Trojan (โทรจัน) - ม้าไม้แห่งทรอย, ของกำนัลสู่ความพินาศ

Posted by Apsara at 7:21 AM . Thursday, August 27, 2009
Labels: , , ,
  • Agregar a Technorati
  • Agregar a Del.icio.us
  • Agregar a DiggIt!
  • Agregar a Yahoo!
  • Agregar a Google
  • Agregar a Meneame
  • Agregar a Furl
  • Agregar a Reddit
  • Agregar a Magnolia
  • Agregar a Blinklist
  • Agregar a Blogmarks

..... โทรจัน (Trojan) มาจากคำเต็มๆ ว่า Trojan Horse หรือม้าไม้แห่งโทรจัน (โทรจันคือชาวทรอย เหมือนคำว่า Japanese ตือชาวญี่ปุ่น) หากได้ดูหนังเรื่อง Troy ที่แบร็ด พิตต์ นำแสดงจะเห็นว่าเมืองทรอยที่เข้มแข็งด้วยกำแพงที่หนาแน่นทำให้ข้าศึกไม่สามารถเอาชนะได้เสียที ต้องมาพ่ายแพ้กับของกำนัลซึ่งเป็นม้าไม้ตัวใหญ่ๆ ตัวหนึ่งที่ข้าศึกแสร้งมอบให้แสดงไมตรี ชาวทรอยก็ดีใจตั้งไว้กลางเืมือง พอตกดึกมาทหารยอดฝีมือก็เปิดประตูออกจากม้าไม้แล้วไปเปิดประตูเมืองทรอยจากด้านใน ให้กองทัพที่ซุ่มโจมตีอยู่บุกเข้าเมืองมาถล่มทรอยได้อย่างง่ายดาย

..... ในด้านคอมพิวเตอร์ Trojan ก็เป็นโปรแกรมที่ทำงานเหมือนม้าไม้ที่ถูกส่งเข้ามาตั้งในระบบเราอย่างเงียบๆ ในมุมมองโปรแกรมเมอร์แล้ว หากเราเขียนโปรแกรม Host (โปรแกรมแม่) แบบ TCP/IP หรือ UDP ขึ้นมาสักโปรแกรมหนึ่ง แล้วใส่เข้าไปในเครื่องเป้าหมาย แล้วที่เครื่องเราเองก็มีโปรแกรม Client (โปรแกรมลูก) ถ้าเป็นสมัยก่อนเราก็ติดต่อในทาง Network ภายใน แต่สมัยนี้ก็ทางอินเทอร์เน็ตได้เลย ทำให้เราสามารถควบคุมเครื่องทุกเครื่องที่มีโปรแกรม Hostเราซ่อนอยู่จากที่ใดๆ ก็ได้ในโลก

..... หากโปรแกรม Host ที่เราเขียนขึ้นมา แล้วใส่คุณสมบัติแบบ Virus เข้าไปให้แพร่กระจายตัวเองได้อีกโดยวิธีต่างๆ ที่เหล่านักสร้าง Virus คิดกันขึ้นมาโดยวิธีแยบยล (ส่วนตัวผมว่านักสร้าง Virus เหล่านี้ ส่วนใหญ่ก็เป็น Software/OS Engineer ไปในตัว โดยรู้ตัวหรือไม่รู้ตัว) เมื่อโปรแกรม Host แพร่ไปในที่ต่างๆ แล้ว จากกลุ่มเล็กๆ ไปกลุ่มใหญ่ๆ สู่ทั่วโลก แล้วก็คอยส่งข้อมูลต่างๆ ที่ผู้โปรแกรมเมอร์ผู้สร้างต้องการ กลับมาบอกผู้สร้างในรูปแบบต่างๆ เช่น ส่งเมล์มาบอกว่าตอนนี้อยู่ที่เครื่องไหน, จากประเทศไหน (ได้จาก IP Address ของผู้ที่ติดขณะนั้น), ดูไฟล์ทุกๆ ไฟล์ในเครื่องพร้อม download ได้, ส่งหน้าจอที่แสดงอยู่ขณะนี้กลับมาให้ดู, แอบเปิด/ปิด เว็บแคม, ส่งรหัสผ่านต่างๆ เช่น รหัสผ่านเข้าเครื่อง อีเมล์, ข้อมูล Internet Banking ฯลฯ สารพัด ที่เป็นความลับ หรือไม่ลับ กลับมา ได้ทุกๆ อย่าง เสมือนเป็นเครื่องของตัวเอง โดยหลักการแล้วโปรแกรม Host แบบนี้จัดเป็นโทรจัน และโทรจันแบ่งออกเป็นประเภทต่างๆ ตามลักษณะการทำงาน คืิอ Backdoors, General Trojans, PSW Trojans, Trojan Clickers, Trojan Downloaders, Trojan Droppers, Trojan Proxies, Trojan Spies, Trojan Notifiers, ArcBombs, Rootkits (>> ประเภทของ Trojan)

การแก้ไข/กำจัด Trojan
..... โดยปกติแล้ว Malware (โปรแกรมที่ทำงานด้านไม่ดี เช่น Virus, Trojan, Worm ... ) ต่างๆ ซึ่ง Trojan ก็เป็นหนึ่งใน Malware จะถูกตรวจพบและกำจัดทิ้งโดยโปรแกรม Antivirus ทั่วไปได้ เช่น Nod, Bitdefender, McAfee ฯลฯ ทำงานโดยตรวจเช็คจากการเทียบจาก Malware Signature (ชุดคำสั่ง) ของ Malware ต่างๆ กับฐานข้อมูลที่มีอยู่ในโปรแกรมซึ่งมีหลายล้านประเภท เมื่อตรวจพบว่าตรงกันก็ทำการกำจัดทิ้งทางเทคนิค ดังนั้นการกำจัด Trojan ก็ทำได้โดยติดตั้งโปรแกรม Antivirus เหล่านี้แล้วทำการ Scan ทั้งหมดอย่างละเอียดจะดีที่สุด แต่อย่าลืมว่ามี Malware ใหม่ๆ เกิดขึ้นตลอดเวลา และผู้สร้างโปรแกรม Antivirus ก็ต้องค้นหา Signature และหาวิธีกำจัดอย่างต่อเนื่อง และหากเราติด Malware ตัวใหม่ๆ ที่โปรแกรมที่ใช้อยู่ยังตรวจไม่พบ เราก็จะติดโดยปริยาย ดังนั้นนอกจากกำจัดแล้วยังต้องป้องกันใ้ห้เป็นอีกด้วย

  • Update Signature
    เมื่อติดตั้งโปรแกรม Antivirus แล้ว ก็ต้องปรับปรุงอัพเดต Signature Database อย่างต่อเนื่องเช่นกัน โดยปกติแล้วหากโปรแกรมมีการอัพเดตจะแจ้งผู้ใช้ หรืออาจอัพเดตเองโดยอัตโนมัติซึ่งสามารถเลือกได้ เพื่อให้โปรแกรมเรารู้จัก Malware ตัวใหม่ๆ แล้วโปรแกรมก็จะเฝ้ามองพฤติกรรมของโปรแกรมอื่นๆ ที่เราใช้งานอยู่ หากพบว่าทำงานเป็น Malware ก็จะแจ้งและกำจัดได้ในทันที
  • ระวังไฟล์/โปรแกรมที่มีผู้ส่งมา
    ให้ระวังไฟล์ต่างๆ ทางอีเมล์ หรือโปรแกรม Messenger ต่างๆ เช่น msn (Windows Live Messenger, Yahoo, QQ ฯลฯ) ต้องให้มั่นใจว่าส่งมาจากคนที่เรารู้จักเท่านั้นจึงรับไว้ แต่ก่อนจะเปิดใช้งานก็ยังต้อง Scan ด้วยโปรแกรม Antivirus อีกทุกครั้ง เพราะถึงแม้จะรู้จักผู้ที่ส่งมาแต่ผู้ส่งอาจติด Malware ที่เครื่องของเขาโดยไม่รู้ตัว ทำให้่ไฟล์ที่ส่งมาอาจติดมาตัวไม่รู้ตัวอีกเช่นกัน
  • นักใช้ของเถื่อน ต้องระวังอย่างมาก !!!
    โปรแกรมต่างๆ ที่ดาวน์โหลดได้จากเว็บไม่ถูกต้องต่างๆ ที่มี keygen, crack ฯลฯ แถมมาให้ด้วย เพื่อให้สามารถสร้างรหัสผ่านหรือแก้โปรแกรมจากรุ่นทดลองให้กลายเป็นรุ่นที่ลงทะเบียนแล้วหรือตัวจริง โปรแกรมเหล่านี้มักแถม malware มาให้ ดังนั้นต้องระวังโดยการ Scan ให้ดีเช่นกัน
  • Macro Virus Protection is enabled
    ควรป้องกันไว้ก่อนแม้จะชื่อว่า Macro Virus ก็ตาม ก็อาจทำตัวเป็น Trojan ได้เช่นกัน Malware พวกนี้จะอยู่ในลักษณะเป็นโปรแกรม หรือ script เล็กๆ ที่ติดมากับเอกสารต่างๆ ได้เช่น word, excel, powerpoint ฯลฯ ในกลุ่มของ Microsoft ให้ไปที่ส่วน Setting ของโปรแกรมที่ใช้แล้วให้ Enable Macro Virus Protection เสมอ และเมื่อเปิดไฟล์หรือเอกสารต่างๆ หากไม่รู้จักการเขียนโปรแกรม Macro อยู่แล้วก็ปิดส่วนนี้ไปเลย และเมื่อมีผู้ส่งไฟล์พวกนี้มากับอีเมล์สังเกตได้จากนามสกุลไฟล์จะเป็น .doc, .docx, xls, xlsx, รูปภาพ .gif ฯลฯ อย่าคลิกโดยตรง ให้ scan ก่อนเสมอเช่นกัน ตัวอย่างการเข้าไปตั้งค่าในโปรแกรม Microsoft Word ให้เข้าไปที่ ...
    Tools -> Macro -> Securities ... (แล้วเลือกตามภาพ)

..... การใช้อินเทอร์เน็ตปัจจุบันเปลี่ยนไปมาก มีผู้คร่ำเคร่งร่ำเรียนวิชาทั้งด้านมืดและสว่าง คอยผลิตผลงานออกมาอย่างไม่ขาดสาย Trojan บางตัวเองก็ยังถูกพัฒนาเป็นเครื่องมือการตลาดทาง cyber ที่คอยขุดข้อมูลต่างๆ ของผู้ใช้งานส่งกลับมาวิเคราะห์ หรือแม้กระทั่งพยายามยัดเยียดโฆษณาเข้าไปเมื่อเวลาเปิดเว็บไซต์ หรือหากอยู่ในเครื่องผู้ที่ทำเว็บไซต์หรือกลุ่มเว็บมาสเตอร์ทั้งหลายแล้ว ก็แอบเอาข้อมูลรหัสผ่านเพื่อเข้าไปแก้ไขเว็บไซต์เองทั้งหมดโดยอัตโนมัติแล้วแทรกตัวเองเข้าไปเพื่อให้หน้าเว็บเพจต่างๆ เรียกโฆษณาของตนขึ้นมา เมื่อ Search Engine ตรวจเจอ เว็บนั้นก็จะถูกตั้งข้อหาเองว่าเป็นเว็บที่ไม่ปลอดภัยโดยแสดงหน้า Warning เตือนสีแดงๆ (ดูแล้วน่ากลัว) ผู้เข้าชมก็จะไม่กล้าเข้าเว็บนั้นสร้างความเสียหายไม่น้อย และแก้ไขยากเพราะตัว Trojan แทรกรหัสเข้าไปอย่างเยี่ยมยอด (จะเล่าต่อไปในเรื่อง Gumblar : สุดยอดโทรจันปั่นหัวเว็บมาสเตอร์)

..... แม้ Trojan และ Malware จะมีอยู่มากมายและเกิดขึ้นใหม่เรื่อยๆ ก่อกวนแล้วสร้างปัญหามากเพียงใด หากเราใช้งานด้วยสติ และทำตามหลักง่ายๆ ข้างต้นก็ช่วยให้ปลอดภัยไปได้มากแม้จะไม่ 100% เพราะเหล่านักก่อกวนก็คอยคิดค้นเทคนิคต่างๆ มาเรื่อยๆ แต่ผู้สร้าง Antivirus ก็เฝ้าติดตามอย่างต่อเนื่องให้โปรแกรมมีประสิทธิภาพสูงสุดเพื่อจะทำยอดขายได้สูงๆ และตัวเราผู้ใช้งานก็สามารถติดตามศึกษาวิธีป้องกันและเทคนิคต่างๆ ที่เค้าใช้ในการสร้างว่าทำงานอย่างไร เป็นการเพิ่มทักษะและความรู้ไปด้วย ยุคนี้หากอยู่เฉยๆ ไม่ศึุกษาอะไรไม่ใช่เป็นการหยุดนิ่งเหมือนแต่ก่อนแล้ว เพราะคนส่วนใหญ่พยายามวิ่งไปข้างหน้าตลอดเวลา หากกระโดดได้คงกระโดดไปแล้ว

tonimaxx@Jaroos.com
27 สิงหาคม 2552

0 comments:

Subscribe to: Post Comments (Atom)
Post a Comment