เวิร์ม (Worm) มีลักษณะและพฤติกรรมคัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื้อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครือข่าย และเหมือนจะสร้างความเสียหายให้กับระบบเศรษฐกิจมากที่สุด เวิร์มยังแบ่งออกเป็นชนิดต่างๆได้ดังต่อไปนี้

Email worm เป็นเวิร์มที่อาศัยอีเมล์เป็นพาหะเช่น Mass-mailing worm เป็นเวิร์มที่สามารถค้นหารายชื่ออีเมล์ในเครื่องที่ตกเป็นเหยื่อแล้วก็ส่งตัวเองไปยังที่อยู่อีเมล์เหล่านั้น

File-Sharing Networks Worm เป็นเวิร์มที่คัดลอกตัวเองไปไว้ในโฟลเดอร์ที่ขึ้นต้นหรือประกอบด้วยคำว่า sha และแชร์โฟลเดอร์ของโปรแกรมประเภท Peer to Peer (P2P) เช่นเวิร์มที่มีชื่อว่า KaZaa Worm เป็นต้น

Internet Worm หรือ Network Worm เป็นเวิร์มที่โจมตีช่องโหว่ของโปรแกรมและระบบปฎิบัติการต่างๆเช่น Blaster worm และ Sasser worm ที่ได้เป็นที่รู้จักกันดี

IRC Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ในห้องสนทนา (Chat room) เดียวกัน

Instant Messaging Worm เป็นเวิร์มที่ส่งตัวเองจากเครื่องที่ตกเป็นเหยื่อไปหาคนที่อยู่ใน Contact list ผ่านทางโปรแกรม Instant Messaging หรือ IM เช่นโปรแกรม MSN และ ICQ เป็นต้น

โทรจัน (Trojan)

โทรจัน (Trojan) เป็นมัลแวร์อีกชนิดที่พบเห็นการแพร่ระบาดได้ทั่วไป มีลักษณะและพฤติกรรมไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกผู้ใช้ให้ดาวน์โหลดเอาไปไว้ในเครื่องหรือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้ หรือมีจุดประสงค์เพื่อล้วงเอาความลับต่างๆ โทรจันยังแบ่งออกได้เป็นหลายชนิดดังนี้

Remote Access Trojan (RAT) หรือ Backdoor เป็นโทรจันที่เปิดช่องทางให้ผู้ไม่ประสงค์ดีสามารถเข้ามาควบคุมเครื่องได้จากระยะไกล หรือทำอะไรก็ได้บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ

Data Sending and Password Sending Trojan เป็นโทรจันที่โขมยรหัสผ่านต่างๆ แล้วส่งไปให้ผู้ไม่ประสงค์ดี

Keylogger Trojan เป็นโทรจันที่ดักจับทุกข้อความที่พิมพ์ผ่านแป้นพิมพ์ของคีย์บอร์ด

Destructive Trojan เป็นโทรจันที่สามารถลบไฟล์บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อได้

DoS (Denial of Service ) Attack Trojan เป็นโทรจันที่เข้าโจมตีระบบคอมพิวเตอร์ที่เป็นเป้าหมายบนอินเทอร์เน็ตในรูปแบบ DoS หรือ DDoS (Distributed denial-of-service) เพื่อทำให้ระบบเป้าหมายปฏิเสธหรือหยุดการให้บริการ (Denial-of-Service) การโจมตีจะเกิดขึ้นพร้อมๆกันและมีเป้าหมายเดียวกัน โดยเครื่องที่ตกเป็นเหยื่อทั้งหมดจะสร้างข้อมูลขยะขึ้นมาแล้วส่งไปที่ระบบเป้าหมาย เพื่อสร้างกระแสข้อมูลให้ไหลเข้าไปในปริมาณมหาศาลทำให้ระบบเป้าหมายต้องทำงานหนักขึ้นและช้าลงเรื่อยๆ เมื่อเกินกว่าระดับที่จะรับได้ ก็จะหยุดการทำงานลงในที่สุด อันเป็นเหตุให้ผู้ใช้ไม่สามารถใช้บริการระบบเป้าหมายได้ตามปกติ2 ส่วนรูปแบบของการโจมตีที่นิยมใช้กันก็มีเช่น SYN flood, UDP flood, ICMP flood, surf, Fraggle เป็นต้น

Proxy Trojan เป็นโทรจันที่ทำให้เครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกลายเป็นเครื่อง Proxy Server, Web Server หรือ Mail Server เพื่อสร้าง Zombie Network ซึ่งจะถูกใช้ให้เป็นฐานปฏิบัติการเพื่อจุดประสงค์อย่างอื่น

FTP Trojan เป็นโทรจันที่ทำให้ครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกลายเป็นเครื่อง FTP Server

Security software Killer Trojan เป็นโทรจันที่ Kill Process หรือลบโปรแกรมป้องกันไวรัสหรือลบไฟร์วอลบนเครื่องที่ตกเป็นเหยื่อ เพื่อง่ายต่อการปฏิบัติการอย่างอื่นต่อไป

Trojan Downloader เป็นโทรจันที่ดาวน์โหลด Adware, Spyware และ Worm ให้มาติดตั้งบนเครื่องเหยื่อ

สปายแวร์ (Spyware)

สปายแวร์ (Spyware) มีลักษณะและพฤติกรรมคล้ายโทรจันคือ ไม่แพร่เชื้อไปติดไฟล์อื่นๆ อาศัยการหลอกผู้ใช้ให้ติดตั้งโปรแกรมที่ไม่ประสงค์ดีลงบนเครื่องของตนเอง หรืออาศัยช่องโหว่ของ Web Browser ในการติดตั้งตัวเองลงบนเครื่องเหยื่อ สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ใช้คอมพิวเตอร์ สร้างความรำคาญให้กับผู้ใช้มากที่สุด บางตำราอาจใช้คำว่า Grayware ซึ่งแบ่งออกได้เป็นหลายชนิด เช่น

Dialer เป็นสปายแวร์ที่เคยอยู่บนเว็บโป๊ต่างๆ และใช้โมเด็มเครื่องเหยื่อหมุนโทรศัพท์ทางไกลต่อไปยังต่างประเทศ

Hijacker เป็นสปายแวร์ที่สามารถเปลี่ยนแปลง Start Page และ Bookmark บนเว็บบราวเซอร์ต่างๆ

BHO (Browser Helper Objects) เป็นสปายแวร์ที่ยัดเยียดฟังก์ชั่นที่ไม่พึงประสงค์ให้บนเว็บบราวเซอร์

Toolbar บางอย่างก็จัดเป็นสปายแวร์ที่ยัดเยียดเครื่องมือที่ไม่พึงประสงค์ให้บนเว็บบราวเซอร์ด้วย

ฟิชชิง (Phishing)

ฟิชชิง (Phishing) คือเทคนิคการหลอกลวงผ่านทางอินเทอร์เน็ต เพื่อทำให้เหยื่อเปิดเผยข้อมูลการทำธุรกรรมทางการเงินจำพวก Online Bank Account เป็นต้น โดยใช้เทคนิคแบบ Social Engineering ประกอบเพื่อเพิ่มความน่าเชื่อถือ ในการขอข้อมูลที่สำคัญเช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยการส่งข้อความผ่านทางอีเมลหรือเมสเซนเจอร์ ตัวอย่างของการฟิชชิง เช่น การบอกแก่ผู้รับปลายทางว่าเป็นธนาคารหรือบริษัทที่น่าเชื่อถือ และแจ้งว่ามีสาเหตุทำให้คุณต้องเข้าสู่ระบบและใส่ข้อมูลที่สำคัญใหม่ โดยเว็บไซต์ที่ลิงก์เข้าไปนั้น มักจะมีหน้าตาคล้ายคลึงกับเว็บที่กล่าวถึง คำว่า Phishing มาจากคำว่า Fishing ที่แปลว่าการตกปลา ซึ่งหมายถึง การปล่อยให้ปลามากินเหยื่อที่ล่อไว้2

Zombie Network

Zombie Network คือการทำเครือข่ายมืดโดยใช้เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ Worm, Trojan หรือ Malware เรียกเครื่องคอมพิวเตอร์เหล่านั้นว่า Compromised Machine ซึ่งจะถูก Attacker หรือ Hacker ใช้เป็นฐานปฏิบัติการในการส่ง Spam mail, Phishing, DDoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย

Zero-day Attack

Zero-day Attack ในที่นี้หมายถึง การโจมตีของมัลแวร์หรือของแฮคเกอร์ โดยการใช้ประโยชน์จากช่องโหว่ (Vulnerability) ที่มีอยู่ในซอฟแวร์หรือระบบปฎิบัติการซึ่งไม่มีใครรู้มาก่อน หรือรู้อยู่แล้วแต่ยังไม่มี Patch สำหรับอุดช่องโหว่นั้น หรือยังไม่มี Signature ของโปรแกรมด้านความปลอดภัย (Security) สำหรับตรวจหาการโจมตีที่ว่าในเวลานั้น

นอกจากนี้แล้วยังมี Malware ที่รวมความสามารถของ Virus, Worm, Trojan, Spyware เข้าไว้ด้วยกันซึ่งเรียกว่า Hybrid malware หรือ Blended Threats อีกด้วย

การวิเคราะห์ชื่อไวรัสหรือมัลแวร์

การวิเคราะห์ชื่อไวรัสหรือมัลแวร์ หมายถึง การแยกส่วนประกอบของชื่อไวรัสหรือมัลแวร์ออกจากกัน เพื่อให้รู้ความหมายของชื่อไวรัสที่มีการค้นพบและถูกตั้งชื่อขึ้นโดยบริษัทผู้ขายซอฟต์แวร์ต่อต้านไวรัสต่างๆ ผู้อ่านอาจจะพบเห็นรายชื่อไวรัสหรือมัลแวร์ได้บนเครื่องคอมพิวเตอร์ของตนเองหรือพบเห็นได้ตามหน้าเว็บไซต์ต่างๆ แต่เคยสงสัยกันบ้างไหมว่าชื่อของไวรัสที่เห็นนั้นมีส่วนประกอบที่บอกความหมายอะไรไว้บ้าง ลองมาวิเคราะห์ดูส่วนประกอบของชื่อไวรัสหรือมัลแวร์กันเลยครับ ตัวอย่างเช่นไวรัสที่มีชื่อว่า W32.Mydoom.bb@mm แบ่งแยกได้เป็นส่วนต่างๆดังนี้

W32 จัดเป็นส่วนที่เรียกว่า Family Name

Mydoom จัดเป็นส่วนที่เรียกว่า Group Name

bb จัดเป็นอีกส่วนที่เรียกว่า Variant

@mm ก็จัดเป็นอีกส่วนที่เรียกว่า Tail

Family Name จัดเป็นส่วนประกอบแรกที่มีความหมายบอกถึงชื่อตระกูลของไวรัส ส่วนมากแล้วจะตั้งชื่อตามที่ไวรัสตัวนั้นมีผลกระทบต่อระบบปฏิบัติการอะไรหรือต่อโปรแกรมอะไร หรือตั้งชื่อตามภาษาที่ใช้ในการเขียนไวรัส ยกตัวอย่างส่วนของ Family Name เช่น

W32 และ Win32 เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการตระกูล Windows ที่เป็น 32 บิต

W95 เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการ Windows 95

WNT เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการ Windows NT

Linux เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการลินุกซ์

Palm เป็นไวรัสที่มีผลกระทบต่อระบบปฏิบัติการ Palm OS

WM เป็นมาโครไวรัสของโปรแกรม Word

X97M เป็นมาโครไวรัสของโปรแกรม Excel 97

I-Worm หรือ Worm จัดเป็นเวิร์มหรือหนอนอินเทอร์เน็ต

Trojan หรือ Troj จัดเป็นโทรจัน หรือเรียกอีกอย่างหนึ่งว่า ม้าโทรจัน (Trojan Horse)

AOL เป็นโทรจัน America Online

Backdoor เป็นโทรจันเปิดช่องให้ผู้บุกรุกเข้าถึงเครื่องได้จากระยะไกล

PWSTEAL เป็นโทรจันที่มีความสามารถในการขโมยรหัสผ่านหรือพาสเวิร์ด

VBS เป็นไวรัสที่ถูกพัฒนาด้วยโปรแกรม Visual Basic Script

Java เป็นไวรัสที่ถูกพัฒนาด้วยภาษาจาวา

HILLW เป็นไวรัสที่ถูกคอมไพล์ด้วยภาษาระดับสูง

Group Name จัดเป็นส่วนประกอบที่สองแสดงถึงชื่อหรือนามแฝงของผู้เขียนไวรัสที่ถูกตั้งขึ้น ซึ่งแทรกอยู่ในโค้ดของตัวโปรแกรมไวรัสนั้น ตามตัวอย่างชื่อไวรัสข้างบน คำว่า Mydoom จัดเป็นชื่อไวรัสหรือนามแฝงของผู้เขียนไวรัสนั้น

อาการต่อไปนี้...คือลักษณะของคอมพ์ที่ติดไวรัส

ที่มา:

ภาพโดย : Sinee. (โพสต์เมื่อ 24ส.ค.2553). ค้นเมื่อ ก.ย.2553, จาก //www.sfbkk.com
และโดย Helen Jain. (August 11, 2010). ค้นเมื่อ ก.ย.2553, จาก //www.ehow.com
บทความ โดย : 1.amejorken. (โพสต์เมื่อ พ.ย.2550). ค้นเมื่อ ก.ย.2553, จาก //www.pantip.com และ //www.oknation.net
2.w1964d. (โพสต์เมื่อ Jan 31, 2008). ค้นเมื่อ ก.ย.2553, จาก //hitechguide.blogspot.com

//www.needformen.com/