจำตัวของ User ของเครื่องคอมพิวเตอร์เครื่องนั้นๆ จะเรียกว่าเป็นหมายเลขบัตรประจำตัวก็ใกล้เคียงครับ จะใช้ในการอ้างอิงถึง User ในเครื่องนั้นๆกรณีติดต่อกับเครื่องอื่นๆในระบบเครือข่าย ซึ่ง User แต่ละคนในเครื่องจะมีหมายเลขไม่ซ้ำกันครับ ตรงนี้เอาแค่เข้าใจคร่าวๆเพื่อนำไปวิเคราะห์ไวรัสในขั้นต่อไปกันครับ
อีกเรื่องที่ควรจะรู้ก่อนจะไปวิเคราะห์เรื่องของไวรัส Recycler ก็คือการจัดเก็บไฟล์ที่โดนลบไว้ใน Foder Recycler ครับ ตามที่บอกไว้ข้างต้นว่าในการลบไฟล์นั้นถึงแม้ว่าเราจะมองเห็นว่ามีไฟล์ที่ เราลบนั้นอยู่ในRecycle Bin บน Desktop แต่โดยแท้จริงแล้วไฟล์ที่โดนลบมันจะเอาไปเก็บไว้ที่ Drive ที่ลบไฟล์:\Recycler\ตัวเลขยาวๆครับ ซึ่งตอนนี้เรารู้แล้วล่ะว่าตัวเลขยาวๆที่ว่าคือหมายเลข SID ซึ่งเราสามารถตรวจสอบหมายเลข SID ของเราได้จาก Tool ที่ให้โหลดไปนั่นล่ะครับ
มาถึงตอนนี้เราจะลองใช้ ExplorerXP เข้าไปดูที่ Folder Recycler เลยก็ได้ครับ จะเห็นรูปถังขยะที่เป็นหมายเลข SID ของเราอยู่ข้างในซึ่งกรณีที่เรายังไม่ได้มีการลบไฟล์ใดๆ ภายในถังนั้นจะมีไฟล์ชื่อ Desktop.ini และ INFO2 อยู่ภายใน(ซึ่งผมจะอธิบายไว้ในตอนหลังๆนะครับว่า 2 ไฟล์นี้คืออะไร) กรณีนี้ถือว่าเป็นปกติครับ มาต่อกันในเรื่องของการจัดการกับไฟล์ที่โดนลบครับ คือในกรณีที่เครื่องของเราใช้หลายๆคน คือมีหลายๆ User เมื่อเข้าไปใน Folder Recycler นั้นเราก็จะเห็นว่ามีถังขยะหลายๆถังซึ่งแต่ละถังจะเป็นหมายเลข SID ของแต่ละ User แยกจากกัน พูดง่ายๆว่าไฟล์ที่ลบโดยใครก็จะอยู่ในถังใครถังมันล่ะครับ
แล้วถ้ามีการลบไฟล์เกิดขึ้นล่ะจะเป็นยังไง คำตอบก็คือ Windows จะทำการย้ายไฟล์ที่โดนลบนั้นมาใส่ไว้ใน Folder Recycler ตาม Drive ที่ไฟล์นั้นๆอยู่ก่อนโดนลบครับ คือถ้าลบไฟล์ใน Drive มันก็จะไปเก็บไว้ใน Folder Folder D:\Recycler ลบใน Drive C ก็จะไปเก็บไว้ใน Folder Folder C:\Recycler และภายในก็จะใส่ไว้ในถังตาม SID ของ User ที่เป็นผู้ลบครับ
ยกตัวอย่างเช่นผมมีหมายเลข SID เป็น S-1-5-21-3008556928-1690244188-1837343850-500 และได้ลบไฟล์ C:\Test\Test_C.exe ตัว Windows ก็จะทำการย้ายไฟล์ Test_C.exe ซึ่งโดนลบไปเก็บไว้ที่ C:\Recycler\S-1-5-21-3008556928-1690244188-1837343850-500\ ครับ
เรามาดูลึกเข้าไปอีกนิดว่า Windows มันจัดการกับไฟล์ที่เราลบไปยังไงบ้าง ตัว Windows ไม่ได้เอาไฟล์ที่เราลบไปเก็บไว้ตรงๆเหมือนเรา Cut แล้ว ไป Paste ในอีก Folder นะครับ(ทั้งๆที่ Recycler ก็เป็นเหมือน Folder ธรรมดาๆนี่ล่ะ) แต่ Windows จะทำการเปลี่ยนชื่อไฟล์ที่เราลบ ก่อนเอาไปใส่ไว้ใน Folder Recycler โดยมีหลักในการเปลี่ยนชื่อดังนี้ครับ คือชื่อใหม่ที่เปลี่ยนจะขึ้นต้นด้วยตัว D (ตัวใหญ่) ตามด้วยชื่อ Drive ที่ไฟล์นั้นอยู่ก่อนโดนลบ และสุดท้ายก็จะเป็นหมายเลขซึ่งจะเป็นลำดับไฟล์ที่โดนลบ ตามด้วยนามสกุลของไฟล์ครับ ถ้าอ่านแล้วงงมาดูตัวอย่างกันเลยครับ
เช่นจากตัวอย่างข้างต้น ผมลบไฟล์ C:\Test\Test_C.exe ดังนั้นเมื่อ Windows ทำการย้ายไฟล์ที่โดนลบไปใส่ใน Folder Recycler ก็จะเปลี่ยนชื่อไฟล์เป็น Dc1.exe ถ้าผมลบไฟล์ C:\XXX.docไปอีกไฟล์มันก็จะเปลี่ยนชื่อเป็น Dc2.doc หรือกรณีผมลบไฟล์ชื่อ D:\Test\Test_D.exe มันก็จะเปลี่ยนชื่อเป็น Dd1.exe เพียงแต่เอาไปเก็บไว้คนละ Drive ตามที่บอก คือลบจาก Drive ไหนก็เก็บใน Folder Recycler ของ Drive นั้น
คงมีคำถามกันในใจว่า แล้วถ้าวันนึงเราเปลี่ยนใจที่จะยกเลิกการลบล่ะ จะ Restore ไฟล์กลับออกมาจากถังแล้ว Windows จะรู้ได้ยังไงว่าจะเอาไฟล์ของเรากลับไปไว้ที่เดิมก่อนลบตรงไหนและชื่ออะไรใน เมื่อเล่นเปลี่ยนชื่อไฟล์เราซะแล้ว ความลับอยู่ที่ไฟล์ Info2 ที่กล่าวถึงไว้ตอนต้นน่ะครับ ถ้าเราเปิดเข้าไปดูข้างในก็จะเห็นว่า Windows เก็บชื่อพร้อมตำแหน่งเดิมของไฟล์ก่อนลบไว้ในนั้นล่ะครับ เมื่อจะ Restore กลับ Windows ก็จะไปอ่านค่าจากในนั้นล่ะว่าควรจะแก้ชื่อกลับเป็นอะไร และเอากลับไปไว้ตรงไหน เอาเป็นว่าเราเข้าใจแล้วนะครับว่าไฟล์ Info2 มีไว้เพื่ออะไร ส่วนอีกไฟล์ที่อยู่ด้วยกันคือไฟล์ Desktop.ini นั้นก็ไม่มีอะไรมากครับ เป็นเพียงแค่ตัวบอกว่านี่คือ Folder ถังขยะให้แสดง Icon เป็นรูปถังขยะ และทำการ Link ข้อมูลกับ Folder Recycle Bin บน Desktop เท่านั้นเองครับ
เอาล่ะครับ หลังจากเกริ่นเรื่องของ Folder Recycler กันมายาว(มาก) เราก็คงเข้าใจหน้าที่และหลักการทำงานของมันแล้ว คราวนี้เรามาดูกันครับว่าเจ้าไวรัส Recycler มันมาแอบอยู่ตรงไหน และต่อไปเราจะแยกแยะได้ยังไงว่าอันไหนไวรัสอันไหนไม่ใช่ เท่าที่ผมเคยเจอและค้นๆข้อมูลดู เจ้าไวรัส Recycler มันจะใช้การแอบอยู่ใน Folder Recycler ของเครื่องเรานี่ล่ะครับ โดยการสร้างถังที่มีหมายเลข SID เป็น S-1-5-21-1078073611-1993962763-839522115-1003 ไว้ใน Folder Recycler ซึ่งหมายเลข SID นี้ไม่ได้เป็นหมายเลขของ User ในเครื่องเราแต่อย่างใดครับ สำหรับเครื่องที่มีผู้ใช้เพียงคนเดียว(User เดียว) จะสังเกตุได้ไม่ยากครับเพราะเมื่อเข้าไปใน Folder Recycler แล้วมันควรจะมีถังหมายเลข SID ซึ่งเป็นของเราเพียงถังเดียว แต่กลับมีถังแปลกปลอมขึ้นมา ซึ่งก็มีหมายเลข SID ตามที่บอกไป อันนี้ติดไวรัส Recycler แน่นอนแล้วครับ หรือในกรณีที่มีหลาย User ก็ลองสำรวจดูนะครับว่าถังไหนไม่ใช่หมายเลข SID ของ User ในเครื่องเรา มันคือไวรัสแน่นอนครับ ซึ่งภายในถัง SID ปลอมนั้นมันจะมีไฟล์ที่ชื่อ mmc32.exe หรือบางครั้งก็ชื่อ Info32.exe อยู่ ซึ่งเมื่อเราเข้าใจหลักการจัดการกับไฟล์ที่โดนลบตามที่อธิบายในขั้นต้นแล้ว เราก็จะสามารถรู้ได้ทันทีว่าไฟล์ที่อยู่ในถัง SID นั้น ไม่มีทางที่จะเก็บชื่อเต็มๆแบบนี้ ดังนั้นไฟล์ 2 ตัวนี้มีความผิดปกติ หรือพูดง่ายๆว่าเป็นไวรัสนั่นเองครับ
และในอีกกรณีหนึ่งซึ่งสังเกตุได้ก็คือ ในกรณีที่เราเลือกรูปแบบ Partition เป็นแบบ FAT32 มันจะไม่มี Folder Recycler ครับ แต่มันจะเป็น FolderRecycled ซึ่งเป็นรูปถังขยะเลย ดังนั้นถ้าเราสร้าง Partition เป็นแบบ FAT32 แล้วมี Folder Recycler โผล่ขึ้นมา มั่นใจได้เลยครับว่าไวรัสแน่นอน ซึ่งในกรณีนี้ผมขอหมายรวมถึง Thumb Drive ด้วยนะครับ เพราะตัว Thumb Drive ไม่ว่าจะเป็น Partition เป็นแบบไหนก็จะไม่มีการสร้าง Folder Recycler หรือแม้กระทั่ง FolderRecycled โดยเด็ดขาดครับ เพราะการลบไฟล์จาก Thumb Drive เป็นการลบแล้วลบเลย สังเกตุว่าจะไม่มีการถามว่าจะ Send to Recycle Bin หรือไม่ ต่างกับการลบไฟล์บน HD ครับ ดังนั้นถ้าใน Thumb Drive มี Folder Recycler หรือ FolderRecycled นั่นคือไวรัส 100% ครับ ฟันธง!
วิธีแก้เพื่อน : นี่ๆ คุณรู้จักนายโฟล์เดอร์ Recycler หรือเปล่า
ผม : รู้จัก.....ทำไมหรือ
เพื่อน : แล้วนาย Recycler มันมีหน้าที่อะไรล่ะ
ผม : เวลาเราลบไฟล์หรือโฟร์เดอร์อะไรก็ตาม มันจะไปสิงสถิตย์ที่ถังขยะก่อนที่เราจะเอามันไปเททิ้งน่ะสิ
เพื่อน : ไหงถังขยะตัวนี้ต้องไปเข้าสิง Flash Drive ผมด้วย
ผม : สงสัยเทศบาลเอาไปวางไว้มั้ง
เพื่อน : เฮ้ยๆ อย่าเล่นมุข
ผม : เออๆ ผมบอกก็ได้......
เพื่อน : มันคืออะไรอ่ะ
ผม : วัยรุ่น
เพื่อน : ไวรัสต่างหาก
ผม : เหอๆ
เพื่อน : แสดงว่าเครื่องผมติดไวรัสไปแล้วใช่ป่ะ
ผม : อย่าบอกนะว่าคุณเข้า Flash Drive ผ่านทาง My Computer
เพื่อน : Yes
ผม : เอาแล้วไง...เดือดร้อนผมอีกแล้ว
เพื่อน : น่าๆ เพื่อนก็ต้องช่วยเพื่อนสิวะ
ผม : ถ้างั้นเวลาแกมีแฟนเป็นของตัวเอง ก็เท่ากับว่าเป็นแฟนของผมใช่ป่ะ
เพื่อน : มั้ง........................ถ้างั้นเวลาคุณแต่งงานแล้ว เมียคุณก็ต้องเป็นของผมด้วยสิ
ผม : เออๆ ยอมคุณแหระ
เพื่อน : มันจะทำอะไรมิดีมิร้ายเครื่องหรือเปล่า
ผม : อย่างน้อยมันก็ย้ายเข้าไปนอนในฮาร์ดดิสก์คุณแล้วล่ะ
ผม : แล้วตอนนี้มันสร้างความเสียหายอะไรพีซีคุณหรือเปล่า
เพื่อน : ไม่รู้สิ...............แต่ว่าเครื่องมันรู้สึกอืดๆลง
ผม : มันลบอะไรไปหรือเปล่า
เพื่อน : ก็ไม่อ่ะนะ
ผม : มันก่อกวนอะไรหรือเปล่า
เพื่อน : เอ๊ะ! คุณจะถามวนไปวนมาทำไมฟะ ก็บอกแล้วว่าเครื่องรู้สึกอืดๆลง
ผม : เออๆ ลืมไป
เพื่อน : มีตัวฆ่าไวรัสโดยเฉพาะหรือเปล่าอ่ะ
ผม : Search หาในเน็ตแล้วไม่เจอว่ะ
เพื่อน : อ่าว............แล้วจะทำไงดี
ผม : ลบเอาเองสิฟะ ถามโง่ๆ
เพื่อน : ก็มีแต่คุณที่ฉลาดคนเดียวนั่นแหละ
ผม : ไม่ต้องชมหรอก ยังไงเสียผมก็ไม่มีค่าชมให้คุณหรอก
เพื่อน : แล้วจะฆ่ายังไงดีอ่ะ
ผม : ใช้โปรแกรมแอนตี้ไวรัสสแกนหายัง
เพื่อน : ผมใช้ NOD32 สแกนตรวจสอบดูแล้ว แต่มันบอกว่าไม่เห็น
ผม : แสดงว่าคุณยังไม่อัพเดทฐานข้อมูลไวรัสน่ะสิ
เพื่อน : ก็อัพเดทพร้อมๆกับคุณเมื่อ 3 วันก่อนนั่นแหละ
เพื่อน : แล้วคุณเคยเจอไวรัสตัวนี้หรือยัง
ผม : เจอมาแล้วครั้งหนึ่ง
เพื่อน : แล้วไปติดมาจากไหน
ผม : ตอนเอา Flash Drive ไปเสียบที่โรงเรียนนั่นแหละ
เพื่อน : แล้ว NOD32 ที่บ้านคุณสแกนแล้วเจออ่ะเปล่า
ผม : ไม่เจอเหมือนกัน แต่ผมก็ไม่โง่พอที่จะเข้า Flash Drive ผ่านทาง My Computer หรอก
เพื่อน : ไปสืบข้อมูลของไวรัสตัวนี้มาหรือยัง
ผม : สืบพันธุ์มาแล้ว
เพื่อน : สืบค้น!
ผม : สืบค้นก็สืบค้น
เพื่อน : มันบอกว่ายังไงบ้าง
ผม : ไปเจอในเว็บไซต์ของ Trend Micro มา
เพื่อน : มันบอกว่ายังไงบ้าง
ผม : มันบอกว่า ''แม้วซื้อหุ้นแมนฯซิตี้ได้แล้ว''
เพื่อน : รู้แล้วว่าทำไม ''ปลาแม้วตายเพราะปาก'' เพราะคุณพูดกวนตีนนี่แหละ
ผม : โอ่ๆ อย่าเครียดสิ
เพื่อน : ดีๆ
ผม : คือยังงี้ ไฟล์ที่ไวรัสใช้ในการแพร่กระจายคือ mmc32.exe ซึ่งจะอยู่ในโฟร์เดอร์ Recycler นั่นแหละ
เพื่อน : แล้วไงต่อ
ผม : เทคนิคที่มันใช้ในการหลบซ่อนตัวก็คือ UPX
เพื่อน : UPX มันคืออะไร เกี่ยวข้องกับไวรัสที่ลงในเครื่อง CTX หรือเปล่า
ผม : คนละอันกันแล้ว UPX ย่อมาจาก Ultimate Packer for eXecutables เป็นโปรแกรมของบริษัท Sourceforge ที่ใช้ทำการบีบอัดไฟล์พวก .exe หรือ .dll ให้มีขนาดลดลง ทำให้สามารถใช้งานโปรแกรมที่ถูกบีบอัดได้ในขณะที่การทำงานของโปรแกรมกลับไม่ ช้าลง ถึงช้าก็ช้าอยู่บ้าง
เพื่อน : การหลบซ่อนของไวรัสตัวนี้คล้ายๆกับการซุกหุ้นของเฮียแม้วใช่ป่ะ
ผม : ก็คงใช่
เพื่อน : UPX นี่ก็คล้ายๆกับระบบการบีบอัดแบบ Winzip ใช่ป่ะ
ผม : ประมาณนั้น
ผม : ข้อมูลต่อมาคือ ไฟล์ไวรัสมันเป็นไฟล์ประเภท PE
เพื่อน : PE คือ วิชาพละศึกษาใช่ปะ
ผม : คุณเล่นได้ฝืดมาก PE ย่อมาจาก Portable Executable ซึ่งน่าจะหมายถึง ''ไฟล์ที่สามารถเปลี่ยนแปลงรูปแบบการใช้งานตัวเองได้''
เพื่อน : แล้วมันทำงานอัตโนมัติเมื่อเวลาเราเปิดเครื่องหรือเปล่า
ผม : มันก็แน่อยู่แล้ว เพราะเวลาคุณลบโฟล์เดอร์ Recycler ที่ Flash Drive ในเครื่องที่มีไวรัส มันก็จะสร้างตัวเองขึ้นมาตลอดเวลานั่นแหละ
เพื่อน : เขาเรียกว่า ''โปรแกรมที่ฝังตัวอยู่ในหน่วยความจำ'' ใช่ป่ะ
ผม : Yes
เพื่อน : ประเภทของไวรัสคือ
ผม : Worm ไง
เพื่อน : คุณสมบัติของไวรัสมันคืออะไร
ผม : ก่อกวน
เพื่อน : แล้วมันไม่ทำลายข้อมูลอะไรหรือเปล่า
ผม : Nej
เพื่อน : อะไรคือ Nej
ผม : Nej เป็นภาษาเยอรมันแปลว่า ''ไม่'' หรือ ''ปฏิเสธ'' ไง
เพื่อน : ไวรัสตัวนี้มันทำงานอยู่บน OS ตัวไหนบ้างวะ
ผม : Windows 98, ME, NT, 2000, XP, Server 2003
เพื่อน : ไฟล์ไวรัสมันอาศัยอยู่ตรงส่วนไหนบ้างอ่ะ
ผม : จากการสืบค้นมาแล้วก็มีประมาณดังนี้
- C:\\WINDOWS\\system32\\crss.exe
- C:\\WINDOWS\\system32\\crss.exebak
- C:\\WINDOWS\\system32\\dnscon70.dll
- C:\\WINDOWS\\system32\\mstcpcon20.dll
- C:\\WINDOWS\\system32\\netmanage.dll
- C:\\WINDOWS\\system32\\netused.dll
- C:\\WINDOWS\\system32\\SR1000R.DLL
- C:\\WINDOWS\\system32\\SR1000R.DLLbak
- C:\\WINDOWS\\Temp\\_ISTMPI.DIR\\autorun.inf
- C:\\WINDOWS\\Temp\\_ISTMPI.DIR\\template.tmp
- C:\\WINDOWS\\Temp\\Del37.tmp
เพื่อน : แล้วค่า Registry ที่มันเขียนขึ้นมาเพื่อสั่งการทำงานตัวเองคืออะไรบ้าง
ผม : มีอยู่ 2 ส่วนคือ
- HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Dnscon
- HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetManager
เพื่อน : แสดงว่าถ้าเราจะฆ่าไวรัสนั้นเราต้องตามไปลบพวกไฟล์และค่าเหล่านี้ใช่ป่ะ
ผม : ถูกต้องนะคร้าบบบบบบบบบบบบบ!
ผม : แต่อย่าลืมว่าคุณต้องเข้าไปลบไวรัสใน Safe Mode นะเออ
เพื่อน : รับทราบ!
ผม : อย่าลืมทำการ Disable ในส่วนของ System Restore ด้วย เพราะ ไวรัสมันแฝงตัวกระจัดกระจายในนั้นด้วย
เพื่อน : Roger That!
ผม : อย่าลืมเข้าไป ''Folder Options'' แล้วเปิดการทำงานของ Hidden files and folder และไปปิด Hide protected operating system files ด้วย
เพื่อน : Yes Sir!
เพื่อน : แล้วไหน Flash Drive นั้นเราต้องลบไฟล์ไวรัสตัวไหนบ้าง
ผม : คุณก็ลบนาย Autorun.ini กับโฟร์เดอร์ Recycler นั่นแหละ
เพื่อน : ถ้าเกิดว่าไฟล์ไวรัสตามที่คุณบอกมานั้น เวลาหามันหาไม่เจอมันแปลว่าอะไรวะ
ผม : แสดงว่ามันไม่มีน่ะสิ เพราะ ช่วงแรกๆที่ไวรัสถูกปล่อยออกมานั้น พวกนักวิจัยไวรัสจ้าวต่างๆ ก็ค่อยๆศึกษาโครงสร้างและการทำงานของไวรัสกันทั้งนั้นแหละ ทำให้ข้อมูลในช่วงแรกๆอาจไม่เหมือนกันบ้าง
เพื่อน : สรุปว่ามีโปรแกรมแอนตี้ไวรัสตัวไหนบ้างที่สแกนเห็นไวรัสตัวนี้บ้าง
ผม : Kaspersky, McCafee, AntiVir, Pc-Cillin และ RemoveIT Pro
เพื่อน : แล้ว NOD32 ล่ะ
ผม : คงชาติหน้าตอนสายๆมั้ง กว่าจะเห็นไวรัสตัวนี้ได้
เพื่อน : ไวรัสตัวนี้เราจะเรียกชื่อมันว่าอะไรดี
ผม : คิดได้อยู่ 2 ชื่อคือ Recycler กับ MMC32 ว่ะ
เพื่อน : น่าสน
เพื่อน : แล้วคุณจะเขียนโปรแกรมฆ่าไวรัสโดยเฉพาะขึ้นมาบ้างหรือเปล่าวะ
ผม : ผมคงไม่ทำอ่ะนะ เพราะ ไม่ได้เก่งขนาดนั้น
เพื่อน : แล้วคุณมีวิธีไหนที่เด็ดๆบ้างในการป้องกันไวรัสไม่ให้เข้าเครื่องพีซี โดยไม่ต้องใช้โปรแกรมแอนตี้ไวรัส
ผม: ก็ใช้ถุงยางอนามัยใส่เข้าไปไนหัวเสียบ Port ของพวก USB, RJ45 ไง
เพื่อน : ถ้างั้นผมก็จะเอาไปลองมั้งดีกว่า
ผม : ลองกับพีซีที่บ้านคุณหรือ
เพื่อน : เปล่าว่ะ............ลองกับคน หุๆ
ผม : ซะงั้น...
ที่มา :
pramool.com และ
www.dpu.ac.th
บทความ
