ความรู้เบื้องต้นเกี่ยวกับไวรัสคอมพิวเตอร์

http://www.thaiall.com/security Page: 1

ความรเบองตนเกยวกบไวรสคอมพวเตอร

ผศ.บรนทร รจจนพนธ .

ปรบปรง 3 พฤษภาคม 2557

Introduction to Computer Virus&

Antivirus

Agenda- Malware- Malware Protection- Checking- Microsoft Management Console (.msc)- Remove Sample Virus

http://www.thaiall.com/security Page: 2

โปรแกรมไมพงประสงค คออะไรโปรแกรมไมพงสงค (มลแวร = Malware =

Malicious Software) คอ โปรแกรมคอมพวเตอรทมจดประสงคมงรายตอเครองคอมพวเตอรหรอเครอขาย มความสามารถในการแพรระบาด และหลบหลกการตรวจสอบจากผใชตวอยางยอดฮต - Computer Virus : แพรตวเอง แอบแฝงมใหผใชรตว และสรางความเสยหาย - Spyware : ผใชตดตงโดยไมทราบผลมกไมแพรตวเอง ละเมดขอมลสวนตว - Phishing : หลอกใหผใชเขาใจผด เชน เปดเผยรหสผาน หรอโอนเงน - Keylogger : แฝงตวเกบขอมลการกดแปนพมพแลวสงใหผไมประสงคด - Worm : เวรมไมตองอาศยคน อาศยไฟลหรอการสงตอขอมลเพอกระจายตว Robert Tappan Morris- Trojan: เปนโปรแกรมทหลอกใหผใชดาวนโหลด แลวเปดใหผไมหวงดเขาควบคมจากระยะไกล- Hoax : ไวรสหลอกลวง หรอไวรสจอมปลอม

http://www.thaiall.com/security Page: 3

อาการทบงชวาอาจโดนมลแวร1. เปดหรอปด ใชเวลานานผดปกต

2. ขนาดแฟม หรอวนทของแฟมเปลยนไป (MD5)3. พบขอความผดปกต4. โปรแกรมใชงานไมได หรอขอมลเสยหาย5. แฟม หรอโฟลเดอร เพมขนผดปกต6. ม tool bar เพมขนผดปกต7. ม icon เพมขนผดปกต8. มการรบสงขอมลเพมขนผดปกต

http://www.onlinemd5.commd5(“12345”) =

827CCB0EEA8A706C4C34A16891F84E7B

http://www.thaiall.com/security Page: 4

การปองกนปญหาจากมลแวร1. ไมดาวนโหลดแฟมจากแหลงทไมนาเชอถอ2. ไมใชซด แผนดสก แฟรชไดรฟ จากแหลงทไมนาเชอถอ3. ไมกดลงคในอเมล หรอ social media ทไมนาเชอถอ4. ไม Login ผานเครองทไมนาเชอถอ5. ไมกำาหนดรหสผานทงาย ตอการคาดเดา6. ใหสำาเนาขอมลตามรอบเวลาอยเสมอ7. ใหเปดการตรวจสอบสทธการเขาใช เมอออกหางเครองทกครง8. ใหหมนสงเกตวามโปรแกรมไมพงประสงคเขาในเครองหรอไม9. ใหแยกสวนของโปรแกรม และขอมลออกจากกน10. ใหตดตงโปรแกรมตอตานไวรส และไฟรวอลล

http://www.thaiall.com/security Page: 5

ปญหาสำาคญจากการใชอนเทอรเนต

8. เนตชา (Low speed)9. อเมลขยะ (Junk mail)10. การระบาดของไวรส (Virus)11. ความเปนสวนตว (Privacy)12. กลวผลทางกฎหมาย (Law)13. มคาใชจายสง (High Expense)14. ใชเวลามากไป (Internet Addicted)15. ใหบรการไมทวถง ไมเสมอภาค (Unfair)

http://thaiall.blogspot.com/2014/04/blog-post_21.html

1. สอลามกไมเหมาะสม (Pornography)2. ภาครฐไมชวยเหลอ เมอเกดเหต (Helpless)3. ความนาเชอถอของขอมล (Data Integrity)4. โฆษณาออนไลนรบกวนการใชงาน (Annoy)5. การหลอกลวง การโกงบนอนเทอรเนต (Fraud)6. ผใหบรการไมนาเชอถอ เขาเวบไมได หลดบอย (Reliability)7. ไมเขาใจภาษาตางประเทศบนเวบไซต (Foreign language)

http://www.thaiall.com/security Page: 6

ตรวจ Msconfig (1/4)DOS> msconfigไมปลอยใหมโปรแกรมทไมถกใชได startup ขนมา

http://www.thaiall.com/security Page: 7

ตรวจ Process (2/4)หมนดชอ process เปนประจำา .. ถามตวใดผดแปลกไป ตองหาขอมลเพมเตมhttp://www.fileinspect.com (บรการตรวจสอบวาชอโปรแกรมทสงสยเปนของใคร)

http://download.cnet.com/PrcView/3000-2086_4-10025832.html (proview)http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx (proexp)http://www.thaiall.com/download

http://www.thaiall.com/security Page: 8

ตรวจ Services (3/4)โปรแกรมใน service แมไม logon กทำางานกนได ไม

เหมอน applicationDOS> services.mscบรการโดยทวไป จะสง start หรอ stop กได

http://www.thaiall.com/security Page: 9

ตรวจ netstat (4/4)DOS> netstat -naตรวจวาเครองของเราไปเชอมตอกบใครทไหนหรอไมและรบการเชอมตอหรอไม

http://www.thaiall.com/security Page: 10

ในกรณ Flash drive มปญหา เพราะอะไรchecklist แลวแกไขไปตาม

อาการ1. Flash drive เสยจรง โยนทงไดเลย2. Flash drive เสย แต format แลวใชได ???3. ตดไวรส และถกฆาแลว แตอาการยงอย (แกได)4. ใน Flash drive มไวรส และพรอมแพรพนธ5. ชอง USB เสย เปนรน 1.0 หรอไมสมบรณ

http://thaiall.blogspot.com/2014/05/flash-drive.html

http://www.thaiall.com/security Page: 11

ปด Autorun เพอความไมประมาทกรณ

ศกษารานถายรป

http://www.thaiall.com/security Page: 12

การเขาโปรแกรมประเภท .msc ผาน DOSMicrosoft Management

ConsoleDOS> services.msc จดการบรการตาง ๆDOS> devmgmt.msc จดการอปกรณDOS> compmgmt.msc จดการเครองคอมพวเตอรDOS> gpedit.msc แกไขนโยบายhttp://www.thaiall.com/

assembly/internalcmd.htm

DOS> dir thumbs.db /s

http://www.thaiall.com/security Page: 13

การลบไวรสแบบไมใชโปรแกรมตอตานไวรส1. tasklist | more

2. taskkill /f /im virus_newfolder.exe3. taskkill /f /im SCVHSOT.exe 4. msconfig5. reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f6. reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f7. dir /ah8. attrib -s -h -r SCVHSOT.exe9. del SCVHSOT.exe

กรณศกษา กำาจด New Folder Virushttp://www.thaiall.com/secret/

virus_newfolder_w32hakaglanl.zip

http://www.youtube.com/watch?v=YMrHVybXKV4

http://www.thaiall.com/security Page: 14

มลแวรบางตวเปนเพยง back doorผมเคยใช script ทชอ c99 เขยนดวยภาษา

PHPทำางานบน webserver ไวให admin เขาจดการเครองคอมพวเตอรจากระยะไกลไดโดยสะดวกแลว วนดคนด Antivirus กบอกวาตวนคอโปรแกรมไมพงประสงคมโทษสถานเดยว คอ Quarantine ถกกกกนไวกอนhttps://www.facebook.com/groups/thaiebook/301407830010042/

ไวรสเกามกอยในฐานของ antivirus จงไมสามารถแผลงฤทธในเครองทมโปรแกรมตอตานไวรส เชน rncsys32_exe.ziphttps://www.facebook.com/groups/thaiebook/300671216750370/

http://www.thaiall.com/security Page: 15

บรการของ Antivirus ยคใหม- คนหา และกำาจดไวรส- รจกมลแวรไดครอบคลม- รจก Phishing- ตรวจสอบอเมล และแฟมทดาวนโหลด- ปองกน web browsing- ทำาความสะอาดแฟมทตดไวรสไดด- ตรวจสอบ USB อตโนมต- มความสามารถของ Firewall- สนบสนนทางโทรศพท- Chat คยกนกบฝาย support ไดhttp://anti-virus-software-review.toptenreviews.com

http://www.thaiall.com/security Page: 16

ตดตงโปรแกรมตอตานไวรส (free antivirus)Bitdefender เปนเบอร 1 ในหลายเวท

และทกเวทตองถกกลาวถงวาเปนสดยอด antivirus

Avira มกเรยกวารมแดง ผมใชมานานแลว เพราะชอบขนาดไมใหญ ตวเลอกไมเยอะไมตดโผการจดอนดบหลายท

AVG ทกเวทตองกลาวถง เพอนรวมงานนยมใชกนมาก

Avast ทกเวทตองกลาวถง นกศกษาของผมนยมใชหลายคนเพอนรวมงานกใชใน 4 ตวน เปนตวเดยวทไมตองDownload ขณะ install หรอ install แบบ offline ได

http://www.pcmag.com/article2/0,2817,2388652,00.asphttp://anti-virus-software-review.toptenreviews.com

โดยปกตAntivirus

ยงดกยงทำางานชา

http://www.thaiall.com/security Page: 17

คำาถาม - คำาตอบ

? http://www.thaiall.com/downloadhttp://www.thaiall.com/article/hacker.htmhttps://www.facebook.com/groups/thaiebook