คอมติดไวรัส Autorun ความเข้าใจผิดเรื่องการติดไวรัส Autorun


1,168 ผู้ชม


ความเข้าใจผิดเรื่องการติดไวรัส Autorun

    เมื่อเข้าใจความแตกต่างของทั้ง 2 คำคราวนี้เรามาดูความเข้าใจผิดที่ทำให้หลายๆคนถึงกับ กลัวการนำแฟลชไดรฟ์มาใช้ในเครื่อง เพราะกังวลกันว่าอาจจะติดไวรัสได้ง่ายๆ สำหรับความเชื่อที่ว่าก็คือหลายๆคนมักจะเชื่อกันว่าถ ้ามีไวรัสอยู่ในแฟลชไดรฟ์นั้นๆแล้ว เมื่อนำแฟลชไดรฟ์มาเสียบที่เครื่องเราก็จะติดไวรัสทั นที ซึ่งเรื่องนี้ไม่เป็นความจริงนะครับ ลองมาดูตัวอย่างกันครับ โดยผมจะสมมุติให้โปรแกรมเครื่องคิดเลข(calc.exe) เป็นตัวไวรัสซึ่งมีการสร้างไฟล์ Autorun.inf ตามรูปนะครับ

Click the image to open in full size.
Click the image to open in full size.

จะเห็นได้ว่าคำสั่งภายในไฟล์ Autorun.inf นั้นจะเหมือนกับตัวอย่างแรกที่เป็นแผ่นติดตั้ง Windows เพียงแต่เปลี่ยนชื่อไฟล์ที่จะให้มันเปิดจาก Setup.exe มาเป็น calc.exe ซึ่งผมสมมุติให้เป็นตัวไวรัสนั่นเองครับ
ตอนนี้หลายคนคงคิดว่าเมื่อนำแฟลชไดรฟ์อันนี้มาเสียบท ี่เครื่องก็จะต้องติดไวรัสแน่นอน เพราะไวรัสมันก็จะทำงานตามคำสั่งใน Autorun.inf บรรทัด Open=calc.exe ซึ่งเป็นการเรียกตัวไวรัส(สมมุติ)ให้ขึ้นมาทำงาน เหมือนตัวอย่างของแผ่นติดตั้ง Windows ซึ่งเรียกไฟล์ Setup.exe ขึ้นมา
จริงๆแล้วเป็นความคิดที่ผิดนะครับ เนื่องจากว่าคำสั่ง Open ซึ่งกำหนดให้มีการเรียกโปรแกรมขึ้นมาทำงานแบบอัตโนมั ตินั้นสามารถที่จะใช้งานได้กับไฟล์ Autorun.inf ซึ่งอยู่ในแผ่น CD/DVD เท่านั้นแต่จะไม่มีผลใดๆถ้าไฟล์ Autorun.inf นั้นอยู่ในแฟลชไดรฟ์
สรุปง่ายๆก็คือว่าถ้าเรานำไฟล์ Autorun.inf ตามตัวอย่างนี้ไปใส่ในแผ่น CD/DVD มันก็จะทำการเปิดโปรแกรมเครื่องคิดเลขให้ตามที่ระบุไ ว้ในบรรทัด Open=calc.exe ทันทีที่เรานำแผ่นใส่ในเครื่องหรือดับเบิ้ลคลิกที่ได รฟ์นั้นๆ แต่ในกรณีที่ไฟล์ Autorun.inf ดังกล่าวอยู่ในแฟลชไดรฟ์ คำสั่ง Open ในบรรทัดดังกล่าวจะไม่มีผลใดๆครับไม่ว่าจะเป็นการเปิ ดโปรแกรมขึ้นมาให้อัตโนมัติหรือแม้แต่มีการดับเบิ้ลค ลิกที่ไดรฟ์ก็ตาม
จะมีเพียงส่วนของบรรทัด Icon=calc.exe,0 ซึ่งเป็นตัวกำหนดรูปไอคอนเท่านั้นที่ทำงานโดยจะเห็นไ ด้ว่าไอคอนของแฟลชไดรฟ์จะกลายเป็นรูปเครื่องคิดเลขแล ้ว ดังนั้นตอนนี้ถ้าผมนำแฟลชไดรฟ์ดังกล่าวมาเสียบที่เคร ื่อง หรือแม้ผมจะทำการดับเบิ้ลคลิกที่ไดรฟ์ ตัวไวรัสก็จะยังไม่มีการทำงานนะครับเพราะอย่างที่บอก ว่าคำสั่ง Open นั้นใช้ในแฟลชไดรฟ์ไม่ได้ครับ

ความแตกต่างของไฟล์ Autorun.inf ในแฟลชไดรฟ์และ CD/DVD

จากในหัวข้อที่แล้วซึ่งผมบอกไว้ว่าการใช้คำสั่ง Open ของไฟล์ Autorun.inf นั้นจะไม่มีผลใดๆในกรณีที่ไฟล์ Autorun.inf นั้นอยู่ในแฟลชไดรฟ์ ทำไมจึงเป็นเช่นนั้น แล้วไวรัสที่ติดๆกันมันใช้วิธีการไหนล่ะ เดี๋ยวเรามาดูกันครับ
สำหรับสาเหตุที่คำสั่ง Open ในไฟล์ Autorun.inf ไม่มีผลในกรณีที่เป็นแฟลชไดรฟ์นั้นเท่าที่ผมลองค้นข้ อมูลดูก็ยังไม่พบรายละเอียดหรือการยืนยันที่ชัดเจนนะ ครับว่าจะด้วยเหตุผลเพื่อความปลอดภัยหรือเหตุผลอื่นใ ดกันแน่ แต่ผมเดาเอาเองว่าอาจจะเป็นเพราะว่าตัว Autorun นั้นมีการพัฒนาขึ้นมาใช้ครั้งแรกสมัย Windows 95 ซึ่งแน่นอนว่าสมัยนั้นอุปกรณ์ที่เป็น Removable ก็จะมีเพียงฟล็อปปี้ดิสก์และแผ่น CD เท่านั้น ตัวแฟลชไดรฟ์ยังไม่มีใช้งานกัน จึงไม่ได้มีการกำหนดคำสั่ง Open ให้รองรับตัวแฟลชไดรฟ์ไว้ก็อาจเป็นได้
แต่สุดท้ายแล้วจะด้วยเหตุผลอะไรก็แล้วแต่ก็นับว่าเป็ นผลดีกับผู้ใช้ครับ เพราะนับว่าเป็นการเพิ่มความปลอดภัยให้เราในการใช้แฟ ลชไดรฟ์ได้อีกขั้น นั่นคือเราไม่ต้องกังวลว่าเมื่อนำแฟลชไดรฟ์มาเสียบที ่เครื่องแล้วจะมีการรันโปรแกรมหรือไวรัสขึ้นมาแบบอัต โนมัติโดยที่เราไม่รู้ตัว
แต่ไม่ได้หมายความว่าคำสั่ง Open ใน Autorun.inf นั้นจะไม่มีประโยชน์นะครับ เราลองมาดูตัวอย่างอีกสักตัวอย่างหนึ่ง โดยผมเพิ่มเติมคำสั่งลงไปในไฟล์ Autorun.inf หลังจากนั้นดึงแฟลชไดรฟ์ออกแล้วเสียบกลับเข้าไปใหม่แ ล้วมาดูผลกันครับ
Click the image to open in full size.
Click the image to open in full size.
จะเห็นได้ว่าในหน้าต่างของ Autoplay นั้นจะขึ้นรูปโปรแกรมเครื่องคิดเลขเป็นเมนูบนสุดโดยม ีคำว่าทดสอบจ้าเป็นชื่อของเมนู นี่คือตัวอย่างการทำงานร่วมกันระหว่างไฟล์ Autorun.inf และ Autoplay ซึ่งจะทำให้มีการเรียกใช้คำสั่ง Open ในกรณีที่เป็นแฟลชไดรฟ์ได้ครับ
นั่นคือตัว Autoplay นั้นจะอ่านชื่อที่จะแสดงในส่วนของเมนูจากคำสั่ง Action ในไฟล์ Autorun.inf และจะกำหนดให้ใช้โปรแกรมจากที่ระบุไว้ตรงคำสั่ง Open นั่นเองครับ
ดังนั้นในตอนนี้ถ้าเราทำการกด Enter หรือเลือก OK ก็จะเป็นการเปิดโปรแกรมเครื่องคิดเลข(ไวรัส)ขึ้นมาทำ งานทันทีเพราะเป็นเมนูแรกที่เลือกไว้ แต่ไวรัสเท่าที่พบเห็นในช่วงหลังจะไม่ค่อยใช้วิธีนี้ กันแล้วเพราะคนทั่วไปมักจะทำการปิดการทำงานของ Autoplay กันหมดแล้ว เพียงแต่อยากให้รู้กันไว้ว่าถ้าหน้า Autoplay มีการขึ้นชื่อโปรแกรมแปลกๆในเมนูแรกก็อย่าเสี่ยงไปคล ิก OK หรือกด Enter เข้านะครับเพราะจะกลายเป็นการเรียกไวรัสขึ้นมาทำงานน ั่นเองครับ
แถมอีกหน่อยแล้วกันสำหรับคนที่อาจจะบอกว่าเราก็ใช้กา รเลือก Open folder to view files สิมันก็เปิดไดรฟ์ขึ้นมาให้เลยเหมือนๆกับการพิมพ์ชื่อ ไดรฟ์นั่นล่ะแล้วก็ปลอดภัยด้วย จะเสียเวลาไปพิมพ์ชื่อไดรฟ์ให้ยุ่งยากทำไม สิบล้านตัวหนังสือไม่เท่าลงมือทำครับมาดูตัวอย่างกัน เพราะพบว่ามีไวรัสบางตัวใช้วิธีนี้เหมือนกัน โดยผมแก้ไฟล์ Autorun.inf ให้เป็นแบบนี้ครับ
Click the image to open in full size.
ซึ่งจะทำให้ได้หน้าต่าง Autoplay แบบนี้ครับ
Click the image to open in full size.
จะเห็นได้ว่ามีเมนู Open folder to view files อยู่ 2 เมนู ซึ่งเมนูบนสุดนั้นเป็นตัวปลอมนะครับ(สังเกตว่าถ้าของ จริง ตรงส่วนใต้ชื่อเมนูซึ่งเป็นตัวสีจางๆจะเขียนว่า using Windows Explorer ครับ ส่วนตัวปลอมข้อความส่วนนั้นจะต่างไปครับ) และแน่นอนว่าถ้ามองผ่านๆไม่ได้สังเกตมากเราก็จะเลือก เมนูบนสุด(ตัวปลอม)เพราะคืดว่าเป็นการเปิดไดรฟ์แบบธร รมดาๆ
และแน่นอนอีกเช่นกันที่มันจะเป็นการเรียกไวรัสขึ้นมา ทำงานด้วยคำสั่ง Open=calc.exe จากในไฟล์ Autorun.inf ตามที่ได้อธิบายไปแล้วนั่นเองครับ ส่วนรูปแบบการอ้างอิงไอคอนในบรรทัด Icon= นั้นให้ลองดูเปรียบเทียบจาก หน้า 65(เล่ม 1)นะครับเพราะใช้หลักการเดียวกันครับ
ดังนั้นใครที่เปิด Autoplay ไว้และคิดว่าจะใช้การเลือก Open folder to view files เพื่อเปิดไดรฟ์นั้นก็ขอให้เพิ่มความระมัดระวังขึ้นอี กหน่อยนะครับจะได้ไม่ตกหลุมพรางเจ้าไวรัสมันครับ
และอย่างที่บอกว่าสำหรับไวรัสที่ใช้ช่องทาง Autoplay นั้นมีไม่มากแล้ว(แต่ก็ยังมีอยู่นะครับ)คราวนี้เราจะ มาดูวิธีการที่ไวรัสมักจะใช้กันบ้าง โดยผมจะทำการแก้ไขคำสั่งใน Autorun.inf อีกครั้งให้เป็นดังนี้ครับ
Click the image to open in full size.
จะเห็นว่าไม่มีส่วนที่กำหนดรูปไอคอนแล้ว เนื่องจากไวรัสส่วนใหญ่นั้น มันก็มักจะไม่ใช้ส่วนนี้อยู่แล้วเพราะถ้ารูปไอคอนเปล ี่ยนก็จะทำให้ผู้ใช้สงสัยได้ และผมได้เปลี่ยนคำสั่งจาก Open มาเป็น ShellExecute แทนซึ่งเป็นคำสั่งที่สามารถใช้งานกับแฟลชไดรฟ์ได้
เมื่อผมแก้ไขไฟล์ Autorun.inf เรียบร้อยและดึงแฟลชไดรฟ์ออกแล้วเสียบกลับเข้าไปใหม่ ผลก็คือหน้า Autoplay นั้นก็เป็นหน้าตาตามปกติคือบนสุดมีเมนูให้เลือกจัดกา รกับรูปภาพตามปกติไม่มีรายชื่อโปรแกรมใดๆเนื่องจากผม ลบคำสั่ง Action ออกไปแล้วและแน่นอนว่าไม่ได้มีการเปิดโปรแกรมเครื่อง คิดเลขขึ้นมาให้แบบอัตโนมัติแต่อย่างใด
Click the image to open in full size.
อ้าวแล้วคำสั่ง ShellExecute มันทำงานตอนไหนล่ะ มันไม่ได้ทำงานเหมือนคำสั่ง Open ใน CD/DVD เหรอ คำตอบคือทำ แต่ทำเพียงครึ่งเดียวครับ นั่นคือมันจะไม่มีการเปิดโปรแกรมขึ้นมาแบบอัตโนมัติเ มื่อเสียบแฟลชไดรฟ์เหมือนที่คำสั่ง Open ทำในกรณีที่ใส่แผ่น CD/DVD เข้าไปในไดรฟ์ครับ แต่สิ่งที่มันทำเหมือนคำสั่ง Open ก็คือเมื่อเรามีการดับเบิ้ลคลิกที่ไดรฟ์มันก็จะทำการ เปิดโปรแกรมตามที่มีการระบุไว้ขึ้นมานั่นเองครับ
แต่คำสั่ง ShellExecute ก็มีจุดอ่อนที่เป็นข้อพิรุธให้ผู้ใช้สามารถสังเกตได้นะครับ นั่นก็คือในกรณีที่ใช้คำสั่ง ShellExecute เมื่อคลิกขวาที่ไดรฟ์มันจะขึ้นเมนู Autoplay อยู่บนสุดครับ
Click the image to open in full size.
ซึ่งเท่าที่พบมานั้นสำหรับไวรัสพวก Script ส่วนใหญ่ก็ยังมีการใช้คำสั่ง ShellExecute อยู่นะครับ แต่ไวรัสที่เป็นพวก .Exe นั้นโดยส่วนใหญ่จะไม่ใช้ ShellExecute แล้วเนื่องจากมีจุดอ่อนที่ทำให้ผิด
สังเกตอย่างที่บอกไปแล้ว แต่จะมีการใช้คำสั่งในรูปแบบอื่นๆแทน ซึ่งข้อดีของคำสั่งรูปแบบใหม่นั้นนอกจากจะทำให้ไม่ขึ ้นเมนู Autoplay เหมือนการใช้ ShellExecute แล้ว ข้อดีอีกอย่าง(แต่ไม่ดีกับผู้ใช้)คือถึงแม้ว่าผู้ใช้ จะใช้วิธีการคลิกขวาแล้วเลือกเมนูแทนการดับเบิลคลิกก ็ไม่สามารถรอดพ้นไวรัสไปได้ไม่ว่าจะเลือกเมนูไหนซึ่ง ผมขอยกไปอธิบายในหัวข้อถัดไปนะครับ
ผมขอสรุปตรงนี้ก่อนว่า สำหรับกรณีของแฟลชไดรฟ์นั้นจะไม่มีการเปิดโปรแกรมใดๆ ขึ้นมาเมื่อเราทำการเสียบเข้ากับเครื่องแน่นอนครับไม่ ว่าในไฟล์ Autorun.inf นั้นจะระบุคำสั่ง Open หรือ ShellExecute หรือคำสั่งอื่นใดก็ตาม ดังนั้นคนที่กังวลว่าเมื่อเอาแฟลชไดรฟ์ที่ติดไวรัสมา เสียบที่เครื่องแล้วจะมีการติดไวรัสทันทีนั้นขอให้เล ิกกังวลไปได้เลยครับ เพราะไวรัสจะมีการทำงานตามคำสั่งในไฟล์ Autorun.inf เมื่อเราทำการดับเบิ้ลคลิกที่ไดรฟ์เท่านั้นครับ ดังนั้นเพื่อหลีกเลี่ยงการเรียกไวรัสขึ้นมาทำงานให้เ ราใช้วิธีการพิมพ์ชื่อไดรฟ์ในช่อง Address ตามที่ผมแนะนำไว้ในเล่มแรกนะครับ
ถึงตอนนี้อาจจะมีหลายคนแย้งว่าไม่จริงหรอกมั้ง เพราะแฟลชไดรฟ์รุ่นใหม่ๆที่เรียกกันว่า U3 นั้นเมื่อนำมาเสียบในเครื่องมันก็ยังรันโปรแกรมขึ้นม าให้เลยนี่นา ซึ่งเดี๋ยวผมจะอธิบายอีกทีในช่วงท้ายๆนะครับว่าทำไมม ันถึงรันโปรแกรมแบบอัตโนมัติจากการเสียบแฟลชไดรฟ์แบบ U3 ได้ เอาเป็นว่าในตอนนี้ผมขอสรุปว่าเพียงแค่การนำแฟลชไดรฟ ์ที่ติดไวรัสมาเสียบที่เครื่องนั้นจะยังไม่มีการติดไ วรัสอย่างแน่นอนเพราะตัวไวรัสยังไม่ได้โดนเรียกขึ้นม าทำงาน
มีเพียง 2 กรณีเท่านั้นที่จะเป็นการเรียกไวรัสขึ้นมาก็คือช่องท าง Autoplay ในกรณีที่ไวรัสใช้คำสั่ง Action ร่วมกับคำสั่ง Open แล้วเรากด Enter หรือเลือก OK ในหน้าต่าง Autoplay เอง กับอีกช่องทางคือช่องทาง Autorun ซึ่งไวรัสจะใช้วิธีการกำหนดคำสั่งที่จะใช้เรียกตัวเองขึ้ นมาไว้ในไฟล์ Autorun.inf แล้วเราไปดับเบิ้ลคลิกที่ตัวไดรฟ์นั้นโดยตรง หรือแม้กระทั่งการคลิกขวาแล้วเลือกเมนูต่างๆครับ
ข้อมูลจาก :  www.thaigaming.com

อัพเดทล่าสุด