Virus คืออะไร ?

ไวรัสคอมพิวเตอร์คืออะไร ?
อย่าสับสน! ระหว่างคำว่าคอมพิวเตอร์ไวรัสกับไวรัสที่เป็นเชื้อโรค คอมพิวเตอร์ไวรัสนั้นเป็นแค่ชื่อเรียกสำหรับโปรแกรมประเภทหนึ่งที่มี พฤติกรรมคล้าย ๆ กับไวรัสที่เป็นเชื้อโรคที่สามารถแพร่เชื้อได้ และมักทำอันตรายต่อสิ่งมีชีวิตที่มันอาศัยอยู่ แต่ต่างกันตรงที่ว่าคอมพิวเตอร์ไวรัสเป็นแค่เพียงโปรแกรมเท่านั้น ไม่ใช่สิ่งมีชีวิต เราลองมาดูรายละเอียดกันหน่อยดีไหม เกี่ยวกับตัวไวรัสคอมพิวเตอร์นี้ ลองติดตามดู
Virus
คือโปรแกรมประเภทหนึ่ง ที่ก่อให้เกิดความเสียหายแก่ระบบคอมพิวเตอร์ของคุณ ไวรัสบางตัวอาจก่อให้เกิดความรำคาญเพียงเล็กน้อย ไวรัสบางตัวอาจทำให้ข้อมูลหรือโปรแกรมการใช้งานเสียหาย หรือถึงขึ้นไม่สามารถใช้งานได้เลยทีเดียว ดังนั้นการศึกษาและทำความรู้จักไวรัส ศึกษาการป้องกัน ย่อมมีส่วนทำให้การใช้งานคอมพิวเตอร์ให้มีประสิทธิภาพเพิ่มมากขึ้น
ประเภทของ Virus
ไวรัสไฟล์ ไวรัสที่แพร่ระหว่างไฟล์ เช่น ไฟล์ .EXE, .COM คือไวรัสชนิดนี้ส่วนใหญ่จะติดมาจากไฟล์ที่แนบมาในแผ่นดิสก์ทั้งหลาย ไฟล์ดาวน์โหลดทางอินเตอร์เน็ต ไฟล์จากอีเมล์ที่ส่งมาให้ ซึ่งไวรัสชนิดนี้จะไปทำลายไฟล์ที่สามารถรันได้เช่นไฟล์ที่มีนามสกุล .doc , .exe , .dll เป็นต้น โดยเริ่มแรกมันจะเกาะที่ไฟล์ command.com ก่อน หลังจากนั้นจึงไปติดไฟล์ที่เราเรียกใช้งานขึ้นมา ตัวอย่างไวรัสในกลุ่มนี้ที่ดังๆ เช่น ไวรัส ExploreZip ที่ติดมาทางอีเมล์ ได้แก่ไฟล์ชนิด .DOC , .XLS และ PPT
ไวรัสบูต ไวรัสที่ติดไปกับ Boot Sector ของ แผ่นดิสก์ หรือ Partition ของฮาร์ดดิสก์ เป็นไวรัสที่อยู่บนบูตเซ็กเตอร์ ไวรัสชนิดนี้จะมีขนาดเล็กมาก เมื่อเราเปิดเครื่องขึ้นมา ไวรัสชนิดนี้ก็จะทำการแพร่ขยายสู่ฮาร์ดิสก์ทันที ปฏิกิริยาของไวรัสตัวนี้คงไม่จบเพียงแค่นี้ แต่ยังทำงานแพร่กระจายไปเรื่อยๆ และเมื่อเราบูตเครื่องอีกครั้งหนึ่ง ก็จะไม่สามารถบูตได้อีก ตัวอย่างไวรัสชนิดนี้ที่ดังๆ คือ ไวรัส CIH
ไวรัสผสม คือไวรัสประเภทไฟล์ผสมกับไวรัสบูต
ไวรัสมาโคร จะแพร่ไปยังไฟล์เอกสารด้วยกันใน เวิร์ดหรือเอ็กเซล หรือไวรัสที่มาพร้อมกับออฟฟิศ 97 ไวรัสชนิดสุดท้ายเกิดหลังจากความนิยมของออฟฟิศ 97 มากขึ้น ไวรัสที่ชื่อว่าไวรัสมาโคร ก็มีคนรู้จักทันที ซึ่งไวรัสตัวนี้จะเข้าไปอยู่ตามส่วนต่างๆของออฟฟิศ 97 ไม่ว่าจะเป็นไฟล์เอกสาร , สเปรดชีต และโปรแกรมฐานข้อมูล โดย มาโครไวรัสทั้งหลายจะจ้องทำลายไฟล์ที่มีชื่อว่า Normal.dot ก่อน ซึ่งเป็นแท็มแพลตที่สำคัญไม่ว่าในเวิร์ดหรือเอ็กเซล โดยไวรัสตัวนี้จะเข้าไปเปลี่ยนแปลง Normal.dot ให้ผิดเพี้ยนไป ทำให้เมื่อมีการเก็บไฟล์นี้ลงเครื่อง ก็จะทำให้ไฟล์เอกสารต่างๆ ติดไวรัสได้ทันที แล้วยังทำให้การติดต่อของไวรัสตัวนี้สามารถทำได้อย่างง่ายดายกว่าไวรัสตัวอื่น สำหรับไวรัสมาโครที่รู้จักกันมากๆนั้นก็คงจะเป็น Mellissa ที่แพร่ระบาดในเดือนมีนาคม 1999
อาการของเครื่องที่ติดไวรัส
สามารถสังเกตุการทำงานของเครื่องคอมพิวเตอร์ถ้ามีอาการดังต่อไปนี้อาจเป็นไปได้ว่าได้มีไวรัสเข้าไปติดอยู่ในเครื่องแล้ว อาการที่ว่านั้นได้แก่
• ใช้เวลานานผิดปกติในการเรียกโปรแกรมขึ้นมาทำงาน
• ขนาดของโปรแกรมใหญ่ขึ้น
• วันเวลาของโปรแกรมเปลี่ยนไป
• ข้อความที่ปกติไม่ค่อยได้เห็นกลับถูกแสดงขึ้นมาบ่อย ๆ
• เกิดอักษรหรือข้อความประหลาดบนหน้าจอ
• เครื่องส่งเสียงออกทางลำโพงโดยไม่ได้เกิดจากโปรแกรมที่ใช้อยู่
• แป้นพิมพ์ทำงานผิดปกติหรือไม่ทำงานเลย
• ขนาดของหน่วยความจำที่เหลือลดน้อยกว่าปกติ โดยหาเหตุผลไม่ได้
• ไฟล์แสดงสถานะการทำงานของดิสก์ติดค้างนานกว่าที่เคยเป็น
• ไฟล์ข้อมูลหรือโปรแกรมที่เคยใช้อยู่ ๆ ก็หายไป
• เครื่องทำงานช้าลง
• เครื่องบูตตัวเองโดยไม่ได้สั่ง
• ระบบหยุดทำงานโดยไม่ทราบสาเหตุ
• เซกเตอร์ที่เสียมีจำนวนเพิ่มขึ้นโดยมีการรายงานว่าจำนวนเซกเตอร์ที่เสียมีจำนวน เพิ่มขึ้นกว่าแต่ก่อนโดยที่
• ยังไม่ได้ใช้โปรแกรมใดเข้าไปตรวจหาเลย
โปรแกรมป้องกันและกำจัด Virus
Mcafee Scan Virus - แวะชมเวปไซท์ของ Mcafee
Norton Anti-Virus - แวะชมเวปไซท์ของ Norton
AVC Anti-Virus Card - แวะชมเวปไซท์ของ R&D (ของคนไทย)
ช่องทางการแพร่กระจายของไวรัส
-การใช้งานข้อมูลในดิกส์ หรือคอมพิวเตอร์ร่วมกัน
-การรับส่งข้อมูล ไฟล์ การใช้งานอีเมล์ (attache file) อินเตอร์เน็ต
-การใช้งานในระบบเครือข่าย
-การ copy โปรแกรมการใช้งาน หรือ เกมส์
วิธีการป้องกันอย่างถูกวิธี
1.หลีกเลี่ยงการใช้งาน และศึกษาช่องทางการแพร่กระจายของไวรัส ถ้าทำได้
2.update DAT file (ซึ่งเป็นไฟล์ที่เก็บข้อมูลของไวรัสใหม่ ๆ และวิธีการกำจัดไวรัส)
3.ตรวจเช็คไวรัสจากแผ่นดิกส์ภายนอก ก่อนใช้งานทุกครั้ง
4.หลีกเลี่ยงการอ่าน อีเมล์ หรือเปิด attach file ที่ไม่แน่ใจ

การตรวจหาไวรัส
การสแกน
โปรแกรมตรวจหาไวรัสที่ใช้วิธีการสแกน (Scanning) เรียกว่า สแกนเนอร์ (Scanner) โดยจะมีการดึงเอาโปรแกรมบางส่วนของตัวไวรัสมาเก็บไว้เป็นฐานข้อมูล ส่วนที่ดึงมานั้นเราเรียกว่า ไวรัสซิกเนเจอร์ (VirusSignature)และเมื่อสแกนเนอร์ถูกเรียกขึ้นมาทำงานก็จะเข้าตรวจหาไวรัสในหน่วยความจำ บูตเซกเตอร์และไฟล์โดยใช้ ไวรัสซิกเนเจอร์ที่มีอยู่
ข้อดีของวิธีการนี้ก็คือ เราสามารถตรวจสอบซอฟแวร์ที่มาใหม่ได้ทันทีเลยว่าติดไวรัสหรือไม่ เพื่อป้องกันไม่ให้ไวรัสถูกเรียกขึ้นมาทำงานตั้งแต่เริ่มแรก แต่วิธีนี้มีจุดอ่อนอยู่หลายข้อ คือ
1. ฐานข้อมูลที่เก็บไวรัสซิกเนเจอร์จะต้องทันสมัยอยู่เสมอ แลครอบคลุมไวรัสทุกตัว มากที่สุดเท่าที่จะทำได้
2. เพราะสแกนเนอร์จะไม่สามารถตรวจจับไวรัสที่ยังไม่มี ซิกเนเจอร์ของไวรัสนั้นเก็บอยู่ในฐานข้อมูลได้
3. ยากที่จะตรวจจับไวรัสประเภทโพลีมอร์ฟิก เนื่องจากไวรัสประเภทนี้เปลี่ยนแปลง ตัวเองได้
4. จึงทำให้ไวรัสซิกเนเจอร์ที่ใช้สามารถนำมาตรวจสอบได้ก่อนที่ไวรัส จะเปลี่ยนตัวเองเท่านั้น
5. ถ้ามีไวรัสประเภทสทีลต์ไวรัสติดอยู่ในเครื่องตัวสแกนเนอร์อาจจะไม่สามารถ ตรวจหาไวรัสนี้ได้
6. ทั้งนี้ขึ้นอยู่กับความฉลาดและเทคนิคที่ใช้ของตัวไวรัสและ ของตัวสแกนเนอร์เองว่าใครเก่งกว่า
7. เนื่องจากไวรัสมีตัวใหม่ ๆ ออกมาอยู่เสมอ ๆ ผู้ใช้จึงจำเป็นจะต้องหาสแกนเนอร์ ตัวที่ใหม่ที่สุดมาใช้
8. มีไวรัสบางตัวจะเข้าไปติดในโปรแกรมทันทีที่โปรแกรมนั้นถูกอ่าน และถ้าสมมติ
9. ว่าสแกนเนอร์ที่ใช้ไม่สามารถตรวจจับได้ และถ้าเครื่องมีไวรัสนี้ติดอยู่ เมื่อมีการ 10. เรียกสแกนเนอร์ขึ้นมาทำงาน สแกนเนอร์จะเข้าไปอ่านโปรแกรมทีละโปรแกรม เพื่อตรวจสอบ
11. ผลก็คือจะทำให้ไวรัสตัวนี้เข้าไปติดอยู่ในโปรแกรมทุกตัวที่ถูก สแกนเนอร์นั้นอ่านได้
12. สแกนเนอร์รายงานผิดพลาดได้ คือ ไวรัสซิกเนเจอร์ที่ใช้บังเอิญไปตรงกับที่มี
13. อยู่ในโปรแกรมธรรมดาที่ไม่ได้ติดไวรัส ซึ่งมักจะเกิดขึ้นในกรณีที่ไวรัสซิกเนเจอร์ ที่ใช้มีขนาดสั้นไป
14. ก็จะทำให้โปรแกรมดังกล่าวใช้งานไม่ได้อีกต่อไป
การตรวจการเปลี่ยนแปลง
การตรวจการเปลี่ยนแปลง คือ การหาค่าพิเศษอย่างหนึ่งที่เรียกว่า เช็คซัม (Checksum) ซึ่งเกิดจากการนำเอาชุดคำสั่งและ ข้อมูลที่อยู่ในโปรแกรมมาคำนวณ หรืออาจใช้ข้อมูลอื่น ๆ ของไฟล์ ได้แก่ แอตริบิวต์ วันและเวลา เข้ามารวมในการคำนวณด้วย เนื่องจากทุกสิ่งทุกอย่าง ไม่ว่าจะเป็นคำสั่งหรือข้อมูลที่อยู่ในโปรแกรม จะถูกแทนด้วยรหัสเลขฐานสอง เราจึงสามารถนำเอาตัวเลขเหล่านี้มาผ่านขั้นตอนการคำนวณทางคณิตศาสตร์ได้ ซึ่งวิธีการคำนวณเพื่อหาค่าเช็คซัมนี้มีหลายแบบ และมีระดับการตรวจสอบแตกต่างกันออกไป เมื่อตัวโปรแกรม ภายในเกิดการเปลี่ยนแปลง ไม่ว่าไวรัสนั้นจะใช้วิธีการแทรกหรือเขียนทับก็ตาม เลขที่ได้จากการคำนวณครั้งใหม่ จะเปลี่ยนไปจากที่คำนวณได้ก่อนหน้านี้
ข้อดีของการตรวจการเปลี่ยนแปลงก็คือ สามารถตรวจจับไวรัสใหม่ ๆ ได้ และยังมีความสามารถในการตรวจจับไวรัสประเภทโพลีมอร์ฟิกไวรัสได้อีกด้วย แต่ก็ยังยากสำหรับสทีลต์ไวรัส ทั้งนี้ขึ้นอยู่กับความฉลาดของโปรแกรมตรวจหาไวรัสเองด้วยว่าจะสามารถถูกหลอกโดยไวรัสประเภทนี้ได้หรือไม่ และมีวิธีการตรวจการเปลี่ยนแปลงนี้จะตรวจจับไวรัสได้ก็ต่อเมื่อไวรัสได้เข้าไปติดอยู่ในเครื่องแล้วเท่านั้น และค่อนข้างเสี่ยงในกรณีที่เริ่มมีการคำนวณหาค่าเช็คซัมเป็นครั้งแรก เครื่องที่ใช้ต้องแน่ใจว่าบริสุทธิ์พอ คือต้องไม่มีโปรแกรมใด ๆ ติดไวรัส มิฉะนั้นค่าที่หาได้จากการคำนวณที่รวมตัวไวรัสเข้าไปด้วย ซึ่งจะลำบากภายหลังในการที่จะตรวจหาไวรัสตัวนี้ต่อไป
การเฝ้าดู
เพื่อที่จะให้โปรแกรมตรวจจับไวรัสสามารถเฝ้าดูการทำงานของเครื่องได้ตลอดเวลานั้น จึงได้มีโปรแกรมตรวจจับไวรัสที่ถูกสร้งขึ้นมาเป็นโปรแกรมแบบเรซิเดนท์หรือ ดีไวซ์ไดรเวอร์ โดยเทคนิคของการเฝ้าดูนั้นอาจใช้วิธีการสแกนหรือตรวจการเปลี่ยนแปลงหรือสองแบบรวมกันก็ได้
การทำงานโดยทั่วไปก็คือ เมื่อซอฟแวร์ตรวจจับไวรัสที่ใช้วิธีนี้ถูกเรียกขึ้นมาทำงานก็จะเข้าไปตรวจในหน่วยความจำของเครื่องก่อนว่ามีไวรัสติดอยู่หรือไม่โดยใช้ไวรัสซิกเนเจอร์ ที่มีอยู่ในฐานข้อมูล จากนั้นจึงค่อยนำตัวเองเข้าไปฝังอยู่ในหน่วยความจำ และต่อไปถ้ามีการเรียกโปรแกรมใดขึ้นมาใช้งาน โปรแกรมเฝ้าดูนี้ก็จะเข้าไปตรวจโปรแกรมนั้นก่อน โดยใช้เทคนิคการสแกนหรือตรวจการเปลี่ยนแปลงเพื่อหาไวรัส ถ้าไม่มีปัญหา ก็จะอนุญาตให้โปรแกรมนั้นขึ้นมาทำงานได้ นอกจากนี้โปรแกรมตรวจจับ ไวรัสบางตัวยังสามารถตรวจสอบขณะที่มีการคัดลอกไฟล์ได้อีกด้วย
ข้อดีของวิธีนี้คือ เมื่อมีการเรียกโปรแกรมใดขึ้นมา โปรแกรมนั้นจะถูกตรวจสอบก่อนทุกครั้งโดยอัตโนมัติ ซึ่งถ้าเป็นการใช้สแกนเนอร์ จะสามารถทราบได้ว่าโปรแกรมใดติดไวรัสอยู่ ก็ต่อเมื่อทำการเรียกสแกนเนอร์นั้นขึ้นมาทำงานก่อนเท่านั้น
ข้อเสียของโปรแกรมตรวจจับไวรัสแบบเฝ้าดูก็คือ จะมีเวลาที่เสียไปสำหรับการตรวจหาไวรัสก่อนทุกครั้ง และเนื่องจากเป็นโปรแกรมแบบเรซิเดนท์หรือดีไวซ์ไดรเวอร์ จึงจำเป็นจะต้องใช้หน่วยความจำส่วนหนึ่งของเครื่องตลอดเวลาเพื่อทำงาน ทำให้หน่วยความจำในเครื่องเหลือน้อยลง และเช่นเดียวกับสแกนเนอร์ ก็คือ จำเป็นจะต้องมีการปรับปรุง ฐานข้อมูลของไวรัสซิกเนเจอร์ให้ทันสมัยอยู่เสมอ
คำแนะนำและการป้องกันไวรัส
· สำรองไฟล์ข้อมูลที่สำคัญ
· สำหรับเครื่องที่มีฮาร์ดดิสก์ อย่าเรียกดอสจากฟลอปปีดิสก์
· ป้องกันการเขียนให้กับฟลอปปีดิสก์
· อย่าเรียกโปรแกรมที่ติดมากับดิสก์อื่น
· เสาะหาโปรแกรมตรวจหาไวรัสที่ใหม่และมากกว่าหนึ่งโปรแกรมจากคนละบริษัท
· เรียกใช้โปรแกรมตรวจหาไวรัสเป็นช่วง ๆ
· เรียกใช้โปรแกรมตรวจจับไวรัสแบบเฝ้าดูทุกครั้ง
· เลือกคัดลอกซอฟแวร์เฉพาะที่ถูกตรวจสอบแล้วในบีบีเอส
· สำรองข้อมูลที่สำคัญของฮาร์ดดิสก์ไปเก็บในฟลอปปีดิสก์
· เตรียมฟลอปปีดิสก์ที่ไว้สำหรับให้เรียกดอสขึ้นมาทำงานได้
· เมื่อเครื่องติดไวรัส ให้พยายามหาที่มาของไวรัสนั้น

การกำจัดไวรัส
เมื่อแน่ใจว่าเครื่องติดไวรัสแล้ว ให้ทำการแก้ไขด้วยความใคร่ครวญและระมัดระวังอย่างมาก เพราะบางครั้งตัวคนแก้เองจะเป็นตัวทำลายมากกว่าตัวไวรัสจริง ๆ เสียอีก การฟอร์แมตฮาร์ดดิสก์ใหม่อีกครั้งก็ไม่ใช่ วิธีที่ดีที่สุดเสมอไป ยิ่งแย่ไปกว่านั้นถ้าทำไปโดยยังไม่ได้มีการสำรองข้อมูลขึ้นมาก่อน การแก้ไขนั้นถ้าผู้ใช้มีความรู้เกี่ยวกับไวรัสที่ กำลังติดอยู่ว่าเป็นประเภทใดก็จะช่วยได้อย่างมาก และข้อเสนอแนะต่อไปนี้อาจจะมีประโยชน์ต่อท่าน
บูตเครื่องใหม่ทันทีที่ทราบว่าเครื่องติดไวรัส
เมื่อทราบว่าเครื่องติดไวรัส ให้ทำการบูตเครื่องใหม่ทันที โดยเรียกดอสขึ้นมาทำงานจากฟลอปปีดิสก์ที่ได้เตรียมไว้ เพราะถ้าไปเรียกดอสจากฮาร์ดดิสก์ เป็นไปได้ว่า ตัวไวรัสอาจกลับเข้าไปในหน่วยความจำได้อีก เมื่อเสร็จขั้นตอนการเรียกดอสแล้ว ห้ามเรียกโปรแกรมใด ๆ ก็ตามในดิสก์ที่ติดไวรัส เพราะไม่ทราบว่าโปรแกรมใดบ้างที่มีไวรัสติดอยู่
เรียกโปรแกรมจัดการไวรัสขั้นมาตรวจหาและทำลาย
ให้เรียกโปรแกรมตรวจจับไวรัส เพื่อตรวจสอบดูว่ามีโปรแกรมใดบ้างติดไวรัส ถ้าโปรแกรมตรวจ หาไวรัสที่ใช้อยู่สามารถกำจัดไวรัสตัวที่พบได้ ก็ให้ลองทำดู แต่ก่อนหน้านี้ให้ทำการคัดลอกเพื่อสำรองโปรแกรมที่ติดไวรัสไปเสียก่อน โดยโปรแกรมจัดการไวรัสบางโปรแกรมสามารถสั่งให้ทำสำรองโปรแกรมที่ติดไวรัสไปเป็นอีกชื่อหนึ่งก่อนที่จะกำจัดไวรัส เช่น MSAV ของดอสเอง เป็นต้น
การทำสำรองก็เพราะว่า เมื่อไวรัสถูกกำจัดออกจากฌปรแกรมไป โปรแกรมนั้นอาจไม่สามารถทำงานได้ตามปกติ หรือทำงานไม่ได้เลยก็เป็นไปได้ วิธีการตรวจขั้นต้นคือ ให้ลอง เปรียบเทียบขนาดของโปรแกรมหลังจากที่ถูกกำจัดไวรัสไปแล้วกับขนาดเดิม ถ้ามีขนาดน้อยกว่า แสดงว่าไม่สำเร็จ หากเป็นเช่นนั้นให้เอาโปรแกรมที่ติดไวรัสที่สำรองไว้ แล้วหาโปรแกรมจัดการ ไวรัสตัวอื่นมาใช้แทน แต่ถ้ามีขนาดมากกว่าหรือเท่ากับของเดิม เป็นไปได้ว่าการกำจัดไวรัสอาจสำเร็จ โดยอาจลองเรียกโปรแกรมตรวจหาไวรัสเพื่อทดสอบโปรแกรมอีกครั้ง หากผลการตรวจสอบออกมาว่าปลอดเชื้อ ก็ให้ลองเรียกโปรแกรมที่ถูกกำจัดไวรัสไปนั้นขึ้นมาทดสอบการทำงานดูอย่างละเอียดว่าเป็นปกติดีอยู่หรือไม่อีกครั้ง ในช่วงดังกล่าวควรเก็บโปรแกรมนี้ที่สำรองไปขณะที่ติดไวรัสอยู่ไว้ เผื่อว่าภายหลังพบว่าโปรแกรมทำงานไม่เป็นไปตามปกติ ก็สามารถลองเรียกโปรแกรมจัดการไวรัสตัวอื่นขึ้นมากำจัดต่อไปได้ในภายหลัง แต่ถ้าแน่ใจว่าโปรแกรมทำงานเป็นปกติดี ก็ทำการลบโปรแกรมสำรองที่ยังติดไวรัสติดอยู่ทิ้งไปทันที เป็นการป้องกันไม่ให้มีการเรียกขึ้นมาใช้งานภายหลังเพราะความบังเอิญได้