ความเข้าใจผิดเรื่องการติดไวรัส Autorun
เมื่อเข้าใจความแตกต่างของทั้ง 2 คำคราวนี้เรามาดูความเข้าใจผิดที่ทำให้หลายๆคนถึงกับ กลัวการนำแฟลชไดรฟ์มาใช้ในเครื่อง เพราะกังวลกันว่าอาจจะติดไวรัสได้ง่ายๆ สำหรับความเชื่อที่ว่าก็คือหลายๆคนมักจะเชื่อกันว่าถ ้ามีไวรัสอยู่ในแฟลชไดรฟ์นั้นๆแล้ว เมื่อนำแฟลชไดรฟ์มาเสียบที่เครื่องเราก็จะติดไวรัสทั นที ซึ่งเรื่องนี้ไม่เป็นความจริงนะครับ ลองมาดูตัวอย่างกันครับ โดยผมจะสมมุติให้โปรแกรมเครื่องคิดเลข(calc.exe) เป็นตัวไวรัสซึ่งมีการสร้างไฟล์ Autorun.inf ตามรูปนะครับ
จะเห็นได้ว่าคำสั่งภายในไฟล์ Autorun.inf นั้นจะเหมือนกับตัวอย่างแรกที่เป็นแผ่นติดตั้ง Windows เพียงแต่เปลี่ยนชื่อไฟล์ที่จะให้มันเปิดจาก Setup.exe มาเป็น calc.exe ซึ่งผมสมมุติให้เป็นตัวไวรัสนั่นเองครับ
ตอนนี้หลายคนคงคิดว่าเมื่อนำแฟลชไดรฟ์อันนี้มาเสียบท ี่เครื่องก็จะต้องติดไวรัสแน่นอน เพราะไวรัสมันก็จะทำงานตามคำสั่งใน Autorun.inf บรรทัด Open=calc.exe ซึ่งเป็นการเรียกตัวไวรัส(สมมุติ)ให้ขึ้นมาทำงาน เหมือนตัวอย่างของแผ่นติดตั้ง Windows ซึ่งเรียกไฟล์ Setup.exe ขึ้นมา
จริงๆแล้วเป็นความคิดที่ผิดนะครับ เนื่องจากว่าคำสั่ง Open ซึ่งกำหนดให้มีการเรียกโปรแกรมขึ้นมาทำงานแบบอัตโนมั ตินั้นสามารถที่จะใช้งานได้กับไฟล์ Autorun.inf ซึ่งอยู่ในแผ่น CD/DVD เท่านั้นแต่จะไม่มีผลใดๆถ้าไฟล์ Autorun.inf นั้นอยู่ในแฟลชไดรฟ์
สรุปง่ายๆก็คือว่าถ้าเรานำไฟล์ Autorun.inf ตามตัวอย่างนี้ไปใส่ในแผ่น CD/DVD มันก็จะทำการเปิดโปรแกรมเครื่องคิดเลขให้ตามที่ระบุไ ว้ในบรรทัด Open=calc.exe ทันทีที่เรานำแผ่นใส่ในเครื่องหรือดับเบิ้ลคลิกที่ได รฟ์นั้นๆ แต่ในกรณีที่ไฟล์ Autorun.inf ดังกล่าวอยู่ในแฟลชไดรฟ์ คำสั่ง Open ในบรรทัดดังกล่าวจะไม่มีผลใดๆครับไม่ว่าจะเป็นการเปิ ดโปรแกรมขึ้นมาให้อัตโนมัติหรือแม้แต่มีการดับเบิ้ลค ลิกที่ไดรฟ์ก็ตาม
จะมีเพียงส่วนของบรรทัด Icon=calc.exe,0 ซึ่งเป็นตัวกำหนดรูปไอคอนเท่านั้นที่ทำงานโดยจะเห็นไ ด้ว่าไอคอนของแฟลชไดรฟ์จะกลายเป็นรูปเครื่องคิดเลขแล ้ว ดังนั้นตอนนี้ถ้าผมนำแฟลชไดรฟ์ดังกล่าวมาเสียบที่เคร ื่อง หรือแม้ผมจะทำการดับเบิ้ลคลิกที่ไดรฟ์ ตัวไวรัสก็จะยังไม่มีการทำงานนะครับเพราะอย่างที่บอก ว่าคำสั่ง Open นั้นใช้ในแฟลชไดรฟ์ไม่ได้ครับ
ความแตกต่างของไฟล์ Autorun.inf ในแฟลชไดรฟ์และ CD/DVD
สำหรับสาเหตุที่คำสั่ง Open ในไฟล์ Autorun.inf ไม่มีผลในกรณีที่เป็นแฟลชไดรฟ์นั้นเท่าที่ผมลองค้นข้ อมูลดูก็ยังไม่พบรายละเอียดหรือการยืนยันที่ชัดเจนนะ ครับว่าจะด้วยเหตุผลเพื่อความปลอดภัยหรือเหตุผลอื่นใ ดกันแน่ แต่ผมเดาเอาเองว่าอาจจะเป็นเพราะว่าตัว Autorun นั้นมีการพัฒนาขึ้นมาใช้ครั้งแรกสมัย Windows 95 ซึ่งแน่นอนว่าสมัยนั้นอุปกรณ์ที่เป็น Removable ก็จะมีเพียงฟล็อปปี้ดิสก์และแผ่น CD เท่านั้น ตัวแฟลชไดรฟ์ยังไม่มีใช้งานกัน จึงไม่ได้มีการกำหนดคำสั่ง Open ให้รองรับตัวแฟลชไดรฟ์ไว้ก็อาจเป็นได้
แต่สุดท้ายแล้วจะด้วยเหตุผลอะไรก็แล้วแต่ก็นับว่าเป็ นผลดีกับผู้ใช้ครับ เพราะนับว่าเป็นการเพิ่มความปลอดภัยให้เราในการใช้แฟ ลชไดรฟ์ได้อีกขั้น นั่นคือเราไม่ต้องกังวลว่าเมื่อนำแฟลชไดรฟ์มาเสียบที ่เครื่องแล้วจะมีการรันโปรแกรมหรือไวรัสขึ้นมาแบบอัต โนมัติโดยที่เราไม่รู้ตัว
แต่ไม่ได้หมายความว่าคำสั่ง Open ใน Autorun.inf นั้นจะไม่มีประโยชน์นะครับ เราลองมาดูตัวอย่างอีกสักตัวอย่างหนึ่ง โดยผมเพิ่มเติมคำสั่งลงไปในไฟล์ Autorun.inf หลังจากนั้นดึงแฟลชไดรฟ์ออกแล้วเสียบกลับเข้าไปใหม่แ ล้วมาดูผลกันครับ
นั่นคือตัว Autoplay นั้นจะอ่านชื่อที่จะแสดงในส่วนของเมนูจากคำสั่ง Action ในไฟล์ Autorun.inf และจะกำหนดให้ใช้โปรแกรมจากที่ระบุไว้ตรงคำสั่ง Open นั่นเองครับ
ดังนั้นในตอนนี้ถ้าเราทำการกด Enter หรือเลือก OK ก็จะเป็นการเปิดโปรแกรมเครื่องคิดเลข(ไวรัส)ขึ้นมาทำ งานทันทีเพราะเป็นเมนูแรกที่เลือกไว้ แต่ไวรัสเท่าที่พบเห็นในช่วงหลังจะไม่ค่อยใช้วิธีนี้ กันแล้วเพราะคนทั่วไปมักจะทำการปิดการทำงานของ Autoplay กันหมดแล้ว เพียงแต่อยากให้รู้กันไว้ว่าถ้าหน้า Autoplay มีการขึ้นชื่อโปรแกรมแปลกๆในเมนูแรกก็อย่าเสี่ยงไปคล ิก OK หรือกด Enter เข้านะครับเพราะจะกลายเป็นการเรียกไวรัสขึ้นมาทำงานน ั่นเองครับ
แถมอีกหน่อยแล้วกันสำหรับคนที่อาจจะบอกว่าเราก็ใช้กา รเลือก Open folder to view files สิมันก็เปิดไดรฟ์ขึ้นมาให้เลยเหมือนๆกับการพิมพ์ชื่อ ไดรฟ์นั่นล่ะแล้วก็ปลอดภัยด้วย จะเสียเวลาไปพิมพ์ชื่อไดรฟ์ให้ยุ่งยากทำไม สิบล้านตัวหนังสือไม่เท่าลงมือทำครับมาดูตัวอย่างกัน เพราะพบว่ามีไวรัสบางตัวใช้วิธีนี้เหมือนกัน โดยผมแก้ไฟล์ Autorun.inf ให้เป็นแบบนี้ครับ
และแน่นอนอีกเช่นกันที่มันจะเป็นการเรียกไวรัสขึ้นมา ทำงานด้วยคำสั่ง Open=calc.exe จากในไฟล์ Autorun.inf ตามที่ได้อธิบายไปแล้วนั่นเองครับ ส่วนรูปแบบการอ้างอิงไอคอนในบรรทัด Icon= นั้นให้ลองดูเปรียบเทียบจาก หน้า 65(เล่ม 1)นะครับเพราะใช้หลักการเดียวกันครับ
ดังนั้นใครที่เปิด Autoplay ไว้และคิดว่าจะใช้การเลือก Open folder to view files เพื่อเปิดไดรฟ์นั้นก็ขอให้เพิ่มความระมัดระวังขึ้นอี กหน่อยนะครับจะได้ไม่ตกหลุมพรางเจ้าไวรัสมันครับ
และอย่างที่บอกว่าสำหรับไวรัสที่ใช้ช่องทาง Autoplay นั้นมีไม่มากแล้ว(แต่ก็ยังมีอยู่นะครับ)คราวนี้เราจะ มาดูวิธีการที่ไวรัสมักจะใช้กันบ้าง โดยผมจะทำการแก้ไขคำสั่งใน Autorun.inf อีกครั้งให้เป็นดังนี้ครับ
เมื่อผมแก้ไขไฟล์ Autorun.inf เรียบร้อยและดึงแฟลชไดรฟ์ออกแล้วเสียบกลับเข้าไปใหม่ ผลก็คือหน้า Autoplay นั้นก็เป็นหน้าตาตามปกติคือบนสุดมีเมนูให้เลือกจัดกา รกับรูปภาพตามปกติไม่มีรายชื่อโปรแกรมใดๆเนื่องจากผม ลบคำสั่ง Action ออกไปแล้วและแน่นอนว่าไม่ได้มีการเปิดโปรแกรมเครื่อง คิดเลขขึ้นมาให้แบบอัตโนมัติแต่อย่างใด
แต่คำสั่ง ShellExecute ก็มีจุดอ่อนที่เป็นข้อพิรุธให้ผู้ใช้สามารถสังเกตได้นะครับ นั่นก็คือในกรณีที่ใช้คำสั่ง ShellExecute เมื่อคลิกขวาที่ไดรฟ์มันจะขึ้นเมนู Autoplay อยู่บนสุดครับ
สังเกตอย่างที่บอกไปแล้ว แต่จะมีการใช้คำสั่งในรูปแบบอื่นๆแทน ซึ่งข้อดีของคำสั่งรูปแบบใหม่นั้นนอกจากจะทำให้ไม่ขึ ้นเมนู Autoplay เหมือนการใช้ ShellExecute แล้ว ข้อดีอีกอย่าง(แต่ไม่ดีกับผู้ใช้)คือถึงแม้ว่าผู้ใช้ จะใช้วิธีการคลิกขวาแล้วเลือกเมนูแทนการดับเบิลคลิกก ็ไม่สามารถรอดพ้นไวรัสไปได้ไม่ว่าจะเลือกเมนูไหนซึ่ง ผมขอยกไปอธิบายในหัวข้อถัดไปนะครับ
ผมขอสรุปตรงนี้ก่อนว่า สำหรับกรณีของแฟลชไดรฟ์นั้นจะไม่มีการเปิดโปรแกรมใดๆ ขึ้นมาเมื่อเราทำการเสียบเข้ากับเครื่องแน่นอนครับไม่ ว่าในไฟล์ Autorun.inf นั้นจะระบุคำสั่ง Open หรือ ShellExecute หรือคำสั่งอื่นใดก็ตาม ดังนั้นคนที่กังวลว่าเมื่อเอาแฟลชไดรฟ์ที่ติดไวรัสมา เสียบที่เครื่องแล้วจะมีการติดไวรัสทันทีนั้นขอให้เล ิกกังวลไปได้เลยครับ เพราะไวรัสจะมีการทำงานตามคำสั่งในไฟล์ Autorun.inf เมื่อเราทำการดับเบิ้ลคลิกที่ไดรฟ์เท่านั้นครับ ดังนั้นเพื่อหลีกเลี่ยงการเรียกไวรัสขึ้นมาทำงานให้เ ราใช้วิธีการพิมพ์ชื่อไดรฟ์ในช่อง Address ตามที่ผมแนะนำไว้ในเล่มแรกนะครับ
ถึงตอนนี้อาจจะมีหลายคนแย้งว่าไม่จริงหรอกมั้ง เพราะแฟลชไดรฟ์รุ่นใหม่ๆที่เรียกกันว่า U3 นั้นเมื่อนำมาเสียบในเครื่องมันก็ยังรันโปรแกรมขึ้นม าให้เลยนี่นา ซึ่งเดี๋ยวผมจะอธิบายอีกทีในช่วงท้ายๆนะครับว่าทำไมม ันถึงรันโปรแกรมแบบอัตโนมัติจากการเสียบแฟลชไดรฟ์แบบ U3 ได้ เอาเป็นว่าในตอนนี้ผมขอสรุปว่าเพียงแค่การนำแฟลชไดรฟ ์ที่ติดไวรัสมาเสียบที่เครื่องนั้นจะยังไม่มีการติดไ วรัสอย่างแน่นอนเพราะตัวไวรัสยังไม่ได้โดนเรียกขึ้นม าทำงาน
มีเพียง 2 กรณีเท่านั้นที่จะเป็นการเรียกไวรัสขึ้นมาก็คือช่องท าง Autoplay ในกรณีที่ไวรัสใช้คำสั่ง Action ร่วมกับคำสั่ง Open แล้วเรากด Enter หรือเลือก OK ในหน้าต่าง Autoplay เอง กับอีกช่องทางคือช่องทาง Autorun ซึ่งไวรัสจะใช้วิธีการกำหนดคำสั่งที่จะใช้เรียกตัวเองขึ้ นมาไว้ในไฟล์ Autorun.inf แล้วเราไปดับเบิ้ลคลิกที่ตัวไดรฟ์นั้นโดยตรง หรือแม้กระทั่งการคลิกขวาแล้วเลือกเมนูต่างๆครับ
ข้อมูลจาก : www.thaigaming.com