Download
1 / 21
210 likes | 375 Views
วิชา ความปลอดภัยของสารสนเทศ Lec03 :: ไวรัสคอมพิวเตอร์ และ การป้องกัน. นัฐพงศ์ ส่งเนียม http://www.siam2dev.com xnattapong@hotmail.com. หัวข้อในการบรรยายเกี่ยวกับไวรัส. ไวรัสคืออะไร ประเภทของไวรัส อาการของเครื่องที่ติดไวรัส การป้องกันไวรัส การกำจัดไวรัส
E N D
วิชา ความปลอดภัยของสารสนเทศLec03 :: ไวรัสคอมพิวเตอร์ และ การป้องกัน นัฐพงศ์ ส่งเนียม http://www.siam2dev.com xnattapong@hotmail.com
หัวข้อในการบรรยายเกี่ยวกับไวรัสหัวข้อในการบรรยายเกี่ยวกับไวรัส • ไวรัสคืออะไร • ประเภทของไวรัส • อาการของเครื่องที่ติดไวรัส • การป้องกันไวรัส • การกำจัดไวรัส • อุปกรณ์ที่ช่วยในการป้องกันไวรัส
ไวรัสคืออะไร ไวรัส คือโปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่น ๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูลไวรัสก็อาจแพร่ระบาดได้เช่นกัน การที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำ คอมพิวเตอร์ เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรมๆ หนึ่ง การที่ไวรัสจะเข้าไปอยู่ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้นยังขึ้นอยู่กับประเภทของไวรัสแต่ละตัว ปกติผู้ใช้มักจะไม่รู้ตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัสขึ้นมาทำงานแล้ว จุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น ทำลายระบบปฏิบัติการ โปรแกรมใช้งานหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์ หรือรบกวนการทำงาน เช่น การบูตระบบช้าลง เรียกใช้โปรแกรมได้ไม่สมบูรณ์ หรือเกิดอาการค้าง (แฮงก์ไม่ทราบสาเหตุ) เกิดข้อความวิ่งไปมาที่หน้าจอ หรือกรอบข้อความเตือนไม่ทราบสาเหตุ เป็นต้น
ประเภทของไวรัส • บูตเซกเตอร์ไวรัส (Boot Sector or Boot Infector Viruses ) • โปรแกรมไวรัส (Program or File Infector Viruses) • มาโครไวรัส (Macro Viruses) • สคริปต์ไวรัส (Scripts Viruses) • ม้าโทรจัน (Trojan Horses) • ไวรัสประเภทกลายพันธุ์
บูตเซกเตอร์ไวรัส(Boot Sector or Boot Infector Viruses) คือไวรัสที่เก็บตัวเองอยู่ในบูตเซกเตอร์ของดิสก์ เมื่อเครื่องคอมพิวเตอร์เริ่มทำงานขึ้นมาตอนแรก เครื่องจะเข้าไปอ่านโปรแกรมบูตระบบที่อยู่ในบูตเซกเตอร์ก่อน ถ้ามีไวรัสเข้าไปฝังตัวอยู่ในบูตเซกเตอร์ในบริเวณที่เรียกว่า Master Boot Record (MBR) ในทุกครั้งที่เราเปิดเครื่อง ก็เท่ากับว่าเราไปปลุกให้ไวรัสขึ้นมาทำงานทุกครั้งก่อนการเรียกใช้โปรแกรมอื่นๆ
โปรแกรมไวรัส (Program or File Infector Viruses) เป็นไวรัสอีกประเภทหนึ่งที่มักจะระบาดด้วยการติดไปกับไฟล์โปรแกรมที่มีนามสกุลเป็น com, exe, sys, dll สังเกตได้จากไฟล์โปรแกรมจะมีขนาดที่โตขึ้นจากเดิม บางชนิดอาจจะสำเนาตัวเองไปทับบางส่วนของโปรแกรมซึ่งไม่อาจสังเกตจากขนาดของไฟล์ได้การทำงานของไวรัสจะเริ่มขึ้นเมื่อไฟล์โปรแกรมที่ติดไวรัสถูกเรียกมาทำงาน ไวรัสจะถือโอกาสไปฝังตัวในหน่วยความจำทันทีแล้วจึงให้โปรแกรมนั้นทำงานต่อไป เมื่อมีการเรียกโปรแกรมอื่นๆ ขึ้นมาทำงานไวรัสก็จะสำเนาตัวเองให้ติดไปกับโปรแกรมตัวอื่นๆ ต่อไปได้อีกเรื่อยๆ
มาโครไวรัส (Macro Viruses) เป็นไวรัสสายพันธุ์ที่ก่อกวนโปรแกรมสำนักงานต่างๆ เช่น MS Word, Excel, PowerPoint เป็นชุดคำสั่งเล็กๆ ทำงานอัตโนมัติ ติดต่อด้วยการสำเนาไฟล์จากเครื่องหนึ่งไปยังเครื่องหนึ่ง มักจะทำให้ไฟล์มีขนาดใหญ่ขึ้นผิดปกติ การทำงานหยุดชะงักโดยไม่ทราบสาเหตุ หรือทำให้ไฟล์เสียหาย ขัดขวางกระบวนการพิมพ์ เป็นต้น
สคริปต์ไวรัส(Scripts Viruses) ไวรัสสายพันธุ์นี้เขียนขึ้นมาจากภาษาที่ใช้ในการเขียนโปรแกรม เช่น VBScript, JavaScript ซึ่งไวรัสคอมพิวเตอร์เหล่านี้จะทำงานเมื่อผู้ใช้เปิดหรือเรียกใช้งานไฟล์นามสกุล .vbs, .js ที่เป็นไวรัส ซึ่งอาจจะติดมาจากการเรียกดูไฟล์ HTML ในหน้าเว็บเพจบนเครือข่ายอินเทอร์เน็ต
ม้าโทรจัน(Trojan Horses) เป็นไวรัสประเภทสปาย (SPY) ที่จะคอยล้วงความลับจากเครื่องของเราส่งไปให้ผู้เขียนโปรแกรม ระบาดกันมากบนอินเทอร์เน็ต ความลับที่ม้าโทรจันจะส่งกลับไปยังผู้เขียนโปรแกรมได้แก่ Username, Password หรือเลขที่บัตรเครดิต สำหรับท่านที่ชอบปิ้งออนไลน์ โดยโปรแกรมพวกนี้จะสามารถจับการกดคีย์ใดๆ บนคีย์บอร์ดแล้วจัดเก็บเป็นไฟล์ข้อความขนาดเล็กส่งกลับไปยังผู้เขียนโปรแกรม
ไวรัสประเภทกลายพันธุ์ไวรัสประเภทกลายพันธุ์ หมายถึง ไวรัสในยุคปัจจุบันนี้ที่มีความสามารถในการแพร่กระจายตัวเองได้อย่างรวดเร็ว เปลี่ยนแปลงลักษณะตัวเองไปเรื่อยๆ เพื่อหลีกเลี่ยงการตรวจจับ และซ่อนแอบอยู่ได้ในระบบคอมพิวเตอร์ ที่รู้จักกันมากได้แก่ประเภทหนอน (Worm) ชนิดต่างๆ ซึ่งสามารถแพร่กระจายผ่านเครือข่ายอินเทอร์เน็ตด้วยการแฝงตัวไปกับอีเมล์ กับไฟล์สคริปต์ที่ให้บริการบนอินเทอร์เน็ต ตัวอย่างของไวรัสประเภทนี้ที่รู้จักกันดีก็ได้แก่ Love bug จะแพร่กระจายผ่านทางอีเมล์ เมื่อผู้รับเปิดอ่านจดหมายนั้นไวรัสจะแฝงตัวเข้าในเครื่องและค้นหารายชื่อที่อยู่อีเมล์ใน Addrees book โดยเฉพาะผู้ใช้งาน Outlook Express แล้วทำการส่งจดหมายไปยังผู้รับตามรายชื่อพร้อมไฟล์ไวรัสนั้นด้วย
อาการของเครื่องที่ติดไวรัสคอมพิวเตอร์อาการของเครื่องที่ติดไวรัสคอมพิวเตอร์ เราสามารถจะสังเกตการทำงานของเครื่องคอมพิวเตอร์ได้ว่าเข้าข่ายติดไวรัสหรือไม่ ถ้ามีอาการดังต่อไปนี้ ให้สันนิษฐานไว้ก่อนว่าน่าจะเกิดจากไวรัสได้รุกล้ำเข้าไปในเครื่องคอมพิวเตอร์ของคุณแล้ว - ใช้เวลานานผิดปกติในการเรียกโปรแกรมขึ้นมาทำงาน - ขนาดของโปรแกรมใหญ่ขึ้น (เพิ่มจากปกติอย่างผิดสังเกต) - วันเวลาของโปรแกรมหรือไฟล์ข้อมูลเปลี่ยนไป (โดยไม่ได้มีการแก้ไขหรือเรียกใช้งาน) - ขนาดของหน่วยความจำที่เหลือลดน้อยลงกว่าปกติ โดยไม่ทราบสาเหตุ - ไฟแสดงสถานะการทำงานของฮาร์ดดิสก์ติดค้างนานกว่าที่เคยเป็น (แม้จะไม่เรียกโปรแกรม ทำงานก็กระพริบตลอด) - แป้นพิมพ์หรือเมาท์ทำงานผิดปกติหรือไม่ทำงานเลย - เครื่องทำงานช้าลงหรือหยุดทำงานโดยไม่ทราบสาเหตุ รวมทั้งเกิดการรีบูตตัวเองโดย ไม่ได้สั่ง - เซกเตอร์ที่เสียมีจำนวนเพิ่มขึ้น โดยมีการรายงานว่ามีจำนวนเซกเตอร์ที่เสียเพิ่มขึ้นทั้งๆ ที่ยัง ไม่ได้ใช้โปรแกรมใดๆ เข้าไปตรวจหาเลย ไฟล์ข้อมูลหรือโปรแกรมที่เคยใช้อยู่ๆ ก็หายไป - มีการส่งข้อมูลออกจากเครื่องคอมพิวเตอร์ไปยังเครื่องอื่นๆที่เป็นจำนวนมาก
การป้องกันไวรัส • ใช้โปรแกรมตรวจจับและกำจัดไวรัส (anti-virus) อย่างไรก็ตามไม่มีโปรแกรมตรวจจับและกำจัดไวรัส โปรแกรมใดสมบูรณ์แบบ การเตือนที่ผิดพลาดว่า มีไวรัสก่อให้เกิดความรำคาญพอๆกับตัวไวรัสเอง อย่าลืมว่าจะต้อง update โปรแกรมที่ใช้ตรวจจับ และกำจัดไวรัสอย่างสม่ำเสมอเพื่อให้ครอบคลุมถึง ไวรัสชนิดใหม่ๆ • scan ทุกไฟล์บนดิสเกตต์และ CD-ROM ก่อน นำลง hard disk • scan ทุกไฟล์ที่ download มาจาก internet • scan ไฟล์หรือโปรแกรมที่ติดมากับ e-mail ก่อน ที่จะเปิดอ่านหรือเก็บลงบน hard disk • เก็บเอกสารในรูปของ ASCII Text Mode หรือ Rich Text Format (RTF) โดยเฉพาะเอกสารที่ใช้ ร่วมกันบน network ทั้งสอง format จะไม่ save ส่วนที่เป็น macro ลงพร้อมกับเอกสารด้วยซึ่งทำให้ ปลอดภัยจาก macro viruses • back up ข้อมูลและโปรแกรมบนเครื่องคอมพิวเตอร์ อย่างสม่ำเสมอ และที่สำคัญอย่าเก็บ back up ไว้ใน hard disk อันเดียวกันกับข้อมูลและโปรแกรม
การกำจัดไวรัส โปรแกรมตรวจจับและกำจัดไวรัส (anti-virus) ส่วนมากจะ scan หน่วยความจำของเครื่องคอมพิวเตอร์ ทุกครั้งที่เปิดเครื่องและควรจะเตือนเมื่อเราเปิดไฟล์ หรือ run โปรแกรมที่มีไวรัส หากโปรแกรม anti-virus พบ ไวรัส มักจะถามว่าจะให้กำจัดไวรัสหรือไม่ หากไม่สามารถ กำจัดไวรัสได้โปรแกรมจะถามว่าต้องการให้ลบไฟล์ หรือ โปรแกรมที่ติดไวรัสทิ้งหรือไม่ และนี่คือความจำเป็นที่เรา จะต้องมี back up หากไฟล์หรือโปรแกรมติดไวรัส และไม่ สามารถกำจัดได้ จนต้องลบทิ้ง เราควรจะทำอย่างไร หากพบไวรัสบนเครื่องคอมพิวเตอร์
การกำจัดไวรัส • ใจเย็นๆ ไวรัสอาจจะยังไม่ทำลายข้อมูลใดๆก็ได้ แต่หากคุณใจร้อน คุณอาจจะเป็นคนทำลายข้อมูลเสียเอง • ปิดเครื่องคอมพิวเตอร์และ boot เครื่องใหม่ด้วย แผ่นดิสเกตต์ที่ไม่มีไวรัส หรืออาจะเข้า safe mode ของระบบ Window • ค้นหา และกำจัดไวรัสด้วยโปรแกรม anti-virus หากจำเป็นอาจจะต้องลบไฟล์ที่ติดไวรัสทิ้ง และแทนที่ ด้วยไฟล์เดียวกันที่ back up ไว้ก่อนหน้านี้ • scan ทุกไฟล์บนเครื่องคอมพิวเตอร์อีกครั้ง
อุปกรณ์ที่ช่วยในการป้องกันไวรัสอุปกรณ์ที่ช่วยในการป้องกันไวรัส • อุปกรณ์ Security Gateway - Scan Web - Scan Mail • Router ( Access Control List ) • Firewall • IDP ( Intrusion Detection Prevention )
Netstat Command • SYNTAX • NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] • -a Displays all connections and listening ports. • -e Displays Ethernet statistics. This may be combined with the -s option. • -n Displays addresses and port numbers in numerical form. • -p proto Shows connections for the protocol specified by proto; proto may be TCP or UDP. If used with the -s option to display per-protocol statistics, proto may be TCP, UDP, or IP. • -r Displays the routing table. • -s Displays per-protocol statistics. By default, statistics are shown for TCP, UDP and IP; the -p option may be used to specify a subset of the default. • interval Redisplays selected statistics, pausing interval seconds between each display. Press CTRL+C to stop redisplaying statistics. If omitted, netstat will print the current configuration information once. • EXAMPLES • netstat - displays all local network information. Below is an example of what may be displayed • Proto Local Address Foreign Address State • TCP hope:4409 www.computerhope.com:telnet ESTABLISHED • TCP hope:3708 multicity.com:80 CLOSE_WAIT • TCP hope:4750 www.google.com:80 CLOSE_WAIT
Netstat Command • C:\>netstat -an • Active Connections • Proto Local Address Foreign Address State • TCP 0.0.0.0:1350.0.0.0:0 LISTENING • TCP 0.0.0.0:4450.0.0.0:0 LISTENING • TCP 127.0.0.1:1100.0.0.0:0 LISTENING • TCP 127.0.0.1:110127.0.0.1:1064 TIME_WAIT • TCP 127.0.0.1:10260.0.0.0:0 LISTENING • TCP 127.0.0.1:1091127.0.0.1:110 TIME_WAIT • TCP 192.1.1.220:1390.0.0.0:0 LISTENING • TCP 192.1.1.220:106665.54.239.80:1863 TIME_WAIT • TCP 192.1.1.220:1067207.46.2.62:1863 ESTABLISHED • TCP 192.1.1.220:1095203.146.50.201:80 ESTABLISHED • TCP 192.1.1.220:1098203.146.50.201:80 ESTABLISHED • TCP 192.1.1.220:1100210.184.108.94:80 CLOSE_WAIT • TCP 192.1.1.220:110165.54.142.189:80 CLOSE_WAIT • UDP 0.0.0.0:445 *:* • UDP 0.0.0.0:500 *:* • UDP 0.0.0.0:1027 *:* • UDP 0.0.0.0:1093 *:* • UDP 0.0.0.0:4500 *:* • UDP 127.0.0.1:123 *:* • UDP 127.0.0.1:1068 *:* • UDP 127.0.0.1:1900 *:* • UDP 192.1.1.220:9 *:* • UDP 192.1.1.220:123 *:* • UDP 192.1.1.220:137 *:* • UDP 192.1.1.220:138 *:* • UDP 192.1.1.220:1900 *:* • UDP 192.1.1.220:5856 *:* • C:\>
เว็บไซต์ Thaicert http://thaicert.nectec.or.th/advisory/alert.php
ต.ย. หนอน และ ไวรัส ชื่อ :W32.MSN.Worm และ W32.MSN2.Wormชนิด : หนอนอินเทอร์เน็ต (Internet Worm)ชื่ออื่นที่รู้จัก : Trojan.Dropper[Symantec], IM-Worm.Win32.Agent.f[Kaspersky], IM-Worm.Win32.Agent.f [F-Secure], Win32/IRCBot [Nod32] ระดับความรุนแรง :ต่ำระบบปฏิบัติการที่มีผลกระทบ :Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP, Windows Vistaระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
ซอฟต์แวร์ ใน การกำจัดไวรัส • NOD • McAfee • Sysclean • AVG • ฯลฯ
![HTML [#4]](https://cdn1.slideserve.com/3114188/html-4-dt.jpg)
